哪些 NGINX Ingress 控制器受到 CVE-2022-4886、CVE-2023-5043 和 CVE-2023-5044 的影响?
2023 年 10 月 25 日,美国国家标准与技术研究院 (NIST) 报告了三个影响Kubernetes 的 NGINX Ingress Controller 的CVE:
- CVE-2022-4886 - 可以使用
log_format指令绕过 ingress-nginx 路径清理。 - CVE-2023-5043 - ingress-nginx 注释注入导致任意命令执行。
- CVE-2023-5044 – 代码注入通过 nginx.ingress.kubernetes.io/permanent-redirect 注释发生。
该报告及其后续出版物(如紧急: NGINX Ingress Controller for Kubernetes 中发现的新安全漏洞)引起了一些混乱(以及大量支持查询),涉及哪些 NGINX Ingress 控制器实际上受到了影响以及谁应该关注解决这些 CVE 描述的漏洞。
这种困惑是完全可以理解的——您知道基于 NGINX 的 Ingress 控制器不止一个吗? 首先,有两个完全不同的项目名为“NGINX Ingress Controller”:
- 社区项目– 在 GitHub 上的kubernetes/ingress-nginx仓库中找到,此 Ingress 控制器基于 NGINX 开源数据平面,但由 Kubernetes 社区开发和维护,文档托管在 GitHub 上。
- NGINX 项目– 可在 GitHub 上的nginxinc/kubernetes -ingress repo 中找到, NGINX Ingress Controller由 F5 NGINX 开发和维护,其文档可在 docs.nginx.com 上查看。 该官方 NGINX 项目有两个版本:
- 基于 NGINX 开源(免费和开源选项)
- 基于 NGINX Plus(商业选项)
还有其他基于 NGINX 的 Ingress 控制器,例如 Kong。 幸运的是,它们的名字很容易区分。 如果您不确定正在使用哪一个,请检查正在运行的 Ingress 控制器的容器映像,然后将 Docker 映像名称与上面列出的存储库进行比较。
上述漏洞(CVE-2022-4886、CVE-2023-5043 和 CVE-2023-5044)仅适用于社区项目( kubernetes/ingress-nginx )。 NGINX Ingress Controller 的 NGINX 项目( nginxinc/kubernetes-ingress ,包括开源和商业)不受这些 CVE 的影响。
有关 NGINX Ingress Controller 与 Ingress controller 项目之间的差异的更多信息,请阅读我们的博客《选择 Ingress Controller 的指南,第 4 部分》: NGINX Ingress 控制器选项。
“这篇博文可能引用了不再可用和/或不再支持的产品。 有关 F5 NGINX 产品和解决方案的最新信息,请探索我们的NGINX 产品系列。 NGINX 现在是 F5 的一部分。 所有之前的 NGINX.com 链接都将重定向至 F5.com 上的类似 NGINX 内容。”