未认证的控制面DoS攻击（CVE-2022-23635）

漏洞详情

影响评分

7.5 高危

触发场景

• 简单安装时，Istiod是从集群内获取的，受攻击的可能性小一点。
• 多集群场景安装的时候，15012端口是暴露在公网的，受攻击影响的可能性大一些。

根本原因

15012端口接收的请求不需要认证信息即可被Istiod处理，在大量向Istiod该端口发送请求时会导致Istiod服务不可用。

受影响版本

低于1.13.1版本的Istio

补丁修复版本

• ASM 1.8.4-r5版本及以上
• Istio 1.13.1版本及以上
• Istio 1.12.4版本及以上
• Istio 1.11.7版本及以上

规避和消减措施

除了升级版本没有有效的规避措施。将客户端对Istiod的网络访问限制在最小范围可以帮助减少某种程度上的漏洞的影响范围。

相关链接

• Istio官方安全公告
• Istio社区漏洞公告