Trois failles de sécurité graves non corrigées dans le contrôleur d’accès NGINX peuvent être exploitées par des malfaiteurs pour voler des informations d’identification et d’autres secrets à partir de clusters Kubernetes. Les vulnérabilités, identifiées sous CVE-2023-5043, CVE-2023-5044 et CVE-2022-4886, ont été divulguées le 27 octobre et sont actuellement en attente de triage. Il n’est pas clair si l’une de ces failles a été exploitée. The Register n’a pas immédiatement reçu de réponse aux questions, notamment si les failles ont été découvertes et exploitées et quand une solution de contournement sera publiée. Les trois failles affectent ceux qui utilisent le contrôleur d’accès NGINX pour Kubernetes qui utilise NGINX comme proxy inverse et comme équilibreur de charge. Les deux premières, CVE-2023-5043 et CVE-2023-5044, sont toutes les deux dues à une validation d’entrée incorrecte et peuvent être exploitées pour injecter du code arbitraire, obtenir des informations d’identification de haut niveau et voler tous les secrets du cluster. Les deux sont classées comme « sévères », ont reçu des notes CVSS de 7,6 sur 10 et affectent les versions 1.9.0 et antérieures.
Les Problèmes Communs Rencontrés par la Société dans l’Utilisation Efficace des Derniers Développements de l’Intelligence Artificielle
Les Problèmes Communs Rencontrés par la Société dans l’Utilisation Efficace des Derniers Développements de l’Intelligence Artificielle Introduction L’intelligence artificielle (IA)
