ISTIO-SECURITY-2020-005
影响 telemetry v2 的拒绝服务漏洞。
安全漏洞详情 | |
---|---|
CVE(s) | CVE-2020-10739 |
CVSS 影响评分 | 7.5 AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
受影响的版本 | 1.4 to 1.4.8 1.5 to 1.5.3 |
内容
启用 telemetry v2 的 Istio 1.4 和启用了 telemetry v2 的 Istio 1.5 包含以下漏洞:
- CVE-2020-10739:
通过发送特制数据包,攻击者可能会触发空指针异常,从而导致拒绝服务。这可以发送到 ingress gateway 或 sidecar。
- CVSS Score: 7.5 AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
防范
- 对于 Istio 1.4.x 部署:请升级至 Istio 1.4.9 或更高的版本。
- 对于 Istio 1.5.x 部署:请升级至 Istio 1.5.4 或更高的版本。
- 解决方法:或者,您可以通过运行以下命令禁用 telemetry v2:
$ istioctl manifest apply --set values.telemetry.v2.enabled=false
致谢
我们在此对 Joren Zandstra
的的原始错误报告表示感谢。
漏洞报告
希望大家遵循漏洞报告步骤,以报告任何可能会导致安全漏洞的 bug。