El 25 de octubre de 2023, el Instituto Nacional de Estándares y Tecnología (NIST) informó tres CVE que afectaron a NGINX Ingress Controller para Kubernetes :
log_format
.Ese informe y las publicaciones posteriores (como Urgent: Nuevas fallas de seguridad descubiertas en el controlador de ingreso NGINX para Kubernetes ) provocaron cierta confusión (y varias consultas de soporte) con respecto a qué controladores de ingreso NGINX están realmente afectados y quién debería preocuparse por abordar las vulnerabilidades descritas por estos CVE.
La confusión es totalmente comprensible: ¿sabías que hay más de un controlador Ingress basado en NGINX? Para empezar, hay dos proyectos completamente diferentes llamados “NGINX Ingress Controller”:
También hay otros controladores de Ingress basados en NGINX, como Kong. Afortunadamente sus nombres se distinguen fácilmente. Si no está seguro de cuál está usando, verifique la imagen del contenedor del controlador Ingress en ejecución y luego compare el nombre de la imagen de Docker con los repositorios enumerados anteriormente.
Las vulnerabilidades (CVE-2022-4886, CVE-2023-5043 y CVE-2023-5044) descritas anteriormente solo se aplican al proyecto comunitario ( kubernetes/ingress-nginx ). Los proyectos NGINX para NGINX Ingress Controller ( nginxinc/kubernetes-ingress , tanto de código abierto como comerciales) no se ven afectados por estos CVE.
Para obtener más información sobre las diferencias entre el controlador de ingreso NGINX y los proyectos de controlador de ingreso, lea nuestro blog Una guía para elegir un controlador de ingreso, parte 4: Opciones del controlador de ingreso NGINX .
"Esta publicación de blog puede hacer referencia a productos que ya no están disponibles o que ya no reciben soporte. Para obtener la información más actualizada sobre los productos y soluciones F5 NGINX disponibles, explore nuestra familia de productos NGINX . NGINX ahora es parte de F5. Todos los enlaces anteriores de NGINX.com redirigirán a contenido similar de NGINX en F5.com.