1.2.2.5. Red Hat OpenShift Service Mesh 2.0.7.1 새 기능


이번 Red Hat OpenShift Service Mesh 릴리스는 CVE(Common Vulnerabilities and Exposures)를 제공합니다.

1.2.2.5.1. Red Hat OpenShift Service Mesh가 URI 조각을 처리하는 방법 변경

Red Hat OpenShift Service Mesh에는 원격으로 악용 가능한 취약점인 CVE-2021-39156 이 포함되어 있습니다. 여기서 URI 경로의 # 문자로 시작하는 URI 끝에 있는 HTTP 요청 섹션은 Istio URI 경로 기반 권한 부여 정책을 바이패스할 수 있습니다. 예를 들어, Istio 권한 부여 정책은 URI 경로 /user/profile 에 전송된 요청을 거부합니다. 취약한 버전에서 URI 경로 /user/profile#section1 이 있는 요청은 백엔드에 대한 거부 정책 및 경로를 바이패스합니다(일반화된 URI 경로 /user/profile%23section1)로, 보안 문제가 발생할 수 있습니다.

DENY 작업 및 operation.paths 또는 ALLOW 작업 및 operation.notPaths 에서 권한 부여 정책을 사용하는 경우 이 취약점의 영향을 받습니다.

완화 기능을 사용하면 요청 URI의 조각 부분이 권한 부여 및 라우팅 전에 제거됩니다. 이렇게 하면 URI의 조각이 있는 요청이 조각 없이 URI를 기반으로 권한 부여 정책을 우회할 수 없습니다.

완화의 새로운 동작에서 옵트아웃하려면 URI의 조각 섹션이 유지됩니다. URI 조각을 유지하도록 ServiceMeshControlPlane 을 구성할 수 있습니다.

주의

새 동작을 비활성화하면 위에 설명된 대로 경로를 정규화하고 안전하지 않은 것으로 간주됩니다. URI 조각을 유지하기 전에 보안 정책에서 이를 수용했는지 확인하십시오.

ServiceMeshControlPlane 수정 예

apiVersion: maistra.io/v2
kind: ServiceMeshControlPlane
metadata:
  name: basic
spec:
  techPreview:
    meshConfig:
      defaultConfig:
        proxyMetadata: HTTP_STRIP_FRAGMENT_FROM_PATH_UNSAFE_IF_DISABLED: "false"

Red Hat logoGithubRedditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

© 2024 Red Hat, Inc.