发布日期：2020-07-01
更新日期：2020-07-02

受影响系统：

Lyft Envoy <=1.12.4
Lyft Envoy 1.14.2
Lyft Envoy 1.13.2

描述：

---

CVE(CAN) ID: CVE-2020-12603

Envoy是Lyft公司开发的一款高性能代理，用于协调服务网格中所有服务的入站和出站流量。Envoy 1.14.2、1.13.2、1.12.4 或之前版本存在不受控制的资源耗尽漏洞。该漏洞产生的原因是Envoy在代理包含很多较小数据帧（如1字节）的HTTP/2请求或响应时会消耗过多的内存。攻击者可利用该漏洞导致拒绝服务。

<*来源：Antonio Vicente (Google LLC)
        Wenlei (Frank) He (Google LLC)
  
  链接：https://access.redhat.com/errata/RHSA-2020:2798
*>

建议：

---

厂商补丁：

RedHat
------
RedHat已经为此发布了一个安全公告（RHSA-2020:2798）以及相应补丁:
RHSA-2020:2798：Red Hat OpenShift Service Mesh 1.1 servicemesh-proxy security update
链接：https://access.redhat.com/errata/RHSA-2020:2798
https://bugzilla.redhat.com/show_bug.cgi?id=1844251
https://github.com/envoyproxy/envoy/security/advisories/GHSA-pc38-4q6c-85p6

浏览次数：1101
严重程度：0（网友投票）