В конце марта 2025 года в Ingress NGINX Controller обнаружили критические уязвимости, получившие название IngressNightmare. По оценке Wiz, проблема затрагивает около 43% облачных окружений и может привести к полному контролю над кластером через admission webhook. Kubernetes признал уязвимость критической.
Команда Deckhouse быстро отреагировала на ситуацию, выпустив патчи для версий Deckhouse Kubernetes Platform (DKP) на второй день после обнаружения уязвимостей. Это позволило автоматически обновить кластеры пользователей с включённым автообновлением.
Важно: для устранения одной из уязвимостей (CVE-2025-1974) отключена проверка срендеренного конфига nginx.conf. В DKP предусмотрен алерт NginxIngressConfigTestFailed для таких случаев.
Подробнее об уязвимостях и действиях Deckhouse — в полной версии статьи на Habr.