ISTIO-SECURITY-2019-007
安全公告
| 安全漏洞详情 | |
|---|---|
| CVE(s) | CVE-2019-18801 CVE-2019-18802 |
| CVSS 影响评分 | 9.0 CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H |
| 受影响的版本 | 1.2 to 1.2.9 1.3 to 1.3.5 1.4 to 1.4.1 |
Envoy 及 Istio 容易受到基于两个新发现的漏洞的攻击:
CVE-2019-18801:此漏洞以处理带有大量 HTTP/2 header 下游请求的方式影响 Envoy 的 HTTP/1 编解码器。利用此漏洞可能会导致拒绝服务、特权升级或信息泄露。
CVE-2019-18802:HTTP/1 编解码器未能正确修剪 header 值的尾缀空格。这可能使攻击者可以绕开 Istio 的策略,导致特权升级或信息泄露。
影响范围
Istio gateway 和 sidecar 都容易受到此问题的影响。如果您正在运行受影响的发行版之一,其中下游的请求为 HTTP/2,而上游的请求为 HTTP/1,则您的群集很容易受到攻击。我们估计很多集群都是这样。
防范
- 对于 Istio 1.2.x 部署: 请升级至 Istio 1.2.10 或更高的版本。
- 对于 Istio 1.3.x 部署: 请升级至 Istio 1.3.6 或更高的版本。
- 对于 Istio 1.4.x 部署: 请升级至 Istio 1.4.2 或更高的版本。
漏洞报告
希望大家遵循漏洞报告步骤,以报告任何可能会导致安全漏洞的 bug。