一、背景介绍
6月29日,市委网信办技术支撑单位监测到,Istio官方发布安全更新,修复了Istio中的信息泄露漏洞(CVE-2021-34824)。
1.1漏洞描述
lstio是一个由谷歌、IBM与Lyft共同开发的开源项目,旨在提供一种统一化的微服务连接、安全保障、管理与监控方式。攻击者可利用授权客户端从Gateways或DestinationRules的credentialName配置中越权加载到私钥及TLS证书。
1.2漏洞编号
CVE-2021-34824
1.3漏洞等级
高危
二、修复建议
2.1 受影响版本
Istio 1.8全版本
Istio 1.9.0 -1.9.5
Istio 1.10.0 -1.10.1
2.2 修复建议
目前官方已有可更新版本,鉴于漏洞危害较大,建议用户及时安装更新补丁。
Istio 1.9.x升级到1.9.6及以上版本;
Istio 1.10.x升级到1.10.2及以上版本;
Istio 1.8.x升级到Istio 1.9或1.10的最新补丁版本。
补丁链接: https://istio.io/latest/news/security/istio-security-2021-007/