Istio - это открытая платформа для подключения, управления и защиты микросервисов. В версиях 1.12.0 и 1.12.1 Istio уязвим для атаки повышен…

Istio - это открытая платформа для подключения, управления и защиты микросервисов. В версиях 1.12.0 и 1.12.1 Istio уязвим для атаки повышения привилегий. Пользователи, у которых есть разрешение `CREATE` для объектов `gateways.gateway.networking.k8s.io`, могут повысить эту привилегию для создания других ресурсов, к которым у них может не быть доступа, например, `Pod`. Эта уязвимость затрагивает только функцию Alpha level, Kubernetes Gateway API. Это не то же самое, что тип Istio Gateway (gateways.networking.istio.io), который не уязвим. Пользователям рекомендуется выполнить обновление для решения этой проблемы. Пользователям, которые не могут выполнить обновление, следует реализовать любое из следующего, что предотвратит эту уязвимость: Удалите CustomResourceDefinition gateways.gateway.networking.k8s.io, установите переменную среды PILOT_ENABLE_GATEWAY_API_DEPLOYMENT_CONTROLLER=true в Istiod или удалите разрешения CREATE для объектов gateways.gateway.networking.k8s.io у ненадежных пользователей.