ISTIO-SECURITY-2019-007

Envoy 中的堆溢出及错误的输入验证。

Dec 10, 2019

安全漏洞详情
CVE(s)CVE-2019-18801
CVE-2019-18802
CVSS 影响评分9.0 CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
受影响的版本1.2 to 1.2.9
1.3 to 1.3.5
1.4 to 1.4.1

Envoy 及 Istio 容易受到基于两个新发现的漏洞的攻击:

影响范围

Istio gateway 和 sidecar 都容易受到此问题的影响。如果您正在运行受影响的发行版之一,其中下游的请求为 HTTP/2,而上游的请求为 HTTP/1,则您的群集很容易受到攻击。我们估计很多集群都是这样。

防范

漏洞报告

希望大家遵循漏洞报告步骤,以报告任何可能会导致安全漏洞的 BUG。