安全公告

公开的安全漏洞及其修复方法。

安全漏洞日期受影响的版本影响评分关联
ISTIO-SECURITY-2024-0012024年2月9日1.19.0 之前的所有版本
1.19.0 到 1.19.6
1.20.0 到 1.20.2
8.6Envoy 上报的 CVE 漏洞。
ISTIO-SECURITY-2023-0052023年12月12日1.18.0 以及之前的所有版本"
1.18.0 到 1.18.5
1.19.0 到 1.19.4
1.20.0
N/AIstio CNI RBAC 权限的变更。
ISTIO-SECURITY-2023-0042023年10月11日1.17.0 以及之前的所有版本
1.17.0 到 1.17.6
1.18.0 到 1.18.3
1.19.0 到 1.19.1
7.5Envoy 和 Go 上报的 CVE 漏洞。
ISTIO-SECURITY-2023-0032023年7月25日1.16.0 以及之前的所有版本
1.16.0 到 1.16.6
1.17.0 到 1.17.4
1.18.0 到 1.18.1
8.6Envoy 上报的 CVE 漏洞。
ISTIO-SECURITY-2023-0022023年7月14日1.16.0 以及之前的所有版本
1.16.0 到 1.16.5
1.17.0 到 1.17.3
1.18.0
7.5Envoy 上报的 CVE 漏洞。
ISTIO-SECURITY-2023-0012023年4月4日1.15.0 之前的所有版本
1.15.0 到 1.15.6
1.16.0 到 1.16.3
1.17.0 到 1.17.1
8.2Envoy 上报的众多 CVE 漏洞。
ISTIO-SECURITY-2022-0082022年11月9日1.15.2
7.6用户具有 localhost 访问权限时有身份模仿的风险。
ISTIO-SECURITY-2022-0072022年10月12日1.13 之前的所有版本
1.13.0 到 1.13.8
1.14.0 到 1.14.4
1.15.0 到 1.15.1
7.5由于 Go 语言正则表达式库造成拒绝服务 (DoS) 攻击。
ISTIO-SECURITY-2022-0062022年7月26日1.13.6
1.14.2
5.9在某些配置中,发送给 Envoy 的格式错误的标头可能会导致意外的内存访问,从而导致未定义的行为或崩溃。
ISTIO-SECURITY-2022-0052022年6月9日All releases prior to 1.12.0
1.12.0 to 1.12.7
1.13.0 to 1.13.4
1.14.0
7.5在某些配置中,发送给 Envoy 的格式错误的请求头可能会导致意外的内存访问冲突,从而产生未定义的行为或崩溃。
ISTIO-SECURITY-2022-0042022年3月9日All releases prior to 1.11.0
1.11.0 to 1.11.7
1.12.0 to 1.12.4
1.13.0 to 1.13.1
7.5由于堆栈耗尽而导致控制平面不能拒绝未经身份验证的服务攻击。
ISTIO-SECURITY-2022-0032022年2月22日All releases prior to 1.11.0
1.11.0 to 1.11.6
1.12.0 to 1.12.3
1.13.0
7.5Multiple CVEs related to istiod Denial of Service and Envoy
ISTIO-SECURITY-2022-0012022年1月18日1.12.0 to 1.12.1
6.8Authorization Policy For Host Rules During Upgrades
ISTIO-SECURITY-2022-0022022年1月18日1.12.0 to 1.12.1
4.7Kubernetes Gateway API 中的特权提升。
ISTIO-SECURITY-2021-0082021年8月24日All releases prior to 1.9.8
1.10.0 to 1.10.3
1.11.0
8.6多个与 AuthorizationPolicy、EnvoyFilter 和 Envoy 相关的 CVEs。
ISTIO-SECURITY-2021-0072021年6月24日All 1.8 patch releases
1.9.0 to 1.9.5
1.10.0 to 1.10.1
9.1Istio 包含一个可远程利用的漏洞,可以从不同的命名空间访问 Gateway 和 DestinationRule credentialName 字段中指定的身份凭据。
ISTIO-SECURITY-2021-0062021年5月11日All releases prior to 1.8.6
1.9.0 to 1.9.4
10当网关配置了 AUTO_PASSTHROUGH 路由配置时,外部客户端可以绕过授权检查访问集群中的意外服务。
ISTIO-SECURITY-2021-0032021年4月15日All releases prior to 1.8.5
1.9.0 to 1.9.2
7.5
ISTIO-SECURITY-2021-0012021年3月1日1.9.0
8.2滥用 AuthorizationPolicy 时,可以绕过 JWT 身份验证。
ISTIO-SECURITY-2020-0112020年11月21日1.8.0
N/AEnvoy 错误地为非 HTTP 连接恢复代理协议下游地址。
ISTIO-SECURITY-2020-0102020年9月29日1.6 to 1.6.10
1.7 to 1.7.2
8.3
ISTIO-SECURITY-2020-0092020年8月11日1.5 to 1.5.8
1.6 to 1.6.7
6.8TCP 服务的授权策略news/security/istio-security-2020-004/index.md中用于 Principals /名称空间的通配符后缀其 Envoy 配置不正确。
ISTIO-SECURITY-2020-0082020年7月9日1.5 to 1.5.7
1.6 to 1.6.4
All releases prior to 1.5
6.6通配符 DNS 使用者主机名称的验证不正确。
ISTIO-SECURITY-2020-0072020年6月30日1.5 to 1.5.6
1.6 to 1.6.3
7.5Envoy 中的多个拒绝服务漏洞。
ISTIO-SECURITY-2020-0062020年6月11日1.4 to 1.4.9
1.5 to 1.5.4
1.6 to 1.6.1
7.5Envoy使用HTTP2库中的拒绝服务。
ISTIO-SECURITY-2020-0052020年5月12日1.4 to 1.4.8
1.5 to 1.5.3
7.5影响 telemetry v2 的拒绝服务漏洞。
ISTIO-SECURITY-2020-0042020年3月25日1.4 to 1.4.6
1.5
8.7Default Kiali security configuration allows full control of mesh
ISTIO-SECURITY-2020-0012020年2月11日1.3 to 1.3.7
1.4 to 1.4.3
9.0绕过身份认证策略。
ISTIO-SECURITY-2020-0022020年2月11日1.3 to 1.3.6
7.4由于不正确地接受某些请求 header 导致 Mixer 策略检查被绕过。
ISTIO-SECURITY-2019-0072019年12月10日1.2 to 1.2.9
1.3 to 1.3.5
1.4 to 1.4.1
9.0Envoy 中的堆溢出及错误的输入验证。
ISTIO-SECURITY-2019-0062019年11月7日1.3 to 1.3.4
7.5拒绝服务。
ISTIO-SECURITY-2019-0052019年10月8日1.1 to 1.1.15
1.2 to 1.2.6
1.3 to 1.3.1
7.5由于客户端请求中存在大量 HTTP(请求)头 而导致的拒绝服务。
Istio 1.2.4 sidecar 镜像漏洞2019年9月10日1.2 to 1.2.4
由于错误的发布操作,出现了错误的 1.2.4 sidecar 镜像。
ISTIO-SECURITY-2019-0032019年8月13日1.1 to 1.1.12
1.2 to 1.2.3
7.5解析正则表达式导致的拒绝服务。
ISTIO-SECURITY-2019-0042019年8月13日1.1 to 1.1.12
1.2 to 1.2.3
7.5与 Envoy 中的 HTTP2 支持相关的多个拒绝服务的漏洞。
ISTIO-SECURITY-2019-0022019年6月28日1.0 to 1.0.8
1.1 to 1.1.9
1.2 to 1.2.1
7.5CVE-2019-12995 所披露的安全漏洞。
ISTIO-SECURITY-2019-0012019年5月28日1.1 to 1.1.6
8.9错误的权限控制。