ISTIO-SECURITY-2019-006
拒绝服务。
| 安全漏洞详情 | |
|---|---|
| CVE(s) | CVE-2019-18817 |
| CVSS 影响评分 | 7.5 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H/E:H/RL:O/RC:C |
| 受影响的版本 | 1.3 to 1.3.4 |
Envoy 以及随后的 Istio 容易受到以下 DoS 攻击。
如果选项 continue_on_listener_filters_timeout 设置为 True,则可以在 Envoy 中触发无限循环。自从 Istio 1.3 中引入协议检测功能以来,Istio 就是这种情况。
远程攻击者可能会轻易触发该漏洞,从而有效耗尽 Envoy 的 CPU 资源并造成拒绝服务攻击。
影响范围
Istio gateway 和 sidecar 都容易受到此问题的影响。如果您运行的 Istio 是受影响的发行版本,那么您的集群容易受到攻击。
防范
解决方法: 通过自定义安装 Istio 可以防止对该漏洞的利用(如安装选项中所述),在使用 Helm 时添加以下选项:
--set pilot.env.PILOT_INBOUND_PROTOCOL_DETECTION_TIMEOUT=0s --set global.proxy.protocolDetectionTimeout=0s对于 Istio 1.3.x 部署: 更新至 Istio 1.3.5 或者更新的版本。
漏洞报告
希望大家遵循漏洞报告步骤,以报告任何可能会导致安全漏洞的 BUG。