Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Уязвимости в ingress-nginx, позволяющие выполнить код и захватить управление кластерами Kubernetes"	+/–
Сообщение от opennews (??), 25-Мрт-25, 14:27
В развиваемом проектом Kubernetes ingress-контроллере ingress-nginx выявлены четыре уязвимости, позволяющие  добиться выполнения своего кода на серверах облачных систем, использующих платформу Kubernete, и получить полный привилегированный доступ к кластеру Kubernete. Проблемам присвоен критический уровень опасности (9.8 из 10). Выявившие проблемы исследователи присвоили уязвимостям кодовое имя  IngressNightmare и отметили, что уязвимости затрагивают около 43% облачных окружений.  Уязвимости устранены в версиях ingress-nginx 1.11.5 и 1.12.1... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=62946
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 25-Мрт-25, 14:27	–24 +/–
кто-то использует софт без сертификата фстек?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #8, #32, #45, #59

3. Сообщение от bdrbt (ok), 25-Мрт-25, 14:33	+1 +/–
Вот это дырень! Особенно если учитывать, что под капотом многих cloud-решений тот же кубер c nginx-ингресом, только "сбоку брэндовый шильдик", кажется там не 43%. Даже если с него нельзя будет провалиться внутрь всего кластера, всётаки ингрес считается "серым" ресурсом, и его пускают только туда куда можно, но у многих на нём http2, quic и тому подобные https даунгрейдится в http1.1 вобщем будем посмотреть чем это всё закончится.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #29

4. Сообщение от Аноним (-), 25-Мрт-25, 14:36	–2 +/–
>  при обработке больших запросов nginx сохраняет тело запроса > во временном файле, который сразу удаляется, но в файловой > системе "/proc" для этого файла остаётся открытый файловый > дескриптор. Haha. Classic. Как не умели в RAII так и не умеют.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #5, #6, #22

5. Сообщение от мимо проходил (?), 25-Мрт-25, 14:47	+/–
А где вы тут отсутствие RAII увидели ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #30

6. Сообщение от Аноним (6), 25-Мрт-25, 14:53	+1 +/–
Научи нас, о великий гуру RAII, озари нас своей мудростью
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #7

7. Сообщение от Аноним (-), 25-Мрт-25, 14:58	–5 +/–
> Научи нас, о великий гуру RAII, озари нас своей мудростью ну ладно, ладно, так и быть ВНЕМЛИТЕ! Когда файл вам уже не нужен - закройте файловый дескриптор!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #10, #39

8. Сообщение от Аноним (8), 25-Мрт-25, 15:01	+2 +/–
https://www.kommersant.ru/doc/7498300
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #73, #76

10. Сообщение от bdrbt (ok), 25-Мрт-25, 15:08	–1 +/–
> ВНЕМЛИТЕ! > Когда файл вам уже не нужен - закройте файловый дескриптор! А если он вам понадобится через секунду - умрите от того, что чьё-то кривое поделие сожрало все доступные дескрипторы, ок, ты в медицинском на патологоанатома учился?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #11, #86

11. Сообщение от Аноним (-), 25-Мрт-25, 15:10	+/–
> умрите от того, что чьё-то кривое поделие сожрало все доступные дескрипторы Ну конечно альтернатива в виде "атакующий может получить доступ к хранимым внутри pod-окружения параметрам, достаточным для управления всем кластером." намного лучше!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #14

14. Сообщение от bdrbt (ok), 25-Мрт-25, 15:21	+/–
>> умрите от того, что чьё-то кривое поделие сожрало все доступные дескрипторы > Ну конечно альтернатива в виде "атакующий может получить доступ к хранимым внутри > pod-окружения параметрам, достаточным для управления всем кластером." намного лучше! Ингрес - это просто реверс прокси всего кластера, вряд-ли там можно получить доступ ко всему кластеру, а вот устроить MitM - можно во все поля, и приватный ключ от сертификата угнать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #77

20. Сообщение от нах. (?), 25-Мрт-25, 15:38	+1 +/–
одно я не пойму - нах...я из дикого интернета надо принимать какие-то там детали конфигурации да еще и "проверять" автоматически?  (что, что тут может пойти не так?!) Это модный-современный-девляпс подход, инфраструктурка Ass in cocococode, конфигурация сервера сегодня передается вместе с формочкой, да? А виноват-то во всем конечно же nginx.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #23, #58, #82

22. Сообщение от Аноним (22), 25-Мрт-25, 15:55	+/–
тут не про RAII это делается чтобы файл не отсвечивал на диске, в т.ч. после падения
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

23. Сообщение от SubGun (ok), 25-Мрт-25, 16:10	+1 +/–
Никто и не принимает из интернета. Но обычно в компаниях несколько групп разработчиков, в том числе и удаленных. Ты же каждому отдельным кластер не выделяешь?!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #33, #43, #52

24. Сообщение от Аноним (24), 25-Мрт-25, 16:17	+1 +/–
> критический уровень опасности (9.8 из 10). А что не 10 из 10? Клоуны
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #46

25. Сообщение от Аноним (25), 25-Мрт-25, 16:18	+2 +/–
А на чём написан Ingress NGINX Controller for Kubernetes ? Go 87.6% Lua 7.5% Shell 2.8% Не на С.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #27, #38, #87

26. Сообщение от Аноним (26), 25-Мрт-25, 16:28	+/–
> Для проверки использования уязвимого ingress-nginx можно выполнить команду: >   kubectl get pods --all-namespaces --selector app.kubernetes.io/name=ingress-nginx Чё, реально покажет "уязвимый" контроллер? Хоть бы селектор по версии сделали...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #28, #34, #78

27. Сообщение от Аноним (27), 25-Мрт-25, 16:28	+4 +/–
Значит все врут. Го свят и защищает от всего.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

28. Сообщение от Аноним (27), 25-Мрт-25, 16:30	+1 +/–
Так уязвимость и оставят. Чтобы сохранить совместимость)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

29. Сообщение от penetrator (?), 25-Мрт-25, 16:33	+/–
под капотом облачных сред обычно KVM, а внутри виртуалки будет сидеть кубер и называться это будет чем-то вроде AKS и cluster management, хотя эта виртуализированная шляпа никогда не станет кластером, обычная оркестрация притом как мы видим дырявая, но это и логично, больше компонентов - больше векторов атаки
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #53

30. Сообщение от penetrator (?), 25-Мрт-25, 16:35	+1 +/–
Resource Acquisition Is Initialization or RAII, is a C++ programming technique which binds the life cycle of a resource that must be acquired before use (allocated heap memory, thread of execution, open socket, open file, locked mutex, disk space, database connection—anything that exists in limited supply) to the lifetime of an object. C точки зрения терминологии он вообщем-то прав. Другое дело, что его коментарий бесполезный. Гримасничает в чате и всё...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #35

32. Сообщение от Аноним (32), 25-Мрт-25, 16:55	+6 +/–
Как это вообще поможет? (Спойлер: Никак)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #37, #40, #62, #72, #79

33. Сообщение от нах. (?), 25-Мрт-25, 17:09	+1 +/–
> Никто и не принимает из интернета. а где у нас еще бывает ingres? Ну ок, что-то сугубовнутрикорпоративное, вместо интернета в сетку на десять тыщ сотрудников половины которой никто никогда кроме как на экране не видел (да и кто на тот экран смотрел-то) - чем лучше? > Но обычно в компаниях несколько групп разработчиков, в том числе и удаленных. Ты же > каждому отдельным кластер не выделяешь?! вообще-то именно что каждому проекту выделяем. Потому что multi-tenant в кубере... э... такоэ себе. Да и их битвы за ресурс пусть протекают под другим ковром, а не в нашей стойке.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

34. Сообщение от нах. (?), 25-Мрт-25, 17:16	+/–
>> Для проверки использования уязвимого ingress-nginx можно выполнить команду: >>   kubectl get pods --all-namespaces --selector app.kubernetes.io/name=ingress-nginx > Чё, реально покажет "уязвимый" контроллер? Хоть бы селектор по версии сделали... конечно покажет (и не один). Зачем тебе селектор, если они - все уязвимые? ;-) Тут намекают что надо на какой-нибудь caddy перелезать - типа, нет конфига, вот и нет дыры в его тестировании ;-)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #41

35. Сообщение от мимо проходил (?), 25-Мрт-25, 17:19	+4 +/–
Так там дескриптор не закрывается пока используется временный файл, т.е. пока этот самый дескриптор нужен. А после использования штатно закрывается. Полное соответствие RAII, если его сюда приклеить. А проблема в том, что любой открытый дескриптор виден в /proc/{PID|self}, даже если сам файл уже удалён. Т.е. проблема к RAII никакого отношения не имеет. Скорее это похоже на дыры в Java/C# из-за интроспекции "с бантиками".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #107

37. Сообщение от Ivan_83 (ok), 25-Мрт-25, 17:22	+4 +/–
Сертификат и правда был смешным ещё пару лет назад. Но теперь я с удивлением узнал что там вполне грамотные ребята которые требуют чтобы всякие фазинги реально делали и они даже способны отличить по выхлопу что реально рабочее от того что сделано для виду. В общем такими темпами серт реально станет знаком качества.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32 Ответы: #74, #84, #94

38. Сообщение от Аноним (38), 25-Мрт-25, 17:23	+2 +/–
Но и не на Rust. Вот и думайте.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

39. Сообщение от anonymous (??), 25-Мрт-25, 17:26	+/–
Файл нуженю Учитесь читать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

40. Сообщение от Аноним (40), 25-Мрт-25, 17:45	–2 +/–
Просто пробежаться опытным взглядом по процессу удаления временного файла. Стоп. Почему не удаляется дескриптор?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32 Ответы: #44

41. Сообщение от Аноним (26), 25-Мрт-25, 17:46	+1 +/–
Вообще концепция ингрессов в кубере уже объявлена устаревшей. Вместо неё GatewayAPI теперь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34 Ответы: #42

42. Сообщение от нах. (?), 25-Мрт-25, 17:49	+/–
> Вообще концепция ингрессов в кубере уже объявлена устаревшей. Вместо неё GatewayAPI теперь. теперь будем перед ним еще один nginx держать?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41

43. Сообщение от Аноним (40), 25-Мрт-25, 17:51	+/–
>несколько групп разработчиков Им всем надо иметь доступ на сервер с актуальными данными? Или они заранее написали дебаг версию инструментария под себя и выкатили в продакшан?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #68

44. Сообщение от нах. (?), 25-Мрт-25, 17:56	+4 +/–
> Просто пробежаться опытным взглядом по процессу удаления временного файла. Стоп. Почему > не удаляется дескриптор? потому что нужен. Местные эксперты не знают даже о типовой последовательности open/mkstemp & unlink и почему делается именно так?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40 Ответы: #63

45. Сообщение от myster (ok), 25-Мрт-25, 18:38	+7 +/–
Так ФСТЭК сертификаты часто выдают российским форкам открытых зарубежных аналогов, апстримы которых уже на несколько лет ушли вперед по версиям. Уже только этот факт означает, что в этих продуктах полно уязвимостей. К тому же эти российские крахоборы, закрывают исходный код, ведут разработку продукта закрыто и продают его по конским ценам. А даже если им платят за "поддержку" их поддержка мало в чём разбирается, чтобы помоч с проблемой.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #56

46. Сообщение от myster (ok), 25-Мрт-25, 18:48	+1 +/–
10 из 10 это когда заэксплойтить сможет кто угодно и пароль админки прям на главной странице
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

49. Сообщение от Аноним (49), 25-Мрт-25, 19:31	+/–
Вот это вкуснятину завезли, ещё и эксплуатируется легко, можно легко повторить в лабе и можно в путь!
Ответить | Правка | Наверх | Cообщить модератору

51. Сообщение от Аноним (51), 25-Мрт-25, 20:23	+/–
А вот я чуял неладное и всегда просил девопсов брать официальный nginx-овский kubernetes-ingress, хоть он и менее фичастый. Уж слишком там стремные костыли на lua-модуле. Не зря
Ответить | Правка | Наверх | Cообщить модератору

52. Сообщение от Аноним (52), 25-Мрт-25, 20:29	+1 +/–
> Никто и не принимает из интернета В исследовании таки говорится про 6500 кластеров, где admission выставлен в public internet. Тоже не понял, кто и зачем его выставляет, по умолчанию он не публикуется, конечно
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #54

53. Сообщение от Аноним (53), 25-Мрт-25, 20:30	–1 +/–
Бегаешь из треда в тред со своим уникальным определением смысла слова «кластер». Как, помогает? Всех уже переучил говорить на свой лад?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #65

54. Сообщение от нах. (?), 25-Мрт-25, 20:36	–1 +/–
и как им пользоваться тогда, неопубликованным?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52

55. Сообщение от Аноним (53), 25-Мрт-25, 20:39	+/–
> общедоступные уязвимые контроллеры с открытым для внешних запросов обработчиком Admission Дыра уровня дефолтной монги на 0.0.0.0 без пароля с большего. Вот откуда эти уязвимых 6500 кластеров взялись — вопрос куда более интересный. Не со StackOverflow накопипастили же? Алсо, сабж в проде — махровое эникейство. Сойдёт только для совсем уж непритязательных локалхостов.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #66

56. Сообщение от Ivan_83 (ok), 25-Мрт-25, 20:40	+1 +/–
> апстримы которых уже на несколько лет ушли вперед по версиям. Уже только этот факт означает, что в этих продуктах полно уязвимостей. Не означает вообще ни разу. Потому что и патчи можно бэкпортировать и вообще многое переписать нормально. У вас когнитивное искажение которое проявляется в том, что форки всегда отстают от того что считается официальным апстримом. Это далеко не так. Я форкнул sshfs пару лет назад и прилично его причесал внутри, отрефакторил. Апстрим ничего такого и близко не сделал, и изменения я им не засылал потому что мне не впёрлось тратить время на это. А ФСТЭК сейчас реально дрючит, по настоящему и за проверки анализаторами и чтобы фаззинг по настоящему делали и всякое остальное. Многим апстримам такое нафик не впёрлось и они это не делают сами.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45 Ответы: #57, #64, #85

57. Сообщение от 12yoexpert (ok), 25-Мрт-25, 21:08	–1 +/–
> Потому что и патчи можно бэкпортировать и вообще многое переписать нормально. на расте тоже можно проги с нуля писать, но этого почему-то никто не делает
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56

58. Сообщение от 12yoexpert (ok), 25-Мрт-25, 21:11	+/–
> Ass in cocococode судя по всему, это хинди, т.е. вы правы
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

59. Сообщение от Аноним (59), 25-Мрт-25, 21:11	–1 +/–
все у кого есть мозг. если мозга нет то можно с сертификатом фстек
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #75

61. Сообщение от 12yoexpert (ok), 25-Мрт-25, 21:13	–2 +/–
что там? опять кто-то в трёх ямлах заблудился?
Ответить | Правка | Наверх | Cообщить модератору

62. Сообщение от Аноним (-), 25-Мрт-25, 21:27	+/–
> Как это вообще поможет? (Спойлер: Никак) Зато у тебя будет не просто вулн - а сертифицированный.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

63. Сообщение от Аноним (63), 25-Мрт-25, 21:47	+/–
> потому что нужен.   Самый экспертный ответ из всех экспертных.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

64. Сообщение от Аноним (63), 25-Мрт-25, 21:50	+/–
> Потому что и патчи можно бэкпортировать и вообще многое переписать нормально. Фантазер. А про переписать нормально - фантазер в кубе.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56

65. Сообщение от penetrator (?), 25-Мрт-25, 23:19	+/–
учи терминологию
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53 Ответы: #101

66. Сообщение от нах. (?), 25-Мрт-25, 23:31	+1 +/–
> Не со StackOverflow накопипастили же? То есть как это - не? А откуда по-твоему мы копипастить-то должны?! Ну то есть напрямую со стека теперь только неудачники и ретрограды, конечно, нормальные пацаны спрашивают чатгопоту, но у той источник вдохновения ровно тот же самый. > Алсо, сабж в проде — махровое эникейство. Сойдёт только для совсем уж непритязательных > локалхостов. 6500 локалхостов. И еще наверное в десять раз больше таких у которых такой же ингрес но до admission они стековерфлов не дочитали, и он не включен.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55

67. Сообщение от Аноним (67), 25-Мрт-25, 23:34	+/–
Я правильно понимаю, что бы адмишен контроллеру чёт скормить нужно доступ в кластер с ролью create/edit для ингресс?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #83, #90

68. Сообщение от нах. (?), 25-Мрт-25, 23:35	+/–
> Им всем надо иметь доступ на сервер с актуальными данными? у нас конь. Тиниус дизинтегрейшн. У них доступа на сервер в принципе-то нет, а вот у ихнего my ass code - есть, а больше, как видишь, ничего и не надо было. Отдельно занимательно уточнить - многие ли могут себе позволить ДВА кластера для одного и того же прожекта, на одном разработчики а на другом...э... тоже разработчики но с "актуальными данными" - а не перемешаны в одном и том же и тестовые поды и прод.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43

69. Сообщение от Аноним (69), 25-Мрт-25, 23:52	–1 +/–
Как по мне это именно бага в nginx. В документации написано: -t — test the configuration file: nginx checks the configuration for correct syntax, and then tries to open files referred in the configuration. Т.е. проверка на синтаксис и попытка открытия файлов. Не сказано, что КОД из этих файлов БУДЕТ ИСПОЛНЯТЬСЯ. Да и не должен он запускаться. На то он и тест. Другой вопрос как полнее проверить настройки SSL не запуская код из библиотеки. Возможно никак.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #70, #91

70. Сообщение от Аноним (69), 25-Мрт-25, 23:54	+/–
Когда читал начало новости первым делом задумался - а не опасно ли в nginx передавать конфиг извне. Смотрю - это всего лишь для проверки синтаксиса. Ну думаю не опасно значит. Т.е. тут именно поведение nginx неожиданное.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #69

72. Сообщение от Аноним (73), 26-Мрт-25, 05:29	+1 +/–
ещё как поможет - ответственность переложена :-)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

73. Сообщение от Аноним (73), 26-Мрт-25, 05:29	+/–
это фичи
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

74. Сообщение от Аноним (73), 26-Мрт-25, 05:30	+/–
даже способны отличить по выхлопу сорт шила?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

75. Сообщение от Аноним (73), 26-Мрт-25, 05:33	+/–
готовьтесь тогда к извращениям :-)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59

76. Сообщение от Аноним (1), 26-Мрт-25, 07:01	+/–
А где там про сертификаты? Там вроде как раз про то что их нет
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #93

77. Сообщение от imho (ok), 26-Мрт-25, 07:13	+1 +/–
> Ингрес — это просто реверс прокси всего кластера, вряд-ли там можно получить доступ ко всему кластеру, а вот устроить MitM - можно во все поля, и приватный ключ от сертификата угнать. Реверс прокси — это Nginx (часть Ingress-контроллера), а вот Ingress-контроллер имеет чуть больше прав на кластер, в том числе доступ ко всем секретам, хранимым в кластере, а это включает в себя ещё и различные токены для для доступа к кластеру, среди которых могут оказаться с ещё большими правами, так что вполне можно запросто получить управление над всем кластером (на дальше насколько фантазии хватит).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #100

78. Сообщение от imho (ok), 26-Мрт-25, 07:23	+/–
> Чё, реально покажет "уязвимый" контроллер? Хоть бы селектор по версии сделали... Селектор умеет что-то кроме равенства сравнивать? А там уязвимо всё что ниже самого свежего.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #89

79. Сообщение от Вы забыли заполнить поле Name. (?), 26-Мрт-25, 07:35	+/–
Дело не в том, есть сертификат или его нет, а в том, что у курьера его нет и никогда не будет
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32 Ответы: #80

80. Сообщение от Вы забыли заполнить поле Name. (?), 26-Мрт-25, 07:35	+/–
кубера*
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #79

81. Сообщение от Аноним (81), 26-Мрт-25, 07:53	–1 +/–
Кубернетис такой же скам как и профессия девопса. Вместо простых решений нагородили монстров с уязвимостями на дырявых го
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #99

82. Сообщение от User (??), 26-Мрт-25, 08:16	+/–
Ну, во-первых, дефолты у них сделаны так, "чтоб точно заработало", а не "чтоб заработало сколько-нибудь безопасно", а во-вторых, оно и не в дефолтах-то... Один заказчик потребовал "по old-school'у" разнести "менеджмент", "мониторинг", "аццесс" и "кластерный интероп" на разные интерфейсы - иииии, это оказался чуть-чуть, самую капельку, малость избыточный перебор секаса, чтобы повторять его по собственной инициативе без ножа-к-горлу.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

83. Сообщение от Аноним (83), 26-Мрт-25, 10:02	+2 +/–
Нет, если есть публичный доступ к порту (по дефолту открыт для всех), то позволяет выполнять проверки без аутентификации.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67

84. Сообщение от freehck (ok), 26-Мрт-25, 10:27	+/–
> Но теперь я с удивлением узнал что там вполне грамотные ребята которые > требуют чтобы всякие фазинги реально делали и они даже способны отличить > по выхлопу что реально рабочее от того что сделано для виду. Спасибо за инфу. Принято к сведению.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

85. Сообщение от freehck (ok), 26-Мрт-25, 10:29	+/–
> Я форкнул sshfs пару лет назад и прилично его причесал внутри, отрефакторил. Круто. Можно пожалуйста ссылку?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56 Ответы: #88, #103

86. Сообщение от freehck (ok), 26-Мрт-25, 10:31	+/–
>> Когда файл вам уже не нужен - закройте файловый дескриптор! > А если он вам понадобится через секунду - ... ...значит он вам не был "не нужен", и закрывать его не следовало.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

87. Сообщение от freehck (ok), 26-Мрт-25, 10:33	+1 +/–
> А на чём написан Ingress NGINX Controller for Kubernetes ? > Go > 87.6% > <...> > Не на С. С учётом того, что весь куб написан на Go, было бы странно видеть здесь C
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

88. Сообщение от Денис (??), 26-Мрт-25, 11:12	+/–
Тоже интересно, постою в очереди
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #85

89. Сообщение от пох. (?), 26-Мрт-25, 11:28	+/–
умеет еще сравнивать неравенство - т.е. можешь проверять на несовпадение с еще дымящимся. А диапазоны, вайлдкарды или там больше-меньше - не, не умеет, для девляперов-на-игого слишком сложно такое парсить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #78

90. Сообщение от пох. (?), 26-Мрт-25, 11:29	+1 +/–
не, не нужно - мы ж чиста проверить синтаксис забежали, а не на самом деле создавать такой конфиг
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67

91. Сообщение от пох. (?), 26-Мрт-25, 11:33	+/–
Ну действительно. Еще не сказано что эти файлы, например, будут вообще читаться, удивительное рядом. Как ты собираешься проверять синтаксис конфига где половина полей вычисляемая и может определять другие части этого конфига - наукой не установлено. nginx ни разу не был предназначен для поточного тестирования бредовых конфигураций из недоверенного источника, все вопросы к авторам нескучных кластеров на игого. Тестирование предназначено ровно для одного - заранее узнать, запустится он с этим конфигом или у тебя ляжет сервер.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #69

92. Сообщение от samsepi01 (ok), 26-Мрт-25, 12:52	+/–
А эксплоит есть у кого?
Ответить | Правка | Наверх | Cообщить модератору

93. Сообщение от n00by (ok), 26-Мрт-25, 14:10	+1 +/–
В настоящее время в системе сертификации ФСТЭК России сертифицированы по требованиям безопасности информации следующие версии операционной системы Windows XP: [...] Необходимо отметить, что прекращение выпуска обновлений сертифицированных версий операционной системы Windows XP в сочетании с͟ в͟е͟р͟о͟я͟т͟н͟ы͟м͟ о͟б͟н͟а͟р͟у͟ж͟е͟н͟и͟е͟м͟ в͟ н͟и͟х͟ н͟о͟в͟ы͟х͟ у͟я͟з͟в͟и͟м͟о͟с͟т͟е͟й приведет к возможности реализации угроз безопасности информации конфиденциального характера, обрабатываемой в указанных информационных системах. Кроме того, прогнозируется повышение интереса к операционной системе Windows XP со стороны отдельных категорий нарушителей.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #76

94. Сообщение от n00by (ok), 26-Мрт-25, 14:17	+/–
Такими темпами в головах образуется мантра "не обнаружено наличие == доказано отсуствие".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

97. Сообщение от Аноним (51), 26-Мрт-25, 16:37	+/–
Ещё когда только появлялись всякие ansible-ы и chef-ы, сразу было понятно, что по аналогии с SQL injection и прочими XSS будут config injection. Просто потому что подставляются подстроки без какого-либо понимания синтаксиса файла конфигурации. По хорошему, надо описывать некоторым DSL синтаксис каждого конкретного формата конфигурации, и подставлять не строки, а токены в этом DSL. Тогда никаких \n не будет. Но это, конечно, в бесконечность раз больше работы, чем просто засунуть простейший template engine типа handlebars. Для внутрянки - сойдёт, если отправил фигню - сам дурак. А когда это всё счастье внезапно начинает торчать наружу, получается вот такое веселье.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #105

99. Сообщение от Легивон (?), 26-Мрт-25, 20:05	+/–
Альтернатив как безболезнено сопровождать десятки окружений с десятками контейнеров в каждом, ты конечно предоставлять не будешь. Это ведь так просто, все все понимают. Еще код надо писать на ассемблере или хотя бы на си и линковать статически. Правильно я тебя понял?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #81 Ответы: #102

100. Сообщение от bdrbt (ok), 26-Мрт-25, 20:30	–1 +/–
> а вот Ingress-контролле имеет чуть больше прав на кластер, в том числе доступ ко > всем секретам С какого перепугу? Это просто шлюз, который после себя видит тольколь api gateway, какое-нибудь s3-образное хранилище, и коллекторы логов, метрик, трейсов, всё.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #77 Ответы: #104

101. Сообщение от Аноним (101), 26-Мрт-25, 21:28	+/–
записывай редиска - плохой человек облако - кластер :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #65 Ответы: #106

102. Сообщение от Аноним (101), 26-Мрт-25, 21:30	+/–
> как безболезнено сопровождать десятки окружений с десятками контейнеров в каждом десятками сопровождающих, в чем проблема? - продолжайте жевать кактус
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #99 Ответы: #108

103. Сообщение от Аноним (103), 26-Мрт-25, 21:42	+/–
https://github.com/rozhuk-im/sshfs - полагаю, это тот форк.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #85

104. Сообщение от freehck (ok), 27-Мрт-25, 03:57	+1 +/–
>> а вот Ingress-контролле имеет чуть больше прав на кластер, в том числе доступ ко всем секретам > С какого перепугу? А с такого, что ингресс-контроллеру нужен доступ ко всем объектам kind-ов Ingress и Secret, чтобы формировать nginx-у конфиг и подсовывать в него сертификаты.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #100

105. Сообщение от freehck (ok), 27-Мрт-25, 04:10	+/–
> По хорошему, надо описывать некоторым DSL синтаксис каждого конкретного формата конфигурации, и подставлять не строки, а токены в этом DSL. Пробовали и делали. Это кстати даёт не только преимущества в безопасности. Это ещё позволяет, например, делать графические интерфейсы автоматом, что весьма удобно. Однако поддержка описания конфига программы на этом DSL -- это очень и очень много работы, и особенно больно писать миграции DSL-конфига для нового формата конфига программы, для которого он создан.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #97

106. Сообщение от penetrator (?), 27-Мрт-25, 11:21	+/–
A computer cluster is a set of computers that work together so that they can be viewed as a single system. Твой кубер без внешнего балансировщика даже две ноды объеденить не может, выкинь на помойку это тормознутое поделие.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #101

107. Сообщение от penetrator (?), 27-Мрт-25, 11:26	+/–
я в код не вникал, но аноним вроде как намекает на то, что "т.е. пока этот самый дескриптор нужен. " не является правдой, и он не нужен все это время, если это так, то его доводы верны
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

108. Сообщение от Легивон (?), 28-Мрт-25, 21:42	+/–
> в чем проблема? В том что жизнь коротка и глупо тратить её на рутину. Быть этим 1 из 10 перекладывальщиком руками.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #102

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема