2019年11月7号,istio安全漏洞发布说明
ISTIO-SECURITY-2019-006:Envoy和Istio过往的版本很容易受到DoS攻击:* CVE-2019-18817:如果将continu_on_listener_filters_timeout设置为True,则可以在Envoy中触发无限循环。自Istio 1.3中引入协议检测(Protocol Detection)功能以来,该漏洞就存在了。远程攻击者可以会轻易触发该漏洞,从而耗尽Envoy的CPU资源,造成拒绝服务的攻击。
受影响的 Istio 版本
以下Istio的版本易受攻击:
- 1.3, 1.3.1, 1.3.2, 1.3.3, 1.3.4
危险评分
Overall CVSS score: 7.5 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H/E:H/RL:O/RC:C
漏洞影响自查
Istio网关和sidecars受到此漏洞的影响。如果您正在运行上面列出的版本之一,则您的集群很容易受到攻击。
解决
解决办法:可以通过自定义Istio安装,使用Helm覆盖以下选项来防止对该漏洞的利用:
--set pilot.env.PILOT_INBOUND_PROTOCOL_DETECTION_TIMEOUT=0s --set global.proxy.protocolDetectionTimeout=0s
我们也将尽快发布稳定版本的Istio,以解决此漏洞。
