ISTIO-SECURITY-2020-011

Envoy 错误地为非 HTTP 连接恢复代理协议下游地址。

Nov 21, 2020

安全漏洞详情
CVE(s)N/A
CVSS 影响评分N/A
受影响的版本1.8.0

Envoy 和 Istio 1.8.0 版本均容易受到新发现隐患的攻击:

但这个问题不会影响 HTTP 连接。另外来自 X-Forwarded-For 的地址也不受影响。

Istio 不支持代理协议,唯一的方法是使用自定义的 EnvoyFilter 资源。然而它没有在 Istio 中测试过,需要您自己承担相应的风险。

防范

漏洞报告

希望大家遵循漏洞报告步骤,以报告任何可能会导致安全漏洞的 bug。