PT-2021-9083 · Istio · Istio
Mark Cooper
·
Publicado
2021-01-29
·
Atualizado
2021-02-03
·
CVE-2019-25014
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões do Istio Pilot anteriores à 1.5.0-alpha.0
Descrição
Foi encontrada uma desreferência de ponteiro NULL na função
getResourceVersion em pkg/proxy/envoy/v2/debug.go. Se uma determinada solicitação HTTP GET for feita ao endpoint da API do pilot, é possível causar um panic no runtime do Go, resultando em uma negação de serviço para o aplicativo istio-pilot.Recomendações
Para versões anteriores à 1.5.0-alpha.0, atualize para a versão 1.5.0-alpha.0 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao endpoint da API do pilot para minimizar o risco de exploração.
Correção
NULL Pointer Dereference
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Istio