Etusivu: Kyberturvallisuuskeskus
Etusivu: Kyberturvallisuuskeskus
Valikko

Kuberneteksen ingress-nginx controller -komponentista on löydetty neljä haavoittuvuutta joista yksi on erityisen kriittinen. Kriittistä haavoittuvuutta (CVE-2025-1974) hyväksikäyttämällä hyökkääjä voi suorittaa mielivaltaista koodia etänä ilman tunnistautumista haavoittuvissa Kubernetes klustereissa. Hyökkääjä voi päästä käsiksi myös kaikkiin Kubernetes klusterin salaisuuksiin. Haavoittuvat Kubernetes-instanssit tulisi päivittää mahdollisimman pian.

Haavoittuvuuden kohde

Havaitut haavoittuvuudet koskevat Kubernetes-ohjelmiston ingress-nginx controller -komponenttia. Kubernetes on avoimen lähdekoodin järjestelmä, jolla hallitaan ja ajetaan kontteja, jotka ovat eräänlaisia kevyitä virtualisointiyksiköitä. Kyseistä ingress-nginx controller -komponenttia käytetään ohjaamaan liikennettä Kubernetes-klusteriin ja se on laajasti käytössä, erityisesti pilvipalveluissa.

Haavoittuvat Kubernetes ingress-nginx controller versiot ovat:

* Versio 1.11.4 ja sitä vanhemmat versiot 
* Versio 1.12.0

Mistä on kysymys?

Haavoittuvuuksien avulla todentamaton hyökkääjä voi suorittaa mielivaltaista koodia etänä haavoittuvissa Kubernetes-klustereissa. Haavoittuvuus koskee henkilöitä, organisaatioita ja palveluntarjoajia, joilla on Kubernetes-järjestelmä ja sen ingress-nginx controller -komponentti käytössä tai ylläpidossa.

Mitä voin tehdä?

Haavoittuvat Kubernetes-instanssit tulisi päivittää välittömästä uusimpaan ohjelmistoversioon noudattaen valmistajan ohjeita. Korjattuja versioita ingress-nginx controller -komponentista ovat 1.12.1 ja 1.11.5 Mikäli päivitystä ei voi tehdä heti, Kubernetes on suositellut haavoittuvuuden hyväksikäyttöä rajoittavia toimenpiteitä blogissaan (ulkoinen linkki) (Ulkoinen linkki).