ISTIO-SECURITY-2024-004
Envoy 上报的 CVE 漏洞。
安全漏洞详情 | |
---|---|
CVE(s) | CVE-2024-32976 CVE-2024-32975 CVE-2024-32974 CVE-2024-34363 CVE-2024-34362 CVE-2024-23326 CVE-2024-34364 |
CVSS 影响评分 | 7.5 AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
受影响的版本 | 1.20.0 之前的所有版本 1.20.0 到 1.20.6 1.21.0 到 1.21.2 1.22.0 |
CVE
Envoy CVE
CVE-2024-23326: (CVSS Score 5.9, Moderate):对 HTTP/1 升级请求的响应处理不正确,可能导致请求走私。
CVE-2024-32974: (CVSS Score 5.9, Moderate):QUIC 堆栈中的漏洞可能导致进程异常终止。
CVE-2024-32975: (CVSS Score 5.9, Moderate):QUIC 堆栈中的漏洞可能导致进程异常终止。
CVE-2024-32976: (CVSS Score 7.5, High):
Brotli
解压器中的漏洞可能导致无限循环。CVE-2024-34362: (CVSS Score 5.9, Moderate):QUIC 堆栈中的漏洞可能导致进程异常终止。
CVE-2024-34363: (CVSS Score 7.5, High):Envoy 访问日志 JSON 格式化程序中存在漏洞,可能导致进程异常终止。
CVE-2024-34364: (CVSS Score 5.7, Moderate):
ext_proc
和ext_authz
中的内存消耗不受限制。
我受到影响了吗?
如果您在 Istio 1.22 中使用 JSON 访问日志格式,则会受到影响,请尽快升级。请求走私也会影响 Websockets 的用户。