The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Уязвимости в ingress-nginx, позволяющие скомпрометировать кластеры Kubernetes"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимости в ingress-nginx, позволяющие скомпрометировать кластеры Kubernetes"  +/
Сообщение от opennews (?), 06-Ноя-23, 09:26 
В развиваемом проектом Kubernetes ingress-контроллере ingress-nginx выявлены три уязвимости, позволяющие в конфигурации по умолчанию получить доступ к настройкам объекта Ingress, в которых, среди прочего, хранятся и учётные данные для обращения к серверам Kubernetes, позволяющие получить привилегированный доступ к кластеру. Проблемы проявляются только в ingress-контроллере ingress-nginx от проекта Kubernetes и не затрагивает  контроллер kubernetes-ingress, развиваемый разработчиками NGINX...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=60055

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..."  +/
Сообщение от Tron is Whistling (?), 06-Ноя-23, 09:26 
Красиво. Ждём новых утечек из облачков. Особенно там, где любят nginx.
Ответить | Правка | Наверх | Cообщить модератору

3. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..."  +1 +/
Сообщение от Аноним (3), 06-Ноя-23, 09:37 
Облака хмурые ожидаются обильные дожди из данных.
Ответить | Правка | Наверх | Cообщить модератору

14. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..."  +2 +/
Сообщение от Аноним (14), 06-Ноя-23, 13:18 
Темна вода во облацех.
Ответить | Правка | Наверх | Cообщить модератору

4. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..."  –2 +/
Сообщение от Самый умный из вас (?), 06-Ноя-23, 09:50 
Но сначала ждём ingress-angie
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

6. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..."  +1 +/
Сообщение от Аноним (14), 06-Ноя-23, 11:51 
Есть ингресс "Контур". Это более посконно, чем какой-то там angie.
Ответить | Правка | Наверх | Cообщить модератору

5. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..."  +3 +/
Сообщение от Аноним (14), 06-Ноя-23, 11:50 
> Красиво. Ждём новых утечек из облачков. Особенно там, где любят nginx.

Это где такие?
Держать nginx с modsecurity и скриптами на lua, которые позволяют не очень сильно лажать при обновлении списка апстримов - это дофига дорого и накладно. А бизнес деньги считать умеет.
Поэтому практически все облачные кубики нынче идут с кастомным ингресс-контроллером от вендора, обычно на базе envoy.

Не говоря уже о том, что про "дыру" с возможностью подставлять куски конфига в проекте говорят уже года два. Но и не убирают ее полностью, потому что гибкости настроек средствами ingress часто не хватает, а пытаться реализовать поверх nginx gateway api - психов нет.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

7. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..."  +1 +/
Сообщение от Аноним (14), 06-Ноя-23, 11:55 
> Не говоря уже о том, что про "дыру" с возможностью подставлять куски конфига в проекте говорят уже года два.

А, понятно. По ссылке - типовой наброс от F5 (разработчика конкурирующего ингресса), которые рвут баян, пытаясь поднять себе прибыли.

Ответить | Правка | Наверх | Cообщить модератору

8. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..."  –5 +/
Сообщение от похнапоха. (?), 06-Ноя-23, 12:12 
Ну хочешь пользоваться дырявой версией, только чтоб не кормить F5 - пользуйся дырявой, твои юзеры скажут тебе спасибо, что не накормил корпорастов.
Ответить | Правка | Наверх | Cообщить модератору

9. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..."  –3 +/
Сообщение от пох. (?), 06-Ноя-23, 12:35 
> Держать nginx с modsecurity и скриптами на lua

да откуда такой уродец возьмется? И как он работать будет, это ж п-ц тормоз. Сказали вам - ingres-nginx, вот его и ставим побыстрому, девляпляпляпляпляп! cubectl apply прям с raw.гитхап.помойку.цоп (все бандерлоги так делают - это инструкция непосредственно k8s)

Нет там никакого модсекьюрити и быть не может - кто его должен настраивать, отлаживать, следить за актуальностью правил, ты что-ли? А ну веслай быстрей!

> Не говоря уже о том, что про "дыру" с возможностью подставлять куски конфига в проекте говорят
> уже года два.

но вставлять куски конфига надо, поэтому дыра всегда будет с нами.

> Поэтому практически все облачные кубики нынче идут с кастомным ингресс-контроллером от вендора

А у вендора не такие же веслатели, а какие-то другие, ога.

Ну хорошо если им случайно первым попался envoy...хотя стоп...тоже нет.

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

13. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..."  +1 +/
Сообщение от Аноним (14), 06-Ноя-23, 13:16 
> да откуда такой уродец возьмется? И как он работать будет, это ж п-ц тормоз. Сказали вам - ingres-nginx

Иногда лучше жевать, чем говорить.
ingress-nginx - и есть тот уродец с modsecurity и lua.

Кстати, о том, что там вообще есть modsecurity, счастливые пользователи случайно узнали пару лет назад, когда оно начало дико течь по памяти из-за бага в этом модуле.

Ответить | Правка | Наверх | Cообщить модератору

15. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..."  +/
Сообщение от пох. (?), 06-Ноя-23, 13:53 
оно не включено ж пока сам не попросишь.

> Кстати, о том, что там вообще есть modsecurity, счастливые пользователи случайно узнали пару лет
> назад, когда оно начало дико течь по памяти из-за бага в этом модуле.

выключеном?!

Ответить | Правка | Наверх | Cообщить модератору

22. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..."  +/
Сообщение от пох. (?), 06-Ноя-23, 17:19 
сподвигся все ж глянуть исходники - не, enable-modsecurity надо вручную включить догадаться.
Иначе не только не включается, а даже и не загружается. Хз как оно при этом могло что-то портить.

А вот lua таки да.

Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

17. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..."  +/
Сообщение от rmh (?), 06-Ноя-23, 14:06 
>Держать nginx с modsecurity и скриптами на lua, которые позволяют не очень сильно лажать при обновлении списка апстримов - это дофига дорого и накладно

Это Apisix называется. Хорошая штука.

Кастомный ингресс-контроллер от вендора обычно мало чего умеет.

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

28. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..."  +/
Сообщение от Аноним (28), 08-Ноя-23, 07:26 
Да и Kong-gateway - это тот же nginx обмазанный lua-скриптами
Ответить | Правка | Наверх | Cообщить модератору

2. Скрыто модератором  –4 +/
Сообщение от Аноним (3), 06-Ноя-23, 09:34 
Ответить | Правка | Наверх | Cообщить модератору

10. Скрыто модератором  +/
Сообщение от пох. (?), 06-Ноя-23, 12:38 
Ответить | Правка | Наверх | Cообщить модератору

11. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..."  +5 +/
Сообщение от Аноним (11), 06-Ноя-23, 12:49 
самая важная фраза написана в конце:
"Для осуществления атаки злоумышленник должен иметь доступ к конфигурации ingress-объекта"
Ответить | Правка | Наверх | Cообщить модератору

16. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..."  +1 +/
Сообщение от пох. (?), 06-Ноя-23, 13:57 
> самая важная фраза написана в конце:
> "Для осуществления атаки злоумышленник должен иметь доступ к конфигурации ingress-объекта"

позвал аутсорсера пилить какой-нибудь очень нужный и полезный вебчяяятик, дал ему отдельное пространство, поскольку оно никак вообще не связано с основным сервисом, и забыл про него. А оно - вот... тем более что аутсорсер тоже модный парниша и все свои наработки держит на гитхапе и гитляпе, прям с токенами и паролями от всей инфраструктуры, инфраструктурка жеж in cococode, my ass!

А независимый кластер каждому васяну с чятиком не только лишь все могут себе позволить.

Ответить | Правка | Наверх | Cообщить модератору

18. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..."  +3 +/
Сообщение от A7exius (?), 06-Ноя-23, 14:19 
если такой бардак в организации и лайфциклах учеток\проектов, то тут ничего не спасёт, рано или поздно придется огребать
Ответить | Правка | Наверх | Cообщить модератору

19. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..."  –1 +/
Сообщение от пох. (?), 06-Ноя-23, 14:55 
ну у тебя-то в подвальчике конечно нет бардака.

Ответить | Правка | Наверх | Cообщить модератору

20. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..."  +/
Сообщение от Sw00p aka Jerom (?), 06-Ноя-23, 15:26 
ничего, девляпс и прод на разных куберах поставят :)
Ответить | Правка | Наверх | Cообщить модератору

21. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..."  +/
Сообщение от пох. (?), 06-Ноя-23, 16:03 
unreal жеж - cocococontinuous desintegration жеж (или как там ее?)

разные куски прода в разных кластерах - только потому что изоляция, которая вообще говоря предусмотрена и именно для этого и неймспейсы - как обычно не изоляция? Ну оооок, давайте не будем им мешать и просто понаблюдаем за ними. Только гуаноупорный плащик поправьте и капюшончик пониже надвиньте, а то сейчас ваше недоверие лопнет и забрызгает вот... меня и товарищей прессу.

Ответить | Правка | Наверх | Cообщить модератору

25. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..."  +/
Сообщение от Легивон (?), 07-Ноя-23, 11:46 
>А независимый кластер каждому васяну с чятиком не только лишь все могут себе позволить.

Это верно... для обычных легаси инфраструктур, которые так любят специалисты в свитере с оленем с сальными волосами и кусками вчеравшей недоеденой еды в слипшейся бороде (впрочем возможно это и не еда). И их можно понять, ведь это и правда трудно пройтись руками/мышковазюком и безошибочно воссоздать штук 200 сущностей во всевозможных консольках и "оснастках".
В девопс же мире все просто. Надо кластер - взял готовые тераформ шаблоны, подставил хостнеймы и катанул. И поверх этого еще катанул ансиблом kubespray, так же практически без изменений от базового шаблона.
Я именно так и катаю, только у меня шаблоны тераформа генерируются из ансибла, а помимо kubespray ансиблом качу еще базовые k8s сервисы: ingress, prometheus, vector. У меня 4 проекта и 10 кластеров (и это еще мало, просто на все не хватает времени, вот например собираюсь для безопасности вынести все задачи сборки образов в отдельный кластер с kata containers, чтобы не пересекаться с инфраструктурой на которой люди могут выполнять код). ЧЯДН?

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

27. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..."  +1 +/
Сообщение от Аноним (27), 07-Ноя-23, 20:08 
> ЧЯДН?

Пользуешься ансиблом и тратишь время на то, что называется non-differentiating work. Создание k8s кластера — это пара вызовов API, скучно до зевоты. Городить ради этого какую-то кодогенерацию на, прямо скажем, весьма убогом инструментарии типа ансибла — занятие для операторов высоконагруженных локалхостов. То, что тебе этим в проде приходится заниматься весьма печально.

Ответить | Правка | Наверх | Cообщить модератору

30. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..."  +/
Сообщение от пох. (?), 08-Ноя-23, 20:36 
> То, что тебе этим в проде приходится заниматься весьма печально.

"чатыре прожекта" (и куча ансибельного мусора присыпанного тераформом) это такой себе, знаешь, "прод".

Ответить | Правка | Наверх | Cообщить модератору

33. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..."  +/
Сообщение от Легивон (?), 09-Ноя-23, 17:18 
А что хороший прод по твоему? Инструкция как правильно делать мышковозюк из 500 шагов?
Ответить | Правка | Наверх | Cообщить модератору

35. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..."  +/
Сообщение от Легивон (?), 09-Ноя-23, 17:30 
Ты, дядя, давай посуществу и без общих фраз.
Чем мой запуск ансибла + тераформ принципиально отличается от запуска eks cli (Или че ты там запускаешь. Давно этой оверпрайснутой помоечкой не пользовался. Помню года 4 назад, голый БЕЗ НОД eks кластер стоил 200$ в месяц. А в хецнере за такие деньги можно было взять 3 машины уровня 8 ядер / 16 гигов). Это считай такое же дергание 2 "апишек". Что не так то? АПИшка не проприетарная и не вендорлокнутая? Плохо что я не плачу твоему господину Безосу?
Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору

29. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..."  +/
Сообщение от пох. (?), 08-Ноя-23, 20:34 
> В девопс же мире все просто. Надо кластер - взял готовые тераформ шаблоны, подставил хостнеймы и
> катанул.

а лишние ресурсы для всего б-ского цирка - при этом возьмутся из возд... облачка.

Ну ок. Только учти что когда-то кто-то может и проверить счета от aws.

Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

34. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..."  +/
Сообщение от Легивон (?), 09-Ноя-23, 17:21 
Если не использовать aws и/или православные духоскрепные "селектелы", а вместо них использовать собственное железо - то ресурсы не дорогие.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру