ISTIO-SECURITY-2021-001

滥用 AuthorizationPolicy 时,可以绕过 JWT 身份验证。

Mar 1, 2021

安全漏洞详情
CVE(s)CVE-2021-21378
CVSS 影响评分8.2 AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N
受影响的版本1.9.0

Envoy 和 Istio 容易受到新发现漏洞的攻击:

如果仅将 RequestAuthentication 用于 JWT 验证,则您会受到此漏洞的影响。

如果您同时使用 RequestAuthenticationAuthorizationPolicy 进行 JWT 验证,则您不受此漏洞的影响。

对于Istio,此漏洞仅在您的服务:

对于同时满足这两个条件的服务路径,带有 JWT 令牌且令牌发行者不在 RequestAuthentication 中的传入请求将绕过 JWT 验证,而不是被拒绝。

防范

为了进行正确的 JWT 验证,您应该始终使用 istio.io 文档上记录的 AuthorizationPolicy指定有效令牌. 为此,您将必须审核所有 RequestAuthentication 和后续的 AuthorizationPolicy 资源,以确保它们与记录的实践保持一致。

漏洞报告

希望大家遵循漏洞报告步骤,以报告任何可能会导致安全漏洞的 BUG。