PT-2022-15051 · Istio · Istio
Howardjohn
·
Publicado
2022-01-19
·
Atualizado
2022-02-08
·
CVE-2022-21701
CVSS v2.0
6.0
Média
| Vetor | AV:N/AC:M/Au:S/C:P/I:P/A:P |
Nome do software vulnerável e versões afetadas
Versões 1.12.0 a 1.12.1 do Istio
Descrição
O Istio é uma plataforma aberta para conectar, gerenciar e proteger microsserviços. A vulnerabilidade permite que usuários com permissão
CREATE para objetos gateways.gateway.networking.k8s.io elevem esse privilégio e criem outros recursos aos quais talvez não tenham acesso, como Pod. Isso afeta apenas o recurso em nível Alpha, a API do Kubernetes Gateway, e não o tipo Istio Gateway.Recomendações
Para as versões 1.12.0 e 1.12.1, atualize para uma versão mais recente para resolver o problema.
Como solução alternativa temporária para as versões 1.12.0 e 1.12.1, considere uma das seguintes opções: remova a CustomResourceDefinition gateways.gateway.networking.k8s.io, defina a variável de ambiente PILOT ENABLE GATEWAY API DEPLOYMENT CONTROLLER=true no Istiod ou remova as permissões CREATE para objetos gateways.gateway.networking.k8s.io de usuários não confiáveis.
Exploit
Correção
Incorrect Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Istio