कुबर्नेट्स क्लस्टरहरूलाई सम्झौता गर्न अनुमति दिने इनग्रेस-एन्जिन्क्समा कमजोरीहरू

Kubernetes परियोजना द्वारा विकसित ingress-nginx नियन्त्रकमा, तीनवटा कमजोरीहरू पहिचान गरिएको छ जसले, पूर्वनिर्धारित कन्फिगरेसनमा, Ingress वस्तुको सेटिङहरूमा पहुँच गर्न अनुमति दिन्छ, जसले अन्य चीजहरूको बीचमा, Kubernetes सर्भरहरू पहुँच गर्नका लागि प्रमाणहरू भण्डार गर्दछ, विशेषाधिकार प्राप्त पहुँचलाई अनुमति दिन्छ। क्लस्टरमा। समस्याहरू Kubernetes परियोजनाबाट ingress-nginx नियन्त्रकमा मात्र देखा पर्छन् र NGINX विकासकर्ताहरूले विकसित गरेको kubernetes-ingress नियन्त्रकलाई असर गर्दैन।

प्रवेश नियन्त्रकले गेटवेको रूपमा कार्य गर्दछ र बाह्य नेटवर्कबाट क्लस्टर भित्रका सेवाहरूमा पहुँच व्यवस्थित गर्न Kubernetes मा प्रयोग गरिन्छ। ingress-nginx नियन्त्रक सबैभन्दा लोकप्रिय हो र क्लस्टरमा अनुरोधहरू फर्वार्ड गर्न, बाह्य अनुरोधहरू र लोड ब्यालेन्स गर्न NGINX सर्भर प्रयोग गर्दछ। Kubernetes परियोजनाले AWS, GCE, र nginx को लागि कोर प्रवेश नियन्त्रकहरू प्रदान गर्दछ, जसको पछिल्लो F5/NGINX द्वारा राखिएको kubernetes-ingress नियन्त्रकसँग कुनै पनि हिसाबले सम्बन्धित छैन।

कमजोरीहरू CVE-2023-5043 र CVE-2023-5044 ले तपाइँलाई "nginx.ingress.kubernetes.io/configuration-snippet" र "nginx.ingress" प्रयोग गरेर प्रवेश नियन्त्रक प्रक्रियाको अधिकारको साथ सर्भरमा तपाइँको कोड कार्यान्वयन गर्न अनुमति दिन्छ। .io/permanent-redirect लाई प्रतिस्थापन गर्न .kubernetes" मापदण्डहरू। अन्य चीजहरू मध्ये, प्राप्त पहुँच अधिकारहरूले तपाईंलाई क्लस्टर व्यवस्थापन स्तरमा प्रमाणीकरणको लागि प्रयोग गरिएको टोकन पुन: प्राप्त गर्न अनुमति दिन्छ। Vulnerability CVE-2022-4886 ले तपाईंलाई log_format निर्देशन प्रयोग गरेर फाइल मार्ग प्रमाणीकरणलाई बाइपास गर्न अनुमति दिन्छ।

पहिलो दुई कमजोरीहरू संस्करण 1.9.0 अघिको ingress-nginx रिलीजहरूमा मात्र देखा पर्दछ, र अन्तिम - संस्करण 1.8.0 अघि। आक्रमण गर्नको लागि, आक्रमणकारीसँग प्रवेश वस्तुको कन्फिगरेसनमा पहुँच हुनुपर्दछ, उदाहरणका लागि, बहु-टेनेन्ट कुबर्नेट्स क्लस्टरहरूमा, जसमा प्रयोगकर्ताहरूलाई तिनीहरूको नेमस्पेसमा वस्तुहरू सिर्जना गर्ने क्षमता दिइन्छ।

स्रोत: opennet.ru