В конце марта разработчики Kubernetes спешно выпускали патчи для критических уязвимостей в контроллере Ingress NGINX. Дефекты безопасности получили говорящее название IngressNightmare, поскольку их эксплуатация позволяет злоумышленнику получить доступ ко всем секретам кластера.
Контроллер Ingress NGINX — один из ключевых компонентов Kubernetes — помогает распределять нагрузку, управлять входящим трафиком и проверять запросы перед их обработкой.
Команда Deckhouse выпустила патч-версии Deckhouse Kubernetes Platform (DKP) 1.67.14 и 1.68.7 уже на второй день после обнаружения уязвимости. Одновременно обновления были автоматически установлены в кластеры наших клиентов — им не нужно было самим обновлять Ingress NGINX до новой версии или делать бэкпорт патча в более старую версию контроллера, что потребовало бы скачивать код и хранить собранную версию контроллера у себя.
Данные наших клиентов, использующих Deckhouse Stronghold, были в большей безопасности с самого начала. Если секреты хранились в хранилище Deckhouse Stronghold и доставлялись через модуль secrets-store-integration, то потенциальная эксплуатация уязвимости IngressNightmare представляла меньшую угрозу для таких пользователей как минимум потому, что злоумышленники не могли получить доступ к секретам.
Для компаний, использующих более старые версии DKP или не имеющих по разным причинам возможности оперативно обновиться, мы выпустили специальную инструкцию по устранению уязвимости.
Таким образом, в течение двух дней после выявления критической уязвимости в одном из ключевых компонентов Kubernetes мы обезопасили инфраструктуры наших клиентов от потенциальной угрозы.
Команда Deckhouse напоминает: регулярно обновляйте ПО, используйте возможности гибкой настройки режимов обновления в DKP и оставайтесь в безопасности!