புரோஹோஸ்டர் > Блог > இணைய செய்தி > குபெர்னெட்ஸ் கிளஸ்டர்களை சமரசம் செய்ய அனுமதிக்கும் இன்க்ரெஸ்-என்ஜின்எக்ஸில் உள்ள பாதிப்புகள்

குபெர்னெட்ஸ் கிளஸ்டர்களை சமரசம் செய்ய அனுமதிக்கும் இன்க்ரெஸ்-என்ஜின்எக்ஸில் உள்ள பாதிப்புகள்

Kubernetes திட்டத்தால் உருவாக்கப்பட்ட ingress-nginx கட்டுப்படுத்தியில், மூன்று பாதிப்புகள் அடையாளம் காணப்பட்டுள்ளன, அவை இயல்புநிலை உள்ளமைவில், Ingress ஆப்ஜெக்ட்டின் அமைப்புகளை அணுக அனுமதிக்கின்றன, மற்றவற்றுடன், Kubernetes சேவையகங்களை அணுகுவதற்கான நற்சான்றிதழ்களைச் சேமித்து, சலுகை பெற்ற அணுகலை அனுமதிக்கிறது. கிளஸ்டருக்கு. குபெர்னெட்ஸ் திட்டத்தில் உள்ள இன்க்ரெஸ்-என்ஜிஎக்ஸ் கன்ட்ரோலரில் மட்டுமே சிக்கல்கள் தோன்றும் மற்றும் என்ஜிஎன்எக்ஸ் டெவலப்பர்களால் உருவாக்கப்பட்ட குபெர்னெட்ஸ்-இன்க்ரஸ் கன்ட்ரோலரை பாதிக்காது.

உட்செலுத்துதல் கட்டுப்படுத்தி ஒரு நுழைவாயிலாக செயல்படுகிறது மற்றும் வெளிப்புற நெட்வொர்க்கிலிருந்து கிளஸ்டருக்குள் இருக்கும் சேவைகளுக்கான அணுகலை ஒழுங்கமைக்க Kubernetes இல் பயன்படுத்தப்படுகிறது. இன்க்ரெஸ்-என்ஜிஎன்எக்ஸ் கன்ட்ரோலர் மிகவும் பிரபலமானது மற்றும் கோரிக்கைகளை கிளஸ்டருக்கு அனுப்ப, வெளிப்புற கோரிக்கைகளை அனுப்ப மற்றும் சுமை சமநிலையை அனுப்ப NGINX சேவையகத்தைப் பயன்படுத்துகிறது. குபெர்னெட்ஸ் திட்டம் AWS, GCE மற்றும் nginx ஆகியவற்றிற்கான முக்கிய நுழைவுக் கட்டுப்பாட்டாளர்களை வழங்குகிறது, இதில் பிந்தையது F5/NGINX ஆல் பராமரிக்கப்படும் kubernetes-ingress controller உடன் எந்த வகையிலும் தொடர்புடையது அல்ல.

குபெர்னெட்ஸ் கிளஸ்டர்களை சமரசம் செய்ய அனுமதிக்கும் இன்க்ரெஸ்-என்ஜின்எக்ஸில் உள்ள பாதிப்புகள்

பாதிப்புகள் CVE-2023-5043 மற்றும் CVE-2023-5044 ஆகியவை "nginx.ingress.kubernetes.io/configuration-snippet" மற்றும் "nginx.ingress ஐப் பயன்படுத்தி, உட்செலுத்துதல் கட்டுப்படுத்தி செயல்முறையின் உரிமைகளுடன் சேவையகத்தில் உங்கள் குறியீட்டை இயக்க அனுமதிக்கின்றன. அதை மாற்ற .kubernetes" அளவுருக்கள் .io/permanent-redirect." மற்றவற்றுடன், பெறப்பட்ட அணுகல் உரிமைகள், கிளஸ்டர் மேலாண்மை மட்டத்தில் அங்கீகாரத்திற்காகப் பயன்படுத்தப்படும் டோக்கனை மீட்டெடுக்க உங்களை அனுமதிக்கின்றன. பாதிப்பு CVE-2022-4886 ஆனது log_format கட்டளையைப் பயன்படுத்தி கோப்பு பாதை சரிபார்ப்பைக் கடந்து செல்ல உங்களை அனுமதிக்கிறது.

முதல் இரண்டு பாதிப்புகள் பதிப்பு 1.9.0 க்கு முன் உள்ள ingress-nginx வெளியீடுகளில் மட்டுமே தோன்றும், கடைசியாக - பதிப்பு 1.8.0 க்கு முன். தாக்குதலை நடத்த, தாக்குபவர் நுழைவுப் பொருளின் உள்ளமைவை அணுக வேண்டும், எடுத்துக்காட்டாக, பல குத்தகைதாரர் குபெர்னெட்ஸ் கிளஸ்டர்களில், பயனர்கள் தங்கள் பெயர்வெளியில் பொருட்களை உருவாக்கும் திறனைக் கொடுக்கிறார்கள்.

ஆதாரம்: opennet.ru

கருத்தைச் சேர்