Service-Mesh: Istio hat vier neu entdeckte Sicherheitslücken gestopft
Mit zwei Sicherheitsupdates bessert das Service-Mesh vier Schwachstellen im Envoy-Proxy aus. Das Istio-Team empfiehlt Nutzern ein Upgrade auf die neue Version.
Istio, ein Service-Mesh zum Steuern der Kommunikation komplexer Microservices-Architekturen, hat zwei Sicherheitsupdates herausgegeben, die vier unlängst entdeckte Schwachstellen im Envoy-Proxy ausbessern sollen. Nutzern des Tools empfiehlt das Istio-Team, bestehende Installationen auf die Versionen 1.5.7 und 1.6.4 zu aktualisieren und noch etwas manuell nachzujustieren.
Drei der Fehler sind offenbar mit hohem Schweregrad eingestuft (CVSS-Score von 7.0), der vierte Fehler hat Berichten zufolge einen mittleren Schwergrad (5.3 im CVSS-Score). Betroffen sind davon offenbar alle Installationen mit Istio 1.5 bis 1.5.6 und 1.6 bis 1.6.3.
How-To: Kritische Schwachstellen im Envoy-Proxy beheben
Auf unterschiedlichen Ebenen dürften drei der Schwachstellen wohl ein ähnliches Problem verursachen, nämlich Envoy "übermäßig viel Speicher" verbrauchen lassen. Den Fehler mit der Bezeichnung CVE-2020-12603 könnte ein Angreifer durch HTTP/2-Anfragen und -Antworten für speziell präparierte Pakete über den Proxy generieren, was zu übermäßigem Speicherverbrauch führen kann. Eine weitere Schwachstelle (CVE-2020-12605) mit ähnlichem Fehlerpotential reagiert auf manipulierte HTTP/1.1.-Pakete. Weniger gravierend ist wohl Fehler CVE-2020-12604 (mittlerer Schweregrad), dessen potentielle Speicherüberlastung jedoch ebenfalls behandlungsbedürftig ist.
Etwas mehr Aufwand erfordert wohl die vierte Schwachstelle (CVE-2020-8663), die Angreifer dazu nutzen könnten, um über Envoy durch das Akzeptieren zu vieler Verbindungen die Dateideskriptoren zu überlasten. Zum vollständigen Beheben müssten Nutzer laut Security Bulletin von Istio am Eingangs-Gateway Grenzwerte konfigurieren. Dazu erstellt man eine Config Map und legt in den Einstellungen der global_downstream_max_connections
die Anzahl der maximal erlaubten gleichzeitigen Verbindungen fest, heißt es in der Anleitung.
Betroffene finden weitere Hinweise zu den Schwachstellen und ihrer Behebung im Security Bulletin von Istio [1]. Die aktuellste Entwicklungslinie ist die 1.6er-Serie [2], zu der das Istio-Team unlängst den Startschuss abgegeben hatte. Hintergründe zur Funktionsweise von Service-Meshes lassen sich einem Kommentar von Heiko Rupp entnehmen (Istio: Das Service-Mesh für verteilte Systeme) [3].
(sih [4])
URL dieses Artikels:
https://www.heise.de/-4801766
Links in diesem Artikel:
[1] https://istio.io/latest/news/security/istio-security-2020-007/
[2] https://www.heise.de/news/Service-Mesh-Istio-1-6-setzt-auf-bessere-Unterstuetzung-fuer-VMs-4765983.html
[3] https://www.heise.de/hintergrund/Istio-Das-Service-Mesh-fuer-verteilte-Systeme-4153426.html
[4] mailto:sih@ix.de
Copyright © 2020 Heise Medien