Π ΠΊΠΎΠ½ΡΡΠΎΠ»Π΅ΡΠ° ingress-nginx, ΡΠ°Π·ΡΠ°Π±ΠΎΡΠ΅Π½ ΠΎΡ ΠΏΡΠΎΠ΅ΠΊΡΠ° Kubernetes, ΡΠ° ΠΈΠ΄Π΅Π½ΡΠΈΡΠΈΡΠΈΡΠ°Π½ΠΈ ΡΡΠΈ ΡΡΠ·Π²ΠΈΠΌΠΎΡΡΠΈ, ΠΊΠΎΠΈΡΠΎ ΠΏΠΎΠ·Π²ΠΎΠ»ΡΠ²Π°Ρ Π² ΠΊΠΎΠ½ΡΠΈΠ³ΡΡΠ°ΡΠΈΡΡΠ° ΠΏΠΎ ΠΏΠΎΠ΄ΡΠ°Π·Π±ΠΈΡΠ°Π½Π΅ Π΄ΠΎΡΡΡΠΏ Π΄ΠΎ Π½Π°ΡΡΡΠΎΠΉΠΊΠΈΡΠ΅ Π½Π° ΠΎΠ±Π΅ΠΊΡΠ° Ingress, ΠΊΠΎΠΉΡΠΎ, Π½Π°ΡΠ΅Π΄ Ρ Π΄ΡΡΠ³ΠΈ Π½Π΅ΡΠ°, ΡΡΡ ΡΠ°Π½ΡΠ²Π° ΠΈΠ΄Π΅Π½ΡΠΈΡΠΈΠΊΠ°ΡΠΈΠΎΠ½Π½ΠΈ Π΄Π°Π½Π½ΠΈ Π·Π° Π΄ΠΎΡΡΡΠΏ Π΄ΠΎ ΡΡΡΠ²ΡΡΠΈΡΠ΅ Π½Π° Kubernetes, ΠΏΠΎΠ·Π²ΠΎΠ»ΡΠ²Π°ΠΉΠΊΠΈ ΠΏΡΠΈΠ²ΠΈΠ»Π΅Π³ΠΈΡΠΎΠ²Π°Π½ Π΄ΠΎΡΡΡΠΏ ΠΊΡΠΌ ΠΊΠ»ΡΡΡΠ΅ΡΠ°. ΠΡΠΎΠ±Π»Π΅ΠΌΠΈΡΠ΅ ΡΠ΅ ΠΏΠΎΡΠ²ΡΠ²Π°Ρ ΡΠ°ΠΌΠΎ Π² ΠΊΠΎΠ½ΡΡΠΎΠ»Π΅ΡΠ° ingress-nginx ΠΎΡ ΠΏΡΠΎΠ΅ΠΊΡΠ° Kubernetes ΠΈ Π½Π΅ Π·Π°ΡΡΠ³Π°Ρ ΠΊΠΎΠ½ΡΡΠΎΠ»Π΅ΡΠ° kubernetes-ingress, ΡΠ°Π·ΡΠ°Π±ΠΎΡΠ΅Π½ ΠΎΡ ΡΠ°Π·ΡΠ°Π±ΠΎΡΡΠΈΡΠΈΡΠ΅ Π½Π° NGINX.
ΠΡ ΠΎΠ΄ΡΡΠΈΡΡ ΠΊΠΎΠ½ΡΡΠΎΠ»Π΅Ρ Π΄Π΅ΠΉΡΡΠ²Π° ΠΊΠ°ΡΠΎ ΡΠ»ΡΠ· ΠΈ ΡΠ΅ ΠΈΠ·ΠΏΠΎΠ»Π·Π²Π° Π² Kubernetes Π·Π° ΠΎΡΠ³Π°Π½ΠΈΠ·ΠΈΡΠ°Π½Π΅ Π½Π° Π΄ΠΎΡΡΡΠΏ ΠΎΡ Π²ΡΠ½ΡΠ½Π°ΡΠ° ΠΌΡΠ΅ΠΆΠ° Π΄ΠΎ ΡΡΠ»ΡΠ³ΠΈ Π² ΡΠ°ΠΌΠΊΠΈΡΠ΅ Π½Π° ΠΊΠ»ΡΡΡΠ΅ΡΠ°. ΠΠΎΠ½ΡΡΠΎΠ»Π΅ΡΡΡ ingress-nginx Π΅ Π½Π°ΠΉ-ΠΏΠΎΠΏΡΠ»ΡΡΠ½ΠΈΡΡ ΠΈ ΠΈΠ·ΠΏΠΎΠ»Π·Π²Π° ΡΡΡΠ²ΡΡΠ° NGINX Π·Π° ΠΏΡΠ΅ΠΏΡΠ°ΡΠ°Π½Π΅ Π½Π° Π·Π°ΡΠ²ΠΊΠΈ ΠΊΡΠΌ ΠΊΠ»ΡΡΡΠ΅ΡΠ°, ΠΌΠ°ΡΡΡΡΡΠΈΠ·ΠΈΡΠ°Π½Π΅ Π½Π° Π²ΡΠ½ΡΠ½ΠΈ Π·Π°ΡΠ²ΠΊΠΈ ΠΈ Π±Π°Π»Π°Π½ΡΠΈΡΠ°Π½Π΅ Π½Π° Π½Π°ΡΠΎΠ²Π°ΡΠ²Π°Π½Π΅ΡΠΎ. ΠΡΠΎΠ΅ΠΊΡΡΡ Kubernetes ΠΏΡΠ΅Π΄ΠΎΡΡΠ°Π²Ρ ΠΎΡΠ½ΠΎΠ²Π½ΠΈ Π²Ρ ΠΎΠ΄Π½ΠΈ ΠΊΠΎΠ½ΡΡΠΎΠ»Π΅ΡΠΈ Π·Π° AWS, GCE ΠΈ nginx, ΠΏΠΎΡΠ»Π΅Π΄Π½ΠΈΡΡ ΠΎΡ ΠΊΠΎΠΈΡΠΎ ΠΏΠΎ Π½ΠΈΠΊΠ°ΠΊΡΠ² Π½Π°ΡΠΈΠ½ Π½Π΅ Π΅ ΡΠ²ΡΡΠ·Π°Π½ Ρ kubernetes-ingress ΠΊΠΎΠ½ΡΡΠΎΠ»Π΅ΡΠ°, ΠΏΠΎΠ΄Π΄ΡΡΠΆΠ°Π½ ΠΎΡ F5/NGINX.
Π£ΡΠ·Π²ΠΈΠΌΠΎΡΡΠΈ CVE-2023-5043 ΠΈ CVE-2023-5044 Π²ΠΈ ΠΏΠΎΠ·Π²ΠΎΠ»ΡΠ²Π°Ρ Π΄Π° ΠΈΠ·ΠΏΡΠ»Π½ΠΈΡΠ΅ Π²Π°ΡΠΈΡ ΠΊΠΎΠ΄ Π½Π° ΡΡΡΠ²ΡΡΠ° Ρ ΠΏΡΠ°Π²Π°ΡΠ° Π½Π° ΠΏΡΠΎΡΠ΅ΡΠ° Π½Π° Π²Ρ ΠΎΠ΄Π½ΠΈΡ ΠΊΠΎΠ½ΡΡΠΎΠ»Π΅Ρ, ΠΊΠ°ΡΠΎ ΠΈΠ·ΠΏΠΎΠ»Π·Π²Π°ΡΠ΅ βnginx.ingress.kubernetes.io/configuration-snippetβ ΠΈ βnginx.ingressβ .kubernetesβ ΠΏΠ°ΡΠ°ΠΌΠ΅ΡΡΠΈ, Π·Π° Π΄Π° Π³ΠΎ Π·Π°ΠΌΠ΅Π½ΠΈΡΠ΅ .io/permanent-redirect." ΠΡΠ²Π΅Π½ Π²ΡΠΈΡΠΊΠΎ Π΄ΡΡΠ³ΠΎ, ΠΏΠΎΠ»ΡΡΠ΅Π½ΠΈΡΠ΅ ΠΏΡΠ°Π²Π° Π·Π° Π΄ΠΎΡΡΡΠΏ Π²ΠΈ ΠΏΠΎΠ·Π²ΠΎΠ»ΡΠ²Π°Ρ Π΄Π° ΠΈΠ·Π²Π»Π΅ΡΠ΅ΡΠ΅ ΡΠΎΠΊΠ΅Π½, ΠΈΠ·ΠΏΠΎΠ»Π·Π²Π°Π½ Π·Π° ΡΠ΄ΠΎΡΡΠΎΠ²Π΅ΡΡΠ²Π°Π½Π΅ Π½Π° Π½ΠΈΠ²ΠΎ ΡΠΏΡΠ°Π²Π»Π΅Π½ΠΈΠ΅ Π½Π° ΠΊΠ»ΡΡΡΠ΅ΡΠ°. Π£ΡΠ·Π²ΠΈΠΌΠΎΡΡ CVE-2022-4886 Π²ΠΈ ΠΏΠΎΠ·Π²ΠΎΠ»ΡΠ²Π° Π΄Π° Π·Π°ΠΎΠ±ΠΈΠΊΠΎΠ»ΠΈΡΠ΅ ΠΏΡΠΎΠ²Π΅ΡΠΊΠ°ΡΠ° Π½Π° ΠΏΡΡΡ Π½Π° ΡΠ°ΠΉΠ»Π° Ρ ΠΏΠΎΠΌΠΎΡΡΠ° Π½Π° Π΄ΠΈΡΠ΅ΠΊΡΠΈΠ²Π°ΡΠ° log_format.
ΠΡΡΠ²ΠΈΡΠ΅ Π΄Π²Π΅ ΡΡΠ·Π²ΠΈΠΌΠΎΡΡΠΈ ΡΠ΅ ΠΏΠΎΡΠ²ΡΠ²Π°Ρ ΡΠ°ΠΌΠΎ Π² ΠΈΠ·Π΄Π°Π½ΠΈΡΡΠ° Π½Π° ingress-nginx ΠΏΡΠ΅Π΄ΠΈ Π²Π΅ΡΡΠΈΡ 1.9.0, Π° ΠΏΠΎΡΠ»Π΅Π΄Π½Π°ΡΠ° β ΠΏΡΠ΅Π΄ΠΈ Π²Π΅ΡΡΠΈΡ 1.8.0. ΠΠ° Π΄Π° ΠΈΠ·Π²ΡΡΡΠΈ Π°ΡΠ°ΠΊΠ°, Π½Π°ΠΏΠ°Π΄Π°ΡΠ΅Π»ΡΡ ΡΡΡΠ±Π²Π° Π΄Π° ΠΈΠΌΠ° Π΄ΠΎΡΡΡΠΏ Π΄ΠΎ ΠΊΠΎΠ½ΡΠΈΠ³ΡΡΠ°ΡΠΈΡΡΠ° Π½Π° Π²Ρ
ΠΎΠ΄ΡΡΠΈΡ ΠΎΠ±Π΅ΠΊΡ, Π½Π°ΠΏΡΠΈΠΌΠ΅Ρ Π² ΠΊΠ»ΡΡΡΠ΅ΡΠΈ Π½Π° Kubernetes Ρ ΠΌΠ½ΠΎΠΆΠ΅ΡΡΠ²ΠΎ ΠΊΠ»ΠΈΠ΅Π½ΡΠΈ, Π² ΠΊΠΎΠΈΡΠΎ Π½Π° ΠΏΠΎΡΡΠ΅Π±ΠΈΡΠ΅Π»ΠΈΡΠ΅ ΡΠ΅ Π΄Π°Π²Π° Π²ΡΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡ Π΄Π° ΡΡΠ·Π΄Π°Π²Π°Ρ ΠΎΠ±Π΅ΠΊΡΠΈ Π² ΡΡΡ
Π½ΠΎΡΠΎ ΠΏΡΠΎΡΡΡΠ°Π½ΡΡΠ²ΠΎ ΠΎΡ ΠΈΠΌΠ΅Π½Π°.
ΠΠ·ΡΠΎΡΠ½ΠΈΠΊ: opennet.ru