安全公告
公开的安全漏洞及其修复方法。
| 安全漏洞 | 日期 | 受影响的版本 | 影响评分 | 关联 |
|---|---|---|---|---|
| ISTIO-SECURITY-2024-006 | 2024年9月19日 | 1.22.0 to 1.22.4 1.23.0 to 1.23.1 | 7.5 | Envoy 上报的 CVE 漏洞。 |
| ISTIO-SECURITY-2024-005 | 2024年6月27日 | 1.21.0 to 1.21.3 1.22.0 to 1.22.1 | 7.5 | Envoy 上报的 CVE 漏洞。 |
| ISTIO-SECURITY-2024-004 | 2024年6月4日 | 1.20.0 之前的所有版本 1.20.0 到 1.20.6 1.21.0 到 1.21.2 1.22.0 | 7.5 | Envoy 上报的 CVE 漏洞。 |
| ISTIO-SECURITY-2024-003 | 2024年4月22日 | 1.19.0 之前的所有版本 1.19.0 到 1.19.9 1.20.0 到 1.20.5 1.21.0 到 1.21.1 | 7.5 | Envoy 上报的 CVE 漏洞。 |
| ISTIO-SECURITY-2024-002 | 2024年4月8日 | 1.19.0 之前的所有版本 1.19.0 到 1.19.8 1.20.0 到 1.20.4 1.21.0 | 7.5 | Envoy 和 Go 上报的 CVE 漏洞。 |
| ISTIO-SECURITY-2024-001 | 2024年2月9日 | 1.19.0 之前的所有版本 1.19.0 到 1.19.6 1.20.0 到 1.20.2 | 8.6 | Envoy 上报的 CVE 漏洞。 |
| ISTIO-SECURITY-2023-005 | 2023年12月12日 | 1.18.0 以及之前的所有版本" 1.18.0 到 1.18.5 1.19.0 到 1.19.4 1.20.0 | N/A | Istio CNI RBAC 权限的变更。 |
| ISTIO-SECURITY-2023-004 | 2023年10月11日 | 1.17.0 以及之前的所有版本 1.17.0 到 1.17.6 1.18.0 到 1.18.3 1.19.0 到 1.19.1 | 7.5 | Envoy 和 Go 上报的 CVE 漏洞。 |
| ISTIO-SECURITY-2023-003 | 2023年7月25日 | 1.16.0 以及之前的所有版本 1.16.0 到 1.16.6 1.17.0 到 1.17.4 1.18.0 到 1.18.1 | 8.6 | Envoy 上报的 CVE 漏洞。 |
| ISTIO-SECURITY-2023-002 | 2023年7月14日 | 1.16.0 以及之前的所有版本 1.16.0 到 1.16.5 1.17.0 到 1.17.3 1.18.0 | 7.5 | Envoy 上报的 CVE 漏洞。 |
| ISTIO-SECURITY-2023-001 | 2023年4月4日 | 1.15.0 之前的所有版本 1.15.0 到 1.15.6 1.16.0 到 1.16.3 1.17.0 到 1.17.1 | 8.2 | Envoy 上报的众多 CVE 漏洞。 |
| ISTIO-SECURITY-2022-008 | 2022年11月9日 | 1.15.2 | 7.6 | 用户具有 localhost 访问权限时有身份模仿的风险。 |
| ISTIO-SECURITY-2022-007 | 2022年10月12日 | 1.13 之前的所有版本 1.13.0 到 1.13.8 1.14.0 到 1.14.4 1.15.0 到 1.15.1 | 7.5 | 由于 Go 语言正则表达式库造成拒绝服务 (DoS) 攻击。 |
| ISTIO-SECURITY-2022-006 | 2022年7月26日 | 1.13.6 1.14.2 | 5.9 | 在某些配置中,发送给 Envoy 的格式错误的标头可能会导致意外的内存访问,从而导致未定义的行为或崩溃。 |
| ISTIO-SECURITY-2022-005 | 2022年6月9日 | All releases prior to 1.12.0 1.12.0 to 1.12.7 1.13.0 to 1.13.4 1.14.0 | 7.5 | 在某些配置中,发送给 Envoy 的格式错误的请求头可能会导致意外的内存访问冲突,从而产生未定义的行为或崩溃。 |
| ISTIO-SECURITY-2022-004 | 2022年3月9日 | All releases prior to 1.11.0 1.11.0 to 1.11.7 1.12.0 to 1.12.4 1.13.0 to 1.13.1 | 7.5 | 由于堆栈耗尽而导致控制平面不能拒绝未经身份验证的服务攻击。 |
| ISTIO-SECURITY-2022-003 | 2022年2月22日 | All releases prior to 1.11.0 1.11.0 to 1.11.6 1.12.0 to 1.12.3 1.13.0 | 7.5 | Multiple CVEs related to istiod Denial of Service and Envoy |
| ISTIO-SECURITY-2022-001 | 2022年1月18日 | 1.12.0 to 1.12.1 | 6.8 | Authorization Policy For Host Rules During Upgrades |
| ISTIO-SECURITY-2022-002 | 2022年1月18日 | 1.12.0 to 1.12.1 | 4.7 | Kubernetes Gateway API 中的特权提升。 |
| ISTIO-SECURITY-2021-008 | 2021年8月24日 | All releases prior to 1.9.8 1.10.0 to 1.10.3 1.11.0 | 8.6 | 多个与 AuthorizationPolicy、EnvoyFilter 和 Envoy 相关的 CVEs。 |
| ISTIO-SECURITY-2021-007 | 2021年6月24日 | All 1.8 patch releases 1.9.0 to 1.9.5 1.10.0 to 1.10.1 | 9.1 | Istio 包含一个可远程利用的漏洞,可以从不同的命名空间访问 Gateway 和 DestinationRule credentialName 字段中指定的身份凭据。 |
| ISTIO-SECURITY-2021-006 | 2021年5月11日 | All releases prior to 1.8.6 1.9.0 to 1.9.4 | 10 | 当网关配置了 AUTO_PASSTHROUGH 路由配置时,外部客户端可以绕过授权检查访问集群中的意外服务。 |
| ISTIO-SECURITY-2021-003 | 2021年4月15日 | All releases prior to 1.8.5 1.9.0 to 1.9.2 | 7.5 | |
| ISTIO-SECURITY-2021-001 | 2021年3月1日 | 1.9.0 | 8.2 | 滥用 AuthorizationPolicy 时,可以绕过 JWT 身份验证。 |
| ISTIO-SECURITY-2020-011 | 2020年11月21日 | 1.8.0 | N/A | Envoy 错误地为非 HTTP 连接恢复代理协议下游地址。 |
| ISTIO-SECURITY-2020-010 | 2020年9月29日 | 1.6 to 1.6.10 1.7 to 1.7.2 | 8.3 | |
| ISTIO-SECURITY-2020-009 | 2020年8月11日 | 1.5 to 1.5.8 1.6 to 1.6.7 | 6.8 | TCP 服务的授权策略news/security/istio-security-2020-004/index.md中用于 Principals /名称空间的通配符后缀其 Envoy 配置不正确。 |
| ISTIO-SECURITY-2020-008 | 2020年7月9日 | 1.5 to 1.5.7 1.6 to 1.6.4 All releases prior to 1.5 | 6.6 | 通配符 DNS 使用者主机名称的验证不正确。 |
| ISTIO-SECURITY-2020-007 | 2020年6月30日 | 1.5 to 1.5.6 1.6 to 1.6.3 | 7.5 | Envoy 中的多个拒绝服务漏洞。 |
| ISTIO-SECURITY-2020-006 | 2020年6月11日 | 1.4 to 1.4.9 1.5 to 1.5.4 1.6 to 1.6.1 | 7.5 | Envoy使用HTTP2库中的拒绝服务。 |
| ISTIO-SECURITY-2020-005 | 2020年5月12日 | 1.4 to 1.4.8 1.5 to 1.5.3 | 7.5 | 影响 telemetry v2 的拒绝服务漏洞。 |
| ISTIO-SECURITY-2020-004 | 2020年3月25日 | 1.4 to 1.4.6 1.5 | 8.7 | Default Kiali security configuration allows full control of mesh |
| ISTIO-SECURITY-2020-001 | 2020年2月11日 | 1.3 to 1.3.7 1.4 to 1.4.3 | 9.0 | 绕过身份认证策略。 |
| ISTIO-SECURITY-2020-002 | 2020年2月11日 | 1.3 to 1.3.6 | 7.4 | 由于不正确地接受某些请求 header 导致 Mixer 策略检查被绕过。 |
| ISTIO-SECURITY-2019-007 | 2019年12月10日 | 1.2 to 1.2.9 1.3 to 1.3.5 1.4 to 1.4.1 | 9.0 | Envoy 中的堆溢出及错误的输入验证。 |
| ISTIO-SECURITY-2019-006 | 2019年11月7日 | 1.3 to 1.3.4 | 7.5 | 拒绝服务。 |
| ISTIO-SECURITY-2019-005 | 2019年10月8日 | 1.1 to 1.1.15 1.2 to 1.2.6 1.3 to 1.3.1 | 7.5 | 由于客户端请求中存在大量 HTTP(请求)头 而导致的拒绝服务。 |
| Istio 1.2.4 sidecar 镜像漏洞 | 2019年9月10日 | 1.2 to 1.2.4 | 由于错误的发布操作,出现了错误的 1.2.4 sidecar 镜像。 | |
| ISTIO-SECURITY-2019-003 | 2019年8月13日 | 1.1 to 1.1.12 1.2 to 1.2.3 | 7.5 | 解析正则表达式导致的拒绝服务。 |
| ISTIO-SECURITY-2019-004 | 2019年8月13日 | 1.1 to 1.1.12 1.2 to 1.2.3 | 7.5 | 与 Envoy 中的 HTTP2 支持相关的多个拒绝服务的漏洞。 |
| ISTIO-SECURITY-2019-002 | 2019年6月28日 | 1.0 to 1.0.8 1.1 to 1.1.9 1.2 to 1.2.1 | 7.5 | CVE-2019-12995 所披露的安全漏洞。 |
| ISTIO-SECURITY-2019-001 | 2019年5月28日 | 1.1 to 1.1.6 | 8.9 | 错误的权限控制。 |