Istio 1.9.5 发布公告

此版本修复了我们在 5 月 11 日的文章中描述的 ISTIO-SECURITY-2021-005 和 ISTIO-SECURITY-2021-006 两个安全漏洞。

安全更新

• CVE-2021-31920: Istio 包含一个可远程利用的漏洞，当使用基于路径的授权规则时，带有多个斜杠或转义斜杠字符 (%2F 或 %5C) 的 HTTP 请求路径可能会绕过 Istio 的授权策略。有关更多详细信息，请参阅 ISTIO-SECURITY-2021-005 bulletin 公告。
  • CVSS Score: 8.1 AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
• CVE-2021-29492: Envoy 包含一个可远程利用的漏洞，其中带有转义斜杠字符的 HTTP 请求可以绕过 Envoy 的授权机制。
  • CVSS Score: 8.3 AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:L
• CVE-2021-31921: Istio 包含一个可远程利用的漏洞，当网关配置了 AUTO_PASSTHROUGH 路由配置时，外部客户端可以访问集群中的意外服务，从而绕过授权检查。有关更多详细信息，请参阅 ISTIO-SECURITY-2021-006 bulletin 公告。
  • CVSS Score: 10.0 AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

改变

• 新增 新增了授权策略的安全最佳实践。

重大变化

作为 ISTIO-SECURITY-2021-006 修复的一部分，之前弃用 .global 的多集群存根域将不再起作用。

如果需要，可以通过 PILOT_ENABLE_LEGACY_AUTO_PASSTHROUGH=true 在 Istiod 中设置环境变量来暂时禁用此更改。但是强烈建议不要这样做，因为它会否定对 ISTIO-SECURITY-2021-006 的修复。

请参照多集群安装文档了解更多信息。