Kubernetes ingress-nginx再次暴露重大安全漏洞,ingress-nginx计划进入维护模式

大家好,这里是小奏 ,觉得文章不错可以关注公众号小奏技术

发布时间

  • 2025-03-24

背景

Kubernetes 是一种广泛使用的容器编排平台,Ingress 是其核心功能,用于将外部流量路由到内部服务。ingress-nginx 是一种流行的 Ingress 控制器,基于NGINX 服务器,负责处理HTTP HTTPS 流量。它在Kubernetes 集群中非常常见,研究显示超过 40% 的集群使用它。

漏洞详情

最近,ingress-nginx 团队发布了五个漏洞的修复补丁,其中最关键的是CVE-2025-1974,评级为CVSS 9.8。这是一个严重的安全问题,允许未经身份验证的攻击者通过Pod网络执行任意代码,控制 ingress-nginx 控制器。这可能导致敏感信息泄露,例如集群中的所有 Secrets。在默认配置下,控制器可以访问所有 Secrets,风险极高。

其他四个漏洞主要涉及 NGINX 配置处理,具体编号为

所有这些漏洞均已在补丁版本中修复。

风险与影响

Pod 网络是 Kubernetes 内部的通信网络,通常用于Pod之间的交互。在理想情况下,Pod 网络是隔离的,但实际部署中,某些配置可能使其暴露于外部网络或公司网络。CVE-2025-1974 的关键点在于,攻击者若能访问Pod网络,就可能利用漏洞执行代码,控制ingress-nginx 控制器。这可能导致集群完全被接管,严重威胁数据安全和用户隐私。

例如,在云环境或企业网络中,如果Pod 网络未正确隔离,攻击者可能通过漏洞访问所有Secrets,进而获取敏感信息如API 密钥、数据库凭证等。这对使用ingress-nginx 的用户来说,风险不容小觑

检查与修复步骤

要检查是否受影响,可以运行以下命令:

shell 复制代码
kubectl get pods --all-namespaces --selector app.kubernetes.io/name=ingress-nginx

如果返回相关 Pod,则说明使用ingress-nginx

修复步骤包括:

  1. 升级到补丁版本:升级到 ingress-nginx v1.12.1 或 v1.11.5,升级指南见 升级文档。
  2. 临时缓解措施:如果无法立即升级,可禁用 Validating Admission Controller:
    • 对于 Helm 安装,设置controller.admissionWebhooks.enabled=false
    • 手动删除 ingress-nginx-admission ValidatingWebhookconfiguration,并从ingress-nginx-controller 中移除 --validating-webhook` 参数。

意外细节

一个值得注意的点是,ingress-nginx 项目计划进入维护模式,并推出新的 InGate 项目作为替代。这可能对长期用户产生影响,需关注未来迁移计划。

参考

相关推荐
葫芦和十三7 小时前
图解 MongoDB 28|块与迁移:balancer 怎么均衡数据
后端
葫芦和十三7 小时前
图解 MongoDB 27|分片策略:范围分片 vs 哈希分片
后端·mongodb·agent
paopaokaka_luck7 小时前
英语单词学习系统的设计与实现(基于艾宾浩斯遗忘曲线的智能复习机制、语音朗读、多题型测试与错题自动收录、Echarts图形化分析)
vue.js·spring boot·后端·echarts
我叫黑大帅8 小时前
MySQL 并发插入竞态问题:原子写入实践指南
后端·mysql·面试
zhangxingchao9 小时前
AI大模型核心八:从 Agent Skill、长文档 RAG 到知识库更新与训练策略
前端·人工智能·后端
我叫黑大帅9 小时前
别再手动写 updated_at了,这坑我踩过
后端·面试·go
zhangxingchao9 小时前
AI大模型核心七:从 Workflow、RAG、记忆治理到幂等性
前端·人工智能·后端
蜀道山老天师10 小时前
K8s Secret 与 ConfigMap 配置管理及动态更新实战详解
云原生·容器·kubernetes
犀利豆11 小时前
AI in Harness(二)
java·人工智能·后端
IT_陈寒11 小时前
Python装饰器竟然偷偷改了函数名?这个坑我爬了三天
前端·人工智能·后端