紧急：Kubernetes 的 NGINX 入口控制器中发现新的安全漏洞

Kubernetes 的 NGINX Ingress 控制器中披露了三个未修补的高严重性安全漏洞，威胁行为者可能会利用这些漏洞从集群中窃取秘密凭证。

漏洞如下：

• CVE-2022-4886（CVSS 分数：8.8）- 可以绕过 Ingress-nginx 路径清理来获取 ingress-nginx 控制器的凭据

• CVE-2023-5043（CVSS 评分：7.6）- Ingress-nginx 注释注入导致任意命令执行

• CVE-2023-5044（CVSS 评分：7.6）– 通过 nginx.ingress.kubernetes.io/permanent-redirect 注释进行代码注入

Kubernetes 安全平台 ARMO 的首席技术官兼联合创始人 Ben Hirschberg 在谈到 CVE-2023-5043 和 CVE-2023 时表示：“这些漏洞使能够控制 Ingress 对象配置的攻击者能够从集群中窃取秘密凭证。”5044.

成功利用这些缺陷可能允许攻击者将任意代码注入入口控制器进程，并获得对敏感数据的未经授权的访问。

CVE-2022-4886 是由于“spec.rules[].http.paths[].path”字段中缺乏验证导致的，允许有权访问 Ingress 对象的攻击者从入口控制器中窃取 Kubernetes API 凭据。

“在 Ingress 对象中，操作员可以定义将哪个传入 HTTP 路径路由到哪个内部路径，”Hirschberg 指出。“易受攻击的应用程序无法正确检查内部路径的有效性，它可能指向包含服务帐户令牌的内部文件，该令牌是针对 API 服务器进行身份验证的客户端凭据。”

在没有修复的情况下，该软件的维护者已经发布了缓解措施，其中包括启用“strict-validate-path-type”选项并设置 –enable-annotation-validation 标志以防止创建具有无效字符的 Ingress 对象和执行额外的限制。

ARMO 表示，将 NGINX 更新到版本 1.19，同时添加“–enable-annotation-validation”命令行配置，可以解决 CVE-2023-5043 和 CVE-2023-5044。

赫希伯格说：“尽管它们指向不同的方向，但所有这些漏洞都指向相同的根本问题。”

“事实上，入口控制器在设计上可以访问 TLS 机密和 Kubernetes API，这使得它们成为具有高特权范围的工作负载。此外，由于它们通常是面向公共互联网的组件，因此它们非常容易受到通过它们进入集群的外部流量的影响。” 文章来源地址 https://www.toymoban.com/diary/system/520.html

到此这篇关于紧急：Kubernetes 的 NGINX 入口控制器中发现新的安全漏洞的文章就介绍到这了, 更多相关内容可以在右上角搜索或继续浏览下面的相关文章，希望大家以后多多支持 TOY 模板网！

原文地址:https://www.toymoban.com/diary/system/520.html

如若转载，请注明出处：如若内容造成侵权 / 违法违规 / 事实不符，请联系站长进行投诉反馈，一经查实，立即删除！