ISTIO-SECURITY-2019-005
由于客户端请求中存在大量 HTTP(请求)头 而导致的拒绝服务。
安全漏洞详情 | |
---|---|
CVE(s) | CVE-2019-15226 |
CVSS 影响评分 | 7.5 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
受影响的版本 | 1.1 to 1.1.15 1.2 to 1.2.6 1.3 to 1.3.1 |
Envoy 和 Istio 容易受到以下 DoS 攻击。收到每个传入的请求后,Envoy 将遍历请求标头,以保证请求头的总大小保持在最大限制以下。远程攻击者可能会制作一个请求,该请求头的大小不会超过最大限制,但包含成千上万个小的(请求)头,来消耗 CPU 并导致拒绝服务攻击。
影响范围
Istio gateway 和 sidecar 都容易受到此问题的影响。如果您运行的 Istio 是受影响的发行版本,那么您的集群容易受到攻击。
防范
- 对于 Istio 1.1.x 部署: 更新所有控制平面组件(Pilot、Mixer、Citadel、和 Galley) 然后更新数据平面的版本不低于 Istio 1.1.16。
- 对于 Istio 1.2.x 部署: 更新所有控制平面组件(Pilot、Mixer、Citadel、和 Galley) 然后更新数据平面的版本不低于 Istio 1.2.7。
- 对于 Istio 1.3.x 部署: 更新所有控制平面组件(Pilot、Mixer、Citadel、和 Galley) 然后更新数据平面的版本不低于 Istio 1.3.2。
漏洞报告
希望大家遵循漏洞报告步骤,以报告任何可能会导致安全漏洞的 bug。