Fragen? Antworten! Siehe auch: Alternativlos
Wiz Research discovered CVE-2025-1097, CVE-2025-1098, CVE-2025-24514 and CVE-2025-1974, a series of unauthenticated Remote Code Execution vulnerabilities in Ingress NGINX Controller for KubernetesWer meinen Vortrag über Self-Sandboxing oder meine Blog-Security-Architektur gesehen hat, wird sich erinnern, was ich zum Webserver sagte. Der sieht immer per Design alle durchgehenden Daten und ist daher immer Teil der TCB, d.h. ein Schaden darin ist per Definition ein Totalschaden.Da wir hier von dem Ingress Controller reden, der per Design an das Internet exponiert ist, und dann die Anfragen verteilen und validieren soll, ist das auch pre-auth und betrifft direkt den Rest des Clusters.
NGINX selbst ist nicht Schuld, nur der Ingress-Kram, der übrigens in Go geschrieben wurde. Insofern ist das auch eine schöne Lektion für Leute, die glauben, wenn sie ihren Scheiß in Go schreiben, ist der automatisch sicher.
Gemeldet wurden die Bugs im Januar und Kubernetes hatte am 7. Februar Patches. Seit dem lassen sie euch, ihre Kunden, am langen Arm verhungern.
Update: Go, nicht Rust.
Update: Hier eine Einordnung. Man muss den ingress controller nicht im Internet haben. Wenn das bei euch so konfiguriert ist, dann solltet ihr schnell handeln.