您的需求已经提交,我们将在48小时内联系您
全国服务热线:400-1000-221
确定
免费享受企业级云安全服务
获取手机验证码
{{message}}
免费试用

Istio的一个可远程利用的漏洞风险通告(编号CVE-2021-34824)

作者:安全狗
发布时间:2021-06-28

  近期腾讯安全发布一个关于Istio的漏洞风险通告,该Istio 包含一个可远程利用的漏洞,使用Istio的k8s集群内的机器有可能越权访问到TLS证书和密钥。接下来一起来看看具体的漏洞详情吧。

  漏洞描述:

  Istio 包含一个可远程利用的漏洞,使用Istio的k8s集群内的机器有可能越权访问到TLS证书和密钥,腾讯安全专家建议受影响的用户尽快升级到安全版本以消除威胁。

  Istio 是一个开源服务网格,Istio 为可扩展性而设计,可以处理各种部署需求。Istio 在 Kubernetes 上运行,可以将部署在该集群中的应用程序添加到您的网格中,将网格扩展到其他集群,甚至连接在 Kubernetes 之外运行的虚拟机或其他端点。

  漏洞编号:CVE-2021-34824

  漏洞等级:高危,CVSS评分9.1

  漏洞详情:

  该IstioGateway DestinationRule可以通过从Kubernetes秘密加载私钥和证书credentialName的配置。对于 Istio 1.8 及更高版本,秘密通过 XDS API 从 Istiod 传送到网关或工作负载。

  在上述方法中,网关或工作负载部署应该只能访问存储在其命名空间内的 Kubernetes 机密中的凭据(TLS 证书和私钥)。然而,Istiod 中的一个错误允许授权客户端访问和检索 Istiod 中缓存的任何 TLS 证书和私钥。

  受影响的版本:

  Istio <=1.8

  Istio 1.9.0 到 1.9.5

  Istio 1.10.0 到 1.10.1

  安全版本:

  Istio >= 1.9.6 或更高版本,如果使用 1.9.x

  Istio >= 1.10.2 或更高版本,如果使用 1.10.x

  如果使用的是 Istio 1.8,请联系Istio 提供商以检查更新。否则,请升级到 Istio 1.9 或 1.10 的最新补丁版本。

  我受影响了吗?

  如果以下所有条件都为真,您的集群就会受到影响:

  使用的是 Istio 1.10.0 到 1.10.1、Istio 1.9.0 到 1.9.5 或 Istio 1.8.x。

  已定义Gateways或 DestinationRules具有credentialName指定的字段。

  没有指定 Istiod 标志PILOT_ENABLE_XDS_CACHE=false。

  漏洞修复:

  腾讯安全专家建议受影响的用户尽快升级到安全版本

  如果升级不可行,则可以通过禁用 Istiod 缓存来缓解此漏洞。通过设置 Istiod 环境变量来禁用缓存PILOT_ENABLE_XDS_CACHE=false。修改后,系统和 Istiod 性能可能会受到影响,因为这会禁用 XDS 缓存。

  参考链接:

  https://istio.io/latest/news/security/istio-security-2021-007/

 

标签: 安全漏洞