Kubernetes: kritische Sicherheitslücke in Ingress-nginx gefunden
Die kritische Sicherheitslücke CVE-2024-7646 in Ingress-nginx, einem weit verbreiteten Kubernetes-Controller, wurde entdeckt und behoben. Die Schwachstelle ermöglichte es einem Angreifer mit Berechtigungen zum Erstellen von Ingress-Objekten, die Annotation-Validierung zu umgehen und beliebige Befehle auszuführen. Dadurch konnten die Anmeldedaten des Ingress-nginx-Controllers kompromittiert werden, die standardmäßig Zugang zu allen Geheimnissen im Cluster haben.
Die Lücke betrifft Versionen des Ingress-nginx-Controllers vor v1.11.2 und wurde mit einem CVSS-Score von 8.8 als hoch eingestuft. Nutzern wird dringend empfohlen, auf die gepatchte Version v1.11.2 zu aktualisieren, um ihre Kubernetes-Cluster zu schützen.
Die Schwachstelle wurde von André Storfjord Kristiansen gemeldet und die Korrekturmaßnahmen wurden vom Kubernetes-Sicherheitsteam schnell umgesetzt. Weitere Details zur Schwachstelle und deren Behebung finden sich in der offiziellen GitHub-Diskussion.