ISTIO-SECURITY-2019-004

与 Envoy 中的 HTTP2 支持相关的多个拒绝服务的漏洞。

Aug 13, 2019

安全漏洞详情
CVE(s)
CVSS 影响评分7.5 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
受影响的版本1.1 to 1.1.12
1.2 to 1.2.3

Envoy 和 Istio 容易受到一系列基于 HTTP/2 的 DoS 攻击:

这些漏洞是从外部报告的,并影响多个代理的实现。更多信息请查看安全公告

影响范围

如果 Istio 终止来自外部的 HTTP,则会使 Istio 容易受到攻击。如果终止 HTTP 的是 Istio 前面的 Intermediary (例: HTTP 负载均衡),那 Intermediary 就可以保护 Istio,前提是 Intermediary 本身不容易受到相同的 HTTP/2 攻击。

防范

漏洞报告

希望大家遵循漏洞报告步骤,以报告任何可能会导致安全漏洞的 bug。