ISTIO-SECURITY-2020-004

Default Kiali security configuration allows full control of mesh.

Mar 25, 2020

安全漏洞详情
CVE(s)CVE-2020-1764
CVSS 影响评分8.7 AV:A/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:N
受影响的版本1.4 to 1.4.6
1.5

Istio 1.4 到 1.4.6 和 Istio 1.5 包含以下漏洞:

此外,此版本中还修复了另一个CVE,如下所述: Kiali 安全告.

检测

您的安装在以下配置中容易受到攻击:

请运行以下命令,检查您的 Kiali 版本:

$ kubectl get pods -n istio-system -l app=kiali -o yaml | grep image:

请运行以下命令确定您的登录令牌是否未设置,并检查输出是否为空:

$ kubectl get deploy kiali -n istio-system -o yaml | grep LOGIN_TOKEN_SIGNING_KEY

请运行以下命令确定您的签名密钥是否未设置,并检查输出是否为空:

$ kubectl get cm kiali -n istio-system -o yaml | grep signing_key

防范