当您使用基于JWT的授权规则时,受信任的x-envoy-original-path头可能被攻击者伪造,导致请求可能会绕过Istio授权策略。本文介绍CVE-2023-27487漏洞的描述、影响范围、漏洞产生的原因和防范措施。
漏洞描述
该漏洞可能会导致请求绕过JWT授权策略。标头x-envoy-original-path应当是一个内部标头,但即使请求来自外部不受信任的客户端,ASM网关或Sidecar在处理请求时也不会从请求中删除该标头。若请求中携带了伪造的x-envoy-original-path,该标头会被用于跟踪日志和GRPC日志。如果使用jwt_authn过滤器,x-envoy-original-path标头也会被用于jwt_authn检查的URL中,以及其他任何使用x-envoy-original-path标头的上游。攻击者可以伪造一个可信的x-envoy-original-path标头,绕过基于JWT的授权策略。关于CVE-2023-27487漏洞的详细描述,请参见CVE-2023-27487。
影响范围
同时满足以下两个条件,授权策略会受此漏洞影响:
ASM实例的版本为1.16.4以下。
使用基于JWT的认证授权规则。
漏洞影响
当使用基于JWT的授权规则时,受信任的x-envoy-original-path标头可能被攻击者伪造,导致请求可能会绕过Istio授权策略。
防范措施
将ASM实例升级到1.16.4或以上版本。具体操作,请参见升级ASM实例。
反馈
- 本页导读 (1)
文档反馈