Istio敏感信息泄露漏洞通告(CVE-2021-34824)

发布者:潘伟发布时间:2021-07-01浏览次数:520


近日,沈阳网络安全协会信息通报机制合作单位新华三集团(H3C)提醒,Istio官方发布了安全公告,公布了Istio存在的敏感信息泄露漏洞,漏洞编号CVE-2021-34824,漏洞威胁等级:严重。

1.  漏洞综述

1.1漏洞背景

Istio 是一个由谷歌、IBM等共同开发的开源服务网格,该网格具有负载均衡、服务间认证、监控等功能,而不需要对服务的代码做任何改动,是开展云网格技术和智能微服务管理的一个很好方式。istio适用于容器或虚拟机环境(特别是k8s)以及兼容异构架构。

1.2 漏洞原理

IstioGateway DestinationRule 可以通过从 Kubernetes 私密内容中加载私钥和证书配置(TLS证书和私钥)。当Istio满足已定义GatewaysDestinationRules具有credentialName 指定的字段以及Istiod的环境参数为PILOT_ENABLE_XDS_CACHE=false的条件时候,攻击者可利用该漏洞存在的错误授权,通过 XDS API Istiod 传送私密文件到网关或工作负载;该行为导致攻击者可以借此窃取到证书和私钥信息,并借此接管 k8s 集群。

2.  影响范围

Istio 1.10.0 - 1.10.1

Istio 1.9.0 - 1.9.5

Istio 1.8.x

3.  处置方法

3.1 官方补丁

升级lstio到最新版本,下载链接https://istio.io/docs/setup/kubernetes/install/kubernetes

3.2 临时解决方案

如果升级不可行,可通过禁用 Istiod缓存来缓解此漏洞。通过设置 Istiod 环境变量来禁用缓存PILOT_ENABLE_XDS_CACHE=false,该操作可能会对系统和 Istiod 性能产生影响。