Istio安全漏洞ISTIO-SECURITY-2019-006,Dos攻击引起的CPU资源耗尽

半兽人 发表于: 2019-11-10   最后更新时间: 2019-11-10  

2019年11月7号,istio安全漏洞发布说明

ISTIO-SECURITY-2019-006:Envoy和Istio过往的版本很容易受到DoS攻击* CVE-2019-18817:如果将continu_on_listener_filters_timeout设置为True,则可以在Envoy中触发无限循环。自Istio 1.3中引入协议检测(Protocol Detection)功能以来,该漏洞就存在了。远程攻击者可以会轻易触发该漏洞,从而耗尽Envoy的CPU资源,造成拒绝服务的攻击。

受影响的 Istio 版本

以下Istio的版本易受攻击:

  • 1.3, 1.3.1, 1.3.2, 1.3.3, 1.3.4

危险评分

Overall CVSS score: 7.5 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H/E:H/RL:O/RC:C

漏洞影响自查

Istio网关和sidecars受到此漏洞的影响。如果您正在运行上面列出的版本之一,则您的集群很容易受到攻击。

解决

解决办法:可以通过自定义Istio安装,使用Helm覆盖以下选项来防止对该漏洞的利用:

--set pilot.env.PILOT_INBOUND_PROTOCOL_DETECTION_TIMEOUT=0s --set global.proxy.protocolDetectionTimeout=0s

我们也将尽快发布稳定版本的Istio,以解决此漏洞。

相关连接

漏洞报告来自:https://istio.io/news/2019/istio-security-2019-006/



您需要解锁本帖隐藏内容请: 点击这里
本帖隐藏的内容




上一条: Istio 1.3.5 版本发布说明
下一条: Istio 1.2.9 版本发布说明