Envoy-Proxy besteht Security-Audit

27.03.2018

Bei der Überprüfung wurden keine kritischen Sicherheitslücken festgestellt. 

Der von der Firma Lyft entwickelte Proxy-Server Envoy wurde einem Security-Audit unterzogen, der im Kern-Code keine kritischen Sicherheitslücken zu Tage gefördert hat, allerdings eine Handvoll von Problemem mittlerer Schwere. Eine schwerwiegende Sicherheitslücke weist allerdings das webbasierte Admin-Interface auf. Durchgeführt wurde der Audit von der deutschen Firma Cure53, die auch den IMAP/POP-Server Dovecot auf Security-Probleme hin durchleuchtet hat. 

In Auftrag gegeben hat die Untersuchung die Cloud Native Computing Foundation (CNCF), die seit Ende 2017 als Schirmherr über die Entwicklung von Envoy wacht. Weiter Audits für die von der CNCF verwalteten Projekte sollen folgen. Die Ergebnisse des Envoy-Audit sind als Report im PDF-Format verfügbar. 

Envoy ist vor allem für moderne Cloud-Anwendungen gedacht, die aus vielen Services bestehen, die zur Laufzeit dynamisch neu konfiguriert werden. Neben HTTP 1.1 unterstützt Envoy auch HTTP/2, das gRPC-Protokoll sowie Anwendungsprotokolle wie MongoDB oder DynamoDB. Envoy lässt sich über eine webbasierte API konfigurieren. Zur Unterstützung von TLS-Verbindungen verwendet Envoy den von Google entwickelten OpenSSL-Ableger BoringSSL

Ähnliche Artikel

comments powered by Disqus
Mehr zum Thema

Security-Audit: OpenVPN wird durchleuchtet

Die aktuelle Version von OpenVPN wird einem Code-Audit unterzogen. 

Artikel der Woche

Setup eines Kubernetes-Clusters mit Kops

Vor allem für Testinstallationen von Kubernetes gibt es einige Lösungen wie Kubeadm und Minikube. Für das Setup eines Kubernetes-Clusters in Cloud-Umgebungen hat sich Kops als Mittel der Wahl bewährt. Wir beschreiben seine Fähigkeiten und geben eine Anleitung für den praktischen Einsatz. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Container

Wie setzen Sie Container ein?

  • Gar nicht
  • Docker standalone
  • Docker mit Kubernetes
  • Docker mit Swarm
  • Docker mit anderem Management
  • LXC/LXD
  • Rocket
  • CRI-O auf Kubernetes
  • Container auf vSphere
  • Andere (siehe Kommentare auf der Ergebnisseite)

Google+

Ausgabe /2018

Microsite