ISTIO-SECURITY-2020-011
Envoy 错误地为非 HTTP 连接恢复代理协议下游地址。
安全漏洞详情 | |
---|---|
CVE(s) | N/A |
CVSS 影响评分 | N/A |
受影响的版本 | 1.8.0 |
Envoy 和 Istio 1.8.0 版本均容易受到新发现隐患的攻击:
- 非 HTTP 连接的代理协议下游地址不正确: Envoy 错误地为非 HTTP 连接恢复代理协议下游地址。Envoy恢复直连对等体的地址,并将其传递给后续的过滤器,而不是恢复代理协议筛选器提供的地址。这将影响非 HTTP 网络连接的日志记录(
%DOWNSTREAM_REMOTE_ADDRESS%
)和授权策略(remoteIpBlocks
和remote_ip
),因为它们将使用不正确的代理协议下游地址。
但这个问题不会影响 HTTP 连接。另外来自 X-Forwarded-For
的地址也不受影响。
Istio 不支持代理协议,唯一的方法是使用自定义的 EnvoyFilter
资源。然而它没有在 Istio 中测试过,需要您自己承担相应的风险。
防范
- 对于 Istio 1.8.0 部署: 非 HTTP 连接请不使用代理协议。
漏洞报告
希望大家遵循漏洞报告步骤,以报告任何可能会导致安全漏洞的 bug。