由于堆栈耗尽而导致控制平面不能拒绝未经身份验证的服务攻击

由于堆栈耗尽而导致控制平面不能拒绝未经身份验证的服务攻击。

Istio 控制平面 istiod 容易受到请求处理错误的影响，允许恶意攻击者发送特制或超大消息，从而在 Kubernetes 验证或变异 webhook 服务公开时导致控制平面崩溃。此端点通过 TLS 端口 15017 提供服务，但不需要攻击者的任何身份验证。

对于简单的安装，istiod 通常只能从集群内访问，从而限制了受影响的半径。但是，对于某些 Deployment，尤其是那些控制平面在不同集群中运行的 Deployment，此端口会在公共网络上公开。

Envoy CVEs

如果您在外部 istiod 环境中运行 Istio，或者您已将 istiod 暴露在外部，那么您面临的风险最大。