በ Kubernetes ፕሮጀክት በተሰራው የ ingress-nginx መቆጣጠሪያ ውስጥ በነባሪ ውቅር ውስጥ የ Ingress ነገር ቅንጅቶችን ለመድረስ የሚያስችሉ ሶስት ተጋላጭነቶች ተለይተዋል ፣ ይህም ከሌሎች ነገሮች በተጨማሪ የኩበርኔትስ አገልጋዮችን ለመድረስ ምስክርነቶችን ያከማቻል ፣ ይህም ልዩ መዳረሻን ይፈቅዳል። ወደ ክላስተር. ችግሮቹ ከ Kubernetes ፕሮጀክት በ ingress-nginx መቆጣጠሪያ ውስጥ ብቻ ይታያሉ እና በ NGINX ገንቢዎች የተገነባውን የ kubernetes-ingress መቆጣጠሪያ ላይ ተጽዕኖ አያሳርፉም.
የመግቢያ መቆጣጠሪያው እንደ መግቢያ በር ሆኖ የሚያገለግል ሲሆን ከውጪው አውታረ መረብ በክላስተር ውስጥ ያሉ አገልግሎቶችን ለማደራጀት በኩበርኔትስ ውስጥ ጥቅም ላይ ይውላል። የ ingress-nginx መቆጣጠሪያ በጣም ታዋቂ ነው እና ጥያቄዎችን ወደ ክላስተር ለማስተላለፍ፣ የውጪ ጥያቄዎችን እና የጭነት ሚዛንን ለማስተላለፍ የNGINX አገልጋይን ይጠቀማል። የኩበርኔትስ ፕሮጀክት ለ AWS፣ GCE እና nginx የኮር ኢንግሬሽን መቆጣጠሪያዎችን ይሰጣል፣ የኋለኛው ደግሞ በF5/NGINX ከሚጠበቀው የ kubernetes-ingress መቆጣጠሪያ ጋር በምንም መንገድ አይገናኝም።
ተጋላጭነቶች CVE-2023-5043 እና CVE-2023-5044 "nginx.ingress.kubernetes.io/configuration-snippet" እና "nginx.ingress" በመጠቀም ኮድዎን በአገልጋዩ ላይ የማስገቢያ ተቆጣጣሪ ሂደት መብቶችን እንዲፈጽሙ ያስችሉዎታል። እሱን ለመተካት .kubernetes” ግቤቶች .io/ቋሚ-ማዘዋወር። ከሌሎች ነገሮች በተጨማሪ፣ የተገኙት የመዳረሻ መብቶች በክላስተር አስተዳደር ደረጃ ለማረጋገጫ የሚያገለግል ማስመሰያ እንዲያመጡ ያስችሉዎታል። ተጋላጭነት CVE-2022-4886 የሎግ_ፎርማት መመሪያን በመጠቀም የፋይል ዱካ ማረጋገጫን እንዲያልፉ ይፈቅድልዎታል።
የመጀመሪያዎቹ ሁለት ተጋላጭነቶች ከስሪት 1.9.0 በፊት በ ingress-nginx ልቀቶች ውስጥ ብቻ ይታያሉ ፣ እና የመጨረሻው - ከስሪት 1.8.0 በፊት። ጥቃትን ለመፈጸም አንድ አጥቂ ወደ ውስጥ የሚገባውን ነገር ውቅር መድረስ አለበት ለምሳሌ፡ ባለ ብዙ ተከራይ ኩበርኔትስ ክላስተር ውስጥ ተጠቃሚዎች በስማቸው ቦታ ላይ እቃዎችን የመፍጠር ችሎታ ተሰጥቷቸዋል።
ምንጭ: opennet.ru