https://opennet.dev/openforum/vsluhforumID3/136398.html В развиваемом проектом Kubernetes ingress-контроллере ingress-nginx выявлены четыре уязвимости, позволяющие добиться выполнения своего кода на серверах облачных систем, использующих платформу Kubernete, и получить полный привилегированный доступ к кластеру Kubernete. Проблемам присвоен критический уровень опасности (9.8 из 10). Выявившие проблемы исследователи присвоили уязвимостям кодовое имя IngressNightmare и отметили, что уязвимости затрагивают около 43% облачных окружений. Уязвимости устранены в версиях ingress-nginx 1.11.5 и 1.12.1...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=62946<br> https://opennet.dev/openforum/vsluhforumID3/136398.html#108 Fri, 28 Mar 2025 18:42:05 GMT &gt; в чем проблема?<br><br>В том что жизнь коротка и глупо тратить её на рутину. Быть этим 1 из 10 перекладывальщиком руками.<br> https://opennet.dev/openforum/vsluhforumID3/136398.html#107 Thu, 27 Mar 2025 08:26:51 GMT я в код не вникал, но аноним вроде как намекает на то, что "т.е. пока этот самый дескриптор нужен. " не является правдой, и он не нужен все это время, если это так, то его доводы верны<br> https://opennet.dev/openforum/vsluhforumID3/136398.html#106 Thu, 27 Mar 2025 08:21:39 GMT A computer cluster is a set of computers that work together so that they can be viewed as a single system.<br><br>Твой кубер без внешнего балансировщика даже две ноды объеденить не может, выкинь на помойку это тормознутое поделие.<br> https://opennet.dev/openforum/vsluhforumID3/136398.html#105 Thu, 27 Mar 2025 01:10:13 GMT &gt; По хорошему, надо описывать некоторым DSL синтаксис каждого конкретного формата конфигурации, и подставлять не строки, а токены в этом DSL.<br><br>Пробовали и делали. Это кстати даёт не только преимущества в безопасности. Это ещё позволяет, например, делать графические интерфейсы автоматом, что весьма удобно. Однако поддержка описания конфига программы на этом DSL -- это очень и очень много работы, и особенно больно писать миграции DSL-конфига для нового формата конфига программы, для которого он создан.<br> https://opennet.dev/openforum/vsluhforumID3/136398.html#104 Thu, 27 Mar 2025 00:57:13 GMT &gt;&gt; а вот Ingress-контролле имеет чуть больше прав на кластер, в том числе доступ ко всем секретам <br>&gt; С какого перепугу? <br><br>А с такого, что ингресс-контроллеру нужен доступ ко всем объектам kind-ов Ingress и Secret, чтобы формировать nginx-у конфиг и подсовывать в него сертификаты.<br> https://opennet.dev/openforum/vsluhforumID3/136398.html#103 Wed, 26 Mar 2025 18:42:51 GMT https://github.com/rozhuk-im/sshfs - полагаю, это тот форк.<br> https://opennet.dev/openforum/vsluhforumID3/136398.html#102 Wed, 26 Mar 2025 18:30:49 GMT &gt; как безболезнено сопровождать десятки окружений с десятками контейнеров в каждом<br><br>десятками сопровождающих, в чем проблема? - продолжайте жевать кактус<br> https://opennet.dev/openforum/vsluhforumID3/136398.html#101 Wed, 26 Mar 2025 18:28:24 GMT записывай<br>редиска - плохой человек<br>облако - кластер<br><br>:)<br> https://opennet.dev/openforum/vsluhforumID3/136398.html#100 Wed, 26 Mar 2025 17:30:43 GMT &gt; а вот Ingress-контролле имеет чуть больше прав на кластер, в том числе доступ ко <br>&gt; всем секретам<br><br>С какого перепугу? Это просто шлюз, который после себя видит тольколь api gateway, какое-нибудь s3-образное хранилище, и коллекторы логов, метрик, трейсов, всё.<br><br>