ISTIO-SECURITY-2021-003
| 安全漏洞详情 | |
|---|---|
| CVE(s) | CVE-2021-28683 CVE-2021-28682 CVE-2021-29258 |
| CVSS 影响评分 | 7.5 AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
| 受影响的版本 | All releases prior to 1.8.5 1.9.0 to 1.9.2 |
Envoy 和 Istio 容易受到几个新发现的漏洞的攻击:
- CVE-2021-28683:
Envoy 包含一个可远程利用的 NULL 指针取消引用,并在收到未知 TLS 警报代码时在 TLS 中崩溃。
- CVSS Score: 7.5 AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
- CVE-2021-28682:
Envoy 包含一个可远程利用的整数溢出,其中非常大的 grpc-timeout 值会导致意外的超时计算。
- CVSS Score: 7.5 AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
- CVE-2021-29258:
Envoy 包含一个可远程利用的漏洞,其中带有空元数据映射的 HTTP2 请求可能导致 Envoy 崩溃。
- CVSS Score: 7.5 AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
漏洞报告
希望大家遵循漏洞报告步骤,以报告任何可能会导致安全漏洞的 BUG。