forum.opennet.ru - "Уязвимости в ingress-nginx, позволяющие выполнить код и захватить управление кластерами Kubernetes" (83)

"Уязвимости в ingress-nginx, позволяющие выполнить код и захватить управление кластерами Kubernetes"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Уязвимости в ingress-nginx, позволяющие выполнить код и захватить управление кластерами Kubernetes"	+/–
Сообщение от opennews (??), 25-Мрт-25, 14:27
В развиваемом проектом Kubernetes ingress-контроллере ingress-nginx выявлены четыре уязвимости, позволяющие добиться выполнения своего кода на серверах облачных систем, использующих платформу Kubernete, и получить полный привилегированный доступ к кластеру Kubernete. Проблемам присвоен критический уровень опасности (9.8 из 10). Выявившие проблемы исследователи присвоили уязвимостям кодовое имя IngressNightmare и отметили, что уязвимости затрагивают около 43% облачных окружений. Уязвимости устранены в версиях ingress-nginx 1.11.5 и 1.12.1... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=62946
Ответить \| Правка \| Cообщить модератору

Оглавление

кто-то использует софт без сертификата фстек , Аноним (1), 14:27 , 25-Мрт-25, (1) –20

https www kommersant ru doc 7498300, Аноним (8), 15:01 , 25-Мрт-25, (8) +2

это фичи, Аноним (73), 05:29 , 26-Мрт-25, (73)
А где там про сертификаты Там вроде как раз про то что их нет, Аноним (1), 07:01 , 26-Мрт-25, (76)

В настоящее время в системе сертификации ФСТЭК России сертифицированы по требова, n00by (ok), 14:10 , 26-Мрт-25, (93)

Как это вообще поможет Спойлер Никак , Аноним (32), 16:55 , 25-Мрт-25, (32) +6

Сертификат и правда был смешным ещё пару лет назад Но теперь я с удивлением узна, Ivan_83 (ok), 17:22 , 25-Мрт-25, (37) +3

даже способны отличить по выхлопу сорт шила , Аноним (73), 05:30 , 26-Мрт-25, (74)
Спасибо за инфу Принято к сведению , freehck (ok), 10:27 , 26-Мрт-25, (84)
Такими темпами в головах образуется мантра не обнаружено наличие доказано от, n00by (ok), 14:17 , 26-Мрт-25, (94)

Просто пробежаться опытным взглядом по процессу удаления временного файла Стоп , Аноним (40), 17:45 , 25-Мрт-25, (40) –2

потому что нужен Местные эксперты не знают даже о типовой последовательности ope, нах. (?), 17:56 , 25-Мрт-25, (44) +3

Самый экспертный ответ из всех экспертных , Аноним (63), 21:47 , 25-Мрт-25, (63)

Зато у тебя будет не просто вулн - а сертифицированный , Аноним (-), 21:27 , 25-Мрт-25, (62)
ещё как поможет - ответственность переложена - , Аноним (73), 05:29 , 26-Мрт-25, (72) +1
Дело не в том, есть сертификат или его нет, а в том, что у курьера его нет и ник, Вы забыли заполнить поле Name. (?), 07:35 , 26-Мрт-25, (79)

кубера , Вы забыли заполнить поле Name. (?), 07:35 , 26-Мрт-25, (80)

Так ФСТЭК сертификаты часто выдают российским форкам открытых зарубежных аналого, myster (ok), 18:38 , 25-Мрт-25, (45) +6

Не означает вообще ни разу Потому что и патчи можно бэкпортировать и вообще мног, Ivan_83 (ok), 20:40 , 25-Мрт-25, (56) +1

на расте тоже можно проги с нуля писать, но этого почему-то никто не делает, 12yoexpert (ok), 21:08 , 25-Мрт-25, (57)
Фантазер А про переписать нормально - фантазер в кубе , Аноним (63), 21:50 , 25-Мрт-25, (64) –1
Круто Можно пожалуйста ссылку , freehck (ok), 10:29 , 26-Мрт-25, (85)

Тоже интересно, постою в очереди, Денис (??), 11:12 , 26-Мрт-25, (88)

все у кого есть мозг если мозга нет то можно с сертификатом фстек, Аноним (59), 21:11 , 25-Мрт-25, (59) –1

готовьтесь тогда к извращениям - , Аноним (73), 05:33 , 26-Мрт-25, (75)

Вот это дырень Особенно если учитывать, что под капотом многих cloud-решений то, bdrbt (ok), 14:33 , 25-Мрт-25, (3) +1

под капотом облачных сред обычно KVM, а внутри виртуалки будет сидеть кубер и на, penetrator (?), 16:33 , 25-Мрт-25, (29)

Бегаешь из треда в тред со своим уникальным определением смысла слова 171 клас, Аноним (53), 20:30 , 25-Мрт-25, (53) –1

учи терминологию, penetrator (?), 23:19 , 25-Мрт-25, (65)

Haha Classic Как не умели в RAII так и не умеют , Аноним (-), 14:36 , 25-Мрт-25, (4) –2

А где вы тут отсутствие RAII увидели , мимо проходил (?), 14:47 , 25-Мрт-25, (5)

Resource Acquisition Is Initialization or RAII, is a C programming technique w, penetrator (?), 16:35 , 25-Мрт-25, (30) +1

Так там дескриптор не закрывается пока используется временный файл, т е пока эт, мимо проходил (?), 17:19 , 25-Мрт-25, (35) +4

Научи нас, о великий гуру RAII, озари нас своей мудростью, Аноним (6), 14:53 , 25-Мрт-25, (6) +1

ну ладно, ладно, так и бытьВНЕМЛИТЕ Когда файл вам уже не нужен - закройте файло, Аноним (-), 14:58 , 25-Мрт-25, (7) –5

А если он вам понадобится через секунду - умрите от того, что чьё-то кривое поде, bdrbt (ok), 15:08 , 25-Мрт-25, (10) –1

Ну конечно альтернатива в виде атакующий может получить доступ к хранимым внутр, Аноним (-), 15:10 , 25-Мрт-25, (11)

Ингрес - это просто реверс прокси всего кластера, вряд-ли там можно получить дос, bdrbt (ok), 15:21 , 25-Мрт-25, (14)

Реверс прокси 8212 это Nginx часть Ingress-контроллера , а вот Ingress-контр, imho (ok), 07:13 , 26-Мрт-25, (77) +2

С какого перепугу Это просто шлюз, который после себя видит тольколь api gatewa, bdrbt (ok), 20:30 , 26-Мрт-25, (100)

значит он вам не был не нужен , и закрывать его не следовало , freehck (ok), 10:31 , 26-Мрт-25, (86)

Файл нуженю Учитесь читать , anonymous (??), 17:26 , 25-Мрт-25, (39)

тут не про RAIIэто делается чтобы файл не отсвечивал на диске, в т ч после паде, Аноним (22), 15:55 , 25-Мрт-25, (22)

одно я не пойму - нах я из дикого интернета надо принимать какие-то там детали, нах. (?), 15:38 , 25-Мрт-25, (20)

Никто и не принимает из интернета Но обычно в компаниях несколько групп разрабо, SubGun (ok), 16:10 , 25-Мрт-25, (23) +1

а где у нас еще бывает ingres Ну ок, что-то сугубовнутрикорпоративное, вместо и, нах. (?), 17:09 , 25-Мрт-25, (33) +1
Им всем надо иметь доступ на сервер с актуальными данными Или они заранее напис, Аноним (40), 17:51 , 25-Мрт-25, (43)

у нас конь Тиниус дизинтегрейшн У них доступа на сервер в принципе-то нет, а в, нах. (?), 23:35 , 25-Мрт-25, (68)

В исследовании таки говорится про 6500 кластеров, где admission выставлен в publ, Аноним (52), 20:29 , 25-Мрт-25, (52) +1

и как им пользоваться тогда, неопубликованным , нах. (?), 20:36 , 25-Мрт-25, (54) –1

судя по всему, это хинди, т е вы правы, 12yoexpert (ok), 21:11 , 25-Мрт-25, (58)
Ну, во-первых, дефолты у них сделаны так, чтоб точно заработало , а не чтоб за, User (??), 08:16 , 26-Мрт-25, (82)

А что не 10 из 10 Клоуны, Аноним (24), 16:17 , 25-Мрт-25, (24) +1

10 из 10 это когда заэксплойтить сможет кто угодно и пароль админки прям на глав, myster (ok), 18:48 , 25-Мрт-25, (46)

А на чём написан Ingress NGINX Controller for Kubernetes Go87 6 Lua7 5 Shell2 8, Аноним (25), 16:18 , 25-Мрт-25, (25) +2

Значит все врут Го свят и защищает от всего , Аноним (27), 16:28 , 25-Мрт-25, (27) +4
Но и не на Rust Вот и думайте , Аноним (38), 17:23 , 25-Мрт-25, (38) +2
С учётом того, что весь куб написан на Go, было бы странно видеть здесь C, freehck (ok), 10:33 , 26-Мрт-25, (87)

Чё, реально покажет уязвимый контроллер Хоть бы селектор по версии сделали , Аноним (26), 16:28 , 25-Мрт-25, (26)

Так уязвимость и оставят Чтобы сохранить совместимость , Аноним (27), 16:30 , 25-Мрт-25, (28) +1
конечно покажет и не один Зачем тебе селектор, если они - все уязвимые - Ту, нах. (?), 17:16 , 25-Мрт-25, (34)

Вообще концепция ингрессов в кубере уже объявлена устаревшей Вместо неё Gateway, Аноним (26), 17:46 , 25-Мрт-25, (41) +1

теперь будем перед ним еще один nginx держать , нах. (?), 17:49 , 25-Мрт-25, (42)

Скрыто модератором, Аноним (98), 18:46 , 26-Мрт-25, (98)

Селектор умеет что-то кроме равенства сравнивать А там уязвимо всё что ниже сам, imho (ok), 07:23 , 26-Мрт-25, (78)

умеет еще сравнивать неравенство - т е можешь проверять на несовпадение с еще д, пох. (?), 11:28 , 26-Мрт-25, (89)

Вот это вкуснятину завезли, ещё и эксплуатируется легко, можно легко повторить в, Аноним (49), 19:31 , 25-Мрт-25, (49)
А вот я чуял неладное и всегда просил девопсов брать официальный nginx-овский ku, Аноним (51), 20:23 , 25-Мрт-25, (51)
Дыра уровня дефолтной монги на 0 0 0 0 без пароля с большего Вот откуда эти уяз, Аноним (53), 20:39 , 25-Мрт-25, (55)

То есть как это - не А откуда по-твоему мы копипастить-то должны Ну то есть на, нах. (?), 23:31 , 25-Мрт-25, (66) +1

что там опять кто-то в трёх ямлах заблудился , 12yoexpert (ok), 21:13 , 25-Мрт-25, (61) –2
Я правильно понимаю, что бы адмишен контроллеру чёт скормить нужно доступ в клас, Аноним (67), 23:34 , 25-Мрт-25, (67)

Нет, если есть публичный доступ к порту по дефолту открыт для всех , то позволя, Аноним (83), 10:02 , 26-Мрт-25, (83) +2
не, не нужно - мы ж чиста проверить синтаксис забежали, а не на самом деле созда, пох. (?), 11:29 , 26-Мрт-25, (90) +1

Как по мне это именно бага в nginx В документации написано -t 8212 test the c, Аноним (69), 23:52 , 25-Мрт-25, (69) –1

Когда читал начало новости первым делом задумался - а не опасно ли в nginx перед, Аноним (69), 23:54 , 25-Мрт-25, (70)
Ну действительно Еще не сказано что эти файлы, например, будут вообще читаться,, пох. (?), 11:33 , 26-Мрт-25, (91)

Кубернетис такой же скам как и профессия девопса Вместо простых решений нагород, Аноним (81), 07:53 , 26-Мрт-25, (81) –1

Альтернатив как безболезнено сопровождать десятки окружений с десятками контейне, Легивон (?), 20:05 , 26-Мрт-25, (99)

А эксплоит есть у кого , samsepi01 (ok), 12:52 , 26-Мрт-25, (92)
Как же вы достали Не уязвимость, а заранее подготовленный бекдор для спецслужб , cheburnator9000 (ok), 14:24 , 26-Мрт-25, (95) –1

АНБ тебе ответят а как же презумпция невиновности , myster (ok), 14:59 , 26-Мрт-25, (96)

Ещё когда только появлялись всякие ansible-ы и chef-ы, сразу было понятно, что п, Аноним (51), 16:37 , 26-Мрт-25, (97)

Сообщения [Сортировка по времени | RSS]

1. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..." –20 +/–

Сообщение от Аноним (1), 25-Мрт-25, 14:27

кто-то использует софт без сертификата фстек?

Ответить | Правка | Наверх | Cообщить модератору

8. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..." +2 +/–

Сообщение от Аноним (8), 25-Мрт-25, 15:01

https://www.kommersant.ru/doc/7498300

Ответить | Правка | Наверх | Cообщить модератору

73. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..." +/–

Сообщение от Аноним (73), 26-Мрт-25, 05:29

это фичи

Ответить | Правка | Наверх | Cообщить модератору

76. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..." +/–

Сообщение от Аноним (1), 26-Мрт-25, 07:01

А где там про сертификаты?
Там вроде как раз про то что их нет

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

93. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..." +/–

Сообщение от n00by (ok), 26-Мрт-25, 14:10

В настоящее время в системе сертификации ФСТЭК России сертифицированы по требованиям безопасности информации
следующие версии операционной системы Windows XP:
[...]
Необходимо отметить, что прекращение выпуска обновлений сертифицированных версий операционной системы Windows XP в
сочетании с͟ в͟е͟р͟о͟я͟т͟н͟ы͟м͟ о͟б͟н͟а͟р͟у͟ж͟е͟н͟и͟е͟м͟ в͟ н͟и͟х͟ н͟о͟в͟ы͟х͟ у͟я͟з͟в͟и͟м͟о͟с͟т͟е͟й приведет к возможности реализации угроз безопасности
информации конфиденциального характера, обрабатываемой в указанных информационных системах. Кроме того, прогнозируется
повышение интереса к операционной системе Windows XP со стороны отдельных категорий нарушителей.

Ответить | Правка | Наверх | Cообщить модератору

32. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..." +6 +/–

Сообщение от Аноним (32), 25-Мрт-25, 16:55

Как это вообще поможет? (Спойлер: Никак)

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

37. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..." +3 +/–

Сообщение от Ivan_83 (ok), 25-Мрт-25, 17:22

Сертификат и правда был смешным ещё пару лет назад.
Но теперь я с удивлением узнал что там вполне грамотные ребята которые требуют чтобы всякие фазинги реально делали и они даже способны отличить по выхлопу что реально рабочее от того что сделано для виду.
В общем такими темпами серт реально станет знаком качества.

Ответить | Правка | Наверх | Cообщить модератору

74. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..." +/–

Сообщение от Аноним (73), 26-Мрт-25, 05:30

даже способны отличить по выхлопу
сорт шила?

Ответить | Правка | Наверх | Cообщить модератору

84. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..." +/–

Сообщение от freehck (ok), 26-Мрт-25, 10:27

> Но теперь я с удивлением узнал что там вполне грамотные ребята которые
> требуют чтобы всякие фазинги реально делали и они даже способны отличить
> по выхлопу что реально рабочее от того что сделано для виду.
Спасибо за инфу. Принято к сведению.

Ответить | Правка | К родителю #37 | Наверх | Cообщить модератору

94. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..." +/–

Сообщение от n00by (ok), 26-Мрт-25, 14:17

Такими темпами в головах образуется мантра "не обнаружено наличие == доказано отсуствие".

Ответить | Правка | К родителю #37 | Наверх | Cообщить модератору

40. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..." –2 +/–

Сообщение от Аноним (40), 25-Мрт-25, 17:45

Просто пробежаться опытным взглядом по процессу удаления временного файла. Стоп. Почему не удаляется дескриптор?

Ответить | Правка | К родителю #32 | Наверх | Cообщить модератору

44. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..." +3 +/–

Сообщение от нах. (?), 25-Мрт-25, 17:56

> Просто пробежаться опытным взглядом по процессу удаления временного файла. Стоп. Почему
> не удаляется дескриптор?
потому что нужен.
Местные эксперты не знают даже о типовой последовательности open/mkstemp & unlink и почему делается именно так?

Ответить | Правка | Наверх | Cообщить модератору

63. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..." +/–

Сообщение от Аноним (63), 25-Мрт-25, 21:47

> потому что нужен.
Самый экспертный ответ из всех экспертных.

Ответить | Правка | Наверх | Cообщить модератору

62. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..." +/–

Сообщение от Аноним (-), 25-Мрт-25, 21:27

> Как это вообще поможет? (Спойлер: Никак)
Зато у тебя будет не просто вулн - а сертифицированный.

Ответить | Правка | К родителю #32 | Наверх | Cообщить модератору

72. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..." +1 +/–

Сообщение от Аноним (73), 26-Мрт-25, 05:29

ещё как поможет - ответственность переложена :-)

Ответить | Правка | К родителю #32 | Наверх | Cообщить модератору

79. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..." +/–

Сообщение от Вы забыли заполнить поле Name. (?), 26-Мрт-25, 07:35

Дело не в том, есть сертификат или его нет, а в том, что у курьера его нет и никогда не будет

Ответить | Правка | К родителю #32 | Наверх | Cообщить модератору

80. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..." +/–

Сообщение от Вы забыли заполнить поле Name. (?), 26-Мрт-25, 07:35

кубера*

Ответить | Правка | Наверх | Cообщить модератору

45. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..." +6 +/–

Сообщение от myster (ok), 25-Мрт-25, 18:38

Так ФСТЭК сертификаты часто выдают российским форкам открытых зарубежных аналогов, апстримы которых уже на несколько лет ушли вперед по версиям. Уже только этот факт означает, что в этих продуктах полно уязвимостей.
К тому же эти российские крахоборы, закрывают исходный код, ведут разработку продукта закрыто и продают его по конским ценам. А даже если им платят за "поддержку" их поддержка мало в чём разбирается, чтобы помоч с проблемой.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

56. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..." +1 +/–

Сообщение от Ivan_83 (ok), 25-Мрт-25, 20:40

> апстримы которых уже на несколько лет ушли вперед по версиям. Уже только этот факт означает, что в этих продуктах полно уязвимостей.
Не означает вообще ни разу.
Потому что и патчи можно бэкпортировать и вообще многое переписать нормально.
У вас когнитивное искажение которое проявляется в том, что форки всегда отстают от того что считается официальным апстримом.
Это далеко не так.
Я форкнул sshfs пару лет назад и прилично его причесал внутри, отрефакторил. Апстрим ничего такого и близко не сделал, и изменения я им не засылал потому что мне не впёрлось тратить время на это.
А ФСТЭК сейчас реально дрючит, по настоящему и за проверки анализаторами и чтобы фаззинг по настоящему делали и всякое остальное.
Многим апстримам такое нафик не впёрлось и они это не делают сами.

Ответить | Правка | Наверх | Cообщить модератору

57. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..." +/–

Сообщение от 12yoexpert (ok), 25-Мрт-25, 21:08

> Потому что и патчи можно бэкпортировать и вообще многое переписать нормально.
на расте тоже можно проги с нуля писать, но этого почему-то никто не делает

Ответить | Правка | Наверх | Cообщить модератору

64. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..." –1 +/–

Сообщение от Аноним (63), 25-Мрт-25, 21:50

> Потому что и патчи можно бэкпортировать и вообще многое переписать нормально.
Фантазер. А про переписать нормально - фантазер в кубе.

Ответить | Правка | К родителю #56 | Наверх | Cообщить модератору

85. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..." +/–

Сообщение от freehck (ok), 26-Мрт-25, 10:29

> Я форкнул sshfs пару лет назад и прилично его причесал внутри, отрефакторил.
Круто. Можно пожалуйста ссылку?

Ответить | Правка | К родителю #56 | Наверх | Cообщить модератору

88. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..." +/–

Сообщение от Денис (??), 26-Мрт-25, 11:12

Тоже интересно, постою в очереди

Ответить | Правка | Наверх | Cообщить модератору

59. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..." –1 +/–

Сообщение от Аноним (59), 25-Мрт-25, 21:11

все у кого есть мозг. если мозга нет то можно с сертификатом фстек

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

75. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..." +/–

Сообщение от Аноним (73), 26-Мрт-25, 05:33

готовьтесь тогда к извращениям :-)

Ответить | Правка | Наверх | Cообщить модератору

3. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..." +1 +/–

Сообщение от bdrbt (ok), 25-Мрт-25, 14:33

Вот это дырень! Особенно если учитывать, что под капотом многих cloud-решений тот же кубер c nginx-ингресом, только "сбоку брэндовый шильдик", кажется там не 43%. Даже если с него нельзя будет провалиться внутрь всего кластера, всётаки ингрес считается "серым" ресурсом, и его пускают только туда куда можно, но у многих на нём http2, quic и тому подобные https даунгрейдится в http1.1 вобщем будем посмотреть чем это всё закончится.

Ответить | Правка | Наверх | Cообщить модератору

29. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..." +/–

Сообщение от penetrator (?), 25-Мрт-25, 16:33

под капотом облачных сред обычно KVM, а внутри виртуалки будет сидеть кубер и называться это будет чем-то вроде AKS и cluster management, хотя эта виртуализированная шляпа никогда не станет кластером, обычная оркестрация притом как мы видим дырявая, но это и логично, больше компонентов - больше векторов атаки

Ответить | Правка | Наверх | Cообщить модератору

53. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..." –1 +/–

Сообщение от Аноним (53), 25-Мрт-25, 20:30

Бегаешь из треда в тред со своим уникальным определением смысла слова «кластер». Как, помогает? Всех уже переучил говорить на свой лад?

Ответить | Правка | Наверх | Cообщить модератору

65. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..." +/–

Сообщение от penetrator (?), 25-Мрт-25, 23:19

учи терминологию

Ответить | Правка | Наверх | Cообщить модератору

4. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..." –2 +/–

Сообщение от Аноним (-), 25-Мрт-25, 14:36

>  при обработке больших запросов nginx сохраняет тело запроса
> во временном файле, который сразу удаляется, но в файловой
> системе "/proc" для этого файла остаётся открытый файловый
> дескриптор.
Haha. Classic.
Как не умели в RAII так и не умеют.

Ответить | Правка | Наверх | Cообщить модератору

5. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..." +/–

Сообщение от мимо проходил (?), 25-Мрт-25, 14:47

А где вы тут отсутствие RAII увидели ?

Ответить | Правка | Наверх | Cообщить модератору

30. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..." +1 +/–

Сообщение от penetrator (?), 25-Мрт-25, 16:35

Resource Acquisition Is Initialization or RAII, is a C++ programming technique which binds the life cycle of a resource that must be acquired before use (allocated heap memory, thread of execution, open socket, open file, locked mutex, disk space, database connection—anything that exists in limited supply) to the lifetime of an object.
C точки зрения терминологии он вообщем-то прав. Другое дело, что его коментарий бесполезный. Гримасничает в чате и всё...

Ответить | Правка | Наверх | Cообщить модератору

35. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..." +4 +/–

Сообщение от мимо проходил (?), 25-Мрт-25, 17:19

Так там дескриптор не закрывается пока используется временный файл, т.е. пока этот самый дескриптор нужен.
А после использования штатно закрывается.
Полное соответствие RAII, если его сюда приклеить.
А проблема в том, что любой открытый дескриптор виден в /proc/{PID|self}, даже если сам файл уже удалён.
Т.е. проблема к RAII никакого отношения не имеет.
Скорее это похоже на дыры в Java/C# из-за интроспекции "с бантиками".

Ответить | Правка | Наверх | Cообщить модератору

6. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..." +1 +/–

Сообщение от Аноним (6), 25-Мрт-25, 14:53

Научи нас, о великий гуру RAII, озари нас своей мудростью

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

7. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..." –5 +/–

Сообщение от Аноним (-), 25-Мрт-25, 14:58

> Научи нас, о великий гуру RAII, озари нас своей мудростью
ну ладно, ладно, так и быть
ВНЕМЛИТЕ!
Когда файл вам уже не нужен - закройте файловый дескриптор!

Ответить | Правка | Наверх | Cообщить модератору

10. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..." –1 +/–

Сообщение от bdrbt (ok), 25-Мрт-25, 15:08

> ВНЕМЛИТЕ!
> Когда файл вам уже не нужен - закройте файловый дескриптор!
А если он вам понадобится через секунду - умрите от того, что чьё-то кривое поделие сожрало все доступные дескрипторы, ок, ты в медицинском на патологоанатома учился?

Ответить | Правка | Наверх | Cообщить модератору

11. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..." +/–

Сообщение от Аноним (-), 25-Мрт-25, 15:10

> умрите от того, что чьё-то кривое поделие сожрало все доступные дескрипторы
Ну конечно альтернатива в виде "атакующий может получить доступ к хранимым внутри pod-окружения параметрам, достаточным для управления всем кластером." намного лучше!

Ответить | Правка | Наверх | Cообщить модератору

14. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..." +/–

Сообщение от bdrbt (ok), 25-Мрт-25, 15:21

>> умрите от того, что чьё-то кривое поделие сожрало все доступные дескрипторы
> Ну конечно альтернатива в виде "атакующий может получить доступ к хранимым внутри
> pod-окружения параметрам, достаточным для управления всем кластером." намного лучше!
Ингрес - это просто реверс прокси всего кластера, вряд-ли там можно получить доступ ко всему кластеру, а вот устроить MitM - можно во все поля, и приватный ключ от сертификата угнать.

Ответить | Правка | Наверх | Cообщить модератору

77. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..." +2 +/–

Сообщение от imho (ok), 26-Мрт-25, 07:13

> Ингрес — это просто реверс прокси всего кластера, вряд-ли там можно получить доступ ко всему кластеру, а вот устроить MitM - можно во все поля, и приватный ключ от сертификата угнать.
Реверс прокси — это Nginx (часть Ingress-контроллера), а вот Ingress-контроллер имеет чуть больше прав на кластер, в том числе доступ ко всем секретам, хранимым в кластере, а это включает в себя ещё и различные токены для для доступа к кластеру, среди которых могут оказаться с ещё большими правами, так что вполне можно запросто получить управление над всем кластером (на дальше насколько фантазии хватит).

Ответить | Правка | Наверх | Cообщить модератору

100. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..." +/–

Сообщение от bdrbt (ok), 26-Мрт-25, 20:30

> а вот Ingress-контролле имеет чуть больше прав на кластер, в том числе доступ ко
> всем секретам
С какого перепугу? Это просто шлюз, который после себя видит тольколь api gateway, какое-нибудь s3-образное хранилище, и коллекторы логов, метрик, трейсов, всё.

Ответить | Правка | Наверх | Cообщить модератору

86. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..." +/–

Сообщение от freehck (ok), 26-Мрт-25, 10:31

>> Когда файл вам уже не нужен - закройте файловый дескриптор!
> А если он вам понадобится через секунду - ...
...значит он вам не был "не нужен", и закрывать его не следовало.

Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

39. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..." +/–

Сообщение от anonymous (??), 25-Мрт-25, 17:26

Файл нуженю Учитесь читать.

Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

22. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..." +/–

Сообщение от Аноним (22), 25-Мрт-25, 15:55

тут не про RAII
это делается чтобы файл не отсвечивал на диске, в т.ч. после падения

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

20. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..." +/–

Сообщение от нах. (?), 25-Мрт-25, 15:38

одно я не пойму - нах...я из дикого интернета надо принимать какие-то там детали конфигурации да еще и "проверять" автоматически?  (что, что тут может пойти не так?!)
Это модный-современный-девляпс подход, инфраструктурка Ass in cocococode, конфигурация сервера сегодня передается вместе с формочкой, да?
А виноват-то во всем конечно же nginx.

Ответить | Правка | Наверх | Cообщить модератору

23. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..." +1 +/–

Сообщение от SubGun (ok), 25-Мрт-25, 16:10

Никто и не принимает из интернета. Но обычно в компаниях несколько групп разработчиков, в том числе и удаленных. Ты же каждому отдельным кластер не выделяешь?!

Ответить | Правка | Наверх | Cообщить модератору

33. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..." +1 +/–

Сообщение от нах. (?), 25-Мрт-25, 17:09

> Никто и не принимает из интернета.
а где у нас еще бывает ingres? Ну ок, что-то сугубовнутрикорпоративное, вместо интернета в сетку на десять тыщ сотрудников половины которой никто никогда кроме как на экране не видел (да и кто на тот экран смотрел-то) - чем лучше?
> Но обычно в компаниях несколько групп разработчиков, в том числе и удаленных. Ты же
> каждому отдельным кластер не выделяешь?!
вообще-то именно что каждому проекту выделяем. Потому что multi-tenant в кубере... э... такоэ себе.
Да и их битвы за ресурс пусть протекают под другим ковром, а не в нашей стойке.

Ответить | Правка | Наверх | Cообщить модератору

43. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..." +/–

Сообщение от Аноним (40), 25-Мрт-25, 17:51

>несколько групп разработчиков
Им всем надо иметь доступ на сервер с актуальными данными?
Или они заранее написали дебаг версию инструментария под себя и выкатили в продакшан?

Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

68. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..." +/–

Сообщение от нах. (?), 25-Мрт-25, 23:35

> Им всем надо иметь доступ на сервер с актуальными данными?
у нас конь. Тиниус дизинтегрейшн. У них доступа на сервер в принципе-то нет, а вот у ихнего my ass code - есть, а больше, как видишь, ничего и не надо было.
Отдельно занимательно уточнить - многие ли могут себе позволить ДВА кластера для одного и того же прожекта, на одном разработчики а на другом...э... тоже разработчики но с "актуальными данными" - а не перемешаны в одном и том же и тестовые поды и прод.

Ответить | Правка | Наверх | Cообщить модератору

52. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..." +1 +/–

Сообщение от Аноним (52), 25-Мрт-25, 20:29

> Никто и не принимает из интернета
В исследовании таки говорится про 6500 кластеров, где admission выставлен в public internet. Тоже не понял, кто и зачем его выставляет, по умолчанию он не публикуется, конечно

Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

54. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..." –1 +/–

Сообщение от нах. (?), 25-Мрт-25, 20:36

и как им пользоваться тогда, неопубликованным?

Ответить | Правка | Наверх | Cообщить модератору

58. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..." +/–

Сообщение от 12yoexpert (ok), 25-Мрт-25, 21:11

> Ass in cocococode
судя по всему, это хинди, т.е. вы правы

Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

82. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..." +/–

Сообщение от User (??), 26-Мрт-25, 08:16

Ну, во-первых, дефолты у них сделаны так, "чтоб точно заработало", а не "чтоб заработало сколько-нибудь безопасно", а во-вторых, оно и не в дефолтах-то...
Один заказчик потребовал "по old-school'у" разнести "менеджмент", "мониторинг", "аццесс" и "кластерный интероп" на разные интерфейсы - иииии, это оказался чуть-чуть, самую капельку, малость избыточный перебор секаса, чтобы повторять его по собственной инициативе без ножа-к-горлу.

Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

24. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..." +1 +/–

Сообщение от Аноним (24), 25-Мрт-25, 16:17

> критический уровень опасности (9.8 из 10).
А что не 10 из 10? Клоуны

Ответить | Правка | Наверх | Cообщить модератору

46. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..." +/–

Сообщение от myster (ok), 25-Мрт-25, 18:48

10 из 10 это когда заэксплойтить сможет кто угодно и пароль админки прям на главной странице

Ответить | Правка | Наверх | Cообщить модератору

25. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..." +2 +/–

Сообщение от Аноним (25), 25-Мрт-25, 16:18

А на чём написан Ingress NGINX Controller for Kubernetes ?
Go
87.6%

Lua
7.5%

Shell
2.8%
Не на С.

Ответить | Правка | Наверх | Cообщить модератору

27. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..." +4 +/–

Сообщение от Аноним (27), 25-Мрт-25, 16:28

Значит все врут. Го свят и защищает от всего.

Ответить | Правка | Наверх | Cообщить модератору

38. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..." +2 +/–

Сообщение от Аноним (38), 25-Мрт-25, 17:23

Но и не на Rust. Вот и думайте.

Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

87. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..." +/–

Сообщение от freehck (ok), 26-Мрт-25, 10:33

> А на чём написан Ingress NGINX Controller for Kubernetes ?
> Go
> 87.6%
> <...>
> Не на С.
С учётом того, что весь куб написан на Go, было бы странно видеть здесь C

Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

26. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..." +/–

Сообщение от Аноним (26), 25-Мрт-25, 16:28

> Для проверки использования уязвимого ingress-nginx можно выполнить команду:
>   kubectl get pods --all-namespaces --selector app.kubernetes.io/name=ingress-nginx
Чё, реально покажет "уязвимый" контроллер? Хоть бы селектор по версии сделали...

Ответить | Правка | Наверх | Cообщить модератору

28. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..." +1 +/–

Сообщение от Аноним (27), 25-Мрт-25, 16:30

Так уязвимость и оставят. Чтобы сохранить совместимость)

Ответить | Правка | Наверх | Cообщить модератору

34. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..." +/–

Сообщение от нах. (?), 25-Мрт-25, 17:16

>> Для проверки использования уязвимого ingress-nginx можно выполнить команду:
>>   kubectl get pods --all-namespaces --selector app.kubernetes.io/name=ingress-nginx
> Чё, реально покажет "уязвимый" контроллер? Хоть бы селектор по версии сделали...
конечно покажет (и не один). Зачем тебе селектор, если они - все уязвимые? ;-)
Тут намекают что надо на какой-нибудь caddy перелезать - типа, нет конфига, вот и нет дыры в его тестировании ;-)

Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

41. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..." +1 +/–

Сообщение от Аноним (26), 25-Мрт-25, 17:46

Вообще концепция ингрессов в кубере уже объявлена устаревшей. Вместо неё GatewayAPI теперь.

Ответить | Правка | Наверх | Cообщить модератору

42. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..." +/–

Сообщение от нах. (?), 25-Мрт-25, 17:49

> Вообще концепция ингрессов в кубере уже объявлена устаревшей. Вместо неё GatewayAPI теперь.
теперь будем перед ним еще один nginx держать?

Ответить | Правка | Наверх | Cообщить модератору

98. Скрыто модератором +/–

Сообщение от Аноним (98), 26-Мрт-25, 18:46

тысссс щас прилетят свидетели енвоиии :)

Ответить | Правка | Наверх | Cообщить модератору

78. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..." +/–

Сообщение от imho (ok), 26-Мрт-25, 07:23

> Чё, реально покажет "уязвимый" контроллер? Хоть бы селектор по версии сделали...
Селектор умеет что-то кроме равенства сравнивать? А там уязвимо всё что ниже самого свежего.

Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

89. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..." +/–

Сообщение от пох. (?), 26-Мрт-25, 11:28

умеет еще сравнивать неравенство - т.е. можешь проверять на несовпадение с еще дымящимся.
А диапазоны, вайлдкарды или там больше-меньше - не, не умеет, для девляперов-на-игого слишком сложно такое парсить.

Ответить | Правка | Наверх | Cообщить модератору

49. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..." +/–

Сообщение от Аноним (49), 25-Мрт-25, 19:31

Вот это вкуснятину завезли, ещё и эксплуатируется легко, можно легко повторить в лабе и можно в путь!

Ответить | Правка | Наверх | Cообщить модератору

51. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..." +/–

Сообщение от Аноним (51), 25-Мрт-25, 20:23

А вот я чуял неладное и всегда просил девопсов брать официальный nginx-овский kubernetes-ingress, хоть он и менее фичастый. Уж слишком там стремные костыли на lua-модуле.
Не зря

Ответить | Правка | Наверх | Cообщить модератору

55. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..." +/–

Сообщение от Аноним (53), 25-Мрт-25, 20:39

> общедоступные уязвимые контроллеры с открытым для внешних запросов обработчиком Admission
Дыра уровня дефолтной монги на 0.0.0.0 без пароля с большего. Вот откуда эти уязвимых 6500 кластеров взялись — вопрос куда более интересный. Не со StackOverflow накопипастили же?
Алсо, сабж в проде — махровое эникейство. Сойдёт только для совсем уж непритязательных локалхостов.

Ответить | Правка | Наверх | Cообщить модератору

66. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..." +1 +/–

Сообщение от нах. (?), 25-Мрт-25, 23:31

> Не со StackOverflow накопипастили же?
То есть как это - не?
А откуда по-твоему мы копипастить-то должны?! Ну то есть напрямую со стека теперь только неудачники и ретрограды, конечно, нормальные пацаны спрашивают чатгопоту, но у той источник вдохновения ровно тот же самый.
> Алсо, сабж в проде — махровое эникейство. Сойдёт только для совсем уж непритязательных
> локалхостов.
6500 локалхостов. И еще наверное в десять раз больше таких у которых такой же ингрес но до admission они стековерфлов не дочитали, и он не включен.


Ответить | Правка | Наверх | Cообщить модератору

61. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..." –2 +/–

Сообщение от 12yoexpert (ok), 25-Мрт-25, 21:13

что там? опять кто-то в трёх ямлах заблудился?

Ответить | Правка | Наверх | Cообщить модератору

67. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..." +/–

Сообщение от Аноним (67), 25-Мрт-25, 23:34

Я правильно понимаю, что бы адмишен контроллеру чёт скормить нужно доступ в кластер с ролью create/edit для ингресс?

Ответить | Правка | Наверх | Cообщить модератору

83. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..." +2 +/–

Сообщение от Аноним (83), 26-Мрт-25, 10:02

Нет, если есть публичный доступ к порту (по дефолту открыт для всех), то позволяет выполнять проверки без аутентификации.

Ответить | Правка | Наверх | Cообщить модератору

90. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..." +1 +/–

Сообщение от пох. (?), 26-Мрт-25, 11:29

не, не нужно - мы ж чиста проверить синтаксис забежали, а не на самом деле создавать такой конфиг

Ответить | Правка | К родителю #67 | Наверх | Cообщить модератору

69. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..." –1 +/–

Сообщение от Аноним (69), 25-Мрт-25, 23:52

Как по мне это именно бага в nginx.
В документации написано:
-t — test the configuration file: nginx checks the configuration for correct syntax, and then tries to open files referred in the configuration.
Т.е. проверка на синтаксис и попытка открытия файлов. Не сказано, что КОД из этих файлов БУДЕТ ИСПОЛНЯТЬСЯ. Да и не должен он запускаться. На то он и тест.
Другой вопрос как полнее проверить настройки SSL не запуская код из библиотеки. Возможно никак.

Ответить | Правка | Наверх | Cообщить модератору

70. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..." +/–

Сообщение от Аноним (69), 25-Мрт-25, 23:54

Когда читал начало новости первым делом задумался - а не опасно ли в nginx передавать конфиг извне. Смотрю - это всего лишь для проверки синтаксиса. Ну думаю не опасно значит. Т.е. тут именно поведение nginx неожиданное.

Ответить | Правка | Наверх | Cообщить модератору

91. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..." +/–

Сообщение от пох. (?), 26-Мрт-25, 11:33

Ну действительно. Еще не сказано что эти файлы, например, будут вообще читаться, удивительное рядом.
Как ты собираешься проверять синтаксис конфига где половина полей вычисляемая и может определять другие части этого конфига - наукой не установлено.
nginx ни разу не был предназначен для поточного тестирования бредовых конфигураций из недоверенного источника, все вопросы к авторам нескучных кластеров на игого.
Тестирование предназначено ровно для одного - заранее узнать, запустится он с этим конфигом или у тебя ляжет сервер.

Ответить | Правка | К родителю #69 | Наверх | Cообщить модератору

81. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..." –1 +/–

Сообщение от Аноним (81), 26-Мрт-25, 07:53

Кубернетис такой же скам как и профессия девопса. Вместо простых решений нагородили монстров с уязвимостями на дырявых го

Ответить | Правка | Наверх | Cообщить модератору

99. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..." +/–

Сообщение от Легивон (?), 26-Мрт-25, 20:05

Альтернатив как безболезнено сопровождать десятки окружений с десятками контейнеров в каждом, ты конечно предоставлять не будешь. Это ведь так просто, все все понимают.
Еще код надо писать на ассемблере или хотя бы на си и линковать статически. Правильно я тебя понял?

Ответить | Правка | Наверх | Cообщить модератору

92. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..." +/–

Сообщение от samsepi01 (ok), 26-Мрт-25, 12:52

А эксплоит есть у кого?

Ответить | Правка | Наверх | Cообщить модератору

95. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..." –1 +/–

Сообщение от cheburnator9000 (ok), 26-Мрт-25, 14:24

Как же вы достали. Не уязвимость, а заранее подготовленный бекдор для спецслужб АНБ и ЦРУ США.

Ответить | Правка | Наверх | Cообщить модератору

96. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..." +/–

Сообщение от myster (ok), 26-Мрт-25, 14:59

АНБ тебе ответят: а как же "презумпция невиновности"?

Ответить | Правка | Наверх | Cообщить модератору

97. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..." +/–

Сообщение от Аноним (51), 26-Мрт-25, 16:37

Ещё когда только появлялись всякие ansible-ы и chef-ы, сразу было понятно, что по аналогии с SQL injection и прочими XSS будут config injection. Просто потому что подставляются подстроки без какого-либо понимания синтаксиса файла конфигурации.
По хорошему, надо описывать некоторым DSL синтаксис каждого конкретного формата конфигурации, и подставлять не строки, а токены в этом DSL. Тогда никаких \n не будет.
Но это, конечно, в бесконечность раз больше работы, чем просто засунуть простейший template engine типа handlebars. Для внутрянки - сойдёт, если отправил фигню - сам дурак. А когда это всё счастье внезапно начинает торчать наружу, получается вот такое веселье.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..."	–20 +/–
Сообщение от Аноним (1), 25-Мрт-25, 14:27
кто-то использует софт без сертификата фстек?
Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..."	+2 +/–
	Сообщение от Аноним (8), 25-Мрт-25, 15:01
	https://www.kommersant.ru/doc/7498300
	Ответить \| Правка \| Наверх \| Cообщить модератору


	73. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..."	+/–
	Сообщение от Аноним (73), 26-Мрт-25, 05:29
	это фичи
	Ответить \| Правка \| Наверх \| Cообщить модератору


	76. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..."	+/–
	Сообщение от Аноним (1), 26-Мрт-25, 07:01
	А где там про сертификаты? Там вроде как раз про то что их нет
	Ответить \| Правка \| К родителю #8 \| Наверх \| Cообщить модератору


	93. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..."	+/–
	Сообщение от n00by (ok), 26-Мрт-25, 14:10
	В настоящее время в системе сертификации ФСТЭК России сертифицированы по требованиям безопасности информации следующие версии операционной системы Windows XP: [...] Необходимо отметить, что прекращение выпуска обновлений сертифицированных версий операционной системы Windows XP в сочетании с͟ в͟е͟р͟о͟я͟т͟н͟ы͟м͟ о͟б͟н͟а͟р͟у͟ж͟е͟н͟и͟е͟м͟ в͟ н͟и͟х͟ н͟о͟в͟ы͟х͟ у͟я͟з͟в͟и͟м͟о͟с͟т͟е͟й приведет к возможности реализации угроз безопасности информации конфиденциального характера, обрабатываемой в указанных информационных системах. Кроме того, прогнозируется повышение интереса к операционной системе Windows XP со стороны отдельных категорий нарушителей.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	32. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..."	+6 +/–
	Сообщение от Аноним (32), 25-Мрт-25, 16:55
	Как это вообще поможет? (Спойлер: Никак)
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	37. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..."	+3 +/–
	Сообщение от Ivan_83 (ok), 25-Мрт-25, 17:22
	Сертификат и правда был смешным ещё пару лет назад. Но теперь я с удивлением узнал что там вполне грамотные ребята которые требуют чтобы всякие фазинги реально делали и они даже способны отличить по выхлопу что реально рабочее от того что сделано для виду. В общем такими темпами серт реально станет знаком качества.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	74. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..."	+/–
	Сообщение от Аноним (73), 26-Мрт-25, 05:30
	даже способны отличить по выхлопу сорт шила?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	84. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..."	+/–
	Сообщение от freehck (ok), 26-Мрт-25, 10:27
	> Но теперь я с удивлением узнал что там вполне грамотные ребята которые > требуют чтобы всякие фазинги реально делали и они даже способны отличить > по выхлопу что реально рабочее от того что сделано для виду. Спасибо за инфу. Принято к сведению.
	Ответить \| Правка \| К родителю #37 \| Наверх \| Cообщить модератору


	94. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..."	+/–
	Сообщение от n00by (ok), 26-Мрт-25, 14:17
	Такими темпами в головах образуется мантра "не обнаружено наличие == доказано отсуствие".
	Ответить \| Правка \| К родителю #37 \| Наверх \| Cообщить модератору


	40. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..."	–2 +/–
	Сообщение от Аноним (40), 25-Мрт-25, 17:45
	Просто пробежаться опытным взглядом по процессу удаления временного файла. Стоп. Почему не удаляется дескриптор?
	Ответить \| Правка \| К родителю #32 \| Наверх \| Cообщить модератору


	44. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..."	+3 +/–
	Сообщение от нах. (?), 25-Мрт-25, 17:56
	> Просто пробежаться опытным взглядом по процессу удаления временного файла. Стоп. Почему > не удаляется дескриптор? потому что нужен. Местные эксперты не знают даже о типовой последовательности open/mkstemp & unlink и почему делается именно так?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	63. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..."	+/–
	Сообщение от Аноним (63), 25-Мрт-25, 21:47
	> потому что нужен. Самый экспертный ответ из всех экспертных.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	62. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..."	+/–
	Сообщение от Аноним (-), 25-Мрт-25, 21:27
	> Как это вообще поможет? (Спойлер: Никак) Зато у тебя будет не просто вулн - а сертифицированный.
	Ответить \| Правка \| К родителю #32 \| Наверх \| Cообщить модератору


	72. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..."	+1 +/–
	Сообщение от Аноним (73), 26-Мрт-25, 05:29
	ещё как поможет - ответственность переложена :-)
	Ответить \| Правка \| К родителю #32 \| Наверх \| Cообщить модератору


	79. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..."	+/–
	Сообщение от Вы забыли заполнить поле Name. (?), 26-Мрт-25, 07:35
	Дело не в том, есть сертификат или его нет, а в том, что у курьера его нет и никогда не будет
	Ответить \| Правка \| К родителю #32 \| Наверх \| Cообщить модератору


	80. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..."	+/–
	Сообщение от Вы забыли заполнить поле Name. (?), 26-Мрт-25, 07:35
	кубера*
	Ответить \| Правка \| Наверх \| Cообщить модератору


	45. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..."	+6 +/–
	Сообщение от myster (ok), 25-Мрт-25, 18:38
	Так ФСТЭК сертификаты часто выдают российским форкам открытых зарубежных аналогов, апстримы которых уже на несколько лет ушли вперед по версиям. Уже только этот факт означает, что в этих продуктах полно уязвимостей. К тому же эти российские крахоборы, закрывают исходный код, ведут разработку продукта закрыто и продают его по конским ценам. А даже если им платят за "поддержку" их поддержка мало в чём разбирается, чтобы помоч с проблемой.
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	56. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..."	+1 +/–
	Сообщение от Ivan_83 (ok), 25-Мрт-25, 20:40
	> апстримы которых уже на несколько лет ушли вперед по версиям. Уже только этот факт означает, что в этих продуктах полно уязвимостей. Не означает вообще ни разу. Потому что и патчи можно бэкпортировать и вообще многое переписать нормально. У вас когнитивное искажение которое проявляется в том, что форки всегда отстают от того что считается официальным апстримом. Это далеко не так. Я форкнул sshfs пару лет назад и прилично его причесал внутри, отрефакторил. Апстрим ничего такого и близко не сделал, и изменения я им не засылал потому что мне не впёрлось тратить время на это. А ФСТЭК сейчас реально дрючит, по настоящему и за проверки анализаторами и чтобы фаззинг по настоящему делали и всякое остальное. Многим апстримам такое нафик не впёрлось и они это не делают сами.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	57. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..."	+/–
	Сообщение от 12yoexpert (ok), 25-Мрт-25, 21:08
	> Потому что и патчи можно бэкпортировать и вообще многое переписать нормально. на расте тоже можно проги с нуля писать, но этого почему-то никто не делает
	Ответить \| Правка \| Наверх \| Cообщить модератору


	64. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..."	–1 +/–
	Сообщение от Аноним (63), 25-Мрт-25, 21:50
	> Потому что и патчи можно бэкпортировать и вообще многое переписать нормально. Фантазер. А про переписать нормально - фантазер в кубе.
	Ответить \| Правка \| К родителю #56 \| Наверх \| Cообщить модератору


	85. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..."	+/–
	Сообщение от freehck (ok), 26-Мрт-25, 10:29
	> Я форкнул sshfs пару лет назад и прилично его причесал внутри, отрефакторил. Круто. Можно пожалуйста ссылку?
	Ответить \| Правка \| К родителю #56 \| Наверх \| Cообщить модератору


	88. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..."	+/–
	Сообщение от Денис (??), 26-Мрт-25, 11:12
	Тоже интересно, постою в очереди
	Ответить \| Правка \| Наверх \| Cообщить модератору


	59. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..."	–1 +/–
	Сообщение от Аноним (59), 25-Мрт-25, 21:11
	все у кого есть мозг. если мозга нет то можно с сертификатом фстек
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	75. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..."	+/–
	Сообщение от Аноним (73), 26-Мрт-25, 05:33
	готовьтесь тогда к извращениям :-)
	Ответить \| Правка \| Наверх \| Cообщить модератору

3. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..."	+1 +/–
Сообщение от bdrbt (ok), 25-Мрт-25, 14:33
Вот это дырень! Особенно если учитывать, что под капотом многих cloud-решений тот же кубер c nginx-ингресом, только "сбоку брэндовый шильдик", кажется там не 43%. Даже если с него нельзя будет провалиться внутрь всего кластера, всётаки ингрес считается "серым" ресурсом, и его пускают только туда куда можно, но у многих на нём http2, quic и тому подобные https даунгрейдится в http1.1 вобщем будем посмотреть чем это всё закончится.
Ответить \| Правка \| Наверх \| Cообщить модератору


	29. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..."	+/–
	Сообщение от penetrator (?), 25-Мрт-25, 16:33
	под капотом облачных сред обычно KVM, а внутри виртуалки будет сидеть кубер и называться это будет чем-то вроде AKS и cluster management, хотя эта виртуализированная шляпа никогда не станет кластером, обычная оркестрация притом как мы видим дырявая, но это и логично, больше компонентов - больше векторов атаки
	Ответить \| Правка \| Наверх \| Cообщить модератору


	53. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..."	–1 +/–
	Сообщение от Аноним (53), 25-Мрт-25, 20:30
	Бегаешь из треда в тред со своим уникальным определением смысла слова «кластер». Как, помогает? Всех уже переучил говорить на свой лад?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	65. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..."	+/–
	Сообщение от penetrator (?), 25-Мрт-25, 23:19
	учи терминологию
	Ответить \| Правка \| Наверх \| Cообщить модератору

4. "Уязвимости в ingress-nginx, позволяющие выполнить код и захв..."	–2 +/–
Сообщение от Аноним (-), 25-Мрт-25, 14:36
> при обработке больших запросов nginx сохраняет тело запроса > во временном файле, который сразу удаляется, но в файловой > системе "/proc" для этого файла остаётся открытый файловый > дескриптор. Haha. Classic. Как не умели в RAII так и не умеют.
Ответить \| Правка \| Наверх \| Cообщить модератору