发布日期：2020-07-01
更新日期：2020-07-02

受影响系统：

Lyft Envoy <=1.12.4
Lyft Envoy 1.14.2
Lyft Envoy 1.13.2

描述：

---

CVE(CAN) ID: CVE-2020-12605

Envoy是Lyft公司开发的一款高性能代理，用于协调服务网格中所有服务的入站和出站流量。
Envoy 1.14.2、1.13.2、1.12.4 或之前版本存在不受控制的资源耗尽漏洞。攻击者可利用该漏洞借助带有超长字段名的HTTP/1.1报文头或包含超长URL的请求使Envoy消耗过多内存，造成拒绝服务。

<*来源：Antonio Vicente (Google LLC)
  
  链接：https://access.redhat.com/errata/RHSA-2020:2798
*>

建议：

---

厂商补丁：

RedHat
------
RedHat已经为此发布了一个安全公告（RHSA-2020:2798）以及相应补丁:
RHSA-2020:2798：Red Hat OpenShift Service Mesh 1.1 servicemesh-proxy security update
链接：https://access.redhat.com/errata/RHSA-2020:2798
https://bugzilla.redhat.com/show_bug.cgi?id=1844252
https://github.com/envoyproxy/envoy/security/advisories/GHSA-fjxc-jj43-f777

浏览次数：842
严重程度：0（网友投票）