ISTIO-SECURITY-2019-006

拒绝服务。

Nov 7, 2019

安全漏洞详情
CVE(s)CVE-2019-18817
CVSS 影响评分7.5 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H/E:H/RL:O/RC:C
受影响的版本1.3 to 1.3.4

Envoy 以及随后的 Istio 容易受到以下 DoS 攻击。 如果选项 continue_on_listener_filters_timeout 设置为 True,则可以在 Envoy 中触发无限循环。自从 Istio 1.3 中引入协议检测功能以来,Istio 就是这种情况。 远程攻击者可能会轻易触发该漏洞,从而有效耗尽 Envoy 的 CPU 资源并造成拒绝服务攻击。

影响范围

Istio gateway 和 sidecar 都容易受到此问题的影响。如果您运行的 Istio 是受影响的发行版本,那么您的集群容易受到攻击。

防范

漏洞报告

希望大家遵循漏洞报告步骤,以报告任何可能会导致安全漏洞的 bug。