CVE-2022-39278

Versões do Istio anteriores à 1.15.2

Versões do Istio anteriores à 1.14.5

Versões do Istio anteriores à 1.13.9

O Istio é uma malha de serviços aberta e independente de plataforma que fornece gerenciamento de tráfego, aplicação de políticas e coleta de telemetria. O plano de controle do Istio, o istiod, está vulnerável a um erro de processamento de solicitação, permitindo que um invasor mal-intencionado envie uma mensagem especialmente criada ou de tamanho excessivo, o que resulta na falha do plano de controle quando o serviço de webhook de validação ou mutação do Kubernetes é exposto publicamente. Este endpoint é servido pela porta TLS 15017, mas não requer nenhuma autenticação por parte do invasor. Em instalações simples, o Istiod normalmente só é acessível de dentro do cluster, limitando o alcance do impacto. No entanto, em algumas implantações, especialmente em topologias externas do istiod, essa porta fica exposta na internet pública. O problema se deve a um erro no regexp.Compile no Go.

Para versões anteriores à 1.15.2, atualize para a versão 1.15.2 ou posterior.

Para versões anteriores à 1.14.5, atualize para a versão 1.14.5 ou posterior.

Para versões anteriores à 1.13.9, atualize para a versão 1.13.9 ou posterior.

Como solução alternativa temporária, considere restringir o acesso ao serviço de webhook de validação ou mutação do Kubernetes para minimizar o risco de exploração.