어떤 NGINX Ingress 컨트롤러가 CVE-2022-4886, CVE-2023-5043, CVE-2023-5044의 영향을 받습니까?
2023년 10월 25일, 미국 국립표준기술원(NIST)은 Kubernetes용 NGINX Ingress Controller에 영향을 미치는 3개의 CVE를 보고했습니다.
- CVE-2022-4886 –
log_format지시문을 사용하면 ingress-nginx 경로 정리를 우회할 수 있습니다. - CVE-2023-5043 – ingress-nginx 주석 주입으로 인해 임의의 명령 실행이 발생합니다.
- CVE-2023-5044 – nginx.ingress.kubernetes.io/permanent-redirect 주석을 통해 코드 주입이 발생합니다.
해당 보고서와 후속 출판물(예: 긴급: Kubernetes용 NGINX Ingress 컨트롤러에서 새로운 보안 결함 발견 )으로 인해 실제로 영향을 받는 NGINX Ingress 컨트롤러가 무엇인지, 그리고 이러한 CVE에 설명된 취약점을 해결하는 데 누가 관여해야 하는지에 대한 혼란(및 여러 지원 문의)이 발생했습니다.
혼란스러운 건 충분히 이해할 수 있습니다. NGINX 기반 Ingress 컨트롤러가 두 개 이상 있다는 걸 알고 계셨나요? 시작하려면 "NGINX Ingress Controller"라는 완전히 다른 두 프로젝트가 있습니다.
- 커뮤니티 프로젝트 – GitHub의 kubernetes/ingress-nginx 리포지토리에서 발견된 이 Ingress 컨트롤러는 NGINX 오픈 소스 데이터 플레인을 기반으로 하지만 Kubernetes 커뮤니티에서 개발 및 유지 관리하고 있으며 문서는 GitHub에 호스팅되어 있습니다 .
- NGINX 프로젝트 – GitHub의 nginxinc/kubernetes -ingress repo에서 찾을 수 있는 NGINX Ingress Controller는 F5 NGINX에서 개발 및 유지 관리하고 있으며 docs.nginx.com에서 자세한 내용을 확인할 수 있습니다. 이 공식 NGINX 프로젝트는 두 가지 버전으로 제공됩니다.
- NGINX 오픈 소스 기반(무료 및 오픈 소스 옵션)
- NGINX Plus 기반(상업용 옵션)
Kong 등 NGINX 기반의 다른 Ingress 컨트롤러도 있습니다. 다행히도, 이들의 이름은 쉽게 구별됩니다. 어떤 것을 사용하는지 확실하지 않으면 실행 중인 Ingress 컨트롤러의 컨테이너 이미지를 확인한 다음 Docker 이미지 이름을 위에 나열된 리포와 비교하세요.
위에 설명된 취약점(CVE-2022-4886, CVE-2023-5043 및 CVE-2023-5044)은 커뮤니티 프로젝트 ( kubernetes/ingress-nginx )에만 적용됩니다. NGINX Ingress Controller( nginxinc/kubernetes-ingress , 오픈소스와 상업용 모두)용 NGINX 프로젝트는 이러한 CVE의 영향을 받지 않습니다.
NGINX Ingress Controller와 Ingress Controller 프로젝트 간의 차이점에 대한 자세한 내용은 블로그 Ingress Controller 선택 가이드, 4부를 읽어보세요. NGINX Ingress 컨트롤러 옵션 .
"이 블로그 게시물에는 더 이상 사용할 수 없거나 더 이상 지원되지 않는 제품이 참조될 수 있습니다. 사용 가능한 F5 NGINX 제품과 솔루션에 대한 최신 정보를 보려면 NGINX 제품군을 살펴보세요. NGINX는 이제 F5의 일부가 되었습니다. 이전의 모든 NGINX.com 링크는 F5.com의 유사한 NGINX 콘텐츠로 리디렉션됩니다."