Nghttp2是一个用于实现HTTP/2的C库。Nghttp2 1.41.0之前版本中存在安全漏洞。攻击者可借助恶意的客户端构建14400字节长度的SETTINGS帧利用该漏洞造成拒绝服务。Istio中的Sidecar代理Envoy使用了该HTTP2库,并存在该漏洞。本文介绍CVE-2020-11080漏洞的影响范围和防范措施。

通过发送特制的数据包,攻击者可能导致CPU尖峰达到 100%。该漏洞涉及到入口网关或sidecar代理,详细描述请参见ISTIO

影响范围

以下版本在此漏洞影响范围内:
  • Istio1.5.x版本:1.5、1.5.1、1.5.2、1.5.3以及1.5.4。
  • Istio1.6.x版本:1.6、1.6.1。

防范措施

  • 对于 Istio1.5.4及之前的版本, 需要升级到1.5.5版本。
  • ASM支持1.6.x版本,您需要将ASM升级到1.6.2以上版本, 从而规避该漏洞。