Kubernetes долбоору тарабынан иштелип чыккан ingress-nginx контроллерунда үч кемчилик аныкталган, алар демейки конфигурацияда Ingress объектинин жөндөөлөрүнө кирүүгө мүмкүндүк берет, алар башка нерселер менен катар Kubernetes серверлерине кирүү үчүн эсептик дайындарды сактап, артыкчылыктуу мүмкүнчүлүктөрдү берет. кластерге. Көйгөйлөр Kubernetes долбоорунун ingress-nginx контроллерунда гана пайда болот жана NGINX иштеп чыгуучулары тарабынан иштелип чыккан kubernetes-ingress контроллерине таасир этпейт.
Кирүү контроллери шлюз катары иштейт жана сырткы тармактан кластердин ичиндеги кызматтарга кирүүнү уюштуруу үчүн Kubernetesте колдонулат. Ingress-nginx контроллери эң популярдуу жана NGINX серверин кластерге суроо-талаптарды жөнөтүү, тышкы суроо-талаптарды багыттоо жана жүктөө балансын колдонуу үчүн колдонот. Kubernetes долбоору AWS, GCE жана nginx үчүн негизги кириш контроллерлорун камсыз кылат, алардын акыркысы F5/NGINX тарабынан колдоого алынган кубернеттердин кириш контроллерине эч кандай тиешеси жок.
CVE-2023-5043 жана CVE-2023-5044 алсыздыктары "nginx.ingress.kubernetes.io/configuration-snippet" жана "nginx.ingress" аркылуу серверде кодуңузду киргизүү контроллер процессинин укуктары менен аткарууга мүмкүндүк берет. .kubernetes” параметрлери аны алмаштыруу үчүн .io/permanent-redirect." Башка нерселер менен катар, алынган кирүү укуктары кластерди башкаруу деңгээлинде аутентификация үчүн колдонулган белгини алууга мүмкүндүк берет. CVE-2022-4886 аялуулугу log_format директивасын колдонуу менен файл жолун текшерүүнү айланып өтүүгө мүмкүндүк берет.
Биринчи эки алсыздык 1.9.0 версиясына чейинки ingress-nginx релизлеринде, ал эми акыркысы - 1.8.0 версиясына чейин пайда болот. Чабуул жасоо үчүн чабуулчу кирүү объектинин конфигурациясына кирүү мүмкүнчүлүгүнө ээ болушу керек, мисалы, колдонуучуларга өз аттар мейкиндигинде объекттерди түзүү мүмкүнчүлүгү берилген көп ижарачы Kubernetes кластерлеринде.
Source: opennet.ru