ISTIO-SECURITY-2024-002
Envoy 和 Go 上报的 CVE 漏洞。
| 安全漏洞详情 | |
|---|---|
| CVE(s) | CVE-2024-27919 CVE-2024-30255 CVE-2023-45288 |
| CVSS 影响评分 | 7.5 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
| 受影响的版本 | 1.19.0 之前的所有版本 1.19.0 到 1.19.8 1.20.0 到 1.20.4 1.21.0 |
CVE
Envoy CVE
- CVE-2024-27919: (CVSS Score 7.5, High):HTTP/2:由于 CONTINUATION 帧泛滥而导致内存耗尽。
- CVE-2024-30255: (CVSS Score 5.3, Moderate):HTTP/2:由于 CONTINUATION 帧泛滥而导致 CPU 耗尽。
Go CVE
注意:在发布时,该 CVE 尚未被评分或量化。
- CVE-2023-45288: (CVSS Score Unpublished): HTTP/2 CONTINUATION 帧可被用于 DoS 攻击。
我受到影响了吗?
如果您接受来自不受信任来源的 HTTP/2 流量,您就会受到影响。 这适用于大多数用户。如果您使用公共互联网上公开的网关,这一点尤其适用。