距离 Istio 1.5 版本发布还有 天。

ISTIO-SECURITY-2019-005

安全公告

安全漏洞详情
CVE(s)
CVSS 影响评分
受影响的版本

内容

Envoy 和 Istio 容易受到以下 DoS 攻击。收到每个传入的请求后,Envoy 将遍历请求标头,以保证请求头的总大小保持在最大限制以下。远程攻击者可能会制作一个请求,该请求的 header 的大小不会超过最大限制,但包含成千上万个小的 header,来消耗 CPU 并导致拒绝服务攻击。

影响范围

Istio gateway 和 sidecar 都容易受到此问题的影响。如果您运行的 Istio 是受影响的发行版本,那么您的集群容易受到攻击。

防范

  • 对于 Istio 1.1.x 部署: 更新所有控制平面组件(Pilot、Mixer、Citadel、和 Galley)然后更新数据平面的版本不低于Istio 1.1.16
  • 对于 Istio 1.2.x 部署: 更新所有控制平面组件(Pilot、Mixer、Citadel、和 Galley)然后更新数据平面的版本不低于Istio 1.2.7
  • 对于 Istio 1.3.x 部署: 更新所有控制平面组件(Pilot、Mixer、Citadel、和 Galley)然后更新数据平面的版本不低于Istio 1.3.2

漏洞报告

希望大家遵循漏洞报告步骤,以报告任何可能会导致安全漏洞的 bug。

这些信息有用吗?
Do you have any suggestions for improvement?

Thanks for your feedback!