ProHoster > Π‘Π»ΠΎΠ³ > balita sa internet > Mga kahuyangan sa ingress-nginx nga nagtugot sa mga cluster sa Kubernetes nga makompromiso

Mga kahuyangan sa ingress-nginx nga nagtugot sa mga cluster sa Kubernetes nga makompromiso

Sa ingress-nginx controller nga gihimo sa Kubernetes nga proyekto, tulo ka mga kahuyangan ang giila nga nagtugot, sa default configuration, pag-access sa mga setting sa Ingress object, nga, lakip sa ubang mga butang, nagtipig sa mga kredensyal alang sa pag-access sa mga server sa Kubernetes, nga nagtugot sa pribilihiyo nga pag-access ngadto sa cluster. Ang mga problema makita lamang sa ingress-nginx controller gikan sa Kubernetes project ug dili makaapekto sa kubernetes-ingress controller nga gihimo sa NGINX developers.

Ang ingress controller naglihok isip gateway ug gigamit sa Kubernetes aron maorganisar ang access gikan sa external network ngadto sa mga serbisyo sulod sa cluster. Ang ingress-nginx controller mao ang labing popular ug naggamit sa NGINX server sa pagpasa sa mga hangyo ngadto sa cluster, rota sa gawas nga mga hangyo, ug load balance. Ang Kubernetes nga proyekto naghatag ug kinauyokan nga ingress controllers para sa AWS, GCE, ug nginx, ang ulahi niini walay kalabotan sa kubernetes-ingress controller nga gimintinar sa F5/NGINX.

Mga kahuyangan sa ingress-nginx nga nagtugot sa mga cluster sa Kubernetes nga makompromiso

Ang mga vulnerabilities nga CVE-2023-5043 ug CVE-2023-5044 nagtugot kanimo sa pagpatuman sa imong code sa server nga adunay mga katungod sa proseso sa ingress controller, gamit ang "nginx.ingress.kubernetes.io/configuration-snippet" ug "nginx.ingress .kubernetes” para ilisan kini .io/permanent-redirect." Lakip sa ubang mga butang, ang nakuha nga mga katungod sa pag-access nagtugot kanimo nga makuha ang usa ka timaan nga gigamit alang sa pag-authenticate sa lebel sa pagdumala sa cluster. Vulnerability CVE-2022-4886 nagtugot kanimo sa paglaktaw sa file path verification gamit ang log_format nga direktiba.

Ang unang duha ka mga kahuyangan makita lamang sa ingress-nginx releases sa wala pa ang bersyon 1.9.0, ug ang katapusan nga usa - sa wala pa ang bersyon 1.8.0. Aron mahimo ang usa ka pag-atake, ang usa ka tig-atake kinahanglan adunay access sa pag-configure sa ingress nga butang, pananglitan, sa multi-tenant Kubernetes clusters, diin ang mga tiggamit gihatagan og abilidad sa paghimo og mga butang sa ilang namespace.

Source: opennet.ru

Idugang sa usa ka comment