Kritische Sicherheitslücken in Kubernetes Ingress NGINX Controller - Updates verfügbar
26. März 2025
Beschreibung
Im Kubernetes Ingress NGINX Controller, einer Kernkomponente von Kubernetes, wurden mehrere kritische Sicherheitslücken entdeckt. Diese ermöglichen unter anderem unauthentifizierte Remote Code Execution (RCE) und unberechtigten Zugriff auf Secrets.
CVE-Nummern: CVE-2025-1097, CVE-2025-1098, CVE-2025-24514, CVE-2025-1974, CVE-2025-24513
CVSS Score: 9.8 (kritisch)
Auswirkungen
Durch Ausnutzen der Schwachstellen können Angreifer aus der Ferne und ohne Authentifizierung beliebigen Code ausführen und auf sensible Informationen zugreifen. Dies ermöglicht potenziell eine vollständige Kompromittierung von Kubernetes-Clustern, die den verwundbaren Ingress NGINX Controller verwenden.
Betroffene Systeme
Betroffen sind vor den Versionen 1.12.1 und 1.11.5 veröffentlichte Versionen des Ingress NGINX Controllers.
Abhilfe
Die am 25. März 2025 veröffentlichten Versionen 1.12.1 und 1.11.5 des Ingress NGINX Controllers beheben diese Sicherheitslücken. Es wird dringend empfohlen, das Update umgehend einzuspielen.
Als temporäre Maßnahme bis zum Update kann durch die Deaktivierung des Validating Admission Controller Features das Risiko signifikant reduziert werden.
- Für Installationen via Helm:
- Neuinstallation mit dem Parameter
controller.admissionWebhooks.enabled=false
- Neuinstallation mit dem Parameter
- Für manuelle Installationen
- Löschen der
ValidatingWebhookconfigurationmit dem Nameningress-nginx-admission - Bearbeiten des Ingress NGINX Controller Deployments oder DaemonSets und Entfernen des Parameters
--validating-webhookaus der Argumentliste des Controller-Containers
- Löschen der
Generell sollte der Netzwerkzugriff auf den Validierungs-Webhook des Ingress NGINX Controllers eingeschränkt werden, und nur vom Kubernetes API-Server aus erreichbar sein. Jeder andere Zugriff sollte als nicht vertrauenswürdig eingestuft werden.
Hinweis
Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.
Informationsquelle(n):
Kubernetes Blog:
https://kubernetes.io/blog/2025/03/24/ingress-nginx-CVE-2025-1974
Wiz Blog:
http://wiz.io/blog/ingress-nginx-kubernetes-vulnerabilities