Vulnerabilidad en Istio (CVE-2022-21701)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
19/01/2022
Última modificación:
27/01/2022
Descripción
Istio es una plataforma abierta para conectar, administrar y asegurar microservicios. En las versiones 1.12.0 y 1.12.1 Istio es vulnerable a un ataque de escalada de privilegios. Los usuarios que presentan permiso "CREATE" para los objetos "gateways.gateway.networking.k8s.io" pueden escalar este privilegio para crear otros recursos a los que no tienen acceso, como "Pod". Esta vulnerabilidad afecta sólo a una característica de nivel Alpha, la API de Kubernetes Gateway. No es lo mismo que el tipo de Gateway de Istio (gateways.networking.istio.io), que no es vulnerable. Se recomienda a los usuarios que actualicen para resolver este problema. Los usuarios que no puedan actualizar deberán implementar alguna de las siguientes medidas que evitarán esta vulnerabilidad: Eliminar el CustomResourceDefinition de gateways.gateway.networking.k8s.io, establecer la variable de entorno PILOT_ENABLE_GATEWAY_API_DEPLOYMENT_CONTROLLER=true en Istiod, o eliminar los permisos CREATE para los objetos de gateways.gateway.networking.k8s.io de los usuarios que no sean confiables
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Puntuación base 2.0
6.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:istio:istio:1.12.0:-:*:*:*:*:*:* | ||
| cpe:2.3:a:istio:istio:1.12.0:alpha0:*:*:*:*:*:* | ||
| cpe:2.3:a:istio:istio:1.12.0:alpha1:*:*:*:*:*:* | ||
| cpe:2.3:a:istio:istio:1.12.0:alpha5:*:*:*:*:*:* | ||
| cpe:2.3:a:istio:istio:1.12.0:beta0:*:*:*:*:*:* | ||
| cpe:2.3:a:istio:istio:1.12.0:beta1:*:*:*:*:*:* | ||
| cpe:2.3:a:istio:istio:1.12.0:beta2:*:*:*:*:*:* | ||
| cpe:2.3:a:istio:istio:1.12.0:rc1:*:*:*:*:*:* | ||
| cpe:2.3:a:istio:istio:1.12.1:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página