Haavoittuvuus8/2025CVSS 9.8CVE-2025-1974 (Ulkoinen linkki)
Kuberneteksen ingress-nginx controller -komponentista on löydetty neljä haavoittuvuutta joista yksi on erityisen kriittinen. Kriittistä haavoittuvuutta (CVE-2025-1974) hyväksikäyttämällä hyökkääjä voi suorittaa mielivaltaista koodia etänä ilman tunnistautumista haavoittuvissa Kubernetes klustereissa. Hyökkääjä voi päästä käsiksi myös kaikkiin Kubernetes klusterin salaisuuksiin. Haavoittuvat Kubernetes-instanssit tulisi päivittää mahdollisimman pian.
Haavoittuvuuden kohde
Havaitut haavoittuvuudet koskevat Kubernetes-ohjelmiston ingress-nginx controller -komponenttia. Kubernetes on avoimen lähdekoodin järjestelmä, jolla hallitaan ja ajetaan kontteja, jotka ovat eräänlaisia kevyitä virtualisointiyksiköitä. Kyseistä ingress-nginx controller -komponenttia käytetään ohjaamaan liikennettä Kubernetes-klusteriin ja se on laajasti käytössä, erityisesti pilvipalveluissa.
Haavoittuvat Kubernetes ingress-nginx controller versiot ovat:
* Versio 1.11.4 ja sitä vanhemmat versiot
* Versio 1.12.0
Mistä on kysymys?
Haavoittuvuuksien avulla todentamaton hyökkääjä voi suorittaa mielivaltaista koodia etänä haavoittuvissa Kubernetes-klustereissa. Haavoittuvuus koskee henkilöitä, organisaatioita ja palveluntarjoajia, joilla on Kubernetes-järjestelmä ja sen ingress-nginx controller -komponentti käytössä tai ylläpidossa.
Mitä voin tehdä?
Haavoittuvat Kubernetes-instanssit tulisi päivittää välittömästä uusimpaan ohjelmistoversioon noudattaen valmistajan ohjeita. Korjattuja versioita ingress-nginx controller -komponentista ovat 1.12.1 ja 1.11.5 Mikäli päivitystä ei voi tehdä heti, Kubernetes on suositellut haavoittuvuuden hyväksikäyttöä rajoittavia toimenpiteitä blogissaan (ulkoinen linkki) (Ulkoinen linkki).