BLOG | NGINX

Quels contrôleurs d’entrée NGINX sont concernés par les failles CVE-2022-4886, CVE-2023-5043 et CVE-2023-5044 ?

NGINX-Partie-de-F5-horiz-black-type-RGB
Vignette d'Ilya Krutov
Ilia Kroutov
Publié le 03 novembre 2023

Le 25 octobre 2023, trois CVE ont été signalés par le National Institute of Standards and Technology (NIST) affectant NGINX Ingress Controller pour Kubernetes :

  • CVE-2022-4886 – La désinfection du chemin ingress-nginx peut être contournée avec la directive log_format .
  • CVE-2023-5043 – L’injection d’annotation ingress-nginx provoque l’exécution de commandes arbitraires.
  • CVE-2023-5044 – L'injection de code se produit via l'annotation nginx.ingress.kubernetes.io/permanent-redirect.

Ce rapport et les publications ultérieures (telles que Urgent : De nouvelles failles de sécurité découvertes dans NGINX Ingress Controller pour Kubernetes ) ont provoqué une certaine confusion (et un certain nombre de demandes d'assistance) concernant les contrôleurs NGINX Ingress réellement concernés et les personnes qui devraient se préoccuper de traiter les vulnérabilités décrites par ces CVE.

La confusion est tout à fait compréhensible – saviez-vous qu’il existe plusieurs contrôleurs Ingress basés sur NGINX ? Pour commencer, il existe deux projets complètement différents nommés « NGINX Ingress Controller » :

Il existe également d'autres contrôleurs Ingress basés sur NGINX, tels que Kong. Heureusement, leurs noms sont faciles à distinguer. Si vous n’êtes pas sûr de celui que vous utilisez, vérifiez l’image du conteneur du contrôleur Ingress en cours d’exécution, puis comparez le nom de l’image Docker avec les dépôts répertoriés ci-dessus.

Les vulnérabilités (CVE-2022-4886, CVE-2023-5043 et CVE-2023-5044) décrites ci-dessus s'appliquent uniquement au projet communautaire ( kubernetes/ingress-nginx ). Les projets NGINX pour NGINX Ingress Controller ( nginxinc/kubernetes-ingress , à la fois open source et commerciaux) ne sont pas concernés par ces CVE.

Pour plus d'informations sur les différences entre les projets NGINX Ingress Controller et Ingress Controller, lisez notre blog Guide pour choisir un contrôleur Ingress, partie 4 : Options du contrôleur d’entrée NGINX .


« Cet article de blog peut faire référence à des produits qui ne sont plus disponibles et/ou qui ne sont plus pris en charge. Pour obtenir les informations les plus récentes sur les produits et solutions F5 NGINX disponibles, explorez notre famille de produits NGINX . NGINX fait désormais partie de F5. Tous les liens NGINX.com précédents redirigeront vers un contenu NGINX similaire sur F5.com."