ISTIO-SECURITY-2019-004
与 Envoy 中的 HTTP2 支持相关的多个拒绝服务的漏洞。
| 安全漏洞详情 | |
|---|---|
| CVE(s) | |
| CVSS 影响评分 | 7.5 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
| 受影响的版本 | 1.1 to 1.1.12 1.2 to 1.2.3 |
Envoy 和 Istio 容易受到一系列基于 HTTP/2 的 DoS 攻击:
- 利用 HTTP/2 的 PING 帧及 PING ACK 帧响应队列发起的洪水攻击,这会导致内存的无限制增长(可能导致内存不足的情况)。
- 利用 HTTP/2 的 PRIORITY 帧发起的洪水攻击,这会导致 CPU 使用率过高、不能及时响应其它正常的客户端。
- 利用 HTTP/2 的 HEADERS 帧(带有无效 HTTP Header) 和
RST_STREAM帧响应队列发起的洪水攻击,这会导致内存的无限制增长(可能导致内存不足的情况)。 - 利用 HTTP/2 的 SETTINGS 帧及 SETTINGS ACK 帧响应队列发起的洪水攻击,这会导致内存的无限制增长(可能导致内存不足的情况)。
- 利用 HTTP/2 的 空荷载帧发起的洪水攻击,这会导致 CPU 使用率过高、不能及时响应其它正常的客户端。
这些漏洞是从外部报告的,并影响多个代理的实现。更多信息请查看安全公告。
影响范围
如果 Istio 终止来自外部的 HTTP,则会使 Istio 容易受到攻击。如果终止 HTTP 的是 Istio 前面的 Intermediary (例: HTTP 负载均衡),那 Intermediary 就可以保护 Istio,前提是 Intermediary 本身不容易受到相同的 HTTP/2 攻击。
防范
- 对于 Istio 1.1.x 部署:更新至 Istio 1.1.13 或者更新的版本。
- 对于 Istio 1.2.x 部署:更新至 Istio 1.2.4 或者更新的版本。
漏洞报告
希望大家遵循漏洞报告步骤,以报告任何可能会导致安全漏洞的 BUG。