距离 Istio 1.5 版本发布还有 天。

ISTIO-SECURITY-2019-004

安全公告

安全漏洞详情
CVE(s)
CVSS 影响评分
受影响的版本

内容

Envoy 和 Istio 容易受到一系列基于 HTTP/2 的 DoS 攻击:

  • 利用 HTTP/2 的 PING 帧及 PING ACK 帧响应队列发起的洪水攻击,这会导致内存的无限制增长(可能导致内存不足的情况)。
  • 利用 HTTP/2 的 PRIORITY 帧发起的洪水攻击,这会导致 CPU 使用率过高、不能及时响应其它正常的客户端。
  • 利用 HTTP/2 的 HEADERS 帧(带有无效 HTTP header)和 RST_STREAM 帧响应队列发起的洪水攻击,这会导致内存的无限制增长(可能导致内存不足的情况)。
  • 利用 HTTP/2 的 SETTINGS 帧及 SETTINGS ACK 帧响应队列发起的洪水攻击,这会导致内存的无限制增长(可能导致内存不足的情况)。
  • 利用 HTTP/2 的 空荷载帧发起的洪水攻击,这会导致 CPU 使用率过高、不能及时响应其它正常的客户端。

这些漏洞是从外部报告的,并影响多个代理的实现。更多信息请查看 安全公告

影响范围

如果 Istio 终止来自外部的 HTTP,则 Istio 会变得很脆弱。如果终止 HTTP 的是 Istio 前面的 Intermediary (例: HTTP 负载均衡),那 Intermediary 就可以保护 Istio,前提是 Intermediary 本身不容易受到相同的 HTTP/2 攻击。

防范

  • 对于 Istio 1.1.x 部署:更新至Istio 1.1.13或者更新的版本。
  • 对于 Istio 1.2.x 部署:更新至Istio 1.2.4或者更新的版本。

漏洞报告

希望大家遵循漏洞报告步骤,以报告任何可能会导致安全漏洞的 bug。

这些信息有用吗?
Do you have any suggestions for improvement?

Thanks for your feedback!