漏洞概述 在Cilium v1.19.3版本中,存在多个安全相关的漏洞和修复项,主要涉及以下方面: 1. L7策略代理重定向处理中的性能问题: - 修复了L7策略代理重定向处理中的性能问题。 2. KVStore身份模式下的客户端故障: - 修复了当使用KVStore身份模式时,Cilium客户端在etcd后端为K8s服务时初始化的问题。 3. NodePort绑定中的IPv6地址忽略: - 修复了NodePort绑定中忽略本地IPv6地址的问题。 4. 双栈集群池IPAM中的重复IPv6 PodCIDR: - 修复了在双栈集群池IPAM中,当操作器与预存在的重复IPv6 PodCIDR一起运行时,可能导致受影响的节点的IPv4 PodCIDR被错误地释放并重新分配给另一个节点的问题。 5. Endpoint删除后的策略更新: - 修复了在Endpoint删除后策略更新未完成的问题。 6. Hubble中的内存泄漏: - 修复了Hubble中由日志着色功能引起的内存泄漏问题,即使着色被禁用。 7. BPF映射中的恐慌: - 修复了BPF映射清理前未检查证书验证器导致的恐慌问题。 8. WireGuard中的IPv4连通性问题: - 修复了在使用不可达地址选择对等端点时,IPv4连通性问题未被正确使用的情况。 影响范围 L7策略代理重定向处理:影响所有使用L7策略代理的用户。 KVStore身份模式:影响使用KVStore身份模式的用户。 NodePort绑定:影响使用NodePort绑定的用户。 双栈集群池IPAM:影响使用双栈集群池IPAM的用户。 Endpoint删除后的策略更新:影响所有使用Endpoint管理的用户。 Hubble中的内存泄漏:影响使用Hubble进行日志记录的用户。 BPF映射中的恐慌:影响使用BPF映射的用户。 WireGuard中的IPv4连通性问题:影响使用WireGuard的用户。 修复方案 L7策略代理重定向处理:通过Backport PR #44828和Upstream PR #44613修复。 KVStore身份模式:通过Backport PR #44828和Upstream PR #44653修复。 NodePort绑定:通过Backport PR #44974和Upstream PR #44703修复。 双栈集群池IPAM:通过Backport PR #44828和Upstream PR #44832修复。 Endpoint删除后的策略更新:通过Backport PR #44816和Upstream PR #44754修复。 Hubble中的内存泄漏:通过Backport PR #44828和Upstream PR #44119修复。 BPF映射中的恐慌:通过Backport PR #44974和Upstream PR #44971修复。 WireGuard中的IPv4连通性问题:通过Backport PR #45247和Upstream PR #44629修复。 POC代码或利用代码 页面中未包含具体的POC代码或利用代码。