Уязвимости в ingress-nginx: выполнение кода и захват кластеров Kubernetes
В популярном ingress-контроллере ingress-nginx обнаружены критические уязвимости (CVSS 9.8/10), позволяющие злоумышленникам выполнять произвольный код и получать полный контроль над кластером Kubernetes. Проблемы, получившие название IngressNightmare, затрагивают около 43% облачных сред. Исправления выпущены в версиях 1.11.5 и 1.12.1.
Ingress-nginx служит шлюзом для доступа к сервисам Kubernetes извне. Уязвимости позволяют атакующему без аутентификации выполнить код в контексте контроллера, если доступен веб-обработчик Admission. В сети обнаружено более 6500 уязвимых кластеров Kubernetes, которые используют уязвимые контроллеры с обработчиком Admission.
Как происходит атака. Через специально сформированный ingress-объект злоумышленник может внедрить произвольные настройки в конфигурацию NGINX, используя параметры:
- mirror-target, mirror-host (CVE-2025-1098),
- auth-tls-match-cn (CVE-2025-1097),
- auth-url (CVE-2025-24514).
Например, через auth-url можно передать вредоносные команды, которые попадут в конфигурационный файл. Также при проверке конфигурации (nginx -t) загружаются вредоносные библиотеки с модулями, включая SSL-движки. Атакующий может отправить большой запрос, чтобы NGINX создал временный файл (который остаётся доступным через /proc) и указать путь к этому файлу в директиве ssl_engine, заставив NGINX загрузить вредоносный код. Сложностью может стать необходимость угадать PID и дескриптор файла, но в контейнере это возможно за несколько попыток простого подбора.
Специалисты рекомендуют, обновить ingress-nginx до 1.11.5 или 1.12.1. или отключить функцию Validating Admission Controller, если обновление невозможно.
Выпущен Exim 4.98.2 с исправлением уязвимости
Опубликовано обновление почтового сервера Exim 4.98.2, устраняющее уязвимость CVE-2025-30232, которая потенциально позволяет повысить привилегии. Возможность удалённой эксплуатации не подтверждена.
Уязвимость затрагивает версии начиная с Exim 4.96, включая Debian 12, Ubuntu 24.04/24.10, openSUSE 15.6, Arch Linux, Fedora и FreeBSD. RHEL и производные дистрибутивы не уязвимы, так как Exim отсутствует в их стандартных репозиториях (в EPEL обновление пока не доступно).
Причиной уязвимости стала ошибка типа use-after-free в pretrigger-обработчике. После освобождения памяти под буфер отладочных данных (debug_pretrigger_buf) указатель не обнулялся, что могло приводить к обращению к уже освобождённой памяти.
Чтобы избежать проблем с безопасностью, советуем установить обновление Exim 4.98.2.
