国产 无码 综合区,色欲AV无码国产永久播放,无码天堂亚洲国产AV,国产日韩欧美女同一区二区

  1. Toy模板網(wǎng)首頁
  2. >編程知識(shí)
  3. >技術(shù)探索

緊急:Kubernetes 的 NGINX 入口控制器中發(fā)現(xiàn)新的安全漏洞

2年前分類:編程知識(shí) / 技術(shù)探索閱讀(309)

Kubernetes 的 NGINX 入口控制器中發(fā)現(xiàn)新的安全漏洞

  Kubernetes 的NGINX Ingress 控制器中披露了三個(gè)未修補(bǔ)的高嚴(yán)重性安全漏洞,威脅行為者可能會(huì)利用這些漏洞從集群中竊取秘密憑證。

漏洞如下:

  • CVE-2022-4886(CVSS 分?jǐn)?shù):8.8) -可以繞過Ingress-nginx路徑清理來獲取 ingress-nginx 控制器的憑據(jù)

  • CVE-2023-5043(CVSS 評(píng)分:7.6)- Ingress-nginx 注釋注入導(dǎo)致任意命令執(zhí)行

  • CVE-2023-5044(CVSS 評(píng)分:7.6) - 通過 nginx.ingress.kubernetes.io/permanent-redirect 注釋進(jìn)行代碼注入

  Kubernetes 安全平臺(tái) ARMO 的首席技術(shù)官兼聯(lián)合創(chuàng)始人 Ben Hirschberg在談到CVE-2023-5043 和 CVE-2023 時(shí)表示:“這些漏洞使能夠控制 Ingress 對(duì)象配置的攻擊者能夠從集群中竊取秘密憑證?!?nbsp;5044.

  成功利用這些缺陷可能允許攻擊者將任意代碼注入入口控制器進(jìn)程,并獲得對(duì)敏感數(shù)據(jù)的未經(jīng)授權(quán)的訪問。

  CVE-2022-4886 是由于“spec.rules[].http.paths[].path”字段中缺乏驗(yàn)證導(dǎo)致的,允許有權(quán)訪問 Ingress 對(duì)象的攻擊者從入口控制器中竊取 Kubernetes API 憑據(jù)。

  “在Ingress 對(duì)象中,操作員可以定義將哪個(gè)傳入 HTTP 路徑路由到哪個(gè)內(nèi)部路徑,”Hirschberg 指出?!耙资芄舻膽?yīng)用程序無法正確檢查內(nèi)部路徑的有效性,它可能指向包含服務(wù)帳戶令牌的內(nèi)部文件,該令牌是針對(duì) API 服務(wù)器進(jìn)行身份驗(yàn)證的客戶端憑據(jù)。”

  在沒有修復(fù)的情況下,該軟件的維護(hù)者已經(jīng)發(fā)布了緩解措施,其中包括啟用“strict-validate-path-type”選項(xiàng)并設(shè)置 --enable-annotation-validation 標(biāo)志以防止創(chuàng)建具有無效字符的 Ingress 對(duì)象和執(zhí)行額外的限制。

  ARMO 表示,將 NGINX 更新到版本 1.19,同時(shí)添加“--enable-annotation-validation”命令行配置,可以解決 CVE-2023-5043 和 CVE-2023-5044。

  赫希伯格說:“盡管它們指向不同的方向,但所有這些漏洞都指向相同的根本問題?!?mark hidden color="red">文章來源:http://www.zghlxwxcb.cn/article/520.html

  “事實(shí)上,入口控制器在設(shè)計(jì)上可以訪問 TLS 機(jī)密和 Kubernetes API,這使得它們成為具有高特權(quán)范圍的工作負(fù)載。此外,由于它們通常是面向公共互聯(lián)網(wǎng)的組件,因此它們非常容易受到通過它們進(jìn)入集群的外部流量的影響?!?span toymoban-style="hidden">文章來源地址http://www.zghlxwxcb.cn/article/520.html

到此這篇關(guān)于緊急:Kubernetes 的 NGINX 入口控制器中發(fā)現(xiàn)新的安全漏洞的文章就介紹到這了,更多相關(guān)內(nèi)容可以在右上角搜索或繼續(xù)瀏覽下面的相關(guān)文章,希望大家以后多多支持TOY模板網(wǎng)!

原文地址:http://www.zghlxwxcb.cn/article/520.html

如若轉(zhuǎn)載,請(qǐng)注明出處: 如若內(nèi)容造成侵權(quán)/違法違規(guī)/事實(shí)不符,請(qǐng)聯(lián)系站長(zhǎng)進(jìn)行投訴反饋,一經(jīng)查實(shí),立即刪除!

領(lǐng)支付寶紅包贊助服務(wù)器費(fèi)用

相關(guān)文章

  • Kubernetes 準(zhǔn)入控制器

    Kubernetes 準(zhǔn)入控制器

    Kubernetes 極大地提高了當(dāng)今生產(chǎn)中后端集群的速度和可管理性。由于靈活、可擴(kuò)展、易用,Kubernetes 已成為容器編排的事實(shí)標(biāo)準(zhǔn)。Kubernetes 還提供了一系列保護(hù)功能。而 Admission Controllers(準(zhǔn)入控制器) 是一組安全相關(guān)的插件,啟用后能進(jìn)一步使用 Kubernetes 更高級(jí)的安全功能。

    2024年02月06日
    瀏覽(21)
  • kubernetes-控制器

    kubernetes-控制器

    目錄 一、replicaset 二、deployment 1、版本迭代 2、回滾 3、滾動(dòng)更新策略 4、暫停與恢復(fù) 三、daemonset 四、statefulset 五、job 六、cronjob ReplicaSet用于保證指定數(shù)量的 Pod 副本一直運(yùn)行 replicaset是通過標(biāo)簽匹配pod replicaset自動(dòng)控制副本數(shù)量,pod可以自愈 回收資源 Deployment 的主要作用是實(shí)

    2024年02月06日
    瀏覽(18)
  • Kubernetes Pod控制器

    Kubernetes Pod控制器

    Pod控制器及其功用 Pod控制器,又稱之為工作負(fù)載(workload),是用于實(shí)現(xiàn)管理pod的中間層,確保pod資源符合預(yù)期的狀態(tài),pod的資源出現(xiàn)故障時(shí),會(huì)嘗試進(jìn)行重啟,當(dāng)根據(jù)重啟策略無效,則會(huì)重新新建pod的資源 Deployment 部署無狀態(tài)應(yīng)用 負(fù)責(zé)創(chuàng)建和管理 ReplicaSet , 維護(hù) Pod 副本數(shù)

    2024年02月12日
    瀏覽(27)

  • 【kubernetes系列】Kubernetes之job和cronjob控制器

    本章節(jié)將分享kubernetes中的job控制器和cronjob控制器,這是用于另外兩種場(chǎng)景的pod控制器。 對(duì)于Deployment、ReplicaSet、ReplicationController等類型的控制器而言,它希望pod保持預(yù)期數(shù)目、持久運(yùn)行下去,除非用戶明確刪除,否則這些對(duì)象一直存在,它們針對(duì)的是耐久性任務(wù),如web服務(wù)

    2024年02月11日
    瀏覽(43)
  • 【云原生】kubernetes控制器deployment的使用

    【云原生】kubernetes控制器deployment的使用

    ? ? 目錄 ?編輯 1 Controller 控制器 1.1 什么是 Controller 1.2 常見的 Controller 控制器 1.3 Controller 如何管理 Pod 2 Deployment 2.1 創(chuàng)建 deployment 2.2 查看 deployment 2.3 擴(kuò)縮 deployment 2.4 回滾 deployment 2.5 刪除 deployment 1 Controller 控制器 官網(wǎng): 控制器 | Kubernetes 1.1 什么是 Controller Kubernetes 通常不會(huì)

    2024年02月13日
    瀏覽(33)
  • 【Kubernetes資源篇】DaemonSet控制器入門實(shí)戰(zhàn)詳解

    【Kubernetes資源篇】DaemonSet控制器入門實(shí)戰(zhàn)詳解

    中文官方文檔參考: 1、DaemonSet控制器是什么? Kubernetes中的DaemonSet(簡(jiǎn)寫ds)控制器是一種 用來運(yùn)行守護(hù)進(jìn)程應(yīng)用程序的控制器,它確保每個(gè)Node節(jié)點(diǎn)都運(yùn)行具有指定配置的 Pod副本,當(dāng)Node節(jié)點(diǎn)的加入或刪除DaemonSet控制器會(huì)自動(dòng)創(chuàng)建或刪除相應(yīng)的 Pod副本。 特點(diǎn): 每個(gè)節(jié)點(diǎn)只運(yùn)行

    2024年02月10日
    瀏覽(24)
  • Linux6.39 Kubernetes Pod控制器

    Linux6.39 Kubernetes Pod控制器

    第三章 LINUX Kubernetes Pod控制器 一、Pod控制器及其功用 Pod控制器,又稱之為工作負(fù)載(workload),是用于實(shí)現(xiàn)管理pod的中間層,確保pod資源符合預(yù)期的狀態(tài),pod的資源出現(xiàn)故障時(shí),會(huì)嘗試進(jìn)行重啟,當(dāng)根據(jù)重啟策略無效,則會(huì)重新新建pod的資源 二.pod控制器有多種類型 1.Replic

    2024年02月12日
    瀏覽(45)

  • 【云原生|Kubernetes】14-DaemonSet資源控制器詳解

    ? 在 Kubernetes 中,DaemonSet 是一種用于在節(jié)點(diǎn)上運(yùn)行指定的 Pod 的控制器(Controller)。與 ReplicaSet 或 Deployment 不同,DaemonSet 不是為了擴(kuò)展 Pod 數(shù)量而創(chuàng)建的,而是為了在每個(gè)節(jié)點(diǎn)上運(yùn)行一個(gè)實(shí)例或多個(gè)實(shí)例的 Pod。 ? DaemonSet 通常用于在 Kubernetes 集群中運(yùn)行一些系統(tǒng)級(jí)別的服務(wù)

    2024年02月13日
    瀏覽(46)
  • 【Kubernetes資源篇】Replicaset控制器入門實(shí)戰(zhàn)詳解

    【Kubernetes資源篇】Replicaset控制器入門實(shí)戰(zhàn)詳解

    官方中文參考文檔: ReplicaSet是k8s中一種資源對(duì)象,簡(jiǎn)寫 rs , 用于管理Pod副本數(shù)量和健康狀態(tài),在 spec.replicas 字段中可以定義Pod副本數(shù)量,ReplicaSet會(huì)始終保持Pod在指定數(shù)量 ,當(dāng)發(fā)現(xiàn)Pod數(shù)量大于副本數(shù)量時(shí),會(huì)移除多出的Pod,當(dāng)發(fā)現(xiàn)Pod小于副本數(shù)量會(huì)自動(dòng)創(chuàng)建Pod,使其始終維

    2024年02月09日
    瀏覽(24)
  • 5、Kubernetes核心技術(shù) - Controller控制器工作負(fù)載

    5、Kubernetes核心技術(shù) - Controller控制器工作負(fù)載

    目錄 一、Deployments - 控制器應(yīng)用 二、Deployment升級(jí)回滾和彈性收縮 2.1、創(chuàng)建一個(gè) 1.14 版本的 pod 2.2、應(yīng)用升級(jí) 2.3、查看升級(jí)狀態(tài) 2.4、查看歷史版本 2.5、應(yīng)用回滾 2.6、彈性伸縮? 三、StatefulSet - 有狀態(tài)應(yīng)用 四、DaemonSet - 守護(hù)進(jìn)程 五、Job - 單次任務(wù) 六、Cronjob - 定時(shí)任務(wù) Deplo

    2024年02月15日
    瀏覽(24)

覺得文章有用就打賞一下文章作者

支付寶掃一掃打賞

博客贊助

微信掃一掃打賞

請(qǐng)作者喝杯咖啡吧~博客贊助

支付寶掃一掃領(lǐng)取紅包,優(yōu)惠每天領(lǐng)

二維碼1

領(lǐng)取紅包

二維碼2

領(lǐng)紅包