¿Qué controladores de ingreso NGINX se ven afectados por CVE-2022-4886, CVE-2023-5043 y CVE-2023-5044?
El 25 de octubre de 2023, el Instituto Nacional de Estándares y Tecnología (NIST) informó tres CVE que afectaron a NGINX Ingress Controller para Kubernetes :
- CVE-2022-4886 : la desinfección de la ruta de ingreso de Nginx se puede omitir con la directiva
log_format. - CVE-2023-5043 : la inyección de anotaciones ingress-nginx provoca la ejecución de comandos arbitrarios.
- CVE-2023-5044 : La inyección de código se produce a través de la anotación nginx.ingress.kubernetes.io/permanent-redirect.
Ese informe y las publicaciones posteriores (como Urgent: Nuevas fallas de seguridad descubiertas en el controlador de ingreso NGINX para Kubernetes ) provocaron cierta confusión (y varias consultas de soporte) con respecto a qué controladores de ingreso NGINX están realmente afectados y quién debería preocuparse por abordar las vulnerabilidades descritas por estos CVE.
La confusión es totalmente comprensible: ¿sabías que hay más de un controlador Ingress basado en NGINX? Para empezar, hay dos proyectos completamente diferentes llamados “NGINX Ingress Controller”:
- Proyecto comunitario : este controlador de Ingress, que se encuentra en el repositorio kubernetes/ingress-nginx en GitHub, se basa en el plano de datos de código abierto NGINX, pero lo desarrolla y mantiene la comunidad de Kubernetes, con documentos alojados en GitHub .
- Proyecto NGINX : se encuentra en el repositorio nginxinc/kubernetes -ingress en GitHub. NGINX Ingress Controller es desarrollado y mantenido por F5 NGINX con documentación en docs.nginx.com . Este proyecto oficial NGINX está disponible en dos ediciones:
- NGINX basado en código abierto (opción gratuita y de código abierto)
- Basado en NGINX Plus (opción comercial)
También hay otros controladores de Ingress basados en NGINX, como Kong. Afortunadamente sus nombres se distinguen fácilmente. Si no está seguro de cuál está usando, verifique la imagen del contenedor del controlador Ingress en ejecución y luego compare el nombre de la imagen de Docker con los repositorios enumerados anteriormente.
Las vulnerabilidades (CVE-2022-4886, CVE-2023-5043 y CVE-2023-5044) descritas anteriormente solo se aplican al proyecto comunitario ( kubernetes/ingress-nginx ). Los proyectos NGINX para NGINX Ingress Controller ( nginxinc/kubernetes-ingress , tanto de código abierto como comerciales) no se ven afectados por estos CVE.
Para obtener más información sobre las diferencias entre el controlador de ingreso NGINX y los proyectos de controlador de ingreso, lea nuestro blog Una guía para elegir un controlador de ingreso, parte 4: Opciones del controlador de ingreso NGINX .
"Esta publicación de blog puede hacer referencia a productos que ya no están disponibles o que ya no reciben soporte. Para obtener la información más actualizada sobre los productos y soluciones F5 NGINX disponibles, explore nuestra familia de productos NGINX . NGINX ahora es parte de F5. Todos los enlaces anteriores de NGINX.com redirigirán a contenido similar de NGINX en F5.com.