ಕುಬರ್ನೆಟ್ಸ್ ಪ್ರಾಜೆಕ್ಟ್ ಅಭಿವೃದ್ಧಿಪಡಿಸಿದ ಪ್ರವೇಶ-nginx ನಿಯಂತ್ರಕದಲ್ಲಿ, ಮೂರು ದೋಷಗಳನ್ನು ಗುರುತಿಸಲಾಗಿದೆ, ಇದು ಡೀಫಾಲ್ಟ್ ಕಾನ್ಫಿಗರೇಶನ್ನಲ್ಲಿ, ಇನ್ಗ್ರೆಸ್ ಆಬ್ಜೆಕ್ಟ್ನ ಸೆಟ್ಟಿಂಗ್ಗಳಿಗೆ ಪ್ರವೇಶವನ್ನು ಅನುಮತಿಸುತ್ತದೆ, ಇದು ಇತರ ವಿಷಯಗಳ ಜೊತೆಗೆ, ಕುಬರ್ನೆಟ್ಸ್ ಸರ್ವರ್ಗಳನ್ನು ಪ್ರವೇಶಿಸಲು ರುಜುವಾತುಗಳನ್ನು ಸಂಗ್ರಹಿಸುತ್ತದೆ, ವಿಶೇಷ ಪ್ರವೇಶವನ್ನು ಅನುಮತಿಸುತ್ತದೆ. ಕ್ಲಸ್ಟರ್ಗೆ. ಕುಬರ್ನೆಟ್ಸ್ ಪ್ರಾಜೆಕ್ಟ್ನಿಂದ ಇನ್ಗ್ರೆಸ್-ಎನ್ಜಿಎನ್ಎಕ್ಸ್ ನಿಯಂತ್ರಕದಲ್ಲಿ ಮಾತ್ರ ಸಮಸ್ಯೆಗಳು ಕಾಣಿಸಿಕೊಳ್ಳುತ್ತವೆ ಮತ್ತು ಎನ್ಜಿಎನ್ಎಕ್ಸ್ ಡೆವಲಪರ್ಗಳು ಅಭಿವೃದ್ಧಿಪಡಿಸಿದ ಕುಬರ್ನೆಟ್ಸ್-ಇಂಗ್ರೆಸ್ ಕಂಟ್ರೋಲರ್ ಮೇಲೆ ಪರಿಣಾಮ ಬೀರುವುದಿಲ್ಲ.
ಪ್ರವೇಶ ನಿಯಂತ್ರಕವು ಗೇಟ್ವೇ ಆಗಿ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತದೆ ಮತ್ತು ಕ್ಲಸ್ಟರ್ನೊಳಗಿನ ಸೇವೆಗಳಿಗೆ ಬಾಹ್ಯ ನೆಟ್ವರ್ಕ್ನಿಂದ ಪ್ರವೇಶವನ್ನು ಸಂಘಟಿಸಲು ಕುಬರ್ನೆಟ್ಸ್ನಲ್ಲಿ ಬಳಸಲಾಗುತ್ತದೆ. ಪ್ರವೇಶ-nginx ನಿಯಂತ್ರಕವು ಅತ್ಯಂತ ಜನಪ್ರಿಯವಾಗಿದೆ ಮತ್ತು ಕ್ಲಸ್ಟರ್ಗೆ ವಿನಂತಿಗಳನ್ನು ಫಾರ್ವರ್ಡ್ ಮಾಡಲು, ಬಾಹ್ಯ ವಿನಂತಿಗಳನ್ನು ಮತ್ತು ಲೋಡ್ ಬ್ಯಾಲೆನ್ಸ್ ಅನ್ನು ರವಾನಿಸಲು NGINX ಸರ್ವರ್ ಅನ್ನು ಬಳಸುತ್ತದೆ. ಕುಬರ್ನೆಟ್ಸ್ ಯೋಜನೆಯು AWS, GCE ಮತ್ತು nginx ಗಾಗಿ ಕೋರ್ ಪ್ರವೇಶ ನಿಯಂತ್ರಕಗಳನ್ನು ಒದಗಿಸುತ್ತದೆ, ಅದರಲ್ಲಿ ಎರಡನೆಯದು F5/NGINX ನಿರ್ವಹಿಸುವ ಕುಬರ್ನೆಟ್ಸ್-ಇಂಗ್ರೆಸ್ ನಿಯಂತ್ರಕಕ್ಕೆ ಯಾವುದೇ ರೀತಿಯಲ್ಲಿ ಸಂಬಂಧಿಸಿಲ್ಲ.
ದೋಷಗಳು CVE-2023-5043 ಮತ್ತು CVE-2023-5044 "nginx.ingress.kubernetes.io/configuration-snippet" ಮತ್ತು "nginx.ingress ಅನ್ನು ಬಳಸಿಕೊಂಡು ಪ್ರವೇಶ ನಿಯಂತ್ರಕ ಪ್ರಕ್ರಿಯೆಯ ಹಕ್ಕುಗಳೊಂದಿಗೆ ಸರ್ವರ್ನಲ್ಲಿ ನಿಮ್ಮ ಕೋಡ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ. ಅದನ್ನು ಬದಲಿಸಲು .kubernetes" ನಿಯತಾಂಕಗಳು .io/permanent-redirect." ಇತರ ವಿಷಯಗಳ ಜೊತೆಗೆ, ಪಡೆದ ಪ್ರವೇಶ ಹಕ್ಕುಗಳು ಕ್ಲಸ್ಟರ್ ಮ್ಯಾನೇಜ್ಮೆಂಟ್ ಮಟ್ಟದಲ್ಲಿ ದೃಢೀಕರಣಕ್ಕಾಗಿ ಬಳಸಿದ ಟೋಕನ್ ಅನ್ನು ಹಿಂಪಡೆಯಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ. ದುರ್ಬಲತೆ CVE-2022-4886 log_format ನಿರ್ದೇಶನವನ್ನು ಬಳಸಿಕೊಂಡು ಫೈಲ್ ಪಾಥ್ ಪರಿಶೀಲನೆಯನ್ನು ಬೈಪಾಸ್ ಮಾಡಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ.
ಮೊದಲ ಎರಡು ದೋಷಗಳು ಆವೃತ್ತಿ 1.9.0 ಕ್ಕಿಂತ ಮೊದಲು ಪ್ರವೇಶ-nginx ಬಿಡುಗಡೆಗಳಲ್ಲಿ ಮಾತ್ರ ಕಾಣಿಸಿಕೊಳ್ಳುತ್ತವೆ ಮತ್ತು ಕೊನೆಯದು - ಆವೃತ್ತಿ 1.8.0 ಮೊದಲು. ಆಕ್ರಮಣವನ್ನು ಕೈಗೊಳ್ಳಲು, ಆಕ್ರಮಣಕಾರರು ಪ್ರವೇಶ ವಸ್ತುವಿನ ಕಾನ್ಫಿಗರೇಶನ್ಗೆ ಪ್ರವೇಶವನ್ನು ಹೊಂದಿರಬೇಕು, ಉದಾಹರಣೆಗೆ, ಬಹು-ಬಾಡಿಗೆದಾರ ಕುಬರ್ನೆಟ್ಸ್ ಕ್ಲಸ್ಟರ್ಗಳಲ್ಲಿ, ಇದರಲ್ಲಿ ಬಳಕೆದಾರರಿಗೆ ತಮ್ಮ ನೇಮ್ಸ್ಪೇಸ್ನಲ್ಲಿ ವಸ್ತುಗಳನ್ನು ರಚಿಸುವ ಸಾಮರ್ಥ್ಯವನ್ನು ನೀಡಲಾಗುತ್ತದೆ.
ಮೂಲ: opennet.ru