Welche NGINX-Ingress-Controller sind von CVE-2022-4886, CVE-2023-5043 und CVE-2023-5044 betroffen?
Am 25. Oktober 2023 wurden vom National Institute of Standards and Technology (NIST) drei CVEs gemeldet, die den NGINX Ingress Controller für Kubernetes betrafen:
- CVE-2022-4886 – Die Bereinigung des Ingress-Nginx-Pfads kann mit der Direktive
log_formatumgangen werden. - CVE-2023-5043 – Ingress-nginx-Annotation-Injektion führt zur Ausführung willkürlicher Befehle.
- CVE-2023-5044 – Die Code-Injektion erfolgt über die Annotation nginx.ingress.kubernetes.io/permanent-redirect.
Dieser Bericht und nachfolgende Veröffentlichungen (wie etwa Urgent: Neue Sicherheitslücken im NGINX-Ingress-Controller für Kubernetes entdeckt ) sorgten für einige Verwirrung (und zahlreiche Support-Anfragen) in Bezug darauf, welche NGINX-Ingress-Controller tatsächlich betroffen sind und wer sich um die Behebung der in diesen CVEs beschriebenen Schwachstellen kümmern sollte.
Die Verwirrung ist völlig verständlich – wussten Sie, dass es mehr als einen Ingress-Controller auf Basis von NGINX gibt? Zunächst einmal gibt es zwei völlig unterschiedliche Projekte mit dem Namen „NGINX Ingress Controller“:
- Community-Projekt – Dieser Ingress-Controller befindet sich im Repository „kubernetes/ingress-nginx“ auf GitHub und basiert auf der Open-Source-Datenebene von NGINX, wird jedoch von der Kubernetes-Community entwickelt und gepflegt. Die Dokumentation wird auf GitHub gehostet .
- NGINX-Projekt – Zu finden im nginxinc/kubernetes -ingress-Repo auf GitHub. NGINX Ingress Controller wird von F5 NGINX entwickelt und gepflegt, mit Dokumentation auf docs.nginx.com . Dieses offizielle NGINX-Projekt ist in zwei Editionen verfügbar:
- NGINX Open Source-basiert (kostenlose und Open Source-Option)
- Basiert auf NGINX Plus (kommerzielle Option)
Es gibt auch andere Ingress-Controller, die auf NGINX basieren, wie beispielsweise Kong. Glücklicherweise sind ihre Namen leicht zu unterscheiden. Wenn Sie nicht sicher sind, welches Sie verwenden, überprüfen Sie das Container-Image des laufenden Ingress-Controllers und vergleichen Sie dann den Namen des Docker-Images mit den oben aufgeführten Repos.
Die oben beschriebenen Schwachstellen (CVE-2022-4886, CVE-2023-5043 und CVE-2023-5044) gelten nur für das Community-Projekt ( kubernetes/ingress-nginx ). NGINX-Projekte für NGINX Ingress Controller ( nginxinc/kubernetes-ingress , sowohl Open Source als auch kommerziell) sind von diesen CVEs nicht betroffen.
Weitere Informationen zu den Unterschieden zwischen NGINX Ingress Controller und Ingress Controller-Projekten finden Sie in unserem Blog „Leitfaden zur Auswahl eines Ingress Controllers, Teil 4“: Optionen für den NGINX-Ingress-Controller .
„Dieser Blogbeitrag kann auf Produkte verweisen, die nicht mehr verfügbar und/oder nicht mehr unterstützt werden. Die aktuellsten Informationen zu verfügbaren F5 NGINX-Produkten und -Lösungen finden Sie in unserer NGINX-Produktfamilie . NGINX ist jetzt Teil von F5. Alle vorherigen NGINX.com-Links werden auf ähnliche NGINX-Inhalte auf F5.com umgeleitet."