Vulnerabilidad en Istio (CVE-2022-21679)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
19/01/2022
Última modificación:
27/01/2022
Descripción
Istio es una plataforma abierta para conectar, administrar y asegurar microservicios. En Istio versiones 1.12.0 y 1.12.1 la política de autorización con hosts y notHosts podría ser accidentalmente omitida para la acción ALLOW o rechazada inesperadamente para la acción DENY durante la actualización de 1.11 a 1.12.0/1.12.1. Istio 1.12 soporta los campos hosts y notHosts en la política de autorización con una nueva API Envoy enviada con el plano de datos 1.12. Un error en las versiones 1.12.0 y 1.12.1 usa incorrectamente la nueva API de Envoy con el plano de datos 1.11. Esto causará que los campos hosts y notHosts siempre coincidan independientemente del valor real del encabezado del host cuando sean mezclados el plano de control 1.12.0/1.12.1 y el plano de datos 1.11. Se aconseja a usuarios actualizar o no mezclar el plano de control 1.12.0/1.12.1 con el plano de datos 1.11 si son usados los campos hosts o notHosts en la política de autorización
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Puntuación base 2.0
7.50
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:istio:istio:1.12.0:-:*:*:*:*:*:* | ||
| cpe:2.3:a:istio:istio:1.12.0:alpha0:*:*:*:*:*:* | ||
| cpe:2.3:a:istio:istio:1.12.0:alpha1:*:*:*:*:*:* | ||
| cpe:2.3:a:istio:istio:1.12.0:alpha5:*:*:*:*:*:* | ||
| cpe:2.3:a:istio:istio:1.12.0:beta0:*:*:*:*:*:* | ||
| cpe:2.3:a:istio:istio:1.12.0:beta1:*:*:*:*:*:* | ||
| cpe:2.3:a:istio:istio:1.12.0:beta2:*:*:*:*:*:* | ||
| cpe:2.3:a:istio:istio:1.12.0:rc1:*:*:*:*:*:* | ||
| cpe:2.3:a:istio:istio:1.12.1:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página