Kubernetes 社区披露了 ingress-nginx 的安全漏洞 CVE-2024-7646。ingress-nginx 是 Kubernetes 的 Ingress 控制器，使用 Nginx 作为反向代理和负载均衡服务器。具有创建 Ingress 对象权限的参与者（在networking.k8s.io或extensions API 组中）可以绕过注释验证，在 Nginx 配置文件中注入恶意配置。攻击者可以利用此漏洞来获取 ingress-nginx 控制器的凭据。在默认配置中，该凭据可以访问集群中的所有 Secrets。

漏洞级别

CVE-2024-7646 漏洞被评估为高危漏洞，在 CVSS 的评分为 8.8。

影响范围

Nginx Ingress Controller 在漏洞影响范围内：

• v1.11.0 <= Nginx Ingress Controller < v1.11.2
• Nginx Ingress Controller < v1.10.4

防范措施

容器服务（VKE）中，Nginx Ingress Controller 对应的控制器名称为 ingress-nginx-controller。VKE 后续将发布修复该漏洞的 ingress-nginx-controller 版本，请留意 ingress-nginx 组件发布记录。

在升级 ingress-nginx-controller 前，可以通过以下方式缓解漏洞影响：

• 在集群中安装准入控制组件，例如 Kyverno、Gatekeeper，并对 Ingress 对象的创建行为进行验证，阻断漏洞利用。
• 收敛创建 Ingress 的权限，只给受信用户授权。

社区在 Nginx Ingress Controller v1.10.4 和 v1.11.2 版本上修复该漏洞，修复版本仅支持 v1.26 及以上的 Kubernetes 版本。因此若您的 VKE 集群 Kubernetes 版本低于 v1.26 时，请先 升级集群。

相关链接

• CVE-2024-7646 社区漏洞 Issue：https://github.com/kubernetes/kubernetes/issues/126744
• 社区修复版本：
  • https://github.com/kubernetes/ingress-nginx/releases/tag/controller-v1.10.4
  • https://github.com/kubernetes/ingress-nginx/releases/tag/controller-v1.11.2