ISTIO-SECURITY-2020-008
通配符 DNS 使用者主机名称的验证不正确。
| 安全漏洞详情 | |
|---|---|
| CVE(s) | CVE-2020-15104 |
| CVSS 影响评分 | 6.6 AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:L/A:N/E:F/RL:O/RC:C |
| 受影响的版本 | 1.5 to 1.5.7 1.6 to 1.6.4 All releases prior to 1.5 |
Istio 容易受到新发现漏洞的攻击:
CVE-2020-15104: 当验证 TLS 证书时,Envoy 错误地允许将通配符 DNS 使用者主机名称应用于多个子域。例如,在 SAN 为*.example.com通配的情况下,Envoy 错误地允许使用nested.subdomain.example.com,而它只允许使用subdomain.example.com。- CVSS Score: 6.6 AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:L/A:N/E:F/RL:O/RC:C
Istio 用户通过以下方式暴露此漏洞:
通过 Envoy 筛选器直接使用 Envoy 的
verify_subject_alt_name和match_subject_alt_names配置。使用Istio 的
subjectAltNames字段在目标规则与客户端 TLS 设置。具有包含nested.subdomain.example.com的subjectAltNames字段的目标规则错误地接受来自主机名称(SAN)为*.example.com的上游层证书。 相反,应该存在一个*.subdomain.example.com或nested.subdomain.example.com的 SAN。使用 Istio 的服务条目中的
subjectAltNames。带有subjectAltNames字段的值类似于nested.subdomain.example.com的服务条目错误地接受来自 SAN 为*.example.com的上游层证书。
Istio CA(以前称为 Citadel)不使用 DNS 通配符 SAN 颁发证书。 该漏洞仅影响验证外部颁发证书的配置。
防范
- 对于 1.5.x deployments: 部署: 请升级至 Istio 1.5.8 或更高的版本。
- 对于 1.6.x deployments: 部署: 请升级至 Istio 1.6.5 或更高的版本。
漏洞报告
希望大家遵循漏洞报告步骤,以报告任何可能会导致安全漏洞的 BUG。