В развиваемом проектом Kubernetes ingress-контроллере ingress-nginx выявлены три уязвимости, позволяющие в конфигурации по умолчанию получить доступ к настройкам объекта Ingress, в которых, среди прочего, хранятся и учётные данные для обращения к серверам Kubernetes, позволяющие получить привилегированный доступ к кластеру. Проблемы проявляются только в ingress-контроллере ingress-nginx от проекта Kubernetes и не затрагивает контроллер kubernetes-ingress, развиваемый разработчиками NGINX...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=60055
Красиво. Ждём новых утечек из облачков. Особенно там, где любят nginx.
Облака хмурые ожидаются обильные дожди из данных.
Темна вода во облацех.
Но сначала ждём ingress-angie
Есть ингресс "Контур". Это более посконно, чем какой-то там angie.
> Красиво. Ждём новых утечек из облачков. Особенно там, где любят nginx.Это где такие?
Держать nginx с modsecurity и скриптами на lua, которые позволяют не очень сильно лажать при обновлении списка апстримов - это дофига дорого и накладно. А бизнес деньги считать умеет.
Поэтому практически все облачные кубики нынче идут с кастомным ингресс-контроллером от вендора, обычно на базе envoy.Не говоря уже о том, что про "дыру" с возможностью подставлять куски конфига в проекте говорят уже года два. Но и не убирают ее полностью, потому что гибкости настроек средствами ingress часто не хватает, а пытаться реализовать поверх nginx gateway api - психов нет.
> Не говоря уже о том, что про "дыру" с возможностью подставлять куски конфига в проекте говорят уже года два.А, понятно. По ссылке - типовой наброс от F5 (разработчика конкурирующего ингресса), которые рвут баян, пытаясь поднять себе прибыли.
Ну хочешь пользоваться дырявой версией, только чтоб не кормить F5 - пользуйся дырявой, твои юзеры скажут тебе спасибо, что не накормил корпорастов.
> Держать nginx с modsecurity и скриптами на luaда откуда такой уродец возьмется? И как он работать будет, это ж п-ц тормоз. Сказали вам - ingres-nginx, вот его и ставим побыстрому, девляпляпляпляпляп! cubectl apply прям с raw.гитхап.помойку.цоп (все бандерлоги так делают - это инструкция непосредственно k8s)
Нет там никакого модсекьюрити и быть не может - кто его должен настраивать, отлаживать, следить за актуальностью правил, ты что-ли? А ну веслай быстрей!
> Не говоря уже о том, что про "дыру" с возможностью подставлять куски конфига в проекте говорят
> уже года два.но вставлять куски конфига надо, поэтому дыра всегда будет с нами.
> Поэтому практически все облачные кубики нынче идут с кастомным ингресс-контроллером от вендора
А у вендора не такие же веслатели, а какие-то другие, ога.
Ну хорошо если им случайно первым попался envoy...хотя стоп...тоже нет.
> да откуда такой уродец возьмется? И как он работать будет, это ж п-ц тормоз. Сказали вам - ingres-nginxИногда лучше жевать, чем говорить.
ingress-nginx - и есть тот уродец с modsecurity и lua.Кстати, о том, что там вообще есть modsecurity, счастливые пользователи случайно узнали пару лет назад, когда оно начало дико течь по памяти из-за бага в этом модуле.
оно не включено ж пока сам не попросишь.> Кстати, о том, что там вообще есть modsecurity, счастливые пользователи случайно узнали пару лет
> назад, когда оно начало дико течь по памяти из-за бага в этом модуле.выключеном?!
сподвигся все ж глянуть исходники - не, enable-modsecurity надо вручную включить догадаться.
Иначе не только не включается, а даже и не загружается. Хз как оно при этом могло что-то портить.А вот lua таки да.
>Держать nginx с modsecurity и скриптами на lua, которые позволяют не очень сильно лажать при обновлении списка апстримов - это дофига дорого и накладноЭто Apisix называется. Хорошая штука.
Кастомный ингресс-контроллер от вендора обычно мало чего умеет.
Да и Kong-gateway - это тот же nginx обмазанный lua-скриптами
Как так молодняк на гоу пишет дыры, может им всё таки нужна помощь дедов на Си, а то гошники не вывозят.
> Как так молодняк на гоу пишет дыры,Да нормально пишет. И вообще не дыра а технологическое отверстие - как еще изменить поведение чортова контроллера не лазя ему внутрь? Ну лаз оказался немного широковат и через него залезли еще и те, другие васяны. Подумаешь, проблема.
> может им всё таки нужна помощь дедов на Си, а то гошники не вывозят.
зачем, сами ж справляются.
А деды пиццей пока поторгуют - и прибыльней, и спокойней, и сытая старость гарантирована.
самая важная фраза написана в конце:
"Для осуществления атаки злоумышленник должен иметь доступ к конфигурации ingress-объекта"
> самая важная фраза написана в конце:
> "Для осуществления атаки злоумышленник должен иметь доступ к конфигурации ingress-объекта"позвал аутсорсера пилить какой-нибудь очень нужный и полезный вебчяяятик, дал ему отдельное пространство, поскольку оно никак вообще не связано с основным сервисом, и забыл про него. А оно - вот... тем более что аутсорсер тоже модный парниша и все свои наработки держит на гитхапе и гитляпе, прям с токенами и паролями от всей инфраструктуры, инфраструктурка жеж in cococode, my ass!
А независимый кластер каждому васяну с чятиком не только лишь все могут себе позволить.
если такой бардак в организации и лайфциклах учеток\проектов, то тут ничего не спасёт, рано или поздно придется огребать
ну у тебя-то в подвальчике конечно нет бардака.
ничего, девляпс и прод на разных куберах поставят :)
unreal жеж - cocococontinuous desintegration жеж (или как там ее?)разные куски прода в разных кластерах - только потому что изоляция, которая вообще говоря предусмотрена и именно для этого и неймспейсы - как обычно не изоляция? Ну оооок, давайте не будем им мешать и просто понаблюдаем за ними. Только гуаноупорный плащик поправьте и капюшончик пониже надвиньте, а то сейчас ваше недоверие лопнет и забрызгает вот... меня и товарищей прессу.
>А независимый кластер каждому васяну с чятиком не только лишь все могут себе позволить.Это верно... для обычных легаси инфраструктур, которые так любят специалисты в свитере с оленем с сальными волосами и кусками вчеравшей недоеденой еды в слипшейся бороде (впрочем возможно это и не еда). И их можно понять, ведь это и правда трудно пройтись руками/мышковазюком и безошибочно воссоздать штук 200 сущностей во всевозможных консольках и "оснастках".
В девопс же мире все просто. Надо кластер - взял готовые тераформ шаблоны, подставил хостнеймы и катанул. И поверх этого еще катанул ансиблом kubespray, так же практически без изменений от базового шаблона.
Я именно так и катаю, только у меня шаблоны тераформа генерируются из ансибла, а помимо kubespray ансиблом качу еще базовые k8s сервисы: ingress, prometheus, vector. У меня 4 проекта и 10 кластеров (и это еще мало, просто на все не хватает времени, вот например собираюсь для безопасности вынести все задачи сборки образов в отдельный кластер с kata containers, чтобы не пересекаться с инфраструктурой на которой люди могут выполнять код). ЧЯДН?
> ЧЯДН?Пользуешься ансиблом и тратишь время на то, что называется non-differentiating work. Создание k8s кластера — это пара вызовов API, скучно до зевоты. Городить ради этого какую-то кодогенерацию на, прямо скажем, весьма убогом инструментарии типа ансибла — занятие для операторов высоконагруженных локалхостов. То, что тебе этим в проде приходится заниматься весьма печально.
> То, что тебе этим в проде приходится заниматься весьма печально."чатыре прожекта" (и куча ансибельного мусора присыпанного тераформом) это такой себе, знаешь, "прод".
А что хороший прод по твоему? Инструкция как правильно делать мышковозюк из 500 шагов?
Ты, дядя, давай посуществу и без общих фраз.
Чем мой запуск ансибла + тераформ принципиально отличается от запуска eks cli (Или че ты там запускаешь. Давно этой оверпрайснутой помоечкой не пользовался. Помню года 4 назад, голый БЕЗ НОД eks кластер стоил 200$ в месяц. А в хецнере за такие деньги можно было взять 3 машины уровня 8 ядер / 16 гигов). Это считай такое же дергание 2 "апишек". Что не так то? АПИшка не проприетарная и не вендорлокнутая? Плохо что я не плачу твоему господину Безосу?
> В девопс же мире все просто. Надо кластер - взял готовые тераформ шаблоны, подставил хостнеймы и
> катанул.а лишние ресурсы для всего б-ского цирка - при этом возьмутся из возд... облачка.
Ну ок. Только учти что когда-то кто-то может и проверить счета от aws.
Если не использовать aws и/или православные духоскрепные "селектелы", а вместо них использовать собственное железо - то ресурсы не дорогие.