导语
大家好,今天我要向大家紧急报告一则消息:我们在NGINX Ingress Controller for Kubernetes中发现了三个新的安全漏洞!这些漏洞可能被黑客利用,从集群中窃取机密凭据。在本文中,我们将详细介绍这些漏洞的细节,并提供解决方案。让我们一起来看看吧!
漏洞详情
最新披露的三个高危安全漏洞分别为CVE-2023-5043、CVE-2023-5044和CVE-2022-4886。这些漏洞使得攻击者可以通过控制Ingress对象的配置来窃取集群中的机密凭据。成功利用这些漏洞可能允许对入口控制器进程注入任意代码,并未经授权地访问敏感数据。
根据Kubernetes安全平台ARMO的CTO兼联合创始人Ben Hirschberg的说法,这些漏洞使得攻击者可以通过控制Ingress对象的配置来窃取集群中的机密凭据。他表示:“这些漏洞使得攻击者可以通过控制Ingress对象的配置来窃取集群中的机密凭据。” 对于CVE-2022-4886,由于“spec.rules[].http.paths[].path”字段中缺乏验证,攻击者可以通过访问Ingress对象来窃取Kubernetes API凭据。Hirschberg指出:“在Ingress对象中,操作员可以定义将哪个传入的HTTP路径路由到哪个内部路径。但是,受漏洞影响的应用程序未正确检查内部路径的有效性,它可以指向包含用于对API服务器进行身份验证的客户端凭据的内部文件。”
为了解决这些问题,软件维护人员已发布了一些缓解措施,包括启用“strict-validate-path-type”选项和设置–enable-annotation-validation标志,以防止创建带有无效字符和强制执行额外限制的Ingress对象。ARMO表示,将NGINX更新到1.19版本,并添加“–enable-annotation-validation”命令行配置,可以解决CVE-2023-5043和CVE-2023-5044。
“尽管这些漏洞指向不同的方向,但它们都指向同一个根本问题,” Hirschberg说道。“Ingress控制器通过设计具有访问TLS凭证和Kubernetes API的高权限范围,而且由于它们通常是公共互联网面向的组件,所以它们对通过它们进入集群的外部流量非常容易受到攻击。”
解决方案
为了确保您的集群安全,我们强烈建议您立即采取以下措施:
更新NGINX到最新版本1.19。
启用“–enable-annotation-validation”命令行配置。
启用“strict-validate-path-type”选项。
定期检查并更新您的集群的安全配置。
通过采取这些措施,您将能够保护您的集群免受这些安全漏洞的威胁,并提高您的系统安全性。
总结
在NGINX Ingress Controller for Kubernetes中发现的这些新的安全漏洞给我们敲响了警钟。我们必须意识到这些漏洞可能导致机密凭据的泄露,并采取相应的措施来保护我们的集群安全。通过更新NGINX到最新版本,并启用相关配置选项,我们可以有效地缓解这些漏洞的风险。让我们共同努力,确保我们的系统安全无虞!
