CVE-2022-24726

Versões do Istio anteriores à 1.11.8

Versões do Istio anteriores à 1.12.5

Versões do Istio anteriores à 1.13.2

O Istio é uma plataforma aberta para conectar, gerenciar e proteger microsserviços. Nas versões afetadas, o plano de controle do Istio, o istiod, está vulnerável a um erro de processamento de solicitação, permitindo que um invasor mal-intencionado envie uma mensagem especialmente criada que resulte na falha do plano de controle quando o webhook de validação de um cluster for exposto publicamente. Esse endpoint é servido pela porta TLS 15017, mas não requer nenhuma autenticação por parte do invasor. Em instalações simples, o Istiod normalmente só é acessível de dentro do cluster, limitando o alcance do impacto. No entanto, em algumas implantações, especialmente em topologias externas do istiod, essa porta fica exposta na Internet pública.

Para versões anteriores à 1.11.8, atualize para a versão 1.11.8 ou posterior.

Para versões anteriores à 1.12.5, atualize para a versão 1.12.5 ou posterior.

Para versões anteriores à 1.13.2, atualize para a versão 1.13.2 ou posterior.

Como solução alternativa temporária, considere desativar o acesso ao webhook de validação exposto à Internet pública ou restringir o conjunto de endereços IP que podem consultá-lo a um conjunto de entidades conhecidas e confiáveis.