【漏洞详情】

lstio是一个由谷歌、IBM与Lyft共同开发的开源项目，旨在提供一种统一化的微服务连接、安全保障、管理与监控方式。Istio 最新曝出一个可远程利用的漏洞，使用Istio的k8s集群内的机器有可能越权访问到TLS证书和密钥。

平安云安全中心提醒有使用lstio的用户尽快采取安全措施阻止漏洞攻击。

【风险评级】

高危

【影响范围】

Istio <=1.8

Istio 1.9.0 到 1.9.5

Istio 1.10.0 到 1.10.1

【修复建议】

安全版本：

stio >= 1.9.6 或更高版本，如果使用 1.9.x

Istio >= 1.10.2 或更高版本，如果使用 1.10.x

如果使用的是 Istio 1.8，请联系Istio 提供商以检查更新。否则，请升级到 Istio 1.9 或 1.10 的最新补丁版本。

缓解措施：

如果升级不可行，则可以通过禁用 Istiod 缓存来缓解此漏洞。通过设置 Istiod 环境变量来禁用缓存PILOT_ENABLE_XDS_CACHE=false。修改后，系统和 Istiod 性能可能会受到影响，因为这会禁用 XDS 缓存。

【参考链接】

https://istio.io/latest/news/security/istio-security-2021-007/

特别提醒：修复漏洞前请进行充分测试，并务必做好数据备份和快照，防止出现意外。

平安云

2021年6月29日