ISTIO-SECURITY-2022-005

在某些配置中,发送给 Envoy 的格式错误的请求头可能会导致意外的内存访问冲突,从而产生未定义的行为或崩溃。

Jun 9, 2022

安全漏洞详情
CVE(s)CVE-2022-31045
CVE-2022-29225
CVE-2022-29224
CVE-2022-29226
CVE-2022-29228
CVE-2022-29227
CVSS 影响评分7.5 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
受影响的版本All releases prior to 1.12.0
1.12.0 to 1.12.7
1.13.0 to 1.13.4
1.14.0

CVE

CVE-2022-31045

Envoy CVEs

这些 Envoy CVE 不会直接影响 Istio 功能,但我们仍会将它们包含在 1.12.8、1.13.5 和 1.14.1 的补丁版本中。

我受到影响了吗?{#am-i-impacted?}

如果您有一个暴露于外部流量的 Istio 入口网关,那么您面临的风险最大。

致谢

我们要感谢 Red Hat 的 Otto van der Schaaf 的报告。