Istio
Уязвимости
28
Эксплуатируемые
1
Макс. CVSS
10
Макс. EPSS
0.99999
Распределение по критичности
Критический
4
Высокий
18
Средний
4
Низкий
2
Затронутые диапазоны версий
1.15.0–1.15.21.1–1.1.61.25.0–1.27.91.3.0–1.3.31.3.0–1.3.61.3–1.3.51.3–1.3.71.4.0–1.4.91.5.0–1.5.81.8.0–1.9.6< 1.1.13< 1.11.7< 1.11.8< 1.12.8< 1.13.9< 1.17.6< 1.2.2< 1.27.8< 1.28.6< 1.8.6< 1.9.8≤ 1.4.9≤ 1.5.1
Также сопоставлено как (исходные строки): istio,envoy
Топ уязвимостей
CVE-2021-31921Istio версий до 1.8.6 и 1.9.x до 1.9.5 содержит удаленно эксплуатируемую уязвимость, при которой внешний клиент может получить доступ к неожиданным службам в кластере, обходя проверки авторизации, когда шлюз настроен с конфигурацией маршрутизации AUTO_PASSTHROUGH.
CVE-2022-31045Istio — это открытая платформа для подключения, управления и защиты микросервисов. В затронутых версиях неправильно сформированные заголовки, отправленные в Envoy в определенных конфигурациях, могут привести к неожиданному доступу к памяти, что приведет к неопределенному поведению или сбою. Пользователи, скорее всего, подвержены риску, если у них есть Istio Ingress Gateway, открытый для внешнего трафика. Эта уязвимость была устранена в версиях 1.12.8, 1.13.5 и 1.14.1. Пользователям рекомендуется выполнить обновление. Известных обходных решений для этой проблемы нет.
CVE-2022-21679Istio - это открытая платформа для подключения, управления и защиты микросервисов. В Istio 1.12.0 и 1.12.1 политика авторизации с hosts и notHosts может быть случайно проигнорирована для действия ALLOW или отклонена неожиданно для действия DENY во время обновления с 1.11 до 1.12.0/1.12.1. Istio 1.12 поддерживает поля hosts и notHosts в политике авторизации с новым Envoy API, поставляемым с плоскостью данных 1.12. Ошибка в 1.12.0 и 1.12.1 некорректно использует новый Envoy API с плоскостью данных 1.11. Это приведет к тому, что поля hosts и notHosts будут всегда совпадать независимо от фактического значения заголовка хоста при смешивании плоскости управления 1.12.0/1.12.1 и плоскости данных 1.11. Пользователям рекомендуется выполнить обновление или не смешивать плоскость управления 1.12.0/1.12.1 с плоскостью данных 1.11 при использовании поля hosts или notHosts в политике авторизации.
CVE-2021-34824Istio (1.8.x, 1.9.0-1.9.5 и 1.10.0-1.10.1) содержит удаленно эксплуатируемую уязвимость, из-за которой учетные данные, указанные в поле credentialName Gateway и DestinationRule, могут быть доступны из разных пространств имен.
CVE-2022-21701Istio - это открытая платформа для подключения, управления и защиты микросервисов. В версиях 1.12.0 и 1.12.1 Istio уязвим для атаки повышения привилегий. Пользователи, у которых есть разрешение `CREATE` для объектов `gateways.gateway.networking.k8s.io`, могут повысить эту привилегию для создания других ресурсов, к которым у них может не быть доступа, например, `Pod`. Эта уязвимость затрагивает только функцию Alpha level, Kubernetes Gateway API. Это не то же самое, что тип Istio Gateway (gateways.networking.istio.io), который не уязвим. Пользователям рекомендуется выполнить обновление для решения этой проблемы. Пользователям, которые не могут выполнить обновление, следует реализовать любое из следующего, что предотвратит эту уязвимость: Удалите CustomResourceDefinition gateways.gateway.networking.k8s.io, установите переменную среды PILOT_ENABLE_GATEWAY_API_DEPLOYMENT_CONTROLLER=true в Istiod или удалите разрешения CREATE для объектов gateways.gateway.networking.k8s.io у ненадежных пользователей.
CVE-2026-31837Isto - это открытая платформа для подключения, управления и защиты микросервисов. До 1.29.1, 1.28.5 и 1.27.8 пользователь Isto подвергается воздействию, если резолвер JWKS становится недоступным или fetch терпит неудачу, обнажая жесткий код по умолчанию независимо от использования ресурса RequestAuthentication. Эта уязвимость зафиксирована в пунктах 1.29.1, 1.28.5 и 1.27.8.
CVE-2021-39156Istio - это платформа с открытым исходным кодом, обеспечивающая единообразный способ интеграции микросервисов, управления потоком трафика между микросервисами, применения политик и агрегирования данных телеметрии. Istio 1.11.0, 1.10.3 и более ранние версии, а также 1.9.7 и более ранние версии содержат удаленно используемую уязвимость, при которой HTTP-запрос с `#fragment` в пути может обойти политики авторизации на основе URI-пути Istio. Исправления доступны в Istio 1.11.1, Istio 1.10.4 и Istio 1.9.8. В качестве обходного пути можно написать фильтр Lua для нормализации пути.
CVE-2021-39155Istio - это платформа с открытым исходным кодом, обеспечивающая единообразный способ интеграции микросервисов, управления потоком трафика между микросервисами, применения политик и агрегирования данных телеметрии. Согласно [RFC 4343](https://datatracker.ietf.org/doc/html/rfc4343), политика авторизации Istio должна сравнивать имя хоста в заголовке HTTP Host без учета регистра, но в настоящее время сравнение выполняется с учетом регистра. Прокси будет маршрутизировать имя хоста запроса без учета регистра, что означает, что политика авторизации может быть обойдена. В качестве примера, у пользователя может быть политика авторизации, которая отклоняет запрос с именем хоста "httpbin.foo" для некоторых IP-адресов источника, но злоумышленник может обойти это, отправив запрос с именем хоста "Httpbin.Foo". Исправления доступны в Istio 1.11.1, Istio 1.10.4 и Istio 1.9.8. В качестве обходного пути можно написать фильтр Lua для нормализации заголовка Host перед проверкой авторизации. Это аналогично нормализации пути, представленной в руководстве [Security Best Practices](https://istio.io/latest/docs/ops/best-practices/security/#case-normalization).
CVE-2021-31920Istio версий до 1.8.6 и 1.9.x до 1.9.5 имеет удаленно эксплуатируемую уязвимость, при которой путь HTTP-запроса с несколькими косыми чертами или экранированными символами косой черты (%2F или %5C) может потенциально обойти политику авторизации Istio при использовании правил авторизации на основе пути.
CVE-2026-41413Isto - это открытая платформа для подключения, управления и защиты микросервисов. До версий 1.28.6 и 1.29.2, когда ресурс RequestAuthentication создается с jwksUri, указывающими на внутреннюю службу, istiod делает неаутентифицированный HTTP GET-запрос на этот URL без фильтрации локального хоста или ссылки на локальные ips. Это может привести к тому, что конфиденциальные данные будут распределены среди прокси-посланников через конфигурацию xDS. Эта проблема была исправлена в версиях 1.28.6 и 1.29.2.
CVE-2023-44487Протокол HTTP/2 допускает отказ в обслуживании (потребление ресурсов сервера), поскольку отмена запроса может быстро сбросить множество потоков, как это было использовано в реальных условиях с августа по октябрь 2023 года.
CVE-2022-39278Istio — это открытая независимая от платформы сетка служб, которая обеспечивает управление трафиком, применение политик и сбор телеметрии. В версиях до 1.15.2, 1.14.5 и 1.13.9 плоскость управления Istio, istiod, уязвима для ошибки обработки запросов, позволяющей злоумышленнику, отправляющему специально созданное или негабаритное сообщение, привести к сбою плоскости управления, когда служба Kubernetes для проверки или изменения веб-перехватчика предоставляется публично. Эта конечная точка обслуживается через TLS-порт 15017, но не требует какой-либо аутентификации от злоумышленника. Для простых установок Istiod обычно доступен только изнутри кластера, что ограничивает радиус взрыва. Однако для некоторых развертываний, особенно внешних топологий istiod, этот порт предоставляется через общедоступный Интернет. Версии 1.15.2, 1.14.5 и 1.13.9 содержат исправления для этой проблемы. Нет эффективных обходных путей, кроме обновления. Эта ошибка связана с ошибкой в `regexp.Compile` в Go.
CVE-2022-24726Istio - это открытая платформа для подключения, управления и защиты микросервисов. В уязвимых версиях плоскость управления Istio, istiod, уязвима для ошибки обработки запросов, позволяющей злоумышленнику отправлять специально созданное сообщение, которое приводит к сбою плоскости управления, когда проверяющий webhook для кластера предоставляется публично. Эта конечная точка обслуживается через TLS-порт 15017, но не требует какой-либо аутентификации от злоумышленника. Для простых установок Istiod обычно доступен только изнутри кластера, что ограничивает радиус поражения. Однако для некоторых развертываний, особенно для топологий [внешнего istiod](https://istio.io/latest/docs/setup/install/external-controlplane/), этот порт доступен через общедоступный Интернет. Эта проблема была исправлена в версиях 1.13.2, 1.12.5 и 1.11.8. Пользователям рекомендуется обновиться. Пользователям, которые не могут обновиться, следует отключить доступ к проверяющему webhook, который предоставляется в общедоступном Интернете, или ограничить набор IP-адресов, которые могут запрашивать его, набором известных, доверенных объектов.
CVE-2022-23635Istio — это открытая платформа для подключения, управления и защиты микросервисов. В уязвимых версиях плоскость управления Istio, `istiod`, уязвима для ошибки обработки запросов, позволяющей злоумышленнику, отправляющему специально созданное сообщение, привести к сбою плоскости управления. Эта конечная точка обслуживается через TLS-порт 15012, но не требует какой-либо аутентификации от злоумышленника. Для простых установок Istiod обычно доступен только изнутри кластера, что ограничивает радиус поражения. Однако для некоторых развертываний, особенно для [мультикластерных](https://istio.io/latest/docs/setup/install/multicluster/primary-remote/) топологий, этот порт открыт через общедоступный Интернет. Эффективных обходных путей, кроме обновления, нет. Ограничение сетевого доступа к Istiod минимальным набором клиентов может в некоторой степени уменьшить масштаб уязвимости.
CVE-2020-10739Istio 1.4.x до 1.4.9 и Istio 1.5.x до 1.5.4 содержат следующую уязвимость, когда включена телеметрия v2: отправляя специально созданный пакет, злоумышленник может вызвать исключение Null Pointer, приводящее к отказу в обслуживании. Это можно отправить на входящий шлюз или в боковую машину, вызвав исключение нулевого указателя, что приведет к отказу в обслуживании. Это также влияет на servicemesh-proxy, где в servicemesh-proxy была обнаружена ошибка исключения нулевого указателя. При запуске Telemetry v2 (не включена по умолчанию в версии 1.4.x) злоумышленник может отправить специально созданный пакет на входящий шлюз или прокси-сервер, вызвав отказ в обслуживании.
CVE-2019-18836Envoy 1.12.0 допускает удаленный отказ в обслуживании из-за ресурсных циклов, как показано на примере одного простаивающего TCP-соединения, способного удерживать рабочий поток в бесконечном цикле занятости при использовании continue_on_listener_filters_timeout.
CVE-2019-18817Istio 1.3.x до 1.3.5 допускает отказ в обслуживании, поскольку для continue_on_listener_filters_timeout установлено значение True, что является проблемой, связанной с CVE-2019-18836.
CVE-2019-14993Istio до 1.1.13 и 1.2.x до 1.2.4 неправильно обрабатывает регулярные выражения для длинных URI, что приводит к отказу в обслуживании во время использования JWT, VirtualService, HTTPAPISpecBinding или QuotaSpecBinding API.
CVE-2019-12995Istio до версии 1.2.2 неправильно обрабатывает определенные токены доступа, что приводит к «Epoch 0 terminated with an error» в Envoy. Это связано с ошибкой сегментации jwt_authenticator.cc.
CVE-2019-12243Istio 1.1.x до 1.1.6 имеет неправильный контроль доступа.
CVE-2020-8843В Istio 1.3–1.3.6 обнаружена проблема. При определенных обстоятельствах можно обойти специально настроенную политику Mixer. Istio-proxy принимает заголовок x-istio-attributes на входе, который можно использовать для влияния на решения политики, когда политика Mixer выборочно применяется к источнику, равному входу. Чтобы использовать эту уязвимость, кто-то должен закодировать source.uid в этом заголовке. Эта функция отключена по умолчанию в Istio 1.3 и 1.4.
CVE-2020-8595Istio версий 1.2.10 (End of Life) и более ранних, с 1.3 по 1.3.7 и с 1.4 по 1.4.3 допускает обход аутентификации. Логика точного сопоставления путей Authentication Policy может разрешить несанкционированный доступ к путям HTTP, даже если они настроены для доступа только после предъявления действительного токена JWT. Например, злоумышленник может добавить символ ? или # к URI, который в противном случае удовлетворял бы точному соответствию пути.
CVE-2026-31838Isto - это открытая платформа для подключения, управления и защиты микросервисов. До 1.29.1, 1.28.5 и 1.27.8 уязвимость в сопоставлении заголовков Envoy RBAC могла бы позволить обойти политику авторизации, когда политики полагаются на заголовки HTTP, которые могут содержать несколько значений. Нападающий может создавать запросы с несколькими значениями заголовков таким образом, чтобы Envoy мог оценивать заголовок иначе, чем предполагалось, потенциально обходя проверки авторизации. Это может позволить несанкционированным запросам обращаться к защищенным услугам, когда политики зависят от таких условий соответствия на основе заголовков. Эта уязвимость зафиксирована в пунктах 1.29.1, 1.28.5 и 1.27.8.
CVE-2020-16844В Istio 1.5.0 — 1.5.8 и Istio 1.6.0 — 1.6.7, когда пользователи указывают ресурс AuthorizationPolicy с действиями DENY, использующими подстановочные суффиксы (например, *-some-suffix) для основных полей источника или пространства имен, вызывающие никогда не будут получать отказ в доступе, минуя предполагаемую политику.
CVE-2019-25014Обнаружено разыменование нулевого указателя в pkg/proxy/envoy/v2/debug.go getResourceVersion в Istio pilot до 1.5.0-alpha.0. Если к конечной точке pilot API отправлен определенный HTTP GET-запрос, можно вызвать панику среды выполнения Go (что приведет к отказу в обслуживании приложения istio-pilot).