Istio - это платформа с открытым исходным кодом, обеспечивающая единообразный способ интеграции микросервисов, управления потоком трафика м…
Istio - это платформа с открытым исходным кодом, обеспечивающая единообразный способ интеграции микросервисов, управления потоком трафика между микросервисами, применения политик и агрегирования данных телеметрии. Согласно [RFC 4343](https://datatracker.ietf.org/doc/html/rfc4343), политика авторизации Istio должна сравнивать имя хоста в заголовке HTTP Host без учета регистра, но в настоящее время сравнение выполняется с учетом регистра. Прокси будет маршрутизировать имя хоста запроса без учета регистра, что означает, что политика авторизации может быть обойдена. В качестве примера, у пользователя может быть политика авторизации, которая отклоняет запрос с именем хоста "httpbin.foo" для некоторых IP-адресов источника, но злоумышленник может обойти это, отправив запрос с именем хоста "Httpbin.Foo". Исправления доступны в Istio 1.11.1, Istio 1.10.4 и Istio 1.9.8. В качестве обходного пути можно написать фильтр Lua для нормализации заголовка Host перед проверкой авторизации. Это аналогично нормализации пути, представленной в руководстве [Security Best Practices](https://istio.io/latest/docs/ops/best-practices/security/#case-normalization).
Продукт не учитывает должным образом различия в чувствительности к регистру при обращении к ресурсу или определении его свойств, что приводит к непоследовательным результатам.
https://cwe.mitre.org/data/definitions/178.html →Открыть в коллекции CWE →Продукт выполняет проверку авторизации при попытке субъекта получить доступ к ресурсу или выполнить действие, однако не осуществляет эту проверку корректно.
https://cwe.mitre.org/data/definitions/863.html →Открыть в коллекции CWE →| Продукт | Вендор | Статус |
|---|---|---|
| servicemesh | Отслеживается | |
| servicemesh | Отслеживается | |
| istio | * | Отслеживается |