{"id":993470,"date":"2023-10-30T05:45:39","date_gmt":"2023-10-30T07:45:39","guid":{"rendered":"https:\/\/teknomers.com\/fr\/urgent-nouvelles-failles-de-securite-decouvertes-dans-le-controleur-dentree-nginx-pour-kubernetes\/"},"modified":"2023-10-30T05:45:42","modified_gmt":"2023-10-30T07:45:42","slug":"urgent-nouvelles-failles-de-securite-decouvertes-dans-le-controleur-dentree-nginx-pour-kubernetes","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/urgent-nouvelles-failles-de-securite-decouvertes-dans-le-controleur-dentree-nginx-pour-kubernetes\/","title":{"rendered":"Urgent\u00a0: nouvelles failles de s\u00e9curit\u00e9 d\u00e9couvertes dans le contr\u00f4leur d&#8217;entr\u00e9e NGINX pour Kubernetes"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">30 octobre 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">R\u00e9daction<\/span><\/span><span class=\"p-tags\">Kubernetes \/ S\u00e9curit\u00e9 des serveurs<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/10\/Urgent-nouvelles-failles-de-securite-decouvertes-dans-le-controleur-dentree.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Trois failles de s\u00e9curit\u00e9 de haute gravit\u00e9 non corrig\u00e9es ont \u00e9t\u00e9 divulgu\u00e9es dans le <a rel=\"nofollow noopener\" href=\"https:\/\/docs.nginx.com\/nginx-ingress-controller\/intro\/overview\/\" target=\"_blank\">Contr\u00f4leur d&#8217;entr\u00e9e NGINX<\/a> pour Kubernetes qui pourrait \u00eatre utilis\u00e9 par un acteur mena\u00e7ant pour voler les informations d&#8217;identification secr\u00e8tes du cluster.<\/p>\n<p>Les vuln\u00e9rabilit\u00e9s sont les suivantes &#8211; <\/p>\n<ul>\n<li><a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2022-4886\" target=\"_blank\"><strong>CVE-2022-4886<\/strong><\/a>  (score CVSS : 8,8) &#8211; <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/kubernetes\/ingress-nginx\" target=\"_blank\">Entr\u00e9e-nginx<\/a> la d\u00e9sinfection du chemin peut \u00eatre contourn\u00e9e pour obtenir les informations d&#8217;identification du contr\u00f4leur ingress-nginx<\/li>\n<li><a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2023-5043\" target=\"_blank\"><strong>CVE-2023-5043<\/strong><\/a>  (score CVSS : 7,6) &#8211; L&#8217;injection d&#8217;annotations Ingress-nginx provoque l&#8217;ex\u00e9cution de commandes arbitraires<\/li>\n<li><a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2023-5044\" target=\"_blank\"><strong>CVE-2023-5044<\/strong><\/a>  (score CVSS : 7,6) &#8211; Injection de code via l&#8217;annotation nginx.ingress.kubernetes.io\/permanent-redirect<\/li>\n<\/ul>\n<p>&#8220;Ces vuln\u00e9rabilit\u00e9s permettent \u00e0 un attaquant qui peut contr\u00f4ler la configuration de l&#8217;objet Ingress de voler les informations d&#8217;identification secr\u00e8tes du cluster&#8221;, Ben Hirschberg, CTO et co-fondateur de la plateforme de s\u00e9curit\u00e9 Kubernetes ARMO, <a rel=\"nofollow noopener\" href=\"https:\/\/www.armosec.io\/blog\/cve-2023-5043-nginx-ingress\/\" target=\"_blank\">dit<\/a> de CVE-2023-5043 et CVE-2023-5044.<\/p>\n<p>Une exploitation r\u00e9ussie de ces failles pourrait permettre \u00e0 un adversaire d\u2019injecter du code arbitraire dans le processus du contr\u00f4leur d\u2019entr\u00e9e et d\u2019obtenir un acc\u00e8s non autoris\u00e9 \u00e0 des donn\u00e9es sensibles.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/cis-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/10\/1696132289_209_Les-Bing-Chat-Ads-de-Microsoft-alimentees-par-lIA-peuvent.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>CVE-2022-4886, r\u00e9sultat d&#8217;un manque de validation dans le &#8220;spec.rules[].http.chemins[].path&#8221;, permet \u00e0 un attaquant ayant acc\u00e8s \u00e0 l&#8217;objet Ingress de siphonner les informations d&#8217;identification de l&#8217;API Kubernetes du contr\u00f4leur d&#8217;entr\u00e9e.<\/p>\n<p>&#8220;Dans le <a rel=\"nofollow noopener\" href=\"https:\/\/kubernetes.io\/docs\/concepts\/services-networking\/ingress\/\" target=\"_blank\">Objet d&#8217;entr\u00e9e<\/a>&#8220;, l&#8217;op\u00e9rateur peut d\u00e9finir quel chemin HTTP entrant est achemin\u00e9 vers quel chemin interne&#8221;, a not\u00e9 Hirschberg. &#8220;L&#8217;application vuln\u00e9rable ne v\u00e9rifie pas correctement la validit\u00e9 du chemin interne et peut pointer vers le fichier interne qui contient le jeton de compte de service qui est les informations d&#8217;identification du client pour l&#8217;authentification aupr\u00e8s du serveur API.&#8221;<\/p>\n<p>En l&#8217;absence de correctifs, les responsables du logiciel ont publi\u00e9 des mesures d&#8217;att\u00e9nuation qui impliquent d&#8217;activer l&#8217;option &#8220;strict-validate-path-type&#8221; et de d\u00e9finir l&#8217;indicateur &#8211;enable-annotation-validation pour emp\u00eacher la cr\u00e9ation d&#8217;objets Ingress avec des caract\u00e8res non valides et imposer des restrictions suppl\u00e9mentaires.<\/p>\n<p>ARMO a d\u00e9clar\u00e9 que la mise \u00e0 jour de NGINX vers la version 1.19, ainsi que l&#8217;ajout de la configuration de ligne de commande &#8220;&#8211;enable-annotation-validation&#8221;, r\u00e9sout CVE-2023-5043 et CVE-2023-5044.<\/p>\n<p>&#8220;Bien qu&#8217;elles pointent dans des directions diff\u00e9rentes, toutes ces vuln\u00e9rabilit\u00e9s pointent vers le m\u00eame probl\u00e8me sous-jacent&#8221;, a d\u00e9clar\u00e9 Hirschberg.<\/p>\n<p>\u00ab\u00a0Le fait que les contr\u00f4leurs d&#8217;entr\u00e9e aient acc\u00e8s aux secrets TLS et \u00e0 l&#8217;API Kubernetes, de par leur conception, en fait des charges de travail avec une port\u00e9e de privil\u00e8ges \u00e9lev\u00e9e. De plus, comme il s&#8217;agit souvent de composants publics accessibles sur Internet, ils sont tr\u00e8s vuln\u00e9rables au trafic externe entrant dans le cluster par leur interm\u00e9diaire.\u00a0\u00bb<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/10\/urgent-new-security-flaws-discovered-in.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80230 octobre 2023\ue804R\u00e9dactionKubernetes \/ S\u00e9curit\u00e9 des serveurs Trois failles de s\u00e9curit\u00e9 de haute gravit\u00e9 non corrig\u00e9es ont \u00e9t\u00e9 divulgu\u00e9es dans le Contr\u00f4leur d&#8217;entr\u00e9e NGINX pour Kubernetes qui pourrait \u00eatre utilis\u00e9 par un acteur mena\u00e7ant pour voler les informations d&#8217;identification secr\u00e8tes du cluster. Les vuln\u00e9rabilit\u00e9s sont les suivantes &#8211; CVE-2022-4886 (score CVSS : 8,8) &#8211; Entr\u00e9e-nginx [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":993471,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[200292,4168,11628,4165,4161,200267,429,5857,2298,4806,30045,4159,4171,200271,200268,48256,120,200269,200270,185,1835,128318,4172,4169,4038,4166,4164],"class_list":["post-993470","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-sur-la-cybersecurite","tag-comment-pirater","tag-controleur","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cyberactualites","tag-dans","tag-decouvertes","tag-dentree","tag-failles","tag-kubernetes","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-logiciel-malveillant-rancongiciel","tag-mises-a-jour-sur-la-cybersecurite","tag-nginx","tag-nouvelles","tag-nouvelles-des-pirates","tag-nouvelles-sur-le-piratage","tag-pour","tag-securite","tag-securite-des-informations","tag-securite-informatique","tag-securite-internet","tag-urgent","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/993470","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=993470"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/993470\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/993471"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=993470"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=993470"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=993470"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}