Service-Mesh: Istio hat vier neu entdeckte Sicherheitslücken gestopft

Mit zwei Sicherheitsupdates bessert das Service-Mesh vier Schwachstellen im Envoy-Proxy aus. Das Istio-Team empfiehlt Nutzern ein Upgrade auf die neue Version.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen

(Bild: Illus_man/Shutterstock.com)

Von
  • Silke Hahn

Istio, ein Service-Mesh zum Steuern der Kommunikation komplexer Microservices-Architekturen, hat zwei Sicherheitsupdates herausgegeben, die vier unlängst entdeckte Schwachstellen im Envoy-Proxy ausbessern sollen. Nutzern des Tools empfiehlt das Istio-Team, bestehende Installationen auf die Versionen 1.5.7 und 1.6.4 zu aktualisieren und noch etwas manuell nachzujustieren.

Drei der Fehler sind offenbar mit hohem Schweregrad eingestuft (CVSS-Score von 7.0), der vierte Fehler hat Berichten zufolge einen mittleren Schwergrad (5.3 im CVSS-Score). Betroffen sind davon offenbar alle Installationen mit Istio 1.5 bis 1.5.6 und 1.6 bis 1.6.3.

Auf unterschiedlichen Ebenen dürften drei der Schwachstellen wohl ein ähnliches Problem verursachen, nämlich Envoy "übermäßig viel Speicher" verbrauchen lassen. Den Fehler mit der Bezeichnung CVE-2020-12603 könnte ein Angreifer durch HTTP/2-Anfragen und -Antworten für speziell präparierte Pakete über den Proxy generieren, was zu übermäßigem Speicherverbrauch führen kann. Eine weitere Schwachstelle (CVE-2020-12605) mit ähnlichem Fehlerpotential reagiert auf manipulierte HTTP/1.1.-Pakete. Weniger gravierend ist wohl Fehler CVE-2020-12604 (mittlerer Schweregrad), dessen potentielle Speicherüberlastung jedoch ebenfalls behandlungsbedürftig ist.

Etwas mehr Aufwand erfordert wohl die vierte Schwachstelle (CVE-2020-8663), die Angreifer dazu nutzen könnten, um über Envoy durch das Akzeptieren zu vieler Verbindungen die Dateideskriptoren zu überlasten. Zum vollständigen Beheben müssten Nutzer laut Security Bulletin von Istio am Eingangs-Gateway Grenzwerte konfigurieren. Dazu erstellt man eine Config Map und legt in den Einstellungen der global_downstream_max_connections die Anzahl der maximal erlaubten gleichzeitigen Verbindungen fest, heißt es in der Anleitung.

Betroffene finden weitere Hinweise zu den Schwachstellen und ihrer Behebung im Security Bulletin von Istio. Die aktuellste Entwicklungslinie ist die 1.6er-Serie, zu der das Istio-Team unlängst den Startschuss abgegeben hatte. Hintergründe zur Funktionsweise von Service-Meshes lassen sich einem Kommentar von Heiko Rupp entnehmen (Istio: Das Service-Mesh für verteilte Systeme).

(sih)