ISTIO-SECURITY-2019-005

由于客户端请求中存在大量 HTTP(请求)头 而导致的拒绝服务。

Oct 8, 2019

安全漏洞详情
CVE(s)CVE-2019-15226
CVSS 影响评分7.5 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
受影响的版本1.1 to 1.1.15
1.2 to 1.2.6
1.3 to 1.3.1

Envoy 和 Istio 容易受到以下 DoS 攻击。收到每个传入的请求后,Envoy 将遍历请求标头,以保证请求头的总大小保持在最大限制以下。远程攻击者可能会制作一个请求,该请求头的大小不会超过最大限制,但包含成千上万个小的(请求)头,来消耗 CPU 并导致拒绝服务攻击。

影响范围

Istio gateway 和 sidecar 都容易受到此问题的影响。如果您运行的 Istio 是受影响的发行版本,那么您的集群容易受到攻击。

防范

漏洞报告

希望大家遵循漏洞报告步骤,以报告任何可能会导致安全漏洞的 bug。