1.2.2.23. Red Hat OpenShift Service Mesh 2.0.4 的新功能

Istio 包含一个可被远程利用的漏洞，当使用基于路径的授权规则时，带有多个斜杠或转义的斜杠字符（%2F 或 %5C）的 HTTP 请求路径可能会绕过 Istio 授权策略。

例如，假设 Istio 集群管理员定义了一个授权 DENY 策略，以便在路径 /admin 上拒绝请求。发送到 URL 路径 //admin 的请求不会被授权策略拒绝。

根据 RFC 3986，带有多个斜杠的路径 //admin 在技术上应被视为与 /admin 不同的路径。但是，一些后端服务选择通过将多个斜杠合并成单斜杠来规范 URL 路径。这可能导致绕过授权策略（//admin 不匹配 /admin），用户可以在后端的路径 /admin 上访问资源，这可能会产生安全问题。

如果您使用 ALLOW action + notPaths 字段或者 DENY action + paths 字段特征，您的集群会受到这个漏洞的影响。这些模式可能会被意外的策略绕过。

在以下情况下，集群不会受到此漏洞的影响：