发布 Istio 1.11.1 版本
Istio 1.11.1 补丁发布。
此版本修复了在 8 月 24 日发布的帖子 ISTIO-SECURITY-2021-008 中描述的安全漏洞。本次发布说明主要描述 Istio 1.11.0 和 1.11.1 版本之间的区别。
安全更新
CVE-2021-39155 (CVE-2021-32779): Istio 授权策略错误地以区分大小写的方式来比较主机头,而 RFC 4343 规定它应该是不区分大小写。Envoy 以不区分大小写的方式路由请求主机名,这意味着授权策略可以被绕过。
- CVSS Score:8.3 CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:L
CVE-2021-39156: Istio 存在一个可远程利用的漏洞,路径中带有片段(例如#Section)的 HTTP 请求可能会绕过 Istio 基于 URI 路径的授权策略。
- CVSS Score:8.1 CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N
Envoy 安全更新
CVE-2021-32777 (CVSS score 8.6, High):Envoy 存在一个可远程利用的漏洞,当使用
ext_authz扩展时,带有多个值标头的 HTTP 请求可能会绕过授权策略。CVE-2021-32778 (CVSS score 8.6, High):Envoy 存在一个可远程利用的漏洞,其中 Envoy 客户端打开并重置大量 HTTP/2 请求可能会导致 CPU 消耗过多。
CVE-2021-32780 (CVSS score 8.6, High):Envoy 存在一个可远程利用的漏洞,不受信任的上游服务可以通过发送 GOAWAY 帧和 SETTINGS 帧,并将
SETTINGS_MAX_CONCURRENT_STREAMS参数设置为 0,导致 Envoy 异常终止。 注意:该漏洞不影响下游客户的连接。CVE-2021-32781 (CVSS score 8.6, High):Envoy 存在一个可远程利用的漏洞,该漏洞影响 Envoy 的解压器、json-transcoder 或 grpc-web 扩展,或修改和增加请求或响应体的大小的专有扩展。