forum.opennet.ru - "Уязвимости в ingress-nginx, позволяющие скомпрометировать кластеры Kubernetes" (29)

"Уязвимости в ingress-nginx, позволяющие скомпрометировать кластеры Kubernetes"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Уязвимости в ingress-nginx, позволяющие скомпрометировать кластеры Kubernetes"	+/–
Сообщение от opennews (?), 06-Ноя-23, 09:26
В развиваемом проектом Kubernetes ingress-контроллере ingress-nginx выявлены три уязвимости, позволяющие в конфигурации по умолчанию получить доступ к настройкам объекта Ingress, в которых, среди прочего, хранятся и учётные данные для обращения к серверам Kubernetes, позволяющие получить привилегированный доступ к кластеру. Проблемы проявляются только в ingress-контроллере ingress-nginx от проекта Kubernetes и не затрагивает контроллер kubernetes-ingress, развиваемый разработчиками NGINX... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=60055
Ответить \| Правка \| Cообщить модератору

Оглавление

Красиво Ждём новых утечек из облачков Особенно там, где любят nginx , Tron is Whistling (?), 09:26 , 06-Ноя-23, (1)

Облака хмурые ожидаются обильные дожди из данных , Аноним (3), 09:37 , 06-Ноя-23, (3) +1

Темна вода во облацех , Аноним (14), 13:18 , 06-Ноя-23, (14) +2

Но сначала ждём ingress-angie, Самый умный из вас (?), 09:50 , 06-Ноя-23, (4) –2

Есть ингресс Контур Это более посконно, чем какой-то там angie , Аноним (14), 11:51 , 06-Ноя-23, (6) +1

Это где такие Держать nginx с modsecurity и скриптами на lua, которые позволяют , Аноним (14), 11:50 , 06-Ноя-23, (5) +3

А, понятно По ссылке - типовой наброс от F5 разработчика конкурирующего ингрес, Аноним (14), 11:55 , 06-Ноя-23, (7) +1

Ну хочешь пользоваться дырявой версией, только чтоб не кормить F5 - пользуйся ды, похнапоха. (?), 12:12 , 06-Ноя-23, (8) –5

да откуда такой уродец возьмется И как он работать будет, это ж п-ц тормоз Ска, пох. (?), 12:35 , 06-Ноя-23, (9) –3

Иногда лучше жевать, чем говорить ingress-nginx - и есть тот уродец с modsecurit, Аноним (14), 13:16 , 06-Ноя-23, (13) +1

оно не включено ж пока сам не попросишь выключеном , пох. (?), 13:53 , 06-Ноя-23, (15)
сподвигся все ж глянуть исходники - не, enable-modsecurity надо вручную включить, пох. (?), 17:19 , 06-Ноя-23, (22)

Это Apisix называется Хорошая штука Кастомный ингресс-контроллер от вендора обы, rmh (?), 14:06 , 06-Ноя-23, (17)

Да и Kong-gateway - это тот же nginx обмазанный lua-скриптами, Аноним (28), 07:26 , 08-Ноя-23, (28)

Скрыто модератором, Аноним (3), 09:34 , 06-Ноя-23, (2) –4

Скрыто модератором, пох. (?), 12:38 , 06-Ноя-23, (10)

самая важная фраза написана в конце Для осуществления атаки злоумышленник долже, Аноним (11), 12:49 , 06-Ноя-23, (11) +5

позвал аутсорсера пилить какой-нибудь очень нужный и полезный вебчяяятик, дал ем, пох. (?), 13:57 , 06-Ноя-23, (16) +1

если такой бардак в организации и лайфциклах учеток проектов, то тут ничего не с, A7exius (?), 14:19 , 06-Ноя-23, (18) +3

ну у тебя-то в подвальчике конечно нет бардака , пох. (?), 14:55 , 06-Ноя-23, (19) –1

ничего, девляпс и прод на разных куберах поставят , Sw00p aka Jerom (?), 15:26 , 06-Ноя-23, (20)

unreal жеж - cocococontinuous desintegration жеж или как там ее разные куски п, пох. (?), 16:03 , 06-Ноя-23, (21)

Это верно для обычных легаси инфраструктур, которые так любят специалисты в с, Легивон (?), 11:46 , 07-Ноя-23, (25)

Пользуешься ансиблом и тратишь время на то, что называется non-differentiating w, Аноним (27), 20:08 , 07-Ноя-23, (27) +1

чатыре прожекта и куча ансибельного мусора присыпанного тераформом это такой, пох. (?), 20:36 , 08-Ноя-23, (30)

А что хороший прод по твоему Инструкция как правильно делать мышковозюк из 500 , Легивон (?), 17:18 , 09-Ноя-23, (33)

Ты, дядя, давай посуществу и без общих фраз Чем мой запуск ансибла тераформ пр, Легивон (?), 17:30 , 09-Ноя-23, (35)

а лишние ресурсы для всего б-ского цирка - при этом возьмутся из возд облачка, пох. (?), 20:34 , 08-Ноя-23, (29)

Если не использовать aws и или православные духоскрепные селектелы , а вместо н, Легивон (?), 17:21 , 09-Ноя-23, (34)

Сообщения [Сортировка по времени | RSS]

1. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..." +/–

Сообщение от Tron is Whistling (?), 06-Ноя-23, 09:26

Красиво. Ждём новых утечек из облачков. Особенно там, где любят nginx.

Ответить | Правка | Наверх | Cообщить модератору

3. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..." +1 +/–

Сообщение от Аноним (3), 06-Ноя-23, 09:37

Облака хмурые ожидаются обильные дожди из данных.

Ответить | Правка | Наверх | Cообщить модератору

14. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..." +2 +/–

Сообщение от Аноним (14), 06-Ноя-23, 13:18

Темна вода во облацех.

Ответить | Правка | Наверх | Cообщить модератору

4. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..." –2 +/–

Сообщение от Самый умный из вас (?), 06-Ноя-23, 09:50

Но сначала ждём ingress-angie

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

6. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..." +1 +/–

Сообщение от Аноним (14), 06-Ноя-23, 11:51

Есть ингресс "Контур". Это более посконно, чем какой-то там angie.

Ответить | Правка | Наверх | Cообщить модератору

5. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..." +3 +/–

Сообщение от Аноним (14), 06-Ноя-23, 11:50

> Красиво. Ждём новых утечек из облачков. Особенно там, где любят nginx.
Это где такие?
Держать nginx с modsecurity и скриптами на lua, которые позволяют не очень сильно лажать при обновлении списка апстримов - это дофига дорого и накладно. А бизнес деньги считать умеет.
Поэтому практически все облачные кубики нынче идут с кастомным ингресс-контроллером от вендора, обычно на базе envoy.
Не говоря уже о том, что про "дыру" с возможностью подставлять куски конфига в проекте говорят уже года два. Но и не убирают ее полностью, потому что гибкости настроек средствами ingress часто не хватает, а пытаться реализовать поверх nginx gateway api - психов нет.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

7. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..." +1 +/–

Сообщение от Аноним (14), 06-Ноя-23, 11:55

> Не говоря уже о том, что про "дыру" с возможностью подставлять куски конфига в проекте говорят уже года два.
А, понятно. По ссылке - типовой наброс от F5 (разработчика конкурирующего ингресса), которые рвут баян, пытаясь поднять себе прибыли.

Ответить | Правка | Наверх | Cообщить модератору

8. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..." –5 +/–

Сообщение от похнапоха. (?), 06-Ноя-23, 12:12

Ну хочешь пользоваться дырявой версией, только чтоб не кормить F5 - пользуйся дырявой, твои юзеры скажут тебе спасибо, что не накормил корпорастов.

Ответить | Правка | Наверх | Cообщить модератору

9. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..." –3 +/–

Сообщение от пох. (?), 06-Ноя-23, 12:35

> Держать nginx с modsecurity и скриптами на lua
да откуда такой уродец возьмется? И как он работать будет, это ж п-ц тормоз. Сказали вам - ingres-nginx, вот его и ставим побыстрому, девляпляпляпляпляп! cubectl apply прям с raw.гитхап.помойку.цоп (все бандерлоги так делают - это инструкция непосредственно k8s)
Нет там никакого модсекьюрити и быть не может - кто его должен настраивать, отлаживать, следить за актуальностью правил, ты что-ли? А ну веслай быстрей!
> Не говоря уже о том, что про "дыру" с возможностью подставлять куски конфига в проекте говорят
> уже года два.
но вставлять куски конфига надо, поэтому дыра всегда будет с нами.
> Поэтому практически все облачные кубики нынче идут с кастомным ингресс-контроллером от вендора
А у вендора не такие же веслатели, а какие-то другие, ога.
Ну хорошо если им случайно первым попался envoy...хотя стоп...тоже нет.

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

13. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..." +1 +/–

Сообщение от Аноним (14), 06-Ноя-23, 13:16

> да откуда такой уродец возьмется? И как он работать будет, это ж п-ц тормоз. Сказали вам - ingres-nginx
Иногда лучше жевать, чем говорить.
ingress-nginx - и есть тот уродец с modsecurity и lua.
Кстати, о том, что там вообще есть modsecurity, счастливые пользователи случайно узнали пару лет назад, когда оно начало дико течь по памяти из-за бага в этом модуле.

Ответить | Правка | Наверх | Cообщить модератору

15. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..." +/–

Сообщение от пох. (?), 06-Ноя-23, 13:53

оно не включено ж пока сам не попросишь.
> Кстати, о том, что там вообще есть modsecurity, счастливые пользователи случайно узнали пару лет
> назад, когда оно начало дико течь по памяти из-за бага в этом модуле.
выключеном?!

Ответить | Правка | Наверх | Cообщить модератору

22. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..." +/–

Сообщение от пох. (?), 06-Ноя-23, 17:19

сподвигся все ж глянуть исходники - не, enable-modsecurity надо вручную включить догадаться.
Иначе не только не включается, а даже и не загружается. Хз как оно при этом могло что-то портить.
А вот lua таки да.

Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

17. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..." +/–

Сообщение от rmh (?), 06-Ноя-23, 14:06

>Держать nginx с modsecurity и скриптами на lua, которые позволяют не очень сильно лажать при обновлении списка апстримов - это дофига дорого и накладно
Это Apisix называется. Хорошая штука.
Кастомный ингресс-контроллер от вендора обычно мало чего умеет.

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

28. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..." +/–

Сообщение от Аноним (28), 08-Ноя-23, 07:26

Да и Kong-gateway - это тот же nginx обмазанный lua-скриптами

Ответить | Правка | Наверх | Cообщить модератору

2. Скрыто модератором –4 +/–

Сообщение от Аноним (3), 06-Ноя-23, 09:34

Как так молодняк на гоу пишет дыры, может им всё таки нужна помощь дедов на Си, а то гошники не вывозят.

Ответить | Правка | Наверх | Cообщить модератору

10. Скрыто модератором +/–

Сообщение от пох. (?), 06-Ноя-23, 12:38

> Как так молодняк на гоу пишет дыры,
Да нормально пишет. И вообще не дыра а технологическое отверстие - как еще изменить поведение чортова контроллера не лазя ему внутрь? Ну лаз оказался немного широковат и через него залезли еще и те, другие васяны. Подумаешь, проблема.
> может им всё таки нужна помощь дедов на Си, а то гошники не вывозят.
зачем, сами ж справляются.
А деды пиццей пока поторгуют - и прибыльней, и спокойней, и сытая старость гарантирована.

Ответить | Правка | Наверх | Cообщить модератору

11. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..." +5 +/–

Сообщение от Аноним (11), 06-Ноя-23, 12:49

самая важная фраза написана в конце:
"Для осуществления атаки злоумышленник должен иметь доступ к конфигурации ingress-объекта"

Ответить | Правка | Наверх | Cообщить модератору

16. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..." +1 +/–

Сообщение от пох. (?), 06-Ноя-23, 13:57

> самая важная фраза написана в конце:
> "Для осуществления атаки злоумышленник должен иметь доступ к конфигурации ingress-объекта"
позвал аутсорсера пилить какой-нибудь очень нужный и полезный вебчяяятик, дал ему отдельное пространство, поскольку оно никак вообще не связано с основным сервисом, и забыл про него. А оно - вот... тем более что аутсорсер тоже модный парниша и все свои наработки держит на гитхапе и гитляпе, прям с токенами и паролями от всей инфраструктуры, инфраструктурка жеж in cococode, my ass!
А независимый кластер каждому васяну с чятиком не только лишь все могут себе позволить.

Ответить | Правка | Наверх | Cообщить модератору

18. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..." +3 +/–

Сообщение от A7exius (?), 06-Ноя-23, 14:19

если такой бардак в организации и лайфциклах учеток\проектов, то тут ничего не спасёт, рано или поздно придется огребать

Ответить | Правка | Наверх | Cообщить модератору

19. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..." –1 +/–

Сообщение от пох. (?), 06-Ноя-23, 14:55

ну у тебя-то в подвальчике конечно нет бардака.

Ответить | Правка | Наверх | Cообщить модератору

20. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..." +/–

Сообщение от Sw00p aka Jerom (?), 06-Ноя-23, 15:26

ничего, девляпс и прод на разных куберах поставят :)

Ответить | Правка | Наверх | Cообщить модератору

21. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..." +/–

Сообщение от пох. (?), 06-Ноя-23, 16:03

unreal жеж - cocococontinuous desintegration жеж (или как там ее?)
разные куски прода в разных кластерах - только потому что изоляция, которая вообще говоря предусмотрена и именно для этого и неймспейсы - как обычно не изоляция? Ну оооок, давайте не будем им мешать и просто понаблюдаем за ними. Только гуаноупорный плащик поправьте и капюшончик пониже надвиньте, а то сейчас ваше недоверие лопнет и забрызгает вот... меня и товарищей прессу.

Ответить | Правка | Наверх | Cообщить модератору

25. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..." +/–

Сообщение от Легивон (?), 07-Ноя-23, 11:46

>А независимый кластер каждому васяну с чятиком не только лишь все могут себе позволить.
Это верно... для обычных легаси инфраструктур, которые так любят специалисты в свитере с оленем с сальными волосами и кусками вчеравшей недоеденой еды в слипшейся бороде (впрочем возможно это и не еда). И их можно понять, ведь это и правда трудно пройтись руками/мышковазюком и безошибочно воссоздать штук 200 сущностей во всевозможных консольках и "оснастках".
В девопс же мире все просто. Надо кластер - взял готовые тераформ шаблоны, подставил хостнеймы и катанул. И поверх этого еще катанул ансиблом kubespray, так же практически без изменений от базового шаблона.
Я именно так и катаю, только у меня шаблоны тераформа генерируются из ансибла, а помимо kubespray ансиблом качу еще базовые k8s сервисы: ingress, prometheus, vector. У меня 4 проекта и 10 кластеров (и это еще мало, просто на все не хватает времени, вот например собираюсь для безопасности вынести все задачи сборки образов в отдельный кластер с kata containers, чтобы не пересекаться с инфраструктурой на которой люди могут выполнять код). ЧЯДН?

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

27. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..." +1 +/–

Сообщение от Аноним (27), 07-Ноя-23, 20:08

> ЧЯДН?
Пользуешься ансиблом и тратишь время на то, что называется non-differentiating work. Создание k8s кластера — это пара вызовов API, скучно до зевоты. Городить ради этого какую-то кодогенерацию на, прямо скажем, весьма убогом инструментарии типа ансибла — занятие для операторов высоконагруженных локалхостов. То, что тебе этим в проде приходится заниматься весьма печально.

Ответить | Правка | Наверх | Cообщить модератору

30. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..." +/–

Сообщение от пох. (?), 08-Ноя-23, 20:36

> То, что тебе этим в проде приходится заниматься весьма печально.
"чатыре прожекта" (и куча ансибельного мусора присыпанного тераформом) это такой себе, знаешь, "прод".

Ответить | Правка | Наверх | Cообщить модератору

33. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..." +/–

Сообщение от Легивон (?), 09-Ноя-23, 17:18

А что хороший прод по твоему? Инструкция как правильно делать мышковозюк из 500 шагов?

Ответить | Правка | Наверх | Cообщить модератору

35. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..." +/–

Сообщение от Легивон (?), 09-Ноя-23, 17:30

Ты, дядя, давай посуществу и без общих фраз.
Чем мой запуск ансибла + тераформ принципиально отличается от запуска eks cli (Или че ты там запускаешь. Давно этой оверпрайснутой помоечкой не пользовался. Помню года 4 назад, голый БЕЗ НОД eks кластер стоил 200$ в месяц. А в хецнере за такие деньги можно было взять 3 машины уровня 8 ядер / 16 гигов). Это считай такое же дергание 2 "апишек". Что не так то? АПИшка не проприетарная и не вендорлокнутая? Плохо что я не плачу твоему господину Безосу?

Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору

29. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..." +/–

Сообщение от пох. (?), 08-Ноя-23, 20:34

> В девопс же мире все просто. Надо кластер - взял готовые тераформ шаблоны, подставил хостнеймы и
> катанул.
а лишние ресурсы для всего б-ского цирка - при этом возьмутся из возд... облачка.
Ну ок. Только учти что когда-то кто-то может и проверить счета от aws.

Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

34. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..." +/–

Сообщение от Легивон (?), 09-Ноя-23, 17:21

Если не использовать aws и/или православные духоскрепные "селектелы", а вместо них использовать собственное железо - то ресурсы не дорогие.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..."	+/–
Сообщение от Tron is Whistling (?), 06-Ноя-23, 09:26
Красиво. Ждём новых утечек из облачков. Особенно там, где любят nginx.
Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..."	+1 +/–
	Сообщение от Аноним (3), 06-Ноя-23, 09:37
	Облака хмурые ожидаются обильные дожди из данных.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	14. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..."	+2 +/–
	Сообщение от Аноним (14), 06-Ноя-23, 13:18
	Темна вода во облацех.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..."	–2 +/–
	Сообщение от Самый умный из вас (?), 06-Ноя-23, 09:50
	Но сначала ждём ingress-angie
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	6. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..."	+1 +/–
	Сообщение от Аноним (14), 06-Ноя-23, 11:51
	Есть ингресс "Контур". Это более посконно, чем какой-то там angie.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..."	+3 +/–
	Сообщение от Аноним (14), 06-Ноя-23, 11:50
	> Красиво. Ждём новых утечек из облачков. Особенно там, где любят nginx. Это где такие? Держать nginx с modsecurity и скриптами на lua, которые позволяют не очень сильно лажать при обновлении списка апстримов - это дофига дорого и накладно. А бизнес деньги считать умеет. Поэтому практически все облачные кубики нынче идут с кастомным ингресс-контроллером от вендора, обычно на базе envoy. Не говоря уже о том, что про "дыру" с возможностью подставлять куски конфига в проекте говорят уже года два. Но и не убирают ее полностью, потому что гибкости настроек средствами ingress часто не хватает, а пытаться реализовать поверх nginx gateway api - психов нет.
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	7. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..."	+1 +/–
	Сообщение от Аноним (14), 06-Ноя-23, 11:55
	> Не говоря уже о том, что про "дыру" с возможностью подставлять куски конфига в проекте говорят уже года два. А, понятно. По ссылке - типовой наброс от F5 (разработчика конкурирующего ингресса), которые рвут баян, пытаясь поднять себе прибыли.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..."	–5 +/–
	Сообщение от похнапоха. (?), 06-Ноя-23, 12:12
	Ну хочешь пользоваться дырявой версией, только чтоб не кормить F5 - пользуйся дырявой, твои юзеры скажут тебе спасибо, что не накормил корпорастов.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..."	–3 +/–
	Сообщение от пох. (?), 06-Ноя-23, 12:35
	> Держать nginx с modsecurity и скриптами на lua да откуда такой уродец возьмется? И как он работать будет, это ж п-ц тормоз. Сказали вам - ingres-nginx, вот его и ставим побыстрому, девляпляпляпляпляп! cubectl apply прям с raw.гитхап.помойку.цоп (все бандерлоги так делают - это инструкция непосредственно k8s) Нет там никакого модсекьюрити и быть не может - кто его должен настраивать, отлаживать, следить за актуальностью правил, ты что-ли? А ну веслай быстрей! > Не говоря уже о том, что про "дыру" с возможностью подставлять куски конфига в проекте говорят > уже года два. но вставлять куски конфига надо, поэтому дыра всегда будет с нами. > Поэтому практически все облачные кубики нынче идут с кастомным ингресс-контроллером от вендора А у вендора не такие же веслатели, а какие-то другие, ога. Ну хорошо если им случайно первым попался envoy...хотя стоп...тоже нет.
	Ответить \| Правка \| К родителю #5 \| Наверх \| Cообщить модератору


	13. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..."	+1 +/–
	Сообщение от Аноним (14), 06-Ноя-23, 13:16
	> да откуда такой уродец возьмется? И как он работать будет, это ж п-ц тормоз. Сказали вам - ingres-nginx Иногда лучше жевать, чем говорить. ingress-nginx - и есть тот уродец с modsecurity и lua. Кстати, о том, что там вообще есть modsecurity, счастливые пользователи случайно узнали пару лет назад, когда оно начало дико течь по памяти из-за бага в этом модуле.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	15. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..."	+/–
	Сообщение от пох. (?), 06-Ноя-23, 13:53
	оно не включено ж пока сам не попросишь. > Кстати, о том, что там вообще есть modsecurity, счастливые пользователи случайно узнали пару лет > назад, когда оно начало дико течь по памяти из-за бага в этом модуле. выключеном?!
	Ответить \| Правка \| Наверх \| Cообщить модератору


	22. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..."	+/–
	Сообщение от пох. (?), 06-Ноя-23, 17:19
	сподвигся все ж глянуть исходники - не, enable-modsecurity надо вручную включить догадаться. Иначе не только не включается, а даже и не загружается. Хз как оно при этом могло что-то портить. А вот lua таки да.
	Ответить \| Правка \| К родителю #13 \| Наверх \| Cообщить модератору


	17. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..."	+/–
	Сообщение от rmh (?), 06-Ноя-23, 14:06
	>Держать nginx с modsecurity и скриптами на lua, которые позволяют не очень сильно лажать при обновлении списка апстримов - это дофига дорого и накладно Это Apisix называется. Хорошая штука. Кастомный ингресс-контроллер от вендора обычно мало чего умеет.
	Ответить \| Правка \| К родителю #5 \| Наверх \| Cообщить модератору


	28. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..."	+/–
	Сообщение от Аноним (28), 08-Ноя-23, 07:26
	Да и Kong-gateway - это тот же nginx обмазанный lua-скриптами
	Ответить \| Правка \| Наверх \| Cообщить модератору

2. Скрыто модератором	–4 +/–
Сообщение от Аноним (3), 06-Ноя-23, 09:34
Как так молодняк на гоу пишет дыры, может им всё таки нужна помощь дедов на Си, а то гошники не вывозят.
Ответить \| Правка \| Наверх \| Cообщить модератору


	10. Скрыто модератором	+/–
	Сообщение от пох. (?), 06-Ноя-23, 12:38
	> Как так молодняк на гоу пишет дыры, Да нормально пишет. И вообще не дыра а технологическое отверстие - как еще изменить поведение чортова контроллера не лазя ему внутрь? Ну лаз оказался немного широковат и через него залезли еще и те, другие васяны. Подумаешь, проблема. > может им всё таки нужна помощь дедов на Си, а то гошники не вывозят. зачем, сами ж справляются. А деды пиццей пока поторгуют - и прибыльней, и спокойней, и сытая старость гарантирована.
	Ответить \| Правка \| Наверх \| Cообщить модератору

11. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..."	+5 +/–
Сообщение от Аноним (11), 06-Ноя-23, 12:49
самая важная фраза написана в конце: "Для осуществления атаки злоумышленник должен иметь доступ к конфигурации ingress-объекта"
Ответить \| Правка \| Наверх \| Cообщить модератору


	16. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..."	+1 +/–
	Сообщение от пох. (?), 06-Ноя-23, 13:57
	> самая важная фраза написана в конце: > "Для осуществления атаки злоумышленник должен иметь доступ к конфигурации ingress-объекта" позвал аутсорсера пилить какой-нибудь очень нужный и полезный вебчяяятик, дал ему отдельное пространство, поскольку оно никак вообще не связано с основным сервисом, и забыл про него. А оно - вот... тем более что аутсорсер тоже модный парниша и все свои наработки держит на гитхапе и гитляпе, прям с токенами и паролями от всей инфраструктуры, инфраструктурка жеж in cococode, my ass! А независимый кластер каждому васяну с чятиком не только лишь все могут себе позволить.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	18. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..."	+3 +/–
	Сообщение от A7exius (?), 06-Ноя-23, 14:19
	если такой бардак в организации и лайфциклах учеток\проектов, то тут ничего не спасёт, рано или поздно придется огребать
	Ответить \| Правка \| Наверх \| Cообщить модератору


	19. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..."	–1 +/–
	Сообщение от пох. (?), 06-Ноя-23, 14:55
	ну у тебя-то в подвальчике конечно нет бардака.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	20. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..."	+/–
	Сообщение от Sw00p aka Jerom (?), 06-Ноя-23, 15:26
	ничего, девляпс и прод на разных куберах поставят :)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	21. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..."	+/–
	Сообщение от пох. (?), 06-Ноя-23, 16:03
	unreal жеж - cocococontinuous desintegration жеж (или как там ее?) разные куски прода в разных кластерах - только потому что изоляция, которая вообще говоря предусмотрена и именно для этого и неймспейсы - как обычно не изоляция? Ну оооок, давайте не будем им мешать и просто понаблюдаем за ними. Только гуаноупорный плащик поправьте и капюшончик пониже надвиньте, а то сейчас ваше недоверие лопнет и забрызгает вот... меня и товарищей прессу.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	25. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..."	+/–
	Сообщение от Легивон (?), 07-Ноя-23, 11:46
	>А независимый кластер каждому васяну с чятиком не только лишь все могут себе позволить. Это верно... для обычных легаси инфраструктур, которые так любят специалисты в свитере с оленем с сальными волосами и кусками вчеравшей недоеденой еды в слипшейся бороде (впрочем возможно это и не еда). И их можно понять, ведь это и правда трудно пройтись руками/мышковазюком и безошибочно воссоздать штук 200 сущностей во всевозможных консольках и "оснастках". В девопс же мире все просто. Надо кластер - взял готовые тераформ шаблоны, подставил хостнеймы и катанул. И поверх этого еще катанул ансиблом kubespray, так же практически без изменений от базового шаблона. Я именно так и катаю, только у меня шаблоны тераформа генерируются из ансибла, а помимо kubespray ансиблом качу еще базовые k8s сервисы: ingress, prometheus, vector. У меня 4 проекта и 10 кластеров (и это еще мало, просто на все не хватает времени, вот например собираюсь для безопасности вынести все задачи сборки образов в отдельный кластер с kata containers, чтобы не пересекаться с инфраструктурой на которой люди могут выполнять код). ЧЯДН?
	Ответить \| Правка \| К родителю #16 \| Наверх \| Cообщить модератору


	27. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..."	+1 +/–
	Сообщение от Аноним (27), 07-Ноя-23, 20:08
	> ЧЯДН? Пользуешься ансиблом и тратишь время на то, что называется non-differentiating work. Создание k8s кластера — это пара вызовов API, скучно до зевоты. Городить ради этого какую-то кодогенерацию на, прямо скажем, весьма убогом инструментарии типа ансибла — занятие для операторов высоконагруженных локалхостов. То, что тебе этим в проде приходится заниматься весьма печально.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	30. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..."	+/–
	Сообщение от пох. (?), 08-Ноя-23, 20:36
	> То, что тебе этим в проде приходится заниматься весьма печально. "чатыре прожекта" (и куча ансибельного мусора присыпанного тераформом) это такой себе, знаешь, "прод".
	Ответить \| Правка \| Наверх \| Cообщить модератору


	33. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..."	+/–
	Сообщение от Легивон (?), 09-Ноя-23, 17:18
	А что хороший прод по твоему? Инструкция как правильно делать мышковозюк из 500 шагов?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	35. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..."	+/–
	Сообщение от Легивон (?), 09-Ноя-23, 17:30
	Ты, дядя, давай посуществу и без общих фраз. Чем мой запуск ансибла + тераформ принципиально отличается от запуска eks cli (Или че ты там запускаешь. Давно этой оверпрайснутой помоечкой не пользовался. Помню года 4 назад, голый БЕЗ НОД eks кластер стоил 200$ в месяц. А в хецнере за такие деньги можно было взять 3 машины уровня 8 ядер / 16 гигов). Это считай такое же дергание 2 "апишек". Что не так то? АПИшка не проприетарная и не вендорлокнутая? Плохо что я не плачу твоему господину Безосу?
	Ответить \| Правка \| К родителю #27 \| Наверх \| Cообщить модератору


	29. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..."	+/–
	Сообщение от пох. (?), 08-Ноя-23, 20:34
	> В девопс же мире все просто. Надо кластер - взял готовые тераформ шаблоны, подставил хостнеймы и > катанул. а лишние ресурсы для всего б-ского цирка - при этом возьмутся из возд... облачка. Ну ок. Только учти что когда-то кто-то может и проверить счета от aws.
	Ответить \| Правка \| К родителю #25 \| Наверх \| Cообщить модератору


	34. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..."	+/–
	Сообщение от Легивон (?), 09-Ноя-23, 17:21
	Если не использовать aws и/или православные духоскрепные "селектелы", а вместо них использовать собственное железо - то ресурсы не дорогие.
	Ответить \| Правка \| Наверх \| Cообщить модератору