Kubernetes ව්යාපෘතිය විසින් සංවර්ධනය කරන ලද ingress-nginx පාලකයේ, පෙරනිමි වින්යාසයේදී, Ingress වස්තුවේ සැකසුම් වෙත ප්රවේශ වීමට ඉඩ සලසන අවදානම් තුනක් හඳුනාගෙන ඇත, වෙනත් දේ අතර, Kubernetes සේවාදායකයන්ට ප්රවේශ වීම සඳහා අක්තපත්ර ගබඩා කර, වරප්රසාද ලත් ප්රවේශයට ඉඩ සලසයි. පොකුරට. ගැටළු දිස්වන්නේ Kubernetes ව්යාපෘතියේ ingress-nginx පාලකයේ පමණක් වන අතර NGINX සංවර්ධකයින් විසින් වැඩි දියුණු කරන ලද kubernetes-ingress පාලකයට බලපාන්නේ නැත.
ඇතුල්වීමේ පාලකයක් ද්වාරයක් ලෙස ක්රියා කරන අතර කුබර්නෙට්ස් හි බාහිර ජාලයෙන් පොකුර තුළ ඇති සේවාවන් වෙත ප්රවේශය සැපයීමට භාවිතා කරයි. ඇතුල්වීමේ-nginx පාලකය වඩාත් ජනප්රිය වන අතර භාවිතා කරන්නේ සේවාදායකය පොකුරු යොමු කිරීම, බාහිර ඉල්ලීම් මාර්ගගත කිරීම සහ බර තුලනය සඳහා NGINX. කුබර්නෙට්ස් ව්යාපෘතිය AWS, GCE සහ nginx සඳහා මූලික ඇතුල්වීමේ පාලක සපයයි, එහි දෙවැන්න F5/NGINX විසින් නඩත්තු කරනු ලබන කුබර්නෙට්ස්-ඉන්ග්රෙස් පාලකයට සම්බන්ධ නොවේ.
CVE-2023-5043 සහ CVE-2023-5044 අවදානම් මඟින් ඔබේ කේතය ක්රියාත්මක කිරීමට ඔබට ඉඩ සලසයි සේවාදායකය ඇතුල්වීමේ පාලක ක්රියාවලියේ වරප්රසාද සහිතව, එහි ආදේශනය සඳහා "nginx.ingress.kubernetes.io/configuration-snippet" සහ "nginx.ingress.kubernetes.io/permanent-redirect" පරාමිතීන් භාවිතා කරයි. වෙනත් දේ අතර, ලබාගත් ප්රවේශ අයිතිවාසිකම් පොකුරු කළමනාකරණ ස්ථරයේ සත්යාපනය සඳහා භාවිතා කරන ටෝකනය උපුටා ගැනීමට ඉඩ සලසයි. අවදානම් CVE-2022-4886 log_format විධානය භාවිතයෙන් ගොනු මාර්ග පරීක්ෂාව මඟ හැරීමට ඉඩ දෙයි.
පළමු දුර්වලතා දෙක දිස්වන්නේ 1.9.0 අනුවාදයට පෙර ingress-nginx නිකුතු වල පමණක් වන අතර අවසාන එක - 1.8.0 අනුවාදයට පෙර. ප්රහාරයක් සිදු කිරීම සඳහා, ප්රහාරකයෙකුට ඇතුල් වීමේ වස්තුවේ වින්යාසය වෙත ප්රවේශය තිබිය යුතුය, උදාහරණයක් ලෙස, බහු-කුලී කුබර්නෙට්ස් පොකුරු තුළ, පරිශීලකයින්ට ඔවුන්ගේ නාම අවකාශයේ වස්තු නිර්මාණය කිරීමේ හැකියාව ලබා දී ඇත.
මූලාශ්රය: opennet.ru
