Kwetsbaarheden verholpen in Kubernetes Ingress NGINX Controller
Deze pagina zet de platte tekst van officiële advisories automatisch om naar HTML. Hierbij kan mogelijk informatie verloren gaan. De Signed PGP-versies zijn leidend.
| Publicatie | Kans | Schade | ||||||||
|---|---|---|---|---|---|---|---|---|---|---|
| Versie 1.01 | 27-03-2025 | NCSC-2025-0095 | ||||||||
|
medium
|
high
|
Signed-PGP → CSAF → PDF → |
||||||||
| 27-03-2025 |
medium
|
high
|
NCSC-2025-0095 [1.01] |
Signed-PGP → Text, CSAF (sig), PDF |
||||||
| Kenmerken |
|
|||||||||
| Omschrijving |
Kubernetes heeft een aantal kwetsbaarheden in de Ingress NGINX Controller verholpen. Deze kwetsbaarheden stellen kwaadwillenden in staat een ongeauthenticeerde remote code execution (RCE) uit voeren. De kwetsbaarheden bevinden zich in de ingress-nginx controller. Deze kwetsbaarheden omvatten onder andere een kritieke remote code execution (RCE) escalatie, die verband houdt met de ingress-nginx admission controller. Een ongeauthenticeerde kwaadwillende met toegang tot het pod-netwerk kan willekeurige code uitvoeren, wat kan leiden tot de toegang van gevoelige informatie, of mogelijk zelfs overname van het cluster. Daarnaast zijn er problemen gerapporteerd met de auth-tls-match-cn, mirror-target, mirror-host, en auth-url Ingress annotaties, die allemaal kunnen leiden tot configuratie-injectie en ongeautoriseerde code-uitvoering. Voor de duidelijkheid: De kwetsbaarheden hebben betrekking op de Kubernetes ingress-nginx controller. Zowel de basissoftware van Kubernetes als NginX zijn niet getroffen. Onderzoekers hebben Proof-of-Concept-code (PoC) gepubliceerd, waarmee de kwetsbaarheden kunnen worden aangetoond. De PoC vereist Brute-forcing maar weet uiteindelijk RCE te bewerkstelligen met rechten van de applicatie. Overname van het systeem, of volledige controle lijkt niet mogelijk, maar het is aannemelijk dat er in de komende periode een toename in pogingen tot misbruik zal zijn. |
|||||||||
| Bereik |
|
|||||||||
| Oplossingen |
Kubernetes heeft updates uitgebracht om de kwetsbaarheden te verhelpen. Zie bijgevoegde referenties voor meer informatie. [Link] [Link] [Link] [Link] [Link] [Link] |
|||||||||
| CVE’s |
CVE-2025-1097, CVE-2025-1098, CVE-2025-1974, CVE-2025-24513, CVE-2025-24514 |
|||||||||
| Versie 1.01 | 27-03-2025 | NCSC-2025-0095 | ||||||||
|
medium
|
high
|
Signed-PGP → CSAF → PDF → |
||||||||
| 27-03-2025 |
medium
|
high
|
NCSC-2025-0095 [1.01] |
Signed-PGP → Text, CSAF (sig), PDF |
||||||
| Update |
Onderzoekers hebben Proof-of-Concept-code (PoC) gepubliceerd. |
|||||||||
| Versie 1.00 | 25-03-2025 | NCSC-2025-0095 | ||||||||
|
medium
|
high
|
Signed-PGP → CSAF → PDF → |
||||||||
| 25-03-2025 |
medium
|
high
|
NCSC-2025-0095 [1.00] |
Signed-PGP → Text, CSAF (sig), PDF |
||||||
Vrijwaringsverklaring
Door gebruik van deze security advisory gaat u akkoord met de
navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
kan het NCSC niet instaan voor de volledigheid, juistheid of
(voortdurende) actualiteit van dit beveiligingsadvies. De informatie
in dit beveiligingsadvies is uitsluitend bedoeld als algemene
informatie voor professionele partijen. Aan de informatie in dit
beveiligingsadvies kunnen geen rechten worden ontleend.
Het NCSC en de Staat zijn niet aansprakelijk voor enige schade
ten gevolge van het gebruik of de onmogelijkheid van het gebruik
van dit beveiligingsadvies, waaronder begrepen schade ten gevolge
van de onjuistheid of onvolledigheid van de informatie in dit
beveiligingsadvies.
Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle
geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies
zullen worden voorgelegd aan de exclusief bevoegde rechter te Den
Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in
kort geding.