Envoy-Proxy besteht Security-Audit

27.03.2018

Bei der Überprüfung wurden keine kritischen Sicherheitslücken festgestellt. 

Der von der Firma Lyft entwickelte Proxy-Server Envoy wurde einem Security-Audit unterzogen, der im Kern-Code keine kritischen Sicherheitslücken zu Tage gefördert hat, allerdings eine Handvoll von Problemem mittlerer Schwere. Eine schwerwiegende Sicherheitslücke weist allerdings das webbasierte Admin-Interface auf. Durchgeführt wurde der Audit von der deutschen Firma Cure53, die auch den IMAP/POP-Server Dovecot auf Security-Probleme hin durchleuchtet hat. 

In Auftrag gegeben hat die Untersuchung die Cloud Native Computing Foundation (CNCF), die seit Ende 2017 als Schirmherr über die Entwicklung von Envoy wacht. Weiter Audits für die von der CNCF verwalteten Projekte sollen folgen. Die Ergebnisse des Envoy-Audit sind als Report im PDF-Format verfügbar. 

Envoy ist vor allem für moderne Cloud-Anwendungen gedacht, die aus vielen Services bestehen, die zur Laufzeit dynamisch neu konfiguriert werden. Neben HTTP 1.1 unterstützt Envoy auch HTTP/2, das gRPC-Protokoll sowie Anwendungsprotokolle wie MongoDB oder DynamoDB. Envoy lässt sich über eine webbasierte API konfigurieren. Zur Unterstützung von TLS-Verbindungen verwendet Envoy den von Google entwickelten OpenSSL-Ableger BoringSSL

Ähnliche Artikel

comments powered by Disqus
Mehr zum Thema

Security-Audit: OpenVPN wird durchleuchtet

Die aktuelle Version von OpenVPN wird einem Code-Audit unterzogen. 

Artikel der Woche

Systeme mit Vamigru verwalten

Auch wer nur kleine Flotten von Linux-Servern verwaltet, freut sich über Werkzeuge, die ihm diese Arbeit erleichtern. Vamigru tritt mit diesem Versprechen an. Wir verraten, was es leistet und wie Sie es in der eigenen Umgebung in Betrieb nehmen. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Container

Wie setzen Sie Container ein?

  • Gar nicht
  • Docker standalone
  • Docker mit Kubernetes
  • Docker mit Swarm
  • Docker mit anderem Management
  • LXC/LXD
  • Rocket
  • CRI-O auf Kubernetes
  • Container auf vSphere
  • Andere (siehe Kommentare auf der Ergebnisseite)

Google+

Ausgabe /2018

Microsite