Envoy 和 Istio 容易受到几个新发现的漏洞的攻击:
CVE-2021-28683: Envoy 包含一个可远程利用的 NULL 指针取消引用,并在收到未知 TLS 警报代码时在 TLS 中崩溃。
CVE-2021-28682: Envoy 包含一个可远程利用的整数溢出,其中非常大的 grpc-timeout 值会导致意外的超时计算。
CVE-2021-29258: Envoy 包含一个可远程利用的漏洞,其中带有空元数据映射的 HTTP2 请求可能导致 Envoy 崩溃。
希望大家遵循漏洞报告步骤,以报告任何可能会导致安全漏洞的 BUG。