「Istio 1.4.4」リリース、認証をバイパスしてリソースにアクセスできる脆弱性を修正

末岡洋子
シェア

 サービスメッシュプラットフォーム「Istio」開発チームは2月11日、最新安定版となる「Istio 1.4.4」を公開した。

 IstioはKubernetesクラスタ向けのサービスメッシュプラットフォーム。マイクロサービスアーキテクチャのためのサービス管理やネットワークコネクションの管理といった機能を備える。Googleが開始したオープンソースプロジェクトで、2018年にバージョン1.0がリリースされた。

 Istio 1.4.4は2019年11月に公開した「Istio 1.4」の最新のポイントリリースで、バグの修正が中心となる。まず、Istio 1.3から1.4.3までで発生していた、認証をバイパスできてしまう脆弱性(CVE-2020-8595)が修正された。悪用されると有効なJWTトークンや許可なしにリソースへアクセスできてしまうというもの。

 また、Google CAとの互換性を改善した。JWTを使ったPoliciesが適切に設定されていない時にアナライザーが出すエラーメッセージも改善した。全体の堅牢性とユーザー体験を改善し、セキュリティ上の脆弱性も修正した。このほか、Pilotのインスタンスを複数動かすとクラッシュにつながるバグをはじめ、多数のバグが修正されている。

Istio
https://istio.io/