Envoy-Proxy besteht Security-Audit
Bei der Überprüfung wurden keine kritischen Sicherheitslücken festgestellt.
Der von der Firma Lyft entwickelte Proxy-Server Envoy wurde einem Security-Audit unterzogen, der im Kern-Code keine kritischen Sicherheitslücken zu Tage gefördert hat, allerdings eine Handvoll von Problemem mittlerer Schwere. Eine schwerwiegende Sicherheitslücke weist allerdings das webbasierte Admin-Interface auf. Durchgeführt wurde der Audit von der deutschen Firma Cure53, die auch den IMAP/POP-Server Dovecot auf Security-Probleme hin durchleuchtet hat.
In Auftrag gegeben hat die Untersuchung die Cloud Native Computing Foundation (CNCF), die seit Ende 2017 als Schirmherr über die Entwicklung von Envoy wacht. Weiter Audits für die von der CNCF verwalteten Projekte sollen folgen. Die Ergebnisse des Envoy-Audit sind als Report im PDF-Format verfügbar.
Envoy ist vor allem für moderne Cloud-Anwendungen gedacht, die aus vielen Services bestehen, die zur Laufzeit dynamisch neu konfiguriert werden. Neben HTTP 1.1 unterstützt Envoy auch HTTP/2, das gRPC-Protokoll sowie Anwendungsprotokolle wie MongoDB oder DynamoDB. Envoy lässt sich über eine webbasierte API konfigurieren. Zur Unterstützung von TLS-Verbindungen verwendet Envoy den v on Google entwickelten OpenSSL-Ableger BoringSSL .
Ähnliche Artikel
- Ereignisgesteuerte Aktionen mittels VMware Event Broker Appliance
-
Security-Audit: OpenVPN wird durchleuchtet
Die aktuelle Version von OpenVPN wird einem Code-Audit unterzogen.
-
Security-Audit von OpenVPN 2.4 abgeschlossen
Die schwerwiegenden Probleme wurden in der eben veröffentlichten Version 2.4.2 behoben.
-
CNCF hievt CoreDNS in den Graduation-Level
CoreDNS ist als viertes Projekt der Cloud Native Computing Foundation graduiert. Mit diesem höchsten ihrer Reifegrade anerkennt die Organisation technische Reife wie weite Verbreitung des DNS-Servers.
-
Security-Auditing für Webanwendungen mit Zed Attack Proxy
Konfigurationsmanagement
Themen
