mirror of https://github.com/istio/istio.io.git
2.3 KiB
2.3 KiB
| title | subtitle | description | cves | cvss | vector | releases | publishdate | keywords | skip_seealso | |||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| ISTIO-SECURITY-2020-006 | 安全公告 | Envoy使用HTTP2库中的拒绝服务。 |
|
7.5 | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
|
2020-06-11 |
|
true |
{{< security_bulletin >}}
已修复并公开披露影响 Envoy 使用的 HTTP2 库的漏洞 (c.f. 拒绝服务:SETTINGS 帧过大 ). 不幸的是,Istio 没有从可靠的披露评审中受益。
- CVE-2020-11080:
通过发送特制数据包,攻击者可能会导致 CPU 峰值激增100%。 这可以发送到 Ingress 网关或 Sidecar。
- CVSS Score: 7.5 AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
防范
可以使用以下配置在 Ingress Gateway 上禁用 HTTP2 支持作为临时解决方法,例如(请注意,如果您不通过 Ingress 公开 gRPC 服务,则可以禁用 Ingress 的 HTTP2 支持):
{{< text yaml >}}
apiVersion: networking.istio.io/v1alpha3 kind: EnvoyFilter metadata: name: disable-ingress-h2 namespace: istio-system spec: workloadSelector: labels: istio: ingressgateway configPatches:
- applyTo: NETWORK_FILTER # http connection manager is a filter in Envoy match: context: GATEWAY listener: filterChain: filter: name: "envoy.http_connection_manager" patch: operation: MERGE value: typed_config: "@type": type.googleapis.com/envoy.config.filter.network.http_connection_manager.v2.HttpConnectionManager codec_type: HTTP1 {{< /text >}}
- 对于 Istio 1.4.x 部署:请升级至 Istio 1.4.10 或更高的版本。
- 对于 Istio 1.5.x 部署:请升级至 Istio 1.5.5 或更高的版本。
- 对于 Istio 1.6.x 部署:请升级至 Istio 1.6.2 或更高的版本。
鸣谢
我们要感谢 Michael Barton 引起了我们对这个公开披露漏洞的关注。
{{< boilerplate "security-vulnerability" >}}