安全公告
公开的安全漏洞及其修复方法。
| 安全漏洞 | 日期 | 受影响的版本 | 影响评分 | 关联 |
|---|---|---|---|---|
| ISTIO-SECURITY-2021-001 | 2021年3月1日 | 1.9.0 | 8.2 | 滥用 AuthorizationPolicy 时,可以绕过 JWT 身份验证。 |
| ISTIO-SECURITY-2020-011 | 2020年11月21日 | 1.8.0 | N/A | Envoy 错误地为非 HTTP 连接恢复代理协议下游地址。 |
| ISTIO-SECURITY-2020-010 | 2020年9月29日 | 1.6 to 1.6.10 1.7 to 1.7.2 | 8.3 | |
| ISTIO-SECURITY-2020-009 | 2020年8月11日 | 1.5 to 1.5.8 1.6 to 1.6.7 | 6.8 | TCP 服务的授权策略news/security/istio-security-2020-004/index.md中用于 Principals /名称空间的通配符后缀其 Envoy 配置不正确。 |
| ISTIO-SECURITY-2020-008 | 2020年7月9日 | 1.5 to 1.5.7 1.6 to 1.6.4 All releases prior to 1.5 | 6.6 | 通配符 DNS 使用者主机名称的验证不正确。 |
| ISTIO-SECURITY-2020-007 | 2020年6月30日 | 1.5 to 1.5.6 1.6 to 1.6.3 | 7.5 | Envoy 中的多个拒绝服务漏洞。 |
| ISTIO-SECURITY-2020-006 | 2020年6月11日 | 1.4 to 1.4.9 1.5 to 1.5.4 1.6 to 1.6.1 | 7.5 | Envoy使用HTTP2库中的拒绝服务。 |
| ISTIO-SECURITY-2020-005 | 2020年5月12日 | 1.4 to 1.4.8 1.5 to 1.5.3 | 7.5 | 影响 telemetry v2 的拒绝服务漏洞。 |
| ISTIO-SECURITY-2020-004 | 2020年3月25日 | 1.4 to 1.4.6 1.5 | 8.7 | Default Kiali security configuration allows full control of mesh |
| ISTIO-SECURITY-2020-002 | 2020年2月11日 | 1.3 to 1.3.6 | 7.4 | 由于不正确地接受某些请求 header 导致 Mixer 策略检查被绕过。 |
| ISTIO-SECURITY-2020-001 | 2020年2月11日 | 1.3 to 1.3.7 1.4 to 1.4.3 | 9.0 | 绕过身份认证策略。 |
| ISTIO-SECURITY-2019-007 | 2019年12月10日 | 1.2 to 1.2.9 1.3 to 1.3.5 1.4 to 1.4.1 | 9.0 | Envoy 中的堆溢出及错误的输入验证。 |
| ISTIO-SECURITY-2019-006 | 2019年11月7日 | 1.3 to 1.3.4 | 7.5 | 拒绝服务。 |
| ISTIO-SECURITY-2019-005 | 2019年10月8日 | 1.1 to 1.1.15 1.2 to 1.2.6 1.3 to 1.3.1 | 7.5 | 由于客户端请求中存在大量 HTTP(请求)头 而导致的拒绝服务。 |
| Istio 1.2.4 sidecar 镜像漏洞 | 2019年9月10日 | 1.2 to 1.2.4 | 由于错误的发布操作,出现了错误的 1.2.4 sidecar 镜像。 | |
| ISTIO-SECURITY-2019-003 | 2019年8月13日 | 1.1 to 1.1.12 1.2 to 1.2.3 | 7.5 | 解析正则表达式导致的拒绝服务。 |
| ISTIO-SECURITY-2019-004 | 2019年8月13日 | 1.1 to 1.1.12 1.2 to 1.2.3 | 7.5 | 与 Envoy 中的 HTTP2 支持相关的多个拒绝服务的漏洞。 |
| ISTIO-SECURITY-2019-002 | 2019年6月28日 | CVE-2019-12995 所披露的安全漏洞。 | ||
| ISTIO-SECURITY-2019-001 | 2019年5月28日 | 1.1 to 1.1.6 | 8.9 | 错误的权限控制。 |