Yn 'e ingress-nginx-controller ûntwikkele troch it Kubernetes-projekt binne trije kwetsberens identifisearre dy't, yn' e standertkonfiguraasje, tagong tastean ta de ynstellings fan it Ingress-objekt, dy't ûnder oare bewiisbrieven opslaan foar tagong ta Kubernetes-tsjinners, wêrtroch befoarrjochte tagong mooglik is. nei it kluster. De problemen ferskine allinich yn 'e ingress-nginx-controller fan it Kubernetes-projekt en hawwe gjin ynfloed op de kubernetes-ingress-controller ûntwikkele troch de NGINX-ûntwikkelders.
De yngongskontrôler fungearret as in poarte en wurdt brûkt yn Kubernetes om tagong te organisearjen fan it eksterne netwurk nei tsjinsten binnen it kluster. De ingress-nginx-controller is de populêrste en brûkt de NGINX-tsjinner om fersiken nei it kluster troch te stjoeren, eksterne oanfragen te routeren en loadbalâns. It Kubernetes-projekt leveret kearnyngongskontrôles foar AWS, GCE en nginx, wêrfan de lêste op gjin inkelde manier relatearre is oan de kubernetes-yngongskontrôler ûnderhâlden troch F5/NGINX.
Kwetsberheden CVE-2023-5043 en CVE-2023-5044 kinne jo jo koade útfiere op 'e tsjinner mei de rjochten fan it proses fan ingress-controller, mei de "nginx.ingress.kubernetes.io/configuration-snippet" en "nginx.ingress" .kubernetes" parameters om it .io/permanent-redirect te ferfangen." De krigen tagongsrjochten kinne jo ûnder oaren in token ophelje dy't brûkt wurdt foar autentikaasje op it klusterbehearnivo. Kwetsberens CVE-2022-4886 lit jo bestânspaadferifikaasje omgean mei de log_format-rjochtline.
De earste twa kwetsberens ferskine allinich yn ingress-nginx-releases foar ferzje 1.9.0, en de lêste - foar ferzje 1.8.0. Om in oanfal út te fieren, moat in oanfaller tagong hawwe ta de konfiguraasje fan it yngongsobjekt, bygelyks yn Kubernetes-klusters mei meardere hierders, wêryn brûkers de mooglikheid krije om objekten yn har nammeromte te meitsjen.
Boarne: opennet.ru