ISTIO-SECURITY-2020-002

由于不正确地接受某些请求 header 导致 Mixer 策略检查被绕过。

Feb 11, 2020

安全漏洞详情
CVE(s)CVE-2020-8843
CVSS 影响评分7.4 AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N
受影响的版本1.3 to 1.3.6

Istio 1.3 到 1.3.6 包含了影响 Mixer 策略检查的漏洞。

注意:我们在 Istio 1.4.0 以及 Istio 1.3.7 中默认地修复了该漏洞。 Istio 1.4.0 中的一个问题及其修复是一个非安全性问题。我们在 2019 年 12 月将该问题重新分类为漏洞。 CVE-2020-8843:在某些情况下,可以绕过特定配置的 Mixer 策略。Istio-proxy 在 ingress 处接受 x-istio-attributes header,当 Mixer 策略有选择地应用至 source 时,等价于应用至 ingress,其可能会影响策略决策。 为了避免这种情况,Istio 必须启用并以指定方式使用 Mixer 策略。在 Istio 1.3 和 1.4 中,默认情况下未启用此功能。

防范

鸣谢

Istio 团队在此对 Splunk 的 Krishnan Anantheswaran 和 Eric Zhang 提供的私人 bug 报告表示感谢。

漏洞报告

希望大家遵循漏洞报告步骤,以报告任何可能会导致安全漏洞的 bug。