Quais controladores de entrada NGINX são afetados por CVE-2022-4886, CVE-2023-5043 e CVE-2023-5044?
Em 25 de outubro de 2023, três CVEs foram relatados pelo Instituto Nacional de Padrões e Tecnologia (NIST) que afetaram o NGINX Ingress Controller para Kubernetes :
- CVE-2022-4886 – a higienização do caminho ingress-nginx pode ser ignorada com a diretiva
log_format. - CVE-2023-5043 – injeção de anotação ingress-nginx causa execução de comando arbitrária.
- CVE-2023-5044 – A injeção de código ocorre por meio da anotação nginx.ingress.kubernetes.io/permanent-redirect.
Esse relatório e publicações subsequentes (como Urgente: Novas falhas de segurança descobertas no NGINX Ingress Controller para Kubernetes ) causaram alguma confusão (e uma série de consultas de suporte) sobre quais controladores NGINX Ingress são realmente afetados e quem deve se preocupar em abordar as vulnerabilidades descritas por esses CVEs.
A confusão é totalmente compreensível – você sabia que existe mais de um controlador Ingress baseado no NGINX? Para começar, existem dois projetos completamente diferentes chamados “NGINX Ingress Controller”:
- Projeto da comunidade – Encontrado no repositório kubernetes/ingress-nginx no GitHub, este controlador Ingress é baseado no plano de dados NGINX Open Source, mas desenvolvido e mantido pela comunidade Kubernetes, com documentos hospedados no GitHub .
- Projeto NGINX – Encontrado no repositório nginxinc/kubernetes -ingress no GitHub, o NGINX Ingress Controller é desenvolvido e mantido pela F5 NGINX com documentos em docs.nginx.com . Este projeto oficial do NGINX está disponível em duas edições:
- NGINX Open Source‑based (opção gratuita e de código aberto)
- Baseado em NGINX Plus (opção comercial)
Existem também outros controladores Ingress baseados no NGINX, como o Kong. Felizmente, seus nomes são facilmente distinguidos. Se você não tiver certeza de qual está usando, verifique a imagem do contêiner do controlador Ingress em execução e compare o nome da imagem do Docker com os repositórios listados acima.
As vulnerabilidades (CVE-2022-4886, CVE-2023-5043 e CVE-2023-5044) descritas acima se aplicam apenas ao projeto da comunidade ( kubernetes/ingress-nginx ). Projetos NGINX para o NGINX Ingress Controller ( nginxinc/kubernetes-ingress , tanto de código aberto quanto comercial) não são afetados por esses CVEs.
Para obter mais informações sobre as diferenças entre os projetos do NGINX Ingress Controller e do Ingress Controller, leia nosso blog Um guia para escolher um Ingress Controller, parte 4: Opções do controlador de entrada NGINX .
"Esta postagem do blog pode fazer referência a produtos que não estão mais disponíveis e/ou não têm mais suporte. Para obter as informações mais atualizadas sobre os produtos e soluções F5 NGINX disponíveis, explore nossa família de produtos NGINX . O NGINX agora faz parte do F5. Todos os links anteriores do NGINX.com redirecionarão para conteúdo semelhante do NGINX no F5.com."