ISTIO-SECURITY-2024-006

CVE

CVE від Envoy

• CVE-2024-45807: (CVSS Score 7.5, висока): oghttp2 може аварійно завершити роботу при обробці OnBeginHeadersForStream.

• CVE-2024-45808: (CVSS Score 6.5, помірна): Відсутність валідації для поля REQUESTED_SERVER_NAME для логерів доступу дозволяє впроваджувати неочікуваний вміст у логи доступу.

• CVE-2024-45806: (CVSS Score 6.5, помірна): Можливість маніпуляцій з заголовками x-envoy зовнішніми джерелами.

• CVE-2024-45809: (CVSS Score 5.3, помірна): Аварійне завершення роботи фільтра JWT в кеші маршрутів для віддалених JWK.

• CVE-2024-45810: (CVSS Score 6.5, помірна): Аварійне завершення роботи Envoy для LocalReply у асинхронному HTTP клієнті.

Чи впливає це на мене?

Ви піддаєтесь впливу, якщо використовуєте Istio версії 1.22.0 до 1.22.4 або 1.23.0 до 1.23.1.

Якщо ви розгортаєте Istio Ingress Gateway, ви можете бути вразливими до маніпуляцій з заголовками x-envoy зовнішніми джерелами. Раніше Envoy вважав усі приватні IP-адреси стандартно внутрішніми, тому не очищав заголовки від зовнішніх джерел з приватними IP-адресами. Envoy додав підтримку прапорця envoy.reloadable_features.explicit_internal_address_config для явного ігнорування всіх IP-адрес. Envoy та Istio наразі стандартно вимикають цей прапорець для зворотної сумісності. У майбутніх релізах Envoy та Istio прапорець envoy.reloadable_features.explicit_internal_address_config буде стандартно увімкнений. Прапорець Envoy можна налаштувати для всієї мережі або для кожного проксі через ProxyConfig у параметрі runtimeValues.

Приклад конфігурації для всієї мережі:

meshConfig:
  defaultConfig:
    runtimeValues:
      "envoy.reloadable_features.explicit_internal_address_config": "true"

Приклад конфігурації для кожного проксі:

annotations:
  proxy.istio.io/config: |
    runtimeValues:
      "envoy.reloadable_features.explicit_internal_address_config": "true"

Зверніть увагу, що поля в ProxyConfig не налаштовуються динамічно; для застосування змін необхідно перезапустити робочі навантаження.