Trois failles non corrigées de sévérité élevée dans le contrôleur d’ingress NGINX peuvent être exploitées par des criminels pour voler des informations d’identification et d’autres secrets de clusters Kubernetes. Les vulnérabilités, identifiées sous CVE-2023-5043, CVE-2023-5044 et CVE-2022-4886, ont été divulguées le 27 octobre et sont actuellement en attente d’examen. Il est impossible de savoir si l’une ou l’autre de ces failles a été exploitée. The Register n’a pas reçu immédiatement de réponse aux questions, notamment si les bogues ont été trouvés et exploités et quand une patch sera publiée. Les trois failles affectent ceux qui utilisent le contrôleur d’ingress NGINX pour Kubernetes, qui utilise NGINX comme proxy inverse et comme équilibreur de charge. Les deux premières, CVE-2023-5043 et CVE-2023-5044, sont toutes les deux dues à une validation d’entrée incorrecte et peuvent être exploitées pour injecter du code arbitraire, obtenir des informations d’identification de haut niveau et voler tous les secrets du cluster. Les deux sont classés comme « importants », ont reçu des notes CVSS de 7,6 sur 10 et affectent les versions 1.9.0 et antérieures.
Les Problèmes Communs Rencontrés par la Société dans l’Utilisation Efficace des Derniers Développements de l’Intelligence Artificielle
Les Problèmes Communs Rencontrés par la Société dans l’Utilisation Efficace des Derniers Développements de l’Intelligence Artificielle Introduction L’intelligence artificielle (IA)
