距离 Istio 1.5 版本发布还有 天。

ISTIO-SECURITY-2019-006

安全公告

安全漏洞详情
CVE(s)
CVSS 影响评分
受影响的版本

内容

Envoy 以及随后的 Istio 容易受到以下 DoS 攻击。 如果选项 continue_on_listener_filters_timeout 设置为 True,则可以在 Envoy 中触发无限循环。自从 Istio 1.3 中引入协议检测功能以来,Istio 就是这种情况。 远程攻击者可能会轻易触发该漏洞,从而有效耗尽 Envoy 的 CPU 资源并造成拒绝服务攻击。

影响范围

Istio gateway 和 sidecar 都容易受到此问题的影响。如果您运行的 Istio 是受影响的发行版本,那么您的集群容易受到攻击。

防范

  • 解决方法: 通过自定义安装 Istio 可以防止对该漏洞的利用(如安装选项中所述),在使用 Helm 时添加以下选项:

    --set pilot.env.PILOT_INBOUND_PROTOCOL_DETECTION_TIMEOUT=0s --set global.proxy.protocolDetectionTimeout=0s
    
  • 对于 Istio 1.3.x 部署: 更新至Istio 1.3.5或者更新的版本。

漏洞报告

希望大家遵循漏洞报告步骤,以报告任何可能会导致安全漏洞的 bug。

这些信息有用吗?
Do you have any suggestions for improvement?

Thanks for your feedback!