Istio

Con la última corrección de seguridad de hace solo un par de días , el equipo de Istio lanzó recientemente la versión 1.5.8 y 1.6.5 para proteger a los usuarios de otra vulnerabilidad de Envoy que puede explotarse de varias maneras. 

¿Qué esta sucediendo?

Istio usa Envoy para su plano de datos, lo que lo hace susceptible a problemas de seguridad en el proxy. A la vulnerabilidad recientemente informada se le ha asignado el ID CVE-2020-15104 y entra en juego cuando el proxy Envoy valida los certificados TLS. En esos casos, “permite incorrectamente que se aplique un comodín DNS El nombre alternativo del sujeto se aplica a múltiples subdominios”, lo que permite, por ejemplo, utilizar nested.subdomain.example.com, cuando solo debe usarse subdominio.example.com.

El riesgo

Esto puede exponer a los usuarios de Istio en una serie de escenarios, aunque solo si se utilizan configuraciones que validen certificados emitidos externamente. Los puntos de partida para los ataques conectados pueden ser a través de la configuración de filter_subject_alt_name y match_subject_alt_names de Envoy Filter, y el campo subjectAltNames de Istio en las reglas de destino con la configuración TLS del cliente o las entradas de servicio.

Los detalles adicionales aún no están disponibles, aunque ya se sabe que CVE-2020-15104 tiene una severidad de 6.6 . Afecta principalmente a la confidencialidad y afecta a todas las versiones anteriores a la 1.5, así como a las versiones 1.5 a 1.5.7 y 1.6 a 1.6.4.  

La solución

El equipo de Istio también aprovechó la oportunidad para agregar algunas mejoras adicionales a la versión del parche, por lo que las notas de la versión 1.6.5 son un poco más largas de lo habitual. Este último, por ejemplo, se asegura de que istioctl validate prohíbe los campos no incluidos en las especificaciones de Open API e incluye algunas mejoras en el control de inyección de sidecar. 

También corrige la selección de punto final de EDS para subconjuntos sin selector de etiqueta o vacío y devuelve “el nombre de fuente apropiado después de que Mixer realiza una búsqueda por IP si varios pods tienen la misma IP”. Puede encontrar una lista completa de los problemas abordados en las nuevas versiones en el sitio del proyecto .

Sobre el Autor

0 0 vote
Article Rating
Subscribe
Notify of
guest
0 Comments
Inline Feedbacks
View all comments