istio istio 空指针解引用

CVE编号

CVE-2019-25014

利用情况

暂无

补丁情况

N/A

披露时间

2021-01-29
漏洞描述
A NULL pointer dereference was found in pkg/proxy/envoy/v2/debug.go getResourceVersion in Istio pilot before 1.5.0-alpha.0. If a particular HTTP GET request is made to the pilot API endpoint, it is possible to cause the Go runtime to panic (resulting in a denial of service to the istio-pilot application).
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接
https://bugzilla.redhat.com/show_bug.cgi?id=1919066
https://github.com/istio/istio/compare/1.4.2...1.5.0-alpha.0
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 istio istio * Up to
(including)
1.4.9
运行在以下环境
应用 redhat openshift_service_mesh 1.0 -
CVSS3评分
6.5
  • 攻击路径
    网络
  • 攻击复杂度
  • 权限要求
  • 影响范围
    未更改
  • 用户交互
  • 可用性
  • 保密性
  • 完整性
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
CWE-ID 漏洞类型
CWE-476 空指针解引用
阿里云安全产品覆盖情况