Kubernetes Ingress 에서 보안취약점이 발표되었습니다.
NGINX Ingress 와는 무관하지만 공유차원에서 정보 업데이트 드립니다.
보안 권고 사항 설명
- CVE-2025-1097(IngressNightmare라고도 함)
ingress-nginx https:github에서 보안 문제가 발견되었습니다.com/kubernetes/ingress-nginx 여기서 'auth-tls-match-cn' 인그레스 어노테이션을 사용하여 nginx에 구성을 주입할 수 있습니다. 이로 인해 ingress-nginx 컨트롤러의 컨텍스트에서 임의의 코드가 실행되고 컨트롤러에서 액세스할 수 있는 시크릿이 공개될 수 있습니다. (기본 설치에서 컨트롤러는 클러스터 전체의 모든 시크릿에 액세스할 수 있습니다.)
- CVE-2025-1098(IngressNightmare라고도 함)
ingress-nginx https:github에서 보안 문제가 발견되었습니다.com/kubernetes/ingress-nginx 여기서 'mirror-target' 및 'mirror-host' 인그레스 어노테이션을 사용하여 nginx에 임의의 구성을 주입할 수 있습니다. 이로 인해 ingress-nginx 컨트롤러의 컨텍스트에서 임의의 코드가 실행되고 컨트롤러에서 액세스할 수 있는 시크릿이 공개될 수 있습니다. (기본 설치에서 컨트롤러는 클러스터 전체의 모든 시크릿에 액세스할 수 있습니다.)
- CVE-2025-1974(IngressNightmare라고도 함)
쿠버네티스에서 특정 조건에서 파드 네트워크에 액세스할 수 있는 인증되지 않은 공격자가 ingress-nginx 컨트롤러의 컨텍스트에서 임의의 코드 실행을 달성할 수 있는 보안 문제가 발견되었다. 이로 인해 컨트롤러에서 액세스할 수 있는 비밀이 공개될 수 있습니다. (기본 설치에서 컨트롤러는 클러스터 전체의 모든 시크릿에 액세스할 수 있습니다.)
- CVE-2025-24514(IngressNightmare라고도 함)
ingress-nginx https:github에서 보안 문제가 발견되었습니다.com/kubernetes/ingress-nginx 여기서 'auth-url' Ingress 주석을 사용하여 nginx에 구성을 주입할 수 있습니다. 이로 인해 ingress-nginx 컨트롤러의 컨텍스트에서 임의의 코드가 실행되고 컨트롤러에서 액세스할 수 있는 시크릿이 공개될 수 있습니다. (기본 설치에서 컨트롤러는 클러스터 전체의 모든 시크릿에 액세스할 수 있습니다.)
--
취약점 완화
1. 패치적용
kubernetes ingress - v1.12.1 or v1.11.5 활용
2. Helm Chart 적용 (패치 불가시)
- controller.admissionWebhooks.enabled=false 해당 값 적용으로 재배포 수행
3. 수동 배포시
- Deployment / DaemonSet 에서 해당 항목 제거
ingress-nginx-controller--validating-webhook
- ValidatingWebhookconfiguration 값 삭제
ingress-nginx-admission
--------------
기타사항
NGINX Ingress / NGINX Plus Ingress Controller - 해당취약점 해당 없음
--------------
참고 문서
https://my.f5.com/manage/s/article/K000150538
https://kubernetes.io/blog/2025/03/24/ingress-nginx-cve-2025-1974/
Kubernetes Ingress 에서 보안취약점이 발표되었습니다.
NGINX Ingress 와는 무관하지만 공유차원에서 정보 업데이트 드립니다.
보안 권고 사항 설명
ingress-nginx https:github에서 보안 문제가 발견되었습니다.com/kubernetes/ingress-nginx 여기서 'auth-tls-match-cn' 인그레스 어노테이션을 사용하여 nginx에 구성을 주입할 수 있습니다. 이로 인해 ingress-nginx 컨트롤러의 컨텍스트에서 임의의 코드가 실행되고 컨트롤러에서 액세스할 수 있는 시크릿이 공개될 수 있습니다. (기본 설치에서 컨트롤러는 클러스터 전체의 모든 시크릿에 액세스할 수 있습니다.)
ingress-nginx https:github에서 보안 문제가 발견되었습니다.com/kubernetes/ingress-nginx 여기서 'mirror-target' 및 'mirror-host' 인그레스 어노테이션을 사용하여 nginx에 임의의 구성을 주입할 수 있습니다. 이로 인해 ingress-nginx 컨트롤러의 컨텍스트에서 임의의 코드가 실행되고 컨트롤러에서 액세스할 수 있는 시크릿이 공개될 수 있습니다. (기본 설치에서 컨트롤러는 클러스터 전체의 모든 시크릿에 액세스할 수 있습니다.)
쿠버네티스에서 특정 조건에서 파드 네트워크에 액세스할 수 있는 인증되지 않은 공격자가 ingress-nginx 컨트롤러의 컨텍스트에서 임의의 코드 실행을 달성할 수 있는 보안 문제가 발견되었다. 이로 인해 컨트롤러에서 액세스할 수 있는 비밀이 공개될 수 있습니다. (기본 설치에서 컨트롤러는 클러스터 전체의 모든 시크릿에 액세스할 수 있습니다.)
ingress-nginx https:github에서 보안 문제가 발견되었습니다.com/kubernetes/ingress-nginx 여기서 'auth-url' Ingress 주석을 사용하여 nginx에 구성을 주입할 수 있습니다. 이로 인해 ingress-nginx 컨트롤러의 컨텍스트에서 임의의 코드가 실행되고 컨트롤러에서 액세스할 수 있는 시크릿이 공개될 수 있습니다. (기본 설치에서 컨트롤러는 클러스터 전체의 모든 시크릿에 액세스할 수 있습니다.)
--
취약점 완화
1. 패치적용
kubernetes ingress - v1.12.1 or v1.11.5 활용
2. Helm Chart 적용 (패치 불가시)
- controller.admissionWebhooks.enabled=false 해당 값 적용으로 재배포 수행
3. 수동 배포시
- Deployment / DaemonSet 에서 해당 항목 제거
ingress-nginx-controller--validating-webhook
- ValidatingWebhookconfiguration 값 삭제
ingress-nginx-admission
--------------
기타사항
NGINX Ingress / NGINX Plus Ingress Controller - 해당취약점 해당 없음
--------------
참고 문서
https://my.f5.com/manage/s/article/K000150538
https://kubernetes.io/blog/2025/03/24/ingress-nginx-cve-2025-1974/