Istio包含了一个可远程利用的漏洞。当使用基于路径的授权规则时,具有多个斜杠或转义的斜杠字符(%2F或%5C)的HTTP请求路径可能会绕过Istio授权策略,导致授权失败。本文介绍CVE-2021-31920漏洞的影响范围以及防范措施。
关于CVE-2021-31920漏洞的详细描述,请参见ISTIO-SECURITY-2021-005。
影响范围
Istio需要同时满足以下两个条件,授权策略就会受此漏洞影响:
- Istio的版本为1.8.6之前的版本。
- 使用了基于路径的授权规则,并且在授权规则中使用了多个斜杠或转义的斜杠字符。
漏洞影响
当使用基于路径的授权规则时,具有多个斜杠或转义的斜杠字符(%2F或%5C)的HTTP请求路径可能会绕过Istio授权策略,导致授权失败。
防范措施
将Istio升级到1.8.6及以上版本。