Vulnerabilidad en el envío de un paquete hacia la puerta de enlace de ingreso o un proxy sidecar en Istio (CVE-2020-10739)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-476
Desreferencia a puntero nulo (NULL)
Fecha de publicación:
02/06/2020
Última modificación:
07/11/2023
Descripción
Istio versiones 1.4.x anteriores a 1.4.9 e Istio versiones 1.5.x anteriores a 1.5.4, contienen la siguiente vulnerabilidad cuando se habilita la telemetry v2: al enviar un paquete especialmente diseñado, un atacante podría desencadenar una Excepción de Puntero Null resultando en una Denegación de Servicio. Esto podría ser enviado hacia la puerta de enlace de ingreso o un archivo sidecar, desencadenando una excepción de puntero null que resulta en una denegación de servicio. Esto también afecta a servicemesh-proxy donde fue encontrado un fallo de excepción de puntero null en servicemesh-proxy. Cuando se ejecuta Telemetry v2 (no activado por defecto en la versión 1.4.x), un atacante podría enviar un paquete especialmente diseñado hacia la puerta de enlace de ingreso o al proxy sidecar, desencadenando una denegación de servicio.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:istio:istio:*:*:*:*:*:*:*:* | 1.4.0 (incluyendo) | 1.4.9 (excluyendo) |
| cpe:2.3:a:istio:istio:*:*:*:*:*:*:*:* | 1.5.0 (incluyendo) | 1.5.4 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página