PT-2020-12304 · Istio · Istio
Joren Zandstra
·
Publicado
2020-06-02
·
Atualizado
2020-06-02
·
CVE-2020-10739
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões do Istio 1.4.x a 1.4.8
Versões do Istio 1.5.x a 1.5.3
Descrição
A vulnerabilidade permite que um invasor provoque uma exceção de ponteiro nulo, resultando em uma negação de serviço. Isso pode ser feito enviando um pacote especialmente criado para o gateway de entrada ou um sidecar. A falha está presente quando a telemetria v2 está habilitada. O servicemesh-proxy também é afetado por uma falha de exceção de ponteiro nulo.
Recomendações
Para as versões do Istio 1.4.x a 1.4.8, atualize para a versão 1.4.9 ou posterior.
Para as versões do Istio 1.5.x a 1.5.3, atualize para a versão 1.5.4 ou posterior.
Como solução alternativa temporária, considere desativar a telemetria v2 até que um patch esteja disponível.
Correção
DoS
NULL Pointer Dereference
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Istio