CVE-2022-4886、CVE-2023-5043、CVE-2023-5044 の影響を受ける NGINX Ingress コントローラーはどれですか?
2023 年 10 月 25 日に、国立標準技術研究所 (NIST) によって、Kubernetes 用の NGINX Ingress Controller に影響を与える 3 つの CVE が報告されました。
- CVE-2022-4886 – ingress-nginx パスのサニタイズは
log_formatディレクティブでバイパスされる可能性があります。 - CVE-2023-5043 – ingress-nginx アノテーションの挿入により、任意のコマンドが実行される。
- CVE-2023-5044 – nginx.ingress.kubernetes.io/permanent-redirect アノテーションを介してコードインジェクションが発生します。
その報告書とその後の出版物( Urgent: NGINX Ingress Controller for Kubernetes で新たなセキュリティ上の欠陥が発見されたことにより、実際に影響を受ける NGINX Ingress コントローラーはどれなのか、これらの CVE で説明されている脆弱性に対処する必要があるのは誰かに関して、混乱 (および多数のサポート問い合わせ) が生じました。
混乱するのは当然です。NGINX に基づく Ingress コントローラーが複数あることをご存知でしたか? まず、「NGINX Ingress Controller」という名前の 2 つのまったく異なるプロジェクトがあります。
- コミュニティ プロジェクト– GitHub のkubernetes/ingress-nginxリポジトリにあるこの Ingress コントローラーは、NGINX オープンソース データ プレーンに基づいていますが、Kubernetes コミュニティによって開発および保守されており、ドキュメントは GitHub でホストされています。
- NGINX プロジェクト– GitHub のnginxinc/kubernetes -ingress リポジトリにあるNGINX Ingress Controller は、F5 NGINX によって開発および保守されており、ドキュメントは docs.nginx.com にあります。 この公式 NGINX プロジェクトには、次の 2 つのエディションがあります。
- NGINX オープンソースベース (無料およびオープンソースのオプション)
- NGINX Plus ベース (商用オプション)
Kong など、NGINX をベースにした他の Ingress コントローラーもあります。 幸いなことに、それらの名前は簡単に区別できます。 どちらを使用しているかわからない場合は、実行中の Ingress コントローラーのコンテナ イメージを確認し、Docker イメージ名を上記のリポジトリと比較します。
上記の脆弱性 (CVE-2022-4886、CVE-2023-5043、CVE-2023-5044) は、コミュニティ プロジェクト( kubernetes/ingress-nginx ) にのみ適用されます。 NGINX Ingress Controller ( nginxinc/kubernetes-ingress 、オープンソースと商用の両方) の NGINX プロジェクトは、これらの CVE の影響を受けません。
NGINX Ingress Controller と Ingress コントローラー プロジェクトの違いの詳細については、ブログ「Ingress コントローラーの選択ガイド、パート 4」をお読みください。 NGINX Ingress コントローラー オプション。
「このブログ投稿には、入手できなくなった製品やサポートされなくなった製品が参照されている場合があります。 利用可能な F5 NGINX 製品およびソリューションに関する最新情報については、 NGINX 製品ファミリーをご覧ください。 NGINX は現在 F5 の一部です。 以前の NGINX.com リンクはすべて、F5.com の同様の NGINX コンテンツにリダイレクトされます。"