ISTIO-SECURITY-2020-001
绕过身份认证策略。
| 安全漏洞详情 | |
|---|---|
| CVE(s) | CVE-2020-8595 |
| CVSS 影响评分 | 9.0 AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H |
| 受影响的版本 | 1.3 to 1.3.7 1.4 to 1.4.3 |
Istio 1.3 到 1.3.7 以及 1.4 到 1.4.3 容易受到一个新发现漏洞的攻击,其会影响认证策略:
- CVE-2020-8595:Istio 身份认证策略精确路径匹配逻辑中的一个 bug,允许在没有有效 JWT 令牌的情况下,对资源进行未经授权的访问。此 bug 会影响所有支持基于路径触发规则的 JWT 身份验证策略的 Istio 版本。Istio JWT 过滤器中用于精确路径匹配的逻辑包括查询字符串或片段,而不是在匹配之前将其剥离。这意味着攻击者可以通过在受保护的路径之后添加
?或##字符来绕过 JWT 验证。
防范
- 对于 Istio 1.3.x 部署: 请升级至 Istio 1.3.8 或更高的版本。
- 对于 Istio 1.4.x 部署: 请升级至 Istio 1.4.4 或更高的版本。
鸣谢
Istio 团队在此对 Aspen Mesh 的原始错误报告和 CVE-2020-8595 的修复代码表示感谢。
漏洞报告
希望大家遵循漏洞报告步骤,以报告任何可能会导致安全漏洞的 BUG。