Yangminzhu

**Nome do software vulnerável e versões afetadas** Versões 1.12.0 a 1.12.1 do Istio **Descrição** A política de autorização com hosts e notHosts pode ser acidentalmente ignorada para a ação ALLOW ou rejeitada inesperadamente para a ação DENY durante a atualização da versão 1.11 para a 1.12.0/1.12.1. Esse problema ocorre devido a um bug nas versões 1.12.0 e 1.12.1 que utiliza incorretamente a nova API do Envoy com o plano de dados 1.11, fazendo com que os campos hosts e notHosts sejam sempre correspondidos, independentemente do valor real do cabeçalho do host, ao misturar o plano de controle 1.12.0/1.12.1 com o plano de dados 1.11. **Recomendações** Para resolver o problema, recomenda-se que os usuários atualizem para uma versão que não apresente esse bug. Para as versões 1.12.0 e 1.12.1, não misture o plano de controle 1.12.0/1.12.1 com o plano de dados 1.11 se estiver usando os campos hosts ou notHosts na política de autorização.

**Nome do software vulnerável e versões afetadas** Versões do Istio anteriores à 1.11.1 Versões do Istio anteriores à 1.10.4 Versões do Istio anteriores à 1.9.8 **Descrição** A política de autorização do Istio deveria comparar o nome do host no cabeçalho HTTP Host sem distinção entre maiúsculas e minúsculas, mas atualmente a comparação é sensível a maiúsculas e minúsculas. O proxy encaminhará o nome do host da solicitação sem distinção entre maiúsculas e minúsculas, o que significa que a política de autorização pode ser contornada. Por exemplo, uma política de autorização que rejeita solicitações com o nome de host “httpbin.foo” para alguns endereços IP de origem pode ser contornada enviando a solicitação com o nome de host “Httpbin.Foo”. **Recomendações** Para versões anteriores à 1.11.1, atualize para o Istio 1.11.1 ou posterior. Para versões anteriores à 1.10.4, atualize para o Istio 1.10.4 ou posterior. Para versões anteriores à 1.9.8, atualize para o Istio 1.9.8 ou posterior. Como solução alternativa temporária, considere escrever um filtro Lua para normalizar o cabeçalho `Host` antes da verificação de autorização.

**Nome do software vulnerável e versões afetadas** Versões do Istio 1.11.0, 1.10.3 e anteriores, e 1.9.7 e anteriores Versões do Istio anteriores à 1.11.1, 1.10.4 e 1.9.8 **Descrição** O Istio é uma plataforma de código aberto que oferece uma maneira uniforme de integrar microsserviços, gerenciar o fluxo de tráfego entre microsserviços, aplicar políticas e agregar dados de telemetria. Existe uma vulnerabilidade explorável remotamente em que uma solicitação HTTP com `#fragment` no caminho pode contornar as políticas de autorização baseadas no caminho URI do Istio. **Recomendações** Para as versões 1.11.0 e anteriores do Istio, atualize para a versão 1.11.1 ou superior. Para as versões 1.10.3 e anteriores do Istio, atualize para a versão 1.10.4 ou superior. Para as versões 1.9.7 e anteriores do Istio, atualize para a versão 1.9.8 ou superior. Como solução alternativa temporária, considere escrever um filtro Lua para normalizar o caminho.