istio-proxy在某些情况下会生成额外的请求头。若istio-proxy生成请求头时,未对请求属性进行处理或转义,可能会导致头信息中的非法字符被发送到上游服务。最坏情况下,可能会导致上游服务将原始请求解释为两个管道请求,绕过安全策略。本文介绍CVE-2023-27493漏洞的影响范围、漏洞影响和防范措施。
关于CVE-2023-27493漏洞的详细描述,请参见CVE-2023-27493。
影响范围
同时满足以下两个条件,授权策略会受此漏洞影响:
ASM实例的版本为1.16.4以下。
使用VirtualService API配置为请求添加Header,且配置的Header Value中包含一些需要转义的字符,例如包含spiffer信息
spiffe://example.com。更多信息,请参见Headers.HeaderOperations。
漏洞影响
当使用VirtualService API配置为请求添加Header时,若Header的Value中添加了包含需要转义的字符,会导致包含未转义字符的请求被发送到上游服务,可能会绕过安全策略。
防范措施
将ASM实例升级到1.16.4或以上版本。具体操作,请参见升级ASM实例。
反馈
- 本页导读 (1)
文档反馈