Istio 的一个可远程利用的漏洞(CVE-2021-34824)风险通告

  • A+
所属分类:安全漏洞

Istio 包含一个可远程利用的漏洞,使用Istio的k8s集群内的机器有可能越权访问到TLS证书和密钥。


1

漏洞描述


Istio 包含一个可远程利用的漏洞,使用Istio的k8s集群内的机器有可能越权访问到TLS证书和密钥。腾讯安全专家建议受影响的用户尽快升级。

 

lstio是一个由谷歌、IBM与Lyft共同开发的开源项目,旨在提供一种统一化的微服务连接、安全保障、管理与监控方式。


2

漏洞编号


CVE-2021-34824


3

漏洞等级

高危,CVSS评分9.1


4

漏洞详情


该IstioGateway DestinationRule可以通过从Kubernetes秘密加载私钥和证书credentialName的配置。对于Istio 1.8 及更高版本,秘密通过 XDS API 从 Istiod 传送到网关或工作负载。

 

在上述方法中,网关或工作负载部署应该只能访问存储在其命名空间内的Kubernetes 机密中的凭据(TLS 证书和私钥)。然而,Istiod 中的一个错误允许授权客户端访问和检索 Istiod 中缓存的任何 TLS证书和私钥。


5

受影响的版本


Istio <=1.8

Istio 1.9.0 到 1.9.5

Istio 1.10.0 到 1.10.1


6

安全版本


Istio >= 1.9.6 或更高版本,如果使用 1.9.x

Istio >= 1.10.2 或更高版本,如果使用 1.10.x

如果使用的是 Istio 1.8,请联系Istio 提供商以检查更新。否则,请升级到 Istio 1.9 或 1.10 的最新补丁版本。


我受影响了吗?

如果以下所有条件都为真,您的集群就会受到影响:

使用的是 Istio 1.10.0 到 1.10.1、Istio 1.9.0 到 1.9.5 或 Istio 1.8.x。

已定义Gateways或 DestinationRules具有credentialName指定的字段。

没有指定 Istiod 标志PILOT_ENABLE_XDS_CACHE=false。


7

漏洞修复建议


腾讯安全专家建议受影响的用户尽快升级到安全版本。


如果升级不可行,则可以通过禁用 Istiod 缓存来缓解此漏洞。通过设置 Istiod 环境变量来禁用缓存PILOT_ENABLE_XDS_CACHE=false。修改后,系统和 Istiod 性能可能会受到影响,因为这会禁用 XDS 缓存。


参考链接:

https://istio.io/latest/news/security/istio-security-2021-007/

本文始发于微信公众号(腾讯安全威胁情报中心):Istio 的一个可远程利用的漏洞(CVE-2021-34824)风险通告

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: