Quels contrôleurs d’entrée NGINX sont concernés par les failles CVE-2022-4886, CVE-2023-5043 et CVE-2023-5044 ?
Le 25 octobre 2023, trois CVE ont été signalés par le National Institute of Standards and Technology (NIST) affectant NGINX Ingress Controller pour Kubernetes :
- CVE-2022-4886 – La désinfection du chemin ingress-nginx peut être contournée avec la directive
log_format. - CVE-2023-5043 – L’injection d’annotation ingress-nginx provoque l’exécution de commandes arbitraires.
- CVE-2023-5044 – L'injection de code se produit via l'annotation nginx.ingress.kubernetes.io/permanent-redirect.
Ce rapport et les publications ultérieures (telles que Urgent : De nouvelles failles de sécurité découvertes dans NGINX Ingress Controller pour Kubernetes ) ont provoqué une certaine confusion (et un certain nombre de demandes d'assistance) concernant les contrôleurs NGINX Ingress réellement concernés et les personnes qui devraient se préoccuper de traiter les vulnérabilités décrites par ces CVE.
La confusion est tout à fait compréhensible – saviez-vous qu’il existe plusieurs contrôleurs Ingress basés sur NGINX ? Pour commencer, il existe deux projets complètement différents nommés « NGINX Ingress Controller » :
- Projet communautaire – Trouvé dans le dépôt kubernetes/ingress-nginx sur GitHub, ce contrôleur Ingress est basé sur le plan de données Open Source NGINX mais développé et maintenu par la communauté Kubernetes, avec des documents hébergés sur GitHub .
- Projet NGINX – Trouvé dans le dépôt nginxinc/kubernetes -ingress sur GitHub, NGINX Ingress Controller est développé et maintenu par F5 NGINX avec des documents sur docs.nginx.com . Ce projet officiel NGINX est disponible en deux éditions :
- Basé sur NGINX Open Source (option gratuite et open source)
- Basé sur NGINX Plus (option commerciale)
Il existe également d'autres contrôleurs Ingress basés sur NGINX, tels que Kong. Heureusement, leurs noms sont faciles à distinguer. Si vous n’êtes pas sûr de celui que vous utilisez, vérifiez l’image du conteneur du contrôleur Ingress en cours d’exécution, puis comparez le nom de l’image Docker avec les dépôts répertoriés ci-dessus.
Les vulnérabilités (CVE-2022-4886, CVE-2023-5043 et CVE-2023-5044) décrites ci-dessus s'appliquent uniquement au projet communautaire ( kubernetes/ingress-nginx ). Les projets NGINX pour NGINX Ingress Controller ( nginxinc/kubernetes-ingress , à la fois open source et commerciaux) ne sont pas concernés par ces CVE.
Pour plus d'informations sur les différences entre les projets NGINX Ingress Controller et Ingress Controller, lisez notre blog Guide pour choisir un contrôleur Ingress, partie 4 : Options du contrôleur d’entrée NGINX .
« Cet article de blog peut faire référence à des produits qui ne sont plus disponibles et/ou qui ne sont plus pris en charge. Pour obtenir les informations les plus récentes sur les produits et solutions F5 NGINX disponibles, explorez notre famille de produits NGINX . NGINX fait désormais partie de F5. Tous les liens NGINX.com précédents redirigeront vers un contenu NGINX similaire sur F5.com."