En la regilo ingress-nginx disvolvita de la projekto Kubernetes, estis identigitaj tri vundeblecoj, kiuj ebligas, en la defaŭlta agordo, aliron al la agordoj de la objekto Ingress, kiu, interalie, stokas akreditaĵojn por aliri al Kubernetes-serviloj, permesante privilegian aliron. al la areto. La problemoj nur aperas en la enir-nginx-regilo de la Kubernetes-projekto kaj ne influas la kubernetes-ingress-regilon evoluigitan de la NGINX-programistoj.
La enirregilo funkcias kiel enirejo kaj estas uzata en Kubernetes por organizi aliron de la ekstera reto al servoj ene de la areto. La regilo ingress-nginx estas la plej populara kaj uzas la NGINX-servilon por plusendi petojn al la areto, direkti eksterajn petojn kaj ŝarĝekvilibron. La Kubernetes-projekto provizas kernajn enirajn regilojn por AWS, GCE kaj nginx, ĉi-lasta el kiuj neniel rilatas al la kubernetes-enira regilo konservita de F5/NGINX.
Vundeblecoj CVE-2023-5043 kaj CVE-2023-5044 permesas al vi ekzekuti vian kodon en la servilo kun la rajtoj de la enirregila procezo, uzante la "nginx.ingress.kubernetes.io/configuration-snippet" kaj "nginx.ingress". .kubernetes” parametroj por anstataŭigi ĝin .io/permanent-redirect." Interalie, la akiritaj alirrajtoj ebligas al vi retrovi ĵetonon uzatan por aŭtentikigo ĉe la nivelo de administrado de cluster. Vundebleco CVE-2022-4886 ebligas al vi preterpasi dosiervojon per la direktivo log_format.
La unuaj du vundeblecoj aperas nur en ingress-nginx-eldonoj antaŭ versio 1.9.0, kaj la lasta - antaŭ versio 1.8.0. Por fari atakon, atakanto devas havi aliron al la agordo de la enirobjekto, ekzemple, en plur-luantaj Kubernetes-grupoj, en kiuj uzantoj ricevas la kapablon krei objektojn en sia nomspaco.
fonto: opennet.ru