ISTIO-SECURITY-2020-010
| 安全漏洞详情 | |
|---|---|
| CVE(s) | CVE-2020-25017 |
| CVSS 影响评分 | 8.3 AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:L |
| 受影响的版本 | 1.6 to 1.6.10 1.7 to 1.7.2 |
Envoy 及 Istio 容易受到新发现的漏洞的攻击:
- CVE-2020-25017:
在某些情况下,Envoy 只会在出现多个(HTTP)头信息时考虑第一个值。而且 Envoy 不会替换所有存在的 non-inline(HTTP)头信息 。
- CVSS Score:8.3 AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:L
防范
- 对于 Istio 1.6.x 部署: 请升级到 Istio 1.6.11 或更高的版本。
- 对于 Istio 1.7.x 部署: 请升级到 Istio 1.7.3 或更高的版本。
漏洞报告
希望大家遵循漏洞报告步骤,以报告任何可能会导致安全漏洞的 BUG。