Bollettini sulla sicurezza

Utilizza questo feed XML per iscriverti ai bollettini sulla sicurezza di Cloud Service Mesh. Iscriviti

Questa pagina elenca i bollettini sulla sicurezza per Cloud Service Mesh.

GCP-2024-052

Pubblicato il: 19/09/2024

Descrizione Gravità Note

Arresto anomalo di oghttp2 in OnBeginHeadersForStream

Che cosa devo fare?

Verificare se i tuoi cluster sono interessati

Sono interessati solo i cluster che eseguono Cloud Service Mesh 1.23

Mitigazione

Cloud Service Mesh 1.23.2-asm.2 contiene la correzione del problema. Non è richiesta alcuna azione da parte tua.

Alta

CVE-2024-45807

Descrizione Gravità Note

Iniezione di log dannosi tramite i log di accesso

Che cosa devo fare?

Verificare se i tuoi cluster sono interessati

Tutte le versioni di Cloud Service Mesh sono interessate da questa CVE.

Mitigazione

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.20.8-asm.7
  • 1.21.5-asm.7
  • 1.22.5-asm.1
  • 1.23.2-asm.2

Medio

CVE-2024-45808

Descrizione Gravità Note

Possibilità di manipolare le intestazioni "x-envoy" da origini esterne

Che cosa devo fare?

Verificare se i tuoi cluster sono interessati

Tutte le versioni di Cloud Service Mesh sono interessate da questa CVE.

Mitigazione

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.20.8-asm.7
  • 1.21.5-asm.7
  • 1.22.5-asm.1
  • 1.23.2-asm.2

Medio

CVE-2024-45806

Descrizione Gravità Note

Arresto anomalo del filtro JWT nella cache della route chiara con JWK remoti

Che cosa devo fare?

Verificare se i tuoi cluster sono interessati

Tutte le versioni di Cloud Service Mesh sono interessate da questa CVE.

Mitigazione

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.20.8-asm.7
  • 1.21.5-asm.7
  • 1.22.5-asm.1
  • 1.23.2-asm.2

Medio

CVE-2024-45809

Descrizione Gravità Note

Envoy si arresta in modo anomalo per LocalReply nel client asincrono HTTP

Che cosa devo fare?

Verificare se i tuoi cluster sono interessati

Tutte le versioni di Cloud Service Mesh sono interessate da questa CVE.

Mitigazione

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.20.8-asm.7
  • 1.21.5-asm.7
  • 1.22.5-asm.1
  • 1.23.2-asm.2

Medio

CVE-2024-45810

GCP-2024-032

Pubblicato il: 24/06/2024

Descrizione Gravità Note

Envoy accetta erroneamente la risposta HTTP 200 per accedere alla modalità di upgrade.

Che cosa devo fare?

Verificare se i tuoi cluster sono interessati

Tutte le versioni di Cloud Service Mesh sono interessate da questa CVE.

Mitigazione

Se utilizzi Cloud Service Mesh gestito, il sistema verrà aggiornato automaticamente nei prossimi giorni.

In caso contrario, esegui l'upgrade del cluster a una delle seguenti versioni con patch:

  • v1.21.3-asm.3
  • v1.20.7-asm.2
  • v1.19.10-asm.6
  • v1.18.7-asm.26
  • Se utilizzi Cloud Service Mesh 1.17 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state sottoposte a backporting. Esegui l'upgrade a Cloud Service Mesh 1.18 o versioni successive.

Medio

CVE-2024-23326

Descrizione Gravità Note

Arresto anomalo in EnvoyQuicServerStream::OnInitialHeadersComplete().

Che cosa devo fare?

Verificare se i tuoi cluster sono interessati

Tutte le versioni di Cloud Service Mesh sono interessate da questa CVE.

Mitigazione

Se utilizzi Cloud Service Mesh gestito, il sistema verrà aggiornato automaticamente nei prossimi giorni.

In caso contrario, esegui l'upgrade del cluster a una delle seguenti versioni con patch:

  • v1.21.3-asm.3
  • v1.20.7-asm.2
  • v1.19.10-asm.6
  • v1.18.7-asm.26
  • Se utilizzi Cloud Service Mesh 1.17 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state sottoposte a backporting. Esegui l'upgrade a Cloud Service Mesh 1.18 o versioni successive.

Medio

CVE-2024-32974

Descrizione Gravità Note

Arresto anomalo in QuicheDataReader::PeekVarInt62Length().

Che cosa devo fare?

Verificare se i tuoi cluster sono interessati

Tutte le versioni di Cloud Service Mesh sono interessate da questa CVE.

Mitigazione

Se utilizzi Cloud Service Mesh gestito, il sistema verrà aggiornato automaticamente nei prossimi giorni.

In caso contrario, esegui l'upgrade del cluster a una delle seguenti versioni con patch:

  • v1.21.3-asm.3
  • v1.20.7-asm.2
  • v1.19.10-asm.6
  • v1.18.7-asm.26
  • Se utilizzi Cloud Service Mesh 1.17 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state sottoposte a backporting. Esegui l'upgrade a Cloud Service Mesh 1.18 o versioni successive.

Medio

CVE-2024-32975

Descrizione Gravità Note

Loop infinito durante la decompressione dei dati Brotli con input aggiuntivo.

Che cosa devo fare?

Verificare se i tuoi cluster sono interessati

Tutte le versioni di Cloud Service Mesh sono interessate da questa CVE.

Mitigazione

Se utilizzi Cloud Service Mesh gestito, il sistema verrà aggiornato automaticamente nei prossimi giorni.

In caso contrario, esegui l'upgrade del cluster a una delle seguenti versioni con patch:

  • v1.21.3-asm.3
  • v1.20.7-asm.2
  • v1.19.10-asm.6
  • v1.18.7-asm.26
  • Se utilizzi Cloud Service Mesh 1.17 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state sottoposte a backporting. Esegui l'upgrade a Cloud Service Mesh 1.18 o versioni successive.

Alta

CVE-2024-32976

Descrizione Gravità Note

Arresto anomalo (uso dopo svuotamento) in EnvoyQuicServerStream.

Che cosa devo fare?

Verificare se i tuoi cluster sono interessati

Tutte le versioni di Cloud Service Mesh sono interessate da questa CVE.

Mitigazione

Se utilizzi Cloud Service Mesh gestito, il sistema verrà aggiornato automaticamente nei prossimi giorni.

In caso contrario, esegui l'upgrade del cluster a una delle seguenti versioni con patch:

  • v1.21.3-asm.3
  • v1.20.7-asm.2
  • v1.19.10-asm.6
  • v1.18.7-asm.26
  • Se utilizzi Cloud Service Mesh 1.17 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state sottoposte a backporting. Esegui l'upgrade a Cloud Service Mesh 1.18 o versioni successive.

Medio

CVE-2024-34362

Descrizione Gravità Note

Arresto anomalo a causa di un'eccezione JSON nlohmann non rilevata.

Che cosa devo fare?

Verificare se i tuoi cluster sono interessati

Tutte le versioni di Cloud Service Mesh sono interessate da questa CVE.

Mitigazione

Se utilizzi Cloud Service Mesh gestito, il sistema verrà aggiornato automaticamente nei prossimi giorni.

In caso contrario, esegui l'upgrade del cluster a una delle seguenti versioni con patch:

  • v1.21.3-asm.3
  • v1.20.7-asm.2
  • v1.19.10-asm.6
  • v1.18.7-asm.26
  • Se utilizzi Cloud Service Mesh 1.17 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state sottoposte a backporting. Esegui l'upgrade a Cloud Service Mesh 1.18 o versioni successive.

Alta

CVE-2024-34363

Descrizione Gravità Note

Vettore OOM di Envoy dal client asincrono HTTP con buffer di risposta illimitato per la risposta mirror.

Che cosa devo fare?

Verificare se i tuoi cluster sono interessati

Tutte le versioni di Cloud Service Mesh sono interessate da questa CVE.

Mitigazione

Se utilizzi Cloud Service Mesh gestito, il sistema verrà aggiornato automaticamente nei prossimi giorni.

In caso contrario, esegui l'upgrade del cluster a una delle seguenti versioni con patch:

  • v1.21.3-asm.3
  • v1.20.7-asm.2
  • v1.19.10-asm.6
  • v1.18.7-asm.26
  • Se utilizzi Cloud Service Mesh 1.17 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state sottoposte a backporting. Esegui l'upgrade a Cloud Service Mesh 1.18 o versioni successive.

Medio

CVE-2024-34364

GCP-2024-023

Pubblicato il: 24/04/2024

Descrizione Gravità Note

HTTP/2: esaurimento della memoria a causa di un'inondazione di frame CONTINUATION.

Che cosa devo fare?

Verificare se i tuoi cluster sono interessati

Tutte le versioni di Cloud Service Mesh sono interessate da questa CVE.

Mitigazione

Se utilizzi Cloud Service Mesh gestito, non è richiesta alcuna azione. Il sistema verrà aggiornato automaticamente nei prossimi giorni.

Se esegui Cloud Service Mesh in cluster, devi eseguire l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.20.6-asm.0
  • 1.19.10-asm.0
  • 1.18.7-asm.21

Se utilizzi Cloud Service Mesh 1.17 o versioni precedenti, la tua release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state sottoposte a backporting. Devi eseguire l'upgrade a Cloud Service Mesh versione 1.18 o successive.

Alta

CVE-2024-27919

Descrizione Gravità Note

HTTP/2: esaurimento della CPU a causa di un'inondazione di frame CONTINUATION

Che cosa devo fare?

Verificare se i tuoi cluster sono interessati

Tutte le versioni di Cloud Service Mesh sono interessate da questa CVE.

Mitigazione

Se utilizzi Cloud Service Mesh gestito, non è richiesta alcuna azione. Il sistema verrà aggiornato automaticamente nei prossimi giorni.

Se esegui Cloud Service Mesh in cluster, devi eseguire l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.20.6-asm.0
  • 1.19.10-asm.0
  • 1.18.7-asm.21

Se utilizzi Cloud Service Mesh 1.17 o versioni precedenti, la tua release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state sottoposte a backporting. Devi eseguire l'upgrade a Cloud Service Mesh 1.18 o versioni successive.

Medio

CVE-2024-30255

Descrizione Gravità Note

Terminazione anomala quando si utilizza auto_sni con l'intestazione ":authority" più lunga di 255 caratteri.

Che cosa devo fare?

Verificare se i tuoi cluster sono interessati

Tutte le versioni di Cloud Service Mesh sono interessate da questa CVE.

Mitigazione

Se utilizzi Cloud Service Mesh gestito, non è richiesta alcuna azione. Il sistema verrà aggiornato automaticamente nei prossimi giorni.

Se esegui Cloud Service Mesh in cluster, devi eseguire l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.20.6-asm.0
  • 1.19.10-asm.0
  • 1.18.7-asm.21

Se utilizzi Cloud Service Mesh 1.17 o versioni precedenti, la tua release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state sottoposte a backporting. Esegui l'upgrade a Cloud Service Mesh 1.18 o versioni successive.

Alta

CVE-2024-32475

Descrizione Gravità Note

I frame CONTINUATION HTTP/2 possono essere utilizzati per attacchi DoS.

Che cosa devo fare?

Verificare se i tuoi cluster sono interessati

Tutte le versioni di Cloud Service Mesh sono interessate da questa CVE.

Mitigazione

Se utilizzi Cloud Service Mesh gestito, non è richiesta alcuna azione. Il sistema verrà aggiornato automaticamente nei prossimi giorni.

Se esegui Cloud Service Mesh in cluster, devi eseguire l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.20.6-asm.0
  • 1.19.10-asm.0
  • 1.18.7-asm.21

Se utilizzi Cloud Service Mesh 1.17 o versioni precedenti, la tua release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state sottoposte a backporting. Esegui l'upgrade alla versione v1.18 o successiva.

Non fornito

CVE-2023-45288

GCP-2024-007

Pubblicato il: 08/02/2024

Descrizione Gravità Note

Envoy si arresta in modo anomalo quando è inattivo e si verifica il timeout delle richieste per tentativo nell'intervallo di backoff.

Che cosa devo fare?

Se utilizzi Cloud Service Mesh gestito, non è richiesta alcuna azione. Il sistema verrà aggiornato automaticamente nei prossimi giorni.

Se esegui Cloud Service Mesh in cluster, devi eseguire l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.20.3-asm.4
  • 1.19.7-asm.3
  • 1.18.7-asm.4
  • 1.17.8-asm.20

Se utilizzi Anthos Service Mesh 1.17 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Sebbene queste correzioni delle vulnerabilità CVE siano state backportate alla versione 1.17, devi eseguire l'upgrade alla versione 1.18 o successiva.

Alta

CVE-2024-23322

Descrizione Gravità Note

Utilizzo eccessivo della CPU quando il corrispettivo del modello URI è configurato utilizzando una regex.

Che cosa devo fare?

Se utilizzi Cloud Service Mesh gestito, non è richiesta alcuna azione. Il sistema verrà aggiornato automaticamente nei prossimi giorni.

Se esegui Cloud Service Mesh in cluster, devi eseguire l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.20.3-asm.4
  • 1.19.7-asm.3
  • 1.18.7-asm.4
  • 1.17.8-asm.20

Se utilizzi Anthos Service Mesh 1.17 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Sebbene queste correzioni delle vulnerabilità CVE siano state backportate alla versione 1.17, devi eseguire l'upgrade alla versione 1.18 o successiva.

Medio

CVE-2024-23323

Descrizione Gravità Note

L'autorizzazione esterna può essere aggirata quando il filtro del protocollo proxy imposta metadati UTF-8 non validi.

Che cosa devo fare?

Se utilizzi Cloud Service Mesh gestito, non è richiesta alcuna azione. Il sistema verrà aggiornato automaticamente nei prossimi giorni.

Se esegui Cloud Service Mesh in cluster, devi eseguire l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.20.3-asm.4
  • 1.19.7-asm.3
  • 1.18.7-asm.4
  • 1.17.8-asm.20

Se utilizzi Anthos Service Mesh 1.17 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Sebbene queste correzioni delle vulnerabilità CVE siano state backportate alla versione 1.17, devi eseguire l'upgrade alla versione 1.18 o successiva.

Alta

CVE-2024-23324

Descrizione Gravità Note

Envoy si arresta in modo anomalo quando viene utilizzato un tipo di indirizzo non supportato dal sistema operativo.

Che cosa devo fare?

Se utilizzi Cloud Service Mesh gestito, non è richiesta alcuna azione. Il sistema verrà aggiornato automaticamente nei prossimi giorni.

Se esegui Cloud Service Mesh in cluster, devi eseguire l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.20.3-asm.4
  • 1.19.7-asm.3
  • 1.18.7-asm.4
  • 1.17.8-asm.20

Se utilizzi Anthos Service Mesh 1.17 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Sebbene queste correzioni delle vulnerabilità CVE siano state backportate alla versione 1.17, devi eseguire l'upgrade alla versione 1.18 o successiva.

Alta

CVE-2024-23325

Descrizione Gravità Note

Arresto anomalo nel protocollo proxy quando il tipo di comando è LOCAL.

Che cosa devo fare?

Se utilizzi Cloud Service Mesh gestito, non è richiesta alcuna azione. Il sistema verrà aggiornato automaticamente nei prossimi giorni.

Se esegui Cloud Service Mesh in cluster, devi eseguire l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.20.3-asm.4
  • 1.19.7-asm.3
  • 1.18.7-asm.4
  • 1.17.8-asm.20

Se utilizzi Anthos Service Mesh 1.17 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Sebbene queste correzioni delle vulnerabilità CVE siano state backportate alla versione 1.17, devi eseguire l'upgrade alla versione 1.18 o successiva.

Alta

CVE-2024-23327

GCP-2023-031

Pubblicato il: 10/10/2023

Descrizione Gravità Note

Un attacco di denial of service può influire sul piano dati quando si utilizza il protocollo HTTP/2.

Che cosa devo fare?

Verificare se i tuoi cluster sono interessati

Il cluster è interessato se utilizza le versioni delle patch di Cloud Service Mesh precedenti alle versioni 1.18.4, 1.17.7 o 1.16.7.

Mitigazione

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.18.4-asm.0
  • 1.17.7-asm.0
  • 1.16.7-asm.10

Se utilizzi Cloud Service Mesh gestito, il sistema verrà aggiornato automaticamente nei prossimi giorni.

Se utilizzi Cloud Service Mesh 1.15 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state sottoposte a backporting. Dovresti eseguire l'upgrade alla versione 1.16 o successiva.

Alta

CVE-2023-44487

GCP-2023-021

Updated:2023-07-26

Pubblicato il: 25/07/2022
Descrizione Gravità Note

Un client malintenzionato è in grado di creare credenziali con validità permanente in alcuni scenari specifici. Ad esempio, la combinazione di host e data e ora di scadenza nel payload HMAC può essere sempre valida nel controllo HMAC del filtro OAuth2.

Che cosa devo fare?

Verificare se i tuoi cluster sono interessati

Il cluster è interessato se utilizza versioni con patch di Cloud Service Mesh precedenti a

  • 1.17.4
  • 1.16.6
  • 1.15.7
Mitigazione

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.17.5-asm.0
  • 1.16.7-asm.0
  • 1.15.7-asm.23

Se utilizzi Cloud Service Mesh gestito, il sistema verrà aggiornato automaticamente entro i prossimi giorni.

Se utilizzi Anthos Service Mesh 1.14 o versioni precedenti, la tua release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state sottoposte a backporting. Devi eseguire l'upgrade ad ASM 1.15 o versioni successive.

Alta

CVE-2023-35941

Descrizione Gravità Note

I logger di accesso gRPC che utilizzano l'ambito globale dell'ascoltatore possono causare un arresto anomalo di uso dopo svuotamento quando l'ascoltatore viene svuotato. Questo può essere attivato da un aggiornamento LDS con la stessa configurazione del log di accesso gRPC.

Che cosa devo fare?

Verificare se i tuoi cluster sono interessati

Il cluster è interessato se utilizza versioni con patch di Cloud Service Mesh precedenti a

  • 1.17.4
  • 1.16.6
  • 1.15.7
Mitigazione

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.17.5-asm.0
  • 1.16.7-asm.0
  • 1.15.7-asm.23

Se utilizzi Cloud Service Mesh gestito, il sistema verrà aggiornato automaticamente entro i prossimi giorni.

Se utilizzi Anthos Service Mesh 1.14 o versioni precedenti, la tua release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state sottoposte a backporting. Devi eseguire l'upgrade ad ASM 1.15 o versioni successive.

Medio

CVE-2023-35942

Descrizione Gravità Note

Se l'intestazione origin è configurata per essere rimossa con request_headers_to_remove: origin, il filtro CORS causerà un errore di segfault e un arresto anomalo di Envoy.

Che cosa devo fare?

Verificare se i tuoi cluster sono interessati

Il cluster è interessato se utilizza versioni con patch di Cloud Service Mesh precedenti a

  • 1.17.4
  • 1.16.6
  • 1.15.7
Mitigazione

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.17.5-asm.0
  • 1.16.7-asm.0
  • 1.15.7-asm.23

Se utilizzi Cloud Service Mesh gestito, il sistema verrà aggiornato automaticamente entro i prossimi giorni.

Se utilizzi Anthos Service Mesh 1.14 o versioni precedenti, la tua release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state sottoposte a backporting. Devi eseguire l'upgrade ad ASM 1.15 o versioni successive.

Medio

CVE-2023-35943

Descrizione Gravità Note

Gli attaccanti possono inviare richieste di schema misti per bypassare alcuni controlli dello schema in Envoy. Ad esempio, se una richiesta con schema misto htTp viene inviata al filtro OAuth2, non supererà i controlli di corrispondenza esatta per http e informerà l'endpoint remoto che lo schema è https, bypassando così potenzialmente i controlli OAuth2 specifici per le richieste HTTP.

Che cosa devo fare?

Verificare se i tuoi cluster sono interessati

Il cluster è interessato se utilizza versioni con patch di Cloud Service Mesh precedenti a

  • 1.17.4
  • 1.16.6
  • 1.15.7
Mitigazione

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.17.5-asm.0
  • 1.16.7-asm.0
  • 1.15.7-asm.23

Se utilizzi Cloud Service Mesh gestito, il sistema verrà aggiornato automaticamente entro i prossimi giorni.

Se utilizzi Anthos Service Mesh 1.14 o versioni precedenti, la tua release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state sottoposte a backporting. Devi eseguire l'upgrade ad ASM 1.15 o versioni successive.

Alta

CVE-2023-35944

GCP-2023-019

Descrizione Gravità Note

Una risposta creata appositamente da un servizio upstream non attendibile può causare un denial of service tramite esaurimento della memoria. Questo problema è causato dal codec HTTP/2 di Envoy, che potrebbe provocare la fuga di una mappa degli header e delle strutture di contabilità al ricevimento di RST_STREAM immediatamente seguito dai frame GOAWAY da un server a monte.

Che cosa devo fare?

Verificare se i tuoi cluster sono interessati

Il cluster è interessato se utilizza versioni con patch di Cloud Service Mesh precedenti a

  • 1.17.4
  • 1.16.6
  • 1.15.7
Mitigazione

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.17.4-asm.2
  • 1.16.6-asm.3
  • 1.15.7-asm.21

Se utilizzi Cloud Service Mesh gestito, il sistema verrà aggiornato automaticamente entro i prossimi giorni.

Se utilizzi Anthos Service Mesh 1.14 o versioni precedenti, la tua release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state sottoposte a backporting. Devi eseguire l'upgrade ad ASM 1.15 o versioni successive.

Alta

CVE-2023-35945

GCP-2023-002

Descrizione Gravità Note

Se Envoy è in esecuzione con il filtro OAuth attivato, un attore malintenzionato potrebbe creare una richiesta che causerebbe un attacco di tipo denial of service facendo arrestare in modo anomalo Envoy.

Che cosa devo fare?

Verificare se i tuoi cluster sono interessati

I tuoi cluster sono interessati se utilizzano versioni con patch di Cloud Service Mesh precedenti a:

  • 1.16.4
  • 1.15.7
  • 1.14.6
Mitigazione

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.16.4-asm.2
  • 1.15.7-asm.1
  • 1.14.6-asm.11

Se utilizzi Cloud Service Mesh 1.13 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state sottoposte a backporting. Devi eseguire l'upgrade a Cloud Service Mesh 1.14 o versioni successive.

Medio

CVE-2023-27496

Descrizione Gravità Note

L'utente malintenzionato può utilizzare questa vulnerabilità per bypassare i controlli di autenticazione quando viene utilizzato ext_authz.

Che cosa devo fare?

Verificare se i tuoi cluster sono interessati

I tuoi cluster sono interessati se utilizzano versioni con patch di Cloud Service Mesh precedenti a:

  • 1.16.4
  • 1.15.7
  • 1.14.6
Mitigazione

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.16.4-asm.2
  • 1.15.7-asm.1
  • 1.14.6-asm.11

Se utilizzi Cloud Service Mesh 1.13 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state sottoposte a backporting. Devi eseguire l'upgrade a Cloud Service Mesh 1.14 o versioni successive.

Medio

CVE-2023-27488

Descrizione Gravità Note

La configurazione di Envoy deve includere anche un'opzione per aggiungere le intestazioni di richiesta generate utilizzando gli input della richiesta, ovvero il nome comune del soggetto del certificato peer.

Che cosa devo fare?

Verificare se i tuoi cluster sono interessati

I tuoi cluster sono interessati se utilizzano versioni con patch di Cloud Service Mesh precedenti a:

  • 1.16.4
  • 1.15.7
  • 1.14.6
Mitigazione

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.16.4-asm.2
  • 1.15.7-asm.1
  • 1.14.6-asm.11

Se utilizzi Cloud Service Mesh 1.13 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state sottoposte a backporting. Devi eseguire l'upgrade a Cloud Service Mesh 1.14 o versioni successive.

Alta

CVE-2023-27493

Descrizione Gravità Note

Gli utenti malintenzionati possono inviare indirizzi di richieste di grandi dimensioni per i percorsi in cui è attivato il filtro Lua e attivare arresti anomali.

Che cosa devo fare?

Verificare se i tuoi cluster sono interessati

I tuoi cluster sono interessati se utilizzano versioni con patch di Cloud Service Mesh precedenti a:

  • 1.16.4
  • 1.15.7
  • 1.14.6
Mitigazione

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.16.4-asm.2
  • 1.15.7-asm.1
  • 1.14.6-asm.11

Se utilizzi Cloud Service Mesh 1.13 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state sottoposte a backporting. Devi eseguire l'upgrade a Cloud Service Mesh 1.14 o versioni successive.

Medio

CVE-2023-27492

Descrizione Gravità Note

Gli aggressori possono inviare richieste HTTP/2 o HTTP/3 appositamente create per attivare errori di analisi nel servizio upstream HTTP/1.

Che cosa devo fare?

Verificare se i tuoi cluster sono interessati

I tuoi cluster sono interessati se utilizzano versioni con patch di Cloud Service Mesh precedenti a:

  • 1.16.4
  • 1.15.7
  • 1.14.6
Mitigazione

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.16.4-asm.2
  • 1.15.7-asm.1
  • 1.14.6-asm.11

Se utilizzi Cloud Service Mesh 1.13 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state sottoposte a backporting. Devi eseguire l'upgrade a Cloud Service Mesh 1.14 o versioni successive.

Medio

CVE-2023-27491

Descrizione Gravità Note

L'intestazione x-envoy-original-path dovrebbe essere un'intestazione interna, ma Envoy non la rimuove dalla richiesta all'inizio dell'elaborazione della richiesta quando viene inviata da un client non attendibile.

Che cosa devo fare?

Verificare se i tuoi cluster sono interessati

I tuoi cluster sono interessati se utilizzano versioni con patch di Cloud Service Mesh precedenti a:

  • 1.16.4
  • 1.15.7
  • 1.14.6
Mitigazione

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.16.4-asm.2
  • 1.15.7-asm.1
  • 1.14.6-asm.11

Se utilizzi Cloud Service Mesh 1.13 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state sottoposte a backporting. Devi eseguire l'upgrade a Cloud Service Mesh 1.14 o versioni successive.

Alta

CVE-2023-27487

GCP-2022-020

Pubblicato: 05/10/2022
Aggiornamento del 12/10/2022
Aggiornamento del 12/10/2022: è stato aggiornato il link alla descrizione della CVE e sono state aggiunte informazioni sugli aggiornamenti automatici per Cloud Service Mesh gestito.
Descrizione Gravità Note

Il control plane di Istio istiod è vulnerabile a un errore di elaborazione delle richieste, che consente a un malintenzionato di inviare un messaggio appositamente creato che causa l'arresto anomalo del control plane quando il webhook di convalida di un cluster è esposto pubblicamente. Questo endpoint viene fornito tramite la porta TLS 15017, ma non richiede alcuna autenticazione da parte dell'aggressore.

Che cosa devo fare?

Verificare se i tuoi cluster sono interessati

Il cluster è interessato se utilizza versioni con patch di Cloud Service Mesh precedenti alla 1.14.4, 1.13.8 o 1.12.9.

Mitigazione

Se esegui Cloud Service Mesh autonomo, esegui l'upgrade del cluster a una delle seguenti versioni con patch:

  • Se utilizzi Anthos Service Mesh 1.14, esegui l'upgrade alla versione 1.14.4-asm.2
  • Se utilizzi Anthos Service Mesh 1.13, esegui l'upgrade alla versione 1.13.8-asm.4
  • Se utilizzi Anthos Service Mesh 1.12, esegui l'upgrade alla versione 1.12.9-asm.3

Se utilizzi Cloud Service Mesh gestito, il sistema verrà aggiornato automaticamente entro i prossimi giorni.

Se utilizzi Cloud Service Mesh 1.11 o versioni precedenti, la tua release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state sottoposte a backporting. Devi eseguire l'upgrade a Cloud Service Mesh 1.12 o versioni successive.

Alta

CVE-2022-39278

GCP-2022-015

Pubblicato: 09/06/2022
Aggiornamento: 10/06/2022
Aggiornamento del 10/06/2022: sono state aggiornate le versioni delle patch per Cloud Service Mesh.
Descrizione Gravità Note

Il piano dati di Istio può potenzialmente accedere alla memoria in modo non sicuro quando sono attivate le estensioni Metadata Exchange e Stats.

Che cosa devo fare?

Verificare se i tuoi cluster sono interessati

Il cluster è interessato se utilizza versioni con patch di Cloud Service Mesh precedenti alle versioni 1.13.4-asm.4, 1.12.7-asm.2 o 1.11.8-asm.4.

Mitigazione di Cloud Service Mesh

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.13.4-asm.4
  • 1.12.7-asm.2
  • 1.11.8-asm.4

Se utilizzi Cloud Service Mesh 1.10 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state sottoposte a backporting. Devi eseguire l'upgrade a Cloud Service Mesh 1.11 o versioni successive. Per ulteriori informazioni, consulta Eseguire l'upgrade da versioni precedenti (GKE) o Eseguire l'upgrade da versioni precedenti (on-premise).

Alta

CVE-2022-31045

Descrizione Gravità Note

I dati possono superare i limiti del buffer intermedio se un malintenzionato passa un piccolo payload altamente compresso (noto anche come attacco di bomba ZIP).

Che cosa devo fare?

Verificare se i tuoi cluster sono interessati

Il cluster è interessato se utilizza versioni con patch di Cloud Service Mesh precedenti alle versioni 1.13.4-asm.4, 1.12.7-asm.2 o 1.11.8-asm.4.

Sebbene Cloud Service Mesh non supporti i filtri Envoy, potresti essere interessato se utilizzi un filtro di decompressione.

Mitigazione di Cloud Service Mesh

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.13.4-asm.4
  • 1.12.7-asm.2
  • 1.11.8-asm.4

Se utilizzi Cloud Service Mesh 1.10 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state sottoposte a backporting. Devi eseguire l'upgrade a Cloud Service Mesh 1.11 o versioni successive. Per ulteriori informazioni, consulta Eseguire l'upgrade da versioni precedenti (GKE) o Eseguire l'upgrade da versioni precedenti (on-premise).

Mitigazione di Envoy

Gli utenti di Envoy che gestiscono i propri Envoy devono assicurarsi di utilizzare la versione 1.22.1 di Envoy. Gli utenti di Envoy che gestiscono i propri Envoy compilano i binari da una fonte come GitHub e li dispicchiano.

Gli utenti che eseguono Envoy gestiti (Google Cloud fornisce i file binari di Envoy) non devono fare nulla, poiché i prodotti cloud passeranno alla versione 1.22.1.

Alta

CVE-2022-29225

Descrizione Gravità Note

Potenziale dereferenziazione di un puntatore nullo in GrpcHealthCheckerImpl.

Che cosa devo fare?

Verificare se i tuoi cluster sono interessati

Il cluster è interessato se utilizza versioni con patch di Cloud Service Mesh precedenti alle versioni 1.13.4-asm.4, 1.12.7-asm.2 o 1.11.8-asm.4.

Mitigazione di Cloud Service Mesh

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.13.4-asm.4
  • 1.12.7-asm.2
  • 1.11.8-asm.4

Se utilizzi Cloud Service Mesh 1.10 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state sottoposte a backporting. Devi eseguire l'upgrade a Cloud Service Mesh 1.11 o versioni successive. Per ulteriori informazioni, consulta Eseguire l'upgrade da versioni precedenti (GKE) o Eseguire l'upgrade da versioni precedenti (on-premise).

Mitigazione di Envoy

Gli utenti di Envoy che gestiscono i propri Envoy devono assicurarsi di utilizzare la versione 1.22.1 di Envoy. Gli utenti di Envoy che gestiscono i propri Envoy compilano i binari da una fonte come GitHub e li dispicchiano.

Gli utenti che eseguono Envoy gestiti (Google Cloud fornisce i file binari di Envoy) non devono fare nulla, poiché i prodotti cloud passeranno alla versione 1.22.1.

Medio

CVE-2021-29224

Descrizione Gravità Note

Il filtro OAuth consente un bypass banale.

Che cosa devo fare?

Verificare se i tuoi cluster sono interessati

Il cluster è interessato se utilizza versioni con patch di Cloud Service Mesh precedenti alle versioni 1.13.4-asm.4, 1.12.7-asm.2 o 1.11.8-asm.4.

Sebbene Cloud Service Mesh non supporti i filtri Envoy, potresti essere interessato se utilizzi un filtro OAuth.

Mitigazione di Cloud Service Mesh

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.13.4-asm.4
  • 1.12.7-asm.2
  • 1.11.8-asm.4

Se utilizzi Cloud Service Mesh 1.10 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state sottoposte a backporting. Devi eseguire l'upgrade a Cloud Service Mesh 1.11 o versioni successive. Per ulteriori informazioni, consulta Eseguire l'upgrade da versioni precedenti (GKE) o Eseguire l'upgrade da versioni precedenti (on-premise).

Mitigazione di Envoy

Gli utenti di Envoy che gestiscono i propri Envoy e utilizzano anche il filtro OAuth devono assicurarsi di utilizzare la versione 1.22.1 di Envoy. Gli utenti di Envoy che gestiscono i propri Envoy compilano i binari da una fonte come GitHub ed eseguono il loro deployment.

Gli utenti che eseguono Envoy gestiti (Google Cloud fornisce i file binari di Envoy) non devono fare nulla, poiché i prodotti cloud passeranno alla versione 1.22.1.

Critico

CVE-2021-29226

Descrizione Gravità Note

Il filtro OAuth può danneggiare la memoria (versioni precedenti) o attivare un ASSERT() (versioni successive).

Che cosa devo fare?

Verificare se i tuoi cluster sono interessati

Il cluster è interessato se utilizza versioni con patch di Cloud Service Mesh precedenti alle versioni 1.13.4-asm.4, 1.12.7-asm.2 o 1.11.8-asm.4.

Sebbene Cloud Service Mesh non supporti i filtri Envoy, potresti essere interessato se utilizzi un filtro OAuth.

Mitigazione di Cloud Service Mesh

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.13.4-asm.4
  • 1.12.7-asm.2
  • 1.11.8-asm.4

Se utilizzi Cloud Service Mesh 1.10 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state sottoposte a backporting. Devi eseguire l'upgrade a Cloud Service Mesh 1.11 o versioni successive.

Mitigazione di Envoy

Gli utenti di Envoy che gestiscono i propri Envoy e utilizzano anche il filtro OAuth devono assicurarsi di utilizzare la versione 1.22.1 di Envoy. Gli utenti di Envoy che gestiscono i propri Envoy compilano i binari da una fonte come GitHub ed eseguono il loro deployment.

Gli utenti che eseguono Envoy gestiti (Google Cloud fornisce i file binari di Envoy) non devono fare nulla, poiché i prodotti cloud passeranno alla versione 1.22.1.

Alta

CVE-2022-29228

Descrizione Gravità Note

I reindirizzamenti interni si arrestano in modo anomalo per le richieste con corpo o trailer.

Che cosa devo fare?

Verificare se i tuoi cluster sono interessati

Il cluster è interessato se utilizza versioni con patch di Cloud Service Mesh precedenti alle versioni 1.13.4-asm.4, 1.12.7-asm.2 o 1.11.8-asm.4.

Mitigazione di Cloud Service Mesh

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.13.4-asm.4
  • 1.12.7-asm.2
  • 1.11.8-asm.4

Se utilizzi Cloud Service Mesh 1.10 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state sottoposte a backporting. Devi eseguire l'upgrade a Cloud Service Mesh 1.11 o versioni successive. Per ulteriori informazioni, consulta Eseguire l'upgrade da versioni precedenti (GKE) o Eseguire l'upgrade da versioni precedenti (on-premise).

Mitigazione di Envoy

Gli utenti di Envoy che gestiscono i propri Envoy devono assicurarsi di utilizzare la versione 1.22.1 di Envoy. Gli utenti di Envoy che gestiscono i propri Envoy compilano i binari da una fonte come GitHub e li dispicchiano.

Gli utenti che eseguono Envoy gestiti (Google Cloud fornisce i file binari di Envoy) non devono fare nulla, poiché i prodotti cloud passeranno alla versione 1.22.1.

Alta

CVE-2022-29227

GCP-2022-010

Pubblicato il: 10/03/2022
Aggiornamento: 16/03/2022
Descrizione Gravità Note

Il control plane di Istio, istiod, è vulnerabile a un errore di elaborazione delle richieste, che consente a un malintenzionato di inviare un messaggio appositamente creato che causa l'arresto anomalo del control plane quando il webhook di convalida di un cluster è esposto pubblicamente. Questo endpoint viene fornito tramite la porta TLS 15017, ma non richiede alcuna autenticazione da parte dell'aggressore.

Che cosa devo fare?

Verificare se i tuoi cluster sono interessati

Tutte le versioni di Cloud Service Mesh sono interessate da questa CVE.

Nota: se utilizzi il piano di controllo gestito, questa vulnerabilità è già stata corretta e non è interessata.

Mitigazione

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.12.5-asm.0
  • 1.11.8-asm.0
  • 1.10.6-asm.2

Se utilizzi Cloud Service Mesh 1.9 o versioni precedenti, la tua release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state sottoposte a backporting. Esegui l'upgrade a Cloud Service Mesh 1.10 o versioni successive.

Alta

CVE-2022-24726

GCP-2022-007

Pubblicato il: 22/02/2022
Descrizione Gravità Note

Istiod si arresta in modo anomalo alla ricezione di richieste con un'intestazione authorization creata appositamente.

Che cosa devo fare?

Verificare se i tuoi cluster sono interessati

Il tuo cluster è interessato se si verificano entrambe le seguenti condizioni:

  • Utilizza versioni delle patch di Cloud Service Mesh precedenti a 1.12.4-asm.1, 1.11.7-asm.1 o 1.10.6-asm.1.

Nota: se utilizzi il piano di controllo gestito, questa vulnerabilità è già stata corretta e non è interessata.

Mitigazione

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.12.4-asm.1
  • 1.11.7-asm.1
  • 1.10.6-asm.1

Se utilizzi Cloud Service Mesh 1.9 o versioni precedenti, la tua release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state sottoposte a backporting. Esegui l'upgrade a Cloud Service Mesh 1.10 o versioni successive.

Alta

CVE-2022-23635

Descrizione Gravità Note

Potenziale dereferenziazione del puntatore nullo quando si utilizza la corrispondenza safe_regex del filtro JWT.

Che cosa devo fare?

Verificare se i tuoi cluster sono interessati

Il tuo cluster è interessato se si verificano entrambe le seguenti condizioni:

  • Utilizza versioni delle patch di Cloud Service Mesh precedenti a 1.12.4-asm.1, 1.11.7-asm.1 o 1.10.6-asm.1.
  • Sebbene Cloud Service Mesh non supporti i filtri Envoy, potresti essere interessato se utilizzi la regex del filtro JWT.
Mitigazione

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.12.4-asm.1
  • 1.11.7-asm.1
  • 1.10.6-asm.1

Se utilizzi Cloud Service Mesh 1.9 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state sottoposte a backporting. Devi eseguire l'upgrade a Cloud Service Mesh 1.10 o versioni successive.

Medio

CVE-2021-43824

Descrizione Gravità Note

Utilizzo dopo sblocco quando i filtri di risposta aumentano i dati di risposta e i dati aumentati superano i limiti del buffer a valle.

Che cosa devo fare?

Verificare se i tuoi cluster sono interessati

Il tuo cluster è interessato se si verificano entrambe le seguenti condizioni:

  • Utilizza versioni delle patch di Cloud Service Mesh precedenti a 1.12.4-asm.1, 1.11.7-asm.1 o 1.10.6-asm.1.
  • Sebbene Cloud Service Mesh non supporti i filtri Envoy, potresti essere interessato se utilizzi un filtro di decompressione.
Mitigazione

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.12.4-asm.1
  • 1.11.7-asm.1
  • 1.10.6-asm.1

Se utilizzi Cloud Service Mesh 1.9 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state sottoposte a backporting. Devi eseguire l'upgrade a Cloud Service Mesh 1.10 o versioni successive.

Medio

CVE-2021-43825

Descrizione Gravità Note

Utilizzo dopo svuotamento quando si esegue il tunneling TCP su HTTP, se la connessione a valle si disconnette durante l'instaurazione della connessione a monte.

Che cosa devo fare?

Verificare se i tuoi cluster sono interessati

Il tuo cluster è interessato se si verificano entrambe le seguenti condizioni:

  • Utilizza versioni delle patch di Cloud Service Mesh precedenti a 1.12.4-asm.1, 1.11.7-asm.1 o 1.10.6-asm.1.
  • Sebbene Cloud Service Mesh non supporti i filtri Envoy, potresti essere interessato se utilizzi un filtro di tunneling.
Mitigazione

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.12.4-asm.1
  • 1.11.7-asm.1
  • 1.10.6-asm.1

Se utilizzi Cloud Service Mesh 1.9 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state sottoposte a backporting. Devi eseguire l'upgrade a Cloud Service Mesh 1.10 o versioni successive.

Medio

CVE-2021-43826

Descrizione Gravità Note

La gestione errata della configurazione consente il riutilizzo della sessione mTLS senza nuova convalida dopo la modifica delle impostazioni di convalida.

Che cosa devo fare?

Verificare se i tuoi cluster sono interessati

Il tuo cluster è interessato se si verificano entrambe le seguenti condizioni:

  • Utilizza versioni delle patch di Cloud Service Mesh precedenti a 1.12.4-asm.1, 1.11.7-asm.1 o 1.10.6-asm.1.
  • Tutti i servizi Cloud Service Mesh che utilizzano mTLS sono interessati da questa CVE.
Mitigazione

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.12.4-asm.1
  • 1.11.7-asm.1
  • 1.10.6-asm.1

Se utilizzi Cloud Service Mesh 1.9 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state sottoposte a backporting. Devi eseguire l'upgrade a Cloud Service Mesh 1.10 o versioni successive.

Alta

CVE-2022-21654

Descrizione Gravità Note

Gestione errata dei reindirizzamenti interni alle route con una voce di risposta diretta.

Che cosa devo fare?

Verificare se i tuoi cluster sono interessati

Il tuo cluster è interessato se si verificano entrambe le seguenti condizioni:

  • Utilizza versioni delle patch di Cloud Service Mesh precedenti a 1.12.4-asm.1, 1.11.7-asm.1 o 1.10.6-asm.1.
  • Sebbene Cloud Service Mesh non supporti i filtri Envoy, potresti essere interessato se utilizzi un filtro di risposta diretta.
Mitigazione

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.12.4-asm.1
  • 1.11.7-asm.1
  • 1.10.6-asm.1

Se utilizzi Cloud Service Mesh 1.9 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state sottoposte a backporting. Devi eseguire l'upgrade a Cloud Service Mesh 1.10 o versioni successive.

Alta

CVE-2022-21655

Descrizione Gravità Note

Esaurimento dello stack quando un cluster viene eliminato tramite il servizio Cluster Discovery.

Che cosa devo fare?

Verificare se i tuoi cluster sono interessati

Il tuo cluster è interessato se si verificano entrambe le seguenti condizioni:

  • Utilizza versioni delle patch di Cloud Service Mesh precedenti a 1.12.4-asm.1 o 1.11.7-asm.1.
Mitigazione

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.12.4-asm.1
  • 1.11.7-asm.1

Se utilizzi Cloud Service Mesh 1.9 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state sottoposte a backporting. Devi eseguire l'upgrade a Cloud Service Mesh 1.10 o versioni successive.

Medio

CVE-2022-23606

GCP-2021-016

Pubblicato il: 24/08/2021
Descrizione Gravità Note

Istio contiene una vulnerabilità sfruttabile da remoto in cui una richiesta HTTP con un fragment (una sezione alla fine di un URI che inizia con un carattere #) nel percorso dell'URI potrebbe aggirare i criteri di autorizzazione basati sul percorso dell'URI di Istio.

Ad esempio, un criterio di autorizzazione Istio nega le richieste inviate al percorso URI /user/profile. Nelle versioni vulnerabili, una richiesta con il percorso URI /user/profile#section1 aggira il criterio di rifiuto e viene inoltrata al backend (con il percorso URI normalizzato /user/profile%23section1), il che porta a un incidente di sicurezza.

Questa correzione dipende da una correzione in Envoy, associata al CVE-2021-32779.

Che cosa devo fare?

Verificare se i tuoi cluster sono interessati

Il tuo cluster è interessato se si verificano entrambe le seguenti condizioni:

Mitigazione

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.10.4-asm.6
  • 1.9.8-asm.1
  • 1.8.6-asm.8
  • 1.7.8-asm.10

Con le nuove versioni, la parte del frammento dell'URI della richiesta viene rimossa prima dell'autorizzazione e del routing. In questo modo, una richiesta con un frammento nell'URI non può bypassare i criteri di autorizzazione basati sull'URI senza la parte del frammento.

Disattiva

Se disattivi questo nuovo comportamento, la sezione del frammento nell'URI viene mantenuta. Per disattivare questa opzione, puoi configurare l'installazione nel seguente modo:

apiVersion: install.istio.io/v1alpha1
kind: IstioOperator
metadata:
  name: opt-out-fragment-cve-fix
  namespace: istio-system
spec:
  meshConfig:
    defaultConfig:
      proxyMetadata:
        HTTP_STRIP_FRAGMENT_FROM_PATH_UNSAFE_IF_DISABLED: "false"

Nota: la disattivazione di questo comportamento rende il cluster vulnerabile a questa CVE.

Alta

CVE-2021-39156

Descrizione Gravità Note

Istio contiene una vulnerabilità sfruttabile da remoto in cui una richiesta HTTP potrebbe potenzialmente aggirare un criterio di autorizzazione Istio quando vengono utilizzate regole basate su hosts o notHosts.

Nelle versioni vulnerabili, il criterio di autorizzazione Istio confronta le intestazioni HTTP Host o :authority in modo sensibile alle maiuscole, il che non è coerente con l'RFC 4343. Ad esempio, l'utente potrebbe avere un criterio di autorizzazione che rifiuta le richieste con host secret.com, ma l'aggressore può aggirare il problema inviando la richiesta all'hostname Secret.com. Il flusso di routing instrada il traffico al backend per secret.com, causando un incidente di sicurezza.

Che cosa devo fare?

Verificare se i tuoi cluster sono interessati

Il tuo cluster è interessato se si verificano entrambe le seguenti condizioni:

Mitigazione

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.10.4-asm.6
  • 1.9.8-asm.1
  • 1.8.6-asm.8
  • 1.7.8-asm.10

Questo rimedio garantisce che le intestazioni HTTP Host o :authority vengano valutate in base alle specifiche hosts o notHosts nei criteri di autorizzazione in modo indipendente dalle maiuscole.

Alta

CVE-2021-39155

Descrizione Gravità Note

Envoy contiene una vulnerabilità sfruttabile da remoto che consente a una richiesta HTTP con più intestazioni di valore di eseguire un controllo incompleto dei criteri di autorizzazione quando viene utilizzata l'estensione ext_authz. Quando un'intestazione di richiesta contiene più valori, il server di autorizzazione esterno vedrà solo l'ultimo valore dell'intestazione specificata.

Che cosa devo fare?

Verificare se i tuoi cluster sono interessati

Il tuo cluster è interessato se si verificano entrambe le seguenti condizioni:

  • Utilizza le versioni patch di Cloud Service Mesh precedenti a 1.7.8-asm.10, 1.8.6-asm.8, 1.9.8-asm.1 e 1.10.4-asm.6.
  • Utilizza la funzionalità Autorizzazione esterna.
Mitigazione

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.10.4-asm.6
  • 1.9.8-asm.1
  • 1.8.6-asm.8
  • 1.7.8-asm.10

Alta

CVE-2021-32777

Descrizione Gravità Note

Envoy contiene una vulnerabilità sfruttabile da remoto che interessa le estensioni decompressor, json-transcoder o grpc-web di Envoy o le estensioni proprietarie che modificano e aumentano le dimensioni dei corpi delle richieste o delle risposte. La modifica e l'aumento delle dimensioni del corpo in un'estensione di Envoy oltre le dimensioni del buffer interno potrebbero portare Envoy ad accedere alla memoria deallocata e ad arrestarsi in modo anomalo.

Che cosa devo fare?

Verificare se i tuoi cluster sono interessati

Il tuo cluster è interessato se si verificano entrambe le seguenti condizioni:

  • Utilizza le versioni patch di Cloud Service Mesh precedenti a 1.7.8-asm.10, 1.8.6-asm.8, 1.9.8-asm.1 e 1.10.4-asm.6.
  • Utilizza EnvoyFilters.
Mitigazione

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.10.4-asm.6
  • 1.9.8-asm.1
  • 1.8.6-asm.8
  • 1.7.8-asm.10

Alta

CVE-2021-32781

Descrizione Gravità Note

Envoy contiene una vulnerabilità sfruttabile da remoto in cui un client Envoy che apre e reimposta un numero elevato di richieste HTTP/2 potrebbe causare un consumo eccessivo della CPU.

Che cosa devo fare?

Verificare se i tuoi cluster sono interessati

Il cluster è interessato se utilizza versioni con patch di Cloud Service Mesh precedenti a 1.7.8-asm.10, 1.8.6-asm.8, 1.9.8-asm.1 e 1.10.4-asm.6.

Mitigazione

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.10.4-asm.6
  • 1.9.8-asm.1

Nota: se utilizzi Cloud Service Mesh 1.8 o versioni precedenti, esegui l'upgrade alle versioni patch più recenti di Cloud Service Mesh 1.9 e versioni successive per mitigare questa vulnerabilità.

Alta

CVE-2021-32778

Descrizione Gravità Note

Envoy contiene una vulnerabilità sfruttabile da remoto in cui un servizio upstream non attendibile potrebbe causare l'interruzione anomala di Envoy inviando il frame GOAWAY seguito dal frame SETTINGS con il parametro SETTINGS_MAX_CONCURRENT_STREAMS impostato su 0.

Che cosa devo fare?

Verificare se i tuoi cluster sono interessati

Il cluster è interessato se utilizza Cloud Service Mesh 1.10 con una versione della patch precedente alla 1.10.4-asm.6.

Mitigazione

Esegui l'upgrade del cluster alla seguente versione della patch:

  • 1.10.4-asm.6

Alta

CVE-2021-32780

GCP-2021-012

Pubblicato il: 24/06/2021
Descrizione Gravità Note

I carichi di lavoro Gateway o sicuri Istio che utilizzano DestinationRule possono caricare chiavi private e certificati TLS dai secret di Kubernetes tramite la configurazione credentialName. A partire da Istio 1.8 e versioni successive, i secret vengono letti da istiod e trasferiti ai gateway e ai carichi di lavoro tramite XDS.

In genere, un deployment di un gateway o di un workload è in grado di accedere solo ai certificati TLS e alle chiavi private memorizzate nel segreto all'interno del proprio spazio dei nomi. Tuttavia, un bug in istiod consente a un client autorizzato ad accedere all'API Istio XDS di recuperare qualsiasi certificato TLS e chiavi private memorizzati nella cache in istiod. Questa vulnerabilità di sicurezza interessa solo le release minori 1.8 e 1.9 di Cloud Service Mesh.

Che cosa devo fare?

Verificare se i tuoi cluster sono interessati

Il tuo cluster è interessato se si verificano TUTTE le condizioni seguenti:

  • Utilizza una versione 1.9.x precedente alla 1.9.6-asm.1 o una 1.8.x precedente alla 1.8.6-asm.4.
  • Ha definito Gateways o DestinationRules con il campo credentialName specificato.
  • Non specifica il flag istiod PILOT_ENABLE_XDS_CACHE=false.
Mitigazione

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.9.6-asm.1
  • 1.8.6-asm.4

Se non è possibile eseguire l'upgrade, puoi mitigare questa vulnerabilità disattivando la memorizzazione nella cache di istiod. Puoi disattivare la memorizzazione nella cache impostando la variabile di ambiente istiod su PILOT_ENABLE_XDS_CACHE=false. Le prestazioni del sistema e di istiod potrebbero essere messe in discussione perché la memorizzazione nella cache XDS viene disattivata.

Alta

CVE-2021-34824

GCP-2021-008

Pubblicato il: 17/05/2021
Descrizione Gravità Note

Istio contiene una vulnerabilità sfruttabile da remoto in cui un client esterno può accedere a servizi imprevisti nel cluster, bypassando i controlli di autorizzazione, quando un gateway è configurato con la configurazione di routing AUTO_PASSTHROUGH.

Che cosa devo fare?

Verificare se i tuoi cluster sono interessati

Questa vulnerabilità interessa solo l'utilizzo del tipo di gateway AUTO_PASSTHROUGH, che solitamente viene utilizzato solo in implementazioni multi-network e multi-cluster.

Rileva la modalità TLS di tutti i gateway nel cluster con il seguente comando:

kubectl get gateways.networking.istio.io -A -o \
  "custom-columns=NAMESPACE:.metadata.namespace, \
  NAME:.metadata.name,TLS_MODE:.spec.servers[*].tls.mode"

Se l'output mostra gateway AUTO_PASSTHROUGH, potresti essere interessato.

Mitigazione

Aggiorna i cluster alle versioni più recenti di Cloud Service Mesh:

  • 1.9.5-asm.2
  • 1.8.6-asm.3
  • 1.7.8-asm.8

* Nota: l'implementazione del Managed Control Plane di Cloud Service Mesh (disponibile solo nelle versioni 1.9.x) verrà completata nei prossimi giorni.

Alta

CVE-2021-31921

GCP-2021-007

Pubblicato il: 17/05/2021
Descrizione Gravità Note

Istio contiene una vulnerabilità sfruttabile da remoto in cui un percorso della richiesta HTTP con più barre o caratteri barra emessi (%2F o %5C) potrebbe potenzialmente aggirare un criterio di autorizzazione Istio quando vengono utilizzate regole di autorizzazione basate sul percorso.

In uno scenario in cui un amministratore del cluster Istio definisce un criterio di autorizzazione di tipo DENY per rifiutare la richiesta al percorso "/admin", una richiesta inviata al percorso dell'URL"//admin" NON verrà rifiutata dal criterio di autorizzazione.

Secondo lo standard RFC 3986, il percorso "//admin" con più barre oblique dovrebbe tecnicamente essere considerato un percorso diverso da "/admin". Tuttavia, alcuni servizi di backend scelgono di normalizzare i percorsi degli URL unendo più barre in una singola barra. Ciò può comportare un bypass del criterio di autorizzazione ("//admin" non corrisponde "/admin") e un utente può accedere alla risorsa nel percorso "/admin" nel backend.

Che cosa devo fare?

Verificare se i tuoi cluster sono interessati

Il tuo cluster è interessato da questa vulnerabilità se hai criteri di autorizzazione che utilizzano i pattern "azione ALLOW + campo notPaths" o "azione DENY + campo paths". Questi pattern sono vulnerabili a aggiramenti imprevisti dei criteri e devi eseguire l'upgrade per risolvere il problema di sicurezza il prima possibile.

Di seguito è riportato un esempio di criterio vulnerabile che utilizza il pattern "Azione di rifiuto + campo percorsi":

apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: deny-path-admin
spec:
  action: DENY
  rules:
  - to:
    - operation:
        paths: ["/admin"]

Di seguito è riportato un altro esempio di criterio vulnerabile che utilizza il pattern "azione ALLOW + campo notPaths":

apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: allow-path-not-admin
spec:
  action: ALLOW
  rules:
  - to:
    - operation:
        notPaths: ["/admin"]

Il tuo cluster non è interessato da questa vulnerabilità se:

  • Non hai criteri di autorizzazione.
  • I criteri di autorizzazione non definiscono i campi paths o notPaths.
  • I tuoi criteri di autorizzazione utilizzano i pattern "AZIONE PERMESSA + campo percorsi" o "AZIONE NON CONSENTITA + campo notPaths". Questi pattern potrebbero causare solo un rifiuto imprevisto anziché aggirare le norme.
  • L'upgrade è facoltativo in questi casi.

Mitigazione

Aggiorna i cluster alle ultime versioni supportate di Cloud Service Mesh*. Queste versioni supportano la configurazione dei proxy Envoy nel sistema con più opzioni di normalizzazione:

  • 1.9.5-asm.2
  • 1.8.6-asm.3
  • 1.7.8-asm.8

* Nota: l'implementazione del Managed Control Plane di Cloud Service Mesh (disponibile solo nelle versioni 1.9.x) verrà completata nei prossimi giorni.

Segui la guida alle best practice per la sicurezza di Istio per configurare i criteri di autorizzazione.

Alta

CVE-2021-31920

GCP-2021-004

Pubblicato il: 06/05/2021
Descrizione Gravità Note

I progetti Envoy e Istio hanno recentemente annunciato diverse nuove vulnerabilità di sicurezza (CVE-2021-28682, CVE-2021-28683 e CVE-2021-29258), che potrebbero consentire a un malintenzionato di arrestare in modo anomalo Envoy e potenzialmente rendere parti del cluster offline e non raggiungibili.

Ciò influisce sui servizi forniti, come Cloud Service Mesh.

Che cosa devo fare?

Per correggere queste vulnerabilità, esegui l'upgrade del bundle Cloud Service Mesh a una delle seguenti versioni con patch:

  • 1.9.3-asm.2
  • 1.8.5-asm.2
  • 1.7.8-asm.1
  • 1.6.14-asm.2

Per ulteriori informazioni, consulta le note di rilascio di Cloud Service Mesh.

Alta

CVE-2021-28682
CVE-2021-28683
CVE-2021-29258