ISTIO-SECURITY-2019-005

安全公告

安全漏洞详情
CVE(s)CVE-2019-15226
CVSS 影响评分7.5 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
受影响的版本1.1 to 1.1.15
1.2 to 1.2.6
1.3 to 1.3.1

内容

Envoy 和 Istio 容易受到以下 DoS 攻击。收到每个传入的请求后,Envoy 将遍历请求标头,以保证请求头的总大小保持在最大限制以下。远程攻击者可能会制作一个请求,该请求的 header 的大小不会超过最大限制,但包含成千上万个小的 header,来消耗 CPU 并导致拒绝服务攻击。

影响范围

Istio gateway 和 sidecar 都容易受到此问题的影响。如果您运行的 Istio 是受影响的发行版本,那么您的集群容易受到攻击。

防范

  • 对于 Istio 1.1.x 部署: 更新所有控制平面组件(Pilot、Mixer、Citadel、和 Galley) 然后更新数据平面的版本不低于 Istio 1.1.16
  • 对于 Istio 1.2.x 部署: 更新所有控制平面组件(Pilot、Mixer、Citadel、和 Galley) 然后更新数据平面的版本不低于 Istio 1.2.7
  • 对于 Istio 1.3.x 部署: 更新所有控制平面组件(Pilot、Mixer、Citadel、和 Galley) 然后更新数据平面的版本不低于 Istio 1.3.2

漏洞报告

希望大家遵循漏洞报告步骤,以报告任何可能会导致安全漏洞的 bug。

这些信息有用吗?
Do you have any suggestions for improvement?

Thanks for your feedback!