Beveiligingsadvies NCSC-2025-0095 [1.00] [M/H] Kwetsbaarheden verholpen in Kubernetes Ingress NGINX Controller
Kwetsbaarheden Opgelost in Kubernetes Ingress NGINX Controller
Er zijn nieuwe beveiligingsupdates uitgebracht om kwetsbaarheden in de Kubernetes Ingress NGINX Controller te adresseren. Deze updates zijn essentieel om ongeauthenticeerde kwaadwillenden te voorkomen die in staat zouden kunnen zijn om remote code execution (RCE) uit te voeren. Dit betekent dat aanvallers mogelijk schadelijke software op uw systeem zouden kunnen uitvoeren zonder dat zij daar toegang tot hebben.
Beschrijving van de Problemen
De kwetsbaarheden bevinden zich in de ingress-nginx controller van Kubernetes en omvatten onder andere een kritieke RCE-escalatie die nauw samenhangt met de ingress-nginx admission controller. Als een aanvaller toegang heeft tot het pod-netwerk, zou hij of zij in staat kunnen zijn om willekeurige code uit te voeren. Dit kan leiden tot toegang tot gevoelige informatie of zelfs de overname van het gehele cluster.
Een aantal specifieke problemen zijn gerapporteerd, zoals:
- Problemen met de
auth-tls-match-cn - Issues met
mirror-target - Problemen met
mirror-host - Configuratieproblemen met
auth-urlIngress-annotaties
Deze kwesties kunnen leiden tot configuratie-injectie en ongeautoriseerde code-uitvoering. Het is belangrijk om te benadrukken dat deze kwetsbaarheden alleen de Kubernetes ingress-nginx controller treffen en niet de kernsoftware van Kubernetes of NGINX zelf.
Oplossingen
Kubernetes heeft updates vrijgegeven om deze kwetsbaarheden te verhelpen. Gebruikers van de ingress-nginx controller wordt sterk aangeraden om hun systemen met deze updates bij te werken. Voor gedetailleerde informatie en bronnen over de gepubliceerde updates, kunt u de volgende links bezoeken:
- Link naar Kubernetes blog
- GitHub Issue 131006
- GitHub Issue 131007
- GitHub Issue 131008
- GitHub Issue 131005
- GitHub Issue 131009
Beïnvloede Versies en CVE’s
Deze kwetsbaarheden zijn geclassificeerd onder verschillende CVE-nummers, die gebruikt worden om specifieke kwetsbaarheden te identificeren. De betrokken CVE’s zijn:
Bij gebruik van deze beveiligingsadviespagina accepteren gebruikers dat hoewel NCSC zijn uiterste best doet de informatie nauwkeurig en actueel te houden, de volledigheid en juistheid niet kan worden gegarandeerd. Alle verstrekte informatie is uitsluitend bedoeld als algemene richtlijn voor professionele partijen en bevat geen juridische garanties. De Nederlandse staat is niet aansprakelijk voor eventuele schade voortvloeiend uit het gebruik van deze informatie. Geschillen worden behandeld volgens het Nederlands recht in Den Haag.
Het wordt aangeraden om deze adviezen serieus te nemen en de voorgestelde maatregelen te implementeren ter bescherming van uw Kubernetes infrastructuur.
Een beveiligingsadvies wordt door het NCSC gepubliceerd naar aanleiding van een recent gevonden kwetsbaarheid of geconstateerde dreiging. In een beveiligingsadvies staat de beschrijving, de mogelijke gevolgen en mogelijke oplossingen van de kwetsbaarheid of dreiging.
Mitigerende maatregel beschikbaar op advisories.ncsc.nl
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----Opzoek naar de laatste updates uit onze securitylog?
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----