若您在使用基于envoy.ext_authz实现的自定义授权服务功能时,开启了鉴权服务不可用时放行请求。当请求中包含非UTF-8数据的Header时,会出现请求权限被升级的情况。本文介绍CVE-2023-27488漏洞的影响范围、漏洞影响和防范措施。
关于CVE-2023-27488漏洞的详细描述,请参见CVE-2023-27488。
影响范围
同时满足以下三个条件,授权策略会受此漏洞影响:
ASM实例的版本为1.16.4以下。
使用基于envoy.ext_authz实现的自定义授权服务功能,并开启鉴权服务不可用时放行请求。
请求包含非UTF-8数据的Header。
漏洞影响
若您在使用基于envoy.ext_authz实现的自定义授权服务功能时,开启了鉴权服务不可用时放行请求。若请求包含非UTF-8数据的Header时,会出现请求权限被升级的情况。
防范措施
方式一:关闭鉴权服务不可用时放行请求。
方式二:将ASM实例升级到1.16.4或以上版本。具体操作,请参见升级ASM实例。
反馈
- 本页导读 (1)
文档反馈