发布日期：2020-07-01
更新日期：2020-07-02

受影响系统：

Lyft Envoy <=1.12.4
Lyft Envoy 1.14.2
Lyft Envoy 1.13.2

描述：

---

CVE(CAN) ID: CVE-2020-12604

Envoy是Lyft公司开发的一款高性能代理，用于协调服务网格中所有服务的入站和出站流量。Envoy 1.14.2、1.13.2、1.12.4 或之前版本存在不受控制的资源耗尽漏洞。该漏洞产生的原因是在HTTP/2客户端请求较大负载但却未能发送足够的窗口更新消耗整个流且并未重置流时，Envoy的内存占用率会升高。攻击者可利用该漏洞导致拒绝服务。

<*来源：Bartosz Borkowski
  
  链接：https://access.redhat.com/errata/RHSA-2020:2798
*>

建议：

---

厂商补丁：

RedHat
------
RedHat已经为此发布了一个安全公告（RHSA-2020:2798）以及相应补丁:
RHSA-2020:2798：Red Hat OpenShift Service Mesh 1.1 servicemesh-proxy security update
链接：https://access.redhat.com/errata/RHSA-2020:2798
https://github.com/envoyproxy/envoy/security/advisories/GHSA-8hf8-8gvw-ggvx

浏览次数：1038
严重程度：0（网友投票）