ISTIO-SECURITY-2019-001

错误的权限控制。

May 28, 2019

安全漏洞详情
CVE(s)CVE-2019-12243
CVSS 影响评分8.9 AV:A/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:N/E:H/RL:O/RC:C
受影响的版本1.1 to 1.1.6

在检视 Istio 1.1.7 发布公告时我们发现已修复的缺陷 issue 13868 隐含一个安全漏洞。

起初我们认为该缺陷仅影响 alpha 特性 TCP Authorization,这样就不需要安全公告。但后来我们发现稳定特性 Deny CheckerList Checker 也受到影响。 我们正在重新评估标识缺陷为安全漏洞的流程而不是通过 private disclosure process

该缺陷源于 Istio 1.1 中引入的一个代码变更,影响至 1.1.6 的所有版本。

影响与检测

从 Istio 1.1 版本起,Istio 默认安装时策略增强是关闭的。

您可以通过以下命令来检测服务网格策略增强状态:

$ kubectl -n istio-system get cm istio -o jsonpath="{@.data.mesh}" | grep disablePolicyChecks
disablePolicyChecks: true

如果 disablePolicyChecks 状态为 true 那意味着该漏洞对您没有影响。

如果以下条件都是 true 那意味着该漏洞对您有影响:

防范

致谢

Istio 团队非常感谢 Haim Helman 报告该缺陷。

漏洞报告

希望大家遵循漏洞报告步骤,以报告任何可能会导致安全漏洞的 BUG。