ISTIO-SECURITY-2019-006
安全公告
| 安全漏洞详情 | |
|---|---|
| CVE(s) | |
| CVSS 影响评分 | |
| 受影响的版本 | |
内容
Envoy 以及随后的 Istio 容易受到以下 DoS 攻击。
如果选项 continue_on_listener_filters_timeout 设置为 True,则可以在 Envoy 中触发无限循环。自从 Istio 1.3 中引入协议检测功能以来,Istio 就是这种情况。
远程攻击者可能会轻易触发该漏洞,从而有效耗尽 Envoy 的 CPU 资源并造成拒绝服务攻击。
影响范围
Istio gateway 和 sidecar 都容易受到此问题的影响。如果您运行的 Istio 是受影响的发行版本,那么您的集群容易受到攻击。
防范
解决方法: 通过自定义安装 Istio 可以防止对该漏洞的利用(如安装选项中所述),在使用 Helm 时添加以下选项:
--set pilot.env.PILOT_INBOUND_PROTOCOL_DETECTION_TIMEOUT=0s --set global.proxy.protocolDetectionTimeout=0s对于 Istio 1.3.x 部署: 更新至 Istio 1.3.5 或者更新的版本。
漏洞报告
希望大家遵循漏洞报告步骤,以报告任何可能会导致安全漏洞的 bug。