Acil: Kubernetes için NGINX Giriş Denetleyicisinde Yeni Güvenlik Açıkları Keşfedildi

Güvenlik açıkları aşağıdaki gibidir -

Kubernetes güvenlik platformu ARMO'nun CTO'su ve kurucu ortağı Ben Hirschberg, CVE-2023-5043 ve CVE-2023-5044 hakkında "Bu güvenlik açıkları, Giriş nesnesinin yapılandırmasını kontrol edebilen bir saldırganın kümeden gizli kimlik bilgilerini çalmasını sağlıyor" dedi.

Kusurların başarılı bir şekilde kötüye kullanılması, bir saldırganın giriş denetleyicisi işlemine rasgele kod eklemesine ve hassas verilere yetkisiz erişim elde etmesine izin verebilir.

"spec.rules[].http.paths[].path" alanındaki doğrulama eksikliğinin bir sonucu olan CVE-2022-4886, Giriş nesnesine erişimi olan bir saldırganın giriş denetleyicisinden Kubernetes API kimlik bilgilerini sifonlamasına izin verir.

Hirschberg, "Ingress nesnesinde, operatör hangi gelen HTTP yolunun hangi iç yola yönlendirileceğini tanımlayabilir" dedi. "Güvenlik açığı bulunan uygulama, iç yolun geçerliliğini düzgün bir şekilde denetlemez ve API sunucusunda kimlik doğrulaması için istemci kimlik bilgisi olan hizmet hesabı belirtecini içeren dahili dosyaya işaret edebilir."

Düzeltmelerin yokluğunda, yazılımın bakımcıları, geçersiz karakterlere sahip Giriş nesnelerinin oluşturulmasını önlemek ve ek kısıtlamalar uygulamak için "strict-validate-path-type" seçeneğinin etkinleştirilmesini ve --enable-annotation-validation bayrağının ayarlanmasını içeren azaltıcı etkenler yayınladı.

ARMO, NGINX'i 1.19 sürümüne güncellemenin yanı sıra "--enable-annotation-validation" komut satırı yapılandırmasını eklemenin CVE-2023-5043 ve CVE-2023-5044'ü çözdüğünü söyledi.

Hirschberg, "Farklı yönlere işaret etseler de, tüm bu güvenlik açıkları aynı temel soruna işaret ediyor" dedi.

"Giriş denetleyicilerinin tasarım gereği TLS gizli dizilerine ve Kubernetes API'sine erişimi olması, onları yüksek ayrıcalık kapsamına sahip iş yükleri haline getirir. Buna ek olarak, genellikle halka açık İnternet'e yönelik bileşenler olduklarından, kümeye kendileri aracılığıyla giren dış trafiğe karşı çok savunmasızdırlar."

0 Yorum

Henüz Yorum Yapılmamıştır.! İlk Yorum Yapan Siz Olun

Yorum Gönder

Lütfen tüm alanları doldurunuz!

GamerMekanı

E-Bülten Aboneliği