ISTIO-SECURITY-2021-006

当网关配置了 AUTO_PASSTHROUGH 路由配置时,外部客户端可以绕过授权检查访问集群中的意外服务。

May 11, 2021

安全漏洞详情
CVE(s)CVE-2021-31921
CVSS 影响评分10 AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
受影响的版本All releases prior to 1.8.6
1.9.0 to 1.9.4

问题

Istio 包含一个远程可利用的漏洞,当网关配置了 AUTO_PASSTHROUGH 路由配置时,外部客户端可以绕过授权检查访问集群中的意外服务。

对我的影响?

此漏洞仅影响 AUTO_PASSTHROUGH 类型网关的使用,该类型通常仅用于多网络多集群部署。

可以使用以下命令检测集群中所有网关的 TLS 模式:

$ kubectl get gateways.networking.istio.io -A -o "custom-columns=NAMESPACE:.metadata.namespace,NAME:.metadata.name,TLS_MODE:.spec.servers[*].tls.mode"

如果输出显示任何 AUTO_PASSTHROUGH 类型的网关,您可能会受到影响。

防范

将您的集群更新到支持的最新版本:

鸣谢

我们要感谢 John Howard(谷歌)报告了此问题。