ProduktNGINX Controller 3.x, wersje wcześniejsze niż 3.4.0
NGINX Controller 2.x, wersje 2.0.0 – 2.9.0
Numer CVECVE-2021-23018
Krytyczność7.4 / 10
CVSSAV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N
OpisKomunikacja wewnątrz klastra nie używa TLS. Usługi w przestrzeni nazw kontrolera NGINX używają protokołów zwykłego tekstu wewnątrz klastra. Atakujący mający dostęp do klastra może mieć możliwość odczytywania i modyfikowania danych przesyłanych między usługami zarządzanymi w kontrolerze.
Numer CVECVE-2021-23019
Krytyczność7.8 / 10
CVSSAV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
OpisHasło administratora kontrolera NGINX może zostać ujawnione w pliku systemd.txt zawartym w pakiecie obsługi NGINX. Ten wyciek hasła występuje tylko po włączeniu inspekcji sudo.
Numer CVECVE-2021-23020
Krytyczność5.7 / 10
CVSSAV:L/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N
OpisKlucze API NAAS są generowane przy użyciu niezabezpieczonego pseudolosowego ciągu i algorytmu mieszania, co może prowadzić do przewidywalnych kluczy. Lokalny atakujący może potencjalnie wygenerować prawidłowy klucz użytkownika.
AktualizacjaTAK
Linkhttps://support.f5.com/csp/article/K52559937