ISTIO-SECURITY-2020-002

安全公告

安全漏洞详情
CVE(s)CVE-2020-8843
CVSS 影响评分7.4 AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N
受影响的版本1.3 to 1.3.6

Istio 1.3 到 1.3.6 包含了影响 Mixer 策略检查的漏洞。

注意:我们在 Istio 1.4.0 以及 Istio 1.3.7 中默认地修复了该漏洞。 Istio 1.4.0 中的一个问题及其修复是一个非安全性问题。我们在 2019 年 12 月将该问题重新分类为漏洞。 CVE-2020-8843:在某些情况下,可以绕过特定配置的 Mixer 策略。Istio-proxy 在 ingress 处接受 x-istio-attributes header,当 Mixer 策略有选择地应用至 source 时,等价于应用至 ingress,其可能会影响策略决策。 为了避免这种情况,Istio 必须启用并以指定方式使用 Mixer 策略。在 Istio 1.3 和 1.4 中,默认情况下未启用此功能。

防范

  • 对于 Istio 1.3.x 部署: 请升级至 Istio 1.3.7 或更高的版本。

鸣谢

Istio 团队在此对 Splunk 的 Krishnan Anantheswaran 和 Eric Zhang 提供的私人 bug 报告表示感谢。

漏洞报告

希望大家遵循漏洞报告步骤,以报告任何可能会导致安全漏洞的 bug。

这些信息有用吗?
Do you have any suggestions for improvement?

Thanks for your feedback!