关键信息 漏洞描述 CVE编号: CVE-2025-43915 问题: Linkerd代理在处理大量唯一主机名的请求时,可能会导致高基数度量数据,消耗大量代理内存,压倒度量数据摄取基础设施,或为第三方度量数据摄取器产生不必要的成本。 影响版本 Inbound authority Labels: - Edge releases: edge-25.2.1之前 - Buoyant Enterprise for Linkerd releases: 2.13.0–2.13.7, 2.14.0–2.14.10, 2.15.0–2.15.7, 2.16.0–2.16.4, 2.17.0–2.17.1 Outbound hostname Labels: - Edge releases: edge-24.10.3至edge-25.1.2 - Buoyant Enterprise for Linkerd releases: 2.17.0和2.17.1 受影响对象 面向互联网的Linkerd部署 接收来自任意第三方应用请求的Linkerd部署 启用出站度量的任意第三方应用的Linkerd部署 缓解措施 确保Linkerd代理不暴露于包含无限数量唯一主机名的HTTP请求中。 更新到指定版本,禁用这些度量标签。 必要行动 Edge用户更新到edge-25.2.1或更高版本。 Buoyant Enterprise用户更新到BEL releases 2.16.5, 2.17.2, 2.18.0或更高版本。 CWE与CVSS评分 CWE: CWE-770: 分配资源没有限制或节流 CVSS v3.1 Vector: AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:L/E:P/RL:O/RC:C CVSS Temporal Score: 5.2