PT-2020-20319 · Istio · Istio
Eric Zhang
+1
·
Publicado
2020-02-14
·
Atualizado
2020-02-19
·
CVE-2020-8843
CVSS v3.1
7.4
Alta
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões 1.3 a 1.3.6 do Istio
Descrição
Uma falha permite contornar uma política do Mixer configurada especificamente em determinadas circunstâncias. O Istio-proxy aceita o cabeçalho
x-istio-attributes na entrada (ingress), o que pode afetar as decisões de política quando a política do Mixer se aplica seletivamente a uma fonte igual à entrada. A exploração requer a codificação de um source.uid neste cabeçalho. Esse recurso está desativado por padrão no Istio 1.3 e 1.4.Recomendações
Para as versões 1.3 a 1.3.6 do Istio, considere desativar o recurso que aceita o cabeçalho
x-istio-attributes na entrada para impedir a contornamento da política até que um patch esteja disponível.Correção
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Istio