Envoy-Proxy besteht Security-Audit

27.03.2018

Bei der Überprüfung wurden keine kritischen Sicherheitslücken festgestellt. 

Der von der Firma Lyft entwickelte Proxy-Server Envoy wurde einem Security-Audit unterzogen, der im Kern-Code keine kritischen Sicherheitslücken zu Tage gefördert hat, allerdings eine Handvoll von Problemem mittlerer Schwere. Eine schwerwiegende Sicherheitslücke weist allerdings das webbasierte Admin-Interface auf. Durchgeführt wurde der Audit von der deutschen Firma Cure53, die auch den IMAP/POP-Server Dovecot auf Security-Probleme hin durchleuchtet hat. 

In Auftrag gegeben hat die Untersuchung die Cloud Native Computing Foundation (CNCF), die seit Ende 2017 als Schirmherr über die Entwicklung von Envoy wacht. Weiter Audits für die von der CNCF verwalteten Projekte sollen folgen. Die Ergebnisse des Envoy-Audit sind als Report im PDF-Format verfügbar. 

Envoy ist vor allem für moderne Cloud-Anwendungen gedacht, die aus vielen Services bestehen, die zur Laufzeit dynamisch neu konfiguriert werden. Neben HTTP 1.1 unterstützt Envoy auch HTTP/2, das gRPC-Protokoll sowie Anwendungsprotokolle wie MongoDB oder DynamoDB. Envoy lässt sich über eine webbasierte API konfigurieren. Zur Unterstützung von TLS-Verbindungen verwendet Envoy den von Google entwickelten OpenSSL-Ableger BoringSSL

Ähnliche Artikel

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2022