1.2.2.23. Red Hat OpenShift Service Mesh 2.0.4 的新功能
此 Red Hat OpenShift Service Mesh 发行版本解决了 CVE 报告的安全漏洞问题以及程序错误。
重要
要解决 CVE-2021-29492 和 CVE-2021-31920 的问题,则必须完成手动步骤。
1.2.2.23.1. CVE-2021-29492 和 CVE-2021-31920 所需的手动更新
Istio 包含一个可被远程利用的漏洞,当使用基于路径的授权规则时,带有多个斜杠或转义的斜杠字符(%2F 或 %5C)的 HTTP 请求路径可能会绕过 Istio 授权策略。
例如,假设 Istio 集群管理员定义了一个授权 DENY 策略,以便在路径 /admin 上拒绝请求。发送到 URL 路径 //admin 的请求不会被授权策略拒绝。
根据 RFC 3986,带有多个斜杠的路径 //admin 在技术上应被视为与 /admin 不同的路径。但是,一些后端服务选择通过将多个斜杠合并成单斜杠来规范 URL 路径。这可能导致绕过授权策略(//admin 不匹配 /admin),用户可以在后端的路径 /admin 上访问资源,这可能会产生安全问题。
如果您使用 ALLOW action + notPaths 字段或者 DENY action + paths 字段特征,您的集群会受到这个漏洞的影响。这些模式可能会被意外的策略绕过。
在以下情况下,集群不会受到此漏洞的影响:
- 您没有授权策略。
-
您的授权策略没有定义
paths或notPaths字段。 -
您的授权策略使用
ALLOW action + paths字段或DENY action + notPaths字段特征。这些模式只会导致意外的拒绝,而不是绕过策略。对于以上情况,升级是可选的。
注意
路径规范化的 Red Hat OpenShift Service Mesh 配置位置与 Istio 配置不同。
