安全性公告

Happy Eyeballs：驗證 additional_address 是 IP 位址，而不是在排序時發生當機。

該怎麼辦？

如果修補程式版本早於以下版本，您的叢集就會受到影響：

• 1.23.4-asm.1
• 1.22.7-asm.1

針對叢集內的 Cloud Service Mesh，請將叢集升級至下列任一修補版本：

• 1.23.4-asm.1
• 1.22.7-asm.1

如果您使用的是 Cloud Service Mesh 1.20 以下版本，該版本已停用，不再提供支援。這些 CVE 修正尚未反向移植。請升級至 1.21 以上版本。

對於受管理的 Cloud Service Mesh，您不需要採取任何行動。我們仍支援所有版本，且系統會在未來幾週內自動更新。

中

CVE-2024-53269

HTTP/1：在要求先前重設時，傳送超載會發生當機。

該怎麼辦？

如果修補程式版本早於以下版本，您的叢集就會受到影響：

• 1.23.4-asm.1
• 1.22.7-asm.1
• 1.21.5-asm.17
• 1.20.8-asm.14
• 1.19.10-asm.24

針對叢集內的 Cloud Service Mesh，請將叢集升級至下列任一修補版本：

• 1.23.4-asm.1
• 1.22.7-asm.1
• 1.21.5-asm.17

如果您使用的是 Cloud Service Mesh 1.20 以下版本，該版本已停用，不再提供支援。如果您使用的是 Cloud Service Mesh 1.20 以下版本，該版本已停用，不再提供支援。這些 CVE 修正尚未反向移植。請升級至 1.21 以上版本。

對於受管理的 Cloud Service Mesh，您不需要採取任何行動。我們仍會支援所有版本，且系統會在未來幾週內自動更新。

高

CVE-2024-53270

HTTP/1.1 發生多項問題，其中 envoy.reloadable_features.http1_balsa_delay_reset 發生問題。

該怎麼辦？

如果修補程式版本早於以下版本，您的叢集就會受到影響：

• 1.23.4-asm.1

針對叢集內的 Cloud Service Mesh，請將叢集升級至下列任一修補版本：

• 1.23.4-asm.1

如果您使用的是 Cloud Service Mesh 1.20 以下版本，該版本已停用，不再提供支援。如果您使用的是 Cloud Service Mesh 1.20 以下版本，該版本已停用，不再提供支援。這些 CVE 修正尚未反向移植。請升級至 1.21 以上版本。

對於受管理的 Cloud Service Mesh，您不需要採取任何行動。我們仍支援所有版本，且系統會在未來幾週內自動更新。

高

CVE-2024-53271

oghttp2 在 OnBeginHeadersForStream 上異常終止

該怎麼辦？

只有執行 Cloud Service Mesh 1.23 的叢集受到影響

Cloud Service Mesh 1.23.2-asm.2 包含此問題的修正程式。你無須採取任何行動。

高

CVE-2024-45807

透過存取記錄檔注入惡意記錄

該怎麼辦？

所有 Cloud Service Mesh 版本都受到此 CVE 影響。

將叢集升級至下列任一修補版本：

• 1.20.8-asm.7
• 1.21.5-asm.7
• 1.22.5-asm.1
• 1.23.2-asm.2

中

CVE-2024-45808

可能會操控來自外部來源的 `x-envoy` 標頭

該怎麼辦？

所有 Cloud Service Mesh 版本都受到此 CVE 影響。

將叢集升級至下列任一修補版本：

• 1.20.8-asm.7
• 1.21.5-asm.7
• 1.22.5-asm.1
• 1.23.2-asm.2

中

CVE-2024-45806

在含有遠端 JWK 的清除路徑快取中，JWT 篩選器發生當機

該怎麼辦？

所有 Cloud Service Mesh 版本都受到此 CVE 影響。

將叢集升級至下列任一修補版本：

• 1.20.8-asm.7
• 1.21.5-asm.7
• 1.22.5-asm.1
• 1.23.2-asm.2

中

CVE-2024-45809

Envoy 在 HTTP 非同步用戶端中為 LocalReply 發生當機

該怎麼辦？

所有 Cloud Service Mesh 版本都受到此 CVE 影響。

將叢集升級至下列任一修補版本：

• 1.20.8-asm.7
• 1.21.5-asm.7
• 1.22.5-asm.1
• 1.23.2-asm.2

中

CVE-2024-45810

Envoy 錯誤地接受進入升級模式的 HTTP 200 回應。

該怎麼辦？

所有 Cloud Service Mesh 版本都受到此 CVE 影響。

如果您執行的是受管理的 Cloud Service Mesh，系統會在未來幾天內自動更新。

否則，請將叢集升級至下列任一修補版本：

• v1.21.3-asm.3
• v1.20.7-asm.2
• v1.19.10-asm.6
• v1.18.7-asm.26
• 如果您使用的是 Cloud Service Mesh 1.17 以下版本，則該版本已停用，不再提供支援。這些 CVE 修正尚未反向移植。請升級至 Cloud Service Mesh 1.18 以上版本。

中

CVE-2024-23326

EnvoyQuicServerStream::OnInitialHeadersComplete() 發生異常終止。

該怎麼辦？

所有 Cloud Service Mesh 版本都受到此 CVE 影響。

如果您執行的是受管理的 Cloud Service Mesh，系統會在未來幾天內自動更新。

否則，請將叢集升級至下列任一修補版本：

• v1.21.3-asm.3
• v1.20.7-asm.2
• v1.19.10-asm.6
• v1.18.7-asm.26
• 如果您使用的是 Cloud Service Mesh 1.17 以下版本，則該版本已停用，不再提供支援。這些 CVE 修正尚未反向移植。請升級至 Cloud Service Mesh 1.18 以上版本。

中

CVE-2024-32974

QuicheDataReader::PeekVarInt62Length() 發生異常終止。

該怎麼辦？

所有 Cloud Service Mesh 版本都受到此 CVE 影響。

如果您執行的是受管理的 Cloud Service Mesh，系統會在未來幾天內自動更新。

否則，請將叢集升級至下列任一修補版本：

• v1.21.3-asm.3
• v1.20.7-asm.2
• v1.19.10-asm.6
• v1.18.7-asm.26
• 如果您使用的是 Cloud Service Mesh 1.17 以下版本，則該版本已停用，不再提供支援。這些 CVE 修正尚未反向移植。請升級至 Cloud Service Mesh 1.18 以上版本。

中

CVE-2024-32975

使用額外輸入內容解壓縮 Brotli 資料時，會產生無限迴圈。

該怎麼辦？

所有 Cloud Service Mesh 版本都受到此 CVE 影響。

如果您執行的是受管理的 Cloud Service Mesh，系統會在未來幾天內自動更新。

否則，請將叢集升級至下列任一修補版本：

• v1.21.3-asm.3
• v1.20.7-asm.2
• v1.19.10-asm.6
• v1.18.7-asm.26
• 如果您使用的是 Cloud Service Mesh 1.17 以下版本，則該版本已停用，不再提供支援。這些 CVE 修正尚未反向移植。請升級至 Cloud Service Mesh 1.18 以上版本。

高

CVE-2024-32976

在 EnvoyQuicServerStream 中發生異常終止 (使用後釋放)。

該怎麼辦？

所有 Cloud Service Mesh 版本都受到此 CVE 影響。

如果您執行的是受管理的 Cloud Service Mesh，系統會在未來幾天內自動更新。

否則，請將叢集升級至下列任一修補版本：

• v1.21.3-asm.3
• v1.20.7-asm.2
• v1.19.10-asm.6
• v1.18.7-asm.26
• 如果您使用的是 Cloud Service Mesh 1.17 以下版本，則該版本已停用，不再提供支援。這些 CVE 修正尚未反向移植。請升級至 Cloud Service Mesh 1.18 以上版本。

中

CVE-2024-34362

由於未偵測到的 nlohmann JSON 例外狀況而當機。

該怎麼辦？

所有 Cloud Service Mesh 版本都受到此 CVE 影響。

如果您執行的是受管理的 Cloud Service Mesh，系統會在未來幾天內自動更新。

否則，請將叢集升級至下列任一修補版本：

• v1.21.3-asm.3
• v1.20.7-asm.2
• v1.19.10-asm.6
• v1.18.7-asm.26
• 如果您使用的是 Cloud Service Mesh 1.17 以下版本，則該版本已停用，不再提供支援。這些 CVE 修正尚未反向移植。請升級至 Cloud Service Mesh 1.18 以上版本。

高

CVE-2024-34363

從 HTTP 非同步用戶端傳送的 Envoy OOM 向量，其中包含無限的回應緩衝區，用於鏡像回應。

該怎麼辦？

所有 Cloud Service Mesh 版本都受到此 CVE 影響。

如果您執行的是受管理的 Cloud Service Mesh，系統會在未來幾天內自動更新。

否則，請將叢集升級至下列任一修補版本：

• v1.21.3-asm.3
• v1.20.7-asm.2
• v1.19.10-asm.6
• v1.18.7-asm.26
• 如果您使用的是 Cloud Service Mesh 1.17 以下版本，則該版本已停用，不再提供支援。這些 CVE 修正尚未反向移植。請升級至 Cloud Service Mesh 1.18 以上版本。

中

CVE-2024-34364

HTTP/2：因 CONTINUATION 影格大量湧入而耗盡記憶體。

該怎麼辦？

所有 Cloud Service Mesh 版本都受到此 CVE 影響。

如果您執行的是代管的 Cloud Service Mesh，則無須採取任何行動。系統將於未來幾天內自動更新。

如果您在叢集中執行 Cloud Service Mesh，則必須將叢集升級至下列其中一個已修補的版本：

• 1.20.6-asm.0
• 1.19.10-asm.0
• 1.18.7-asm.21

如果您使用的是 Cloud Service Mesh 1.17 以下版本，該版本已停用，不再提供支援。這些 CVE 修正尚未反向移植。您應升級至 Cloud Service Mesh 1.18 以上版本。

高

CVE-2024-27919

HTTP/2：因 CONTINUATION 影格大量湧入而導致 CPU 耗盡

該怎麼辦？

所有 Cloud Service Mesh 版本都受到此 CVE 影響。

如果您執行的是代管的 Cloud Service Mesh，則無須採取任何行動。系統將於未來幾天內自動更新。

如果您在叢集中執行 Cloud Service Mesh，則必須將叢集升級至下列其中一個已修補的版本：

• 1.20.6-asm.0
• 1.19.10-asm.0
• 1.18.7-asm.21

如果您使用的是 Cloud Service Mesh 1.17 以下版本，該版本已停用，不再提供支援。這些 CVE 修正尚未反向移植。您應升級至 Cloud Service Mesh 1.18 以上版本。

中

CVE-2024-30255

使用 auto_sni 搭配超過 255 個字元的「:authority」標頭時，會異常終止。

該怎麼辦？

所有 Cloud Service Mesh 版本都受到此 CVE 影響。

如果您執行的是代管的 Cloud Service Mesh，則無須採取任何行動。系統將於未來幾天內自動更新。

如果您在叢集中執行 Cloud Service Mesh，則必須將叢集升級至下列其中一個已修補的版本：

• 1.20.6-asm.0
• 1.19.10-asm.0
• 1.18.7-asm.21

如果您使用的是 Cloud Service Mesh 1.17 以下版本，則該版本已停用，不再提供支援。這些 CVE 修正尚未反向移植。您應升級至 Cloud Service Mesh 1.18 以上版本。

高

CVE-2024-32475

HTTP/2 CONTINUATION 框架可用於 DoS 攻擊。

該怎麼辦？

所有 Cloud Service Mesh 版本都受到此 CVE 影響。

如果您執行的是代管的 Cloud Service Mesh，則無須採取任何行動。系統將於未來幾天內自動更新。

如果您在叢集中執行 Cloud Service Mesh，則必須將叢集升級至下列其中一個已修補的版本：

• 1.20.6-asm.0
• 1.19.10-asm.0
• 1.18.7-asm.21

如果您使用的是 Cloud Service Mesh 1.17 以下版本，則該版本已停用，不再提供支援。這些 CVE 修正尚未反向移植。請升級至 v1.18 以上版本。

未提供

CVE-2023-45288

當 Envoy 處於閒置狀態，且每個嘗試的要求在輪詢間隔內逾時時，Envoy 就會當機。

該怎麼辦？

如果您執行的是代管的 Cloud Service Mesh，則無須採取任何行動。系統將於未來幾天內自動更新。

如果您在叢集中執行 Cloud Service Mesh，則必須將叢集升級至下列其中一個已修補的版本：

• 1.20.3-asm.4
• 1.19.7-asm.3
• 1.18.7-asm.4
• 1.17.8-asm.20

如果您使用的是 Anthos 服務網格 1.17 以下版本，該版本已停用，不再提供支援。雖然這些 CVE 修正已回移至 1.17，但您仍應升級至 1.18 以上版本。

高

CVE-2024-23322

使用規則運算式設定 URI 範本比對器時，CPU 使用率過高。

該怎麼辦？

如果您執行的是代管的 Cloud Service Mesh，則無須採取任何行動。系統將於未來幾天內自動更新。

如果您在叢集中執行 Cloud Service Mesh，則必須將叢集升級至下列其中一個已修補的版本：

• 1.20.3-asm.4
• 1.19.7-asm.3
• 1.18.7-asm.4
• 1.17.8-asm.20

如果您使用的是 Anthos 服務網格 1.17 以下版本，該版本已停用，不再提供支援。雖然這些 CVE 修正已回移至 1.17，但您仍應升級至 1.18 以上版本。

中

CVE-2024-23323

Proxy 通訊協定篩選器設定無效的 UTF-8 中繼資料時，外部授權可能會遭到略過。

該怎麼辦？

如果您執行的是代管的 Cloud Service Mesh，則無須採取任何行動。系統將於未來幾天內自動更新。

如果您在叢集中執行 Cloud Service Mesh，則必須將叢集升級至下列其中一個已修補的版本：

• 1.20.3-asm.4
• 1.19.7-asm.3
• 1.18.7-asm.4
• 1.17.8-asm.20

如果您使用的是 Anthos 服務網格 1.17 以下版本，該版本已停用，不再提供支援。雖然這些 CVE 修正已回移至 1.17，但您仍應升級至 1.18 以上版本。

高

CVE-2024-23324

使用作業系統不支援的位址類型時，Envoy 會當機。

該怎麼辦？

如果您執行的是代管的 Cloud Service Mesh，則無須採取任何行動。系統將於未來幾天內自動更新。

如果您在叢集中執行 Cloud Service Mesh，則必須將叢集升級至下列其中一個已修補的版本：

• 1.20.3-asm.4
• 1.19.7-asm.3
• 1.18.7-asm.4
• 1.17.8-asm.20

如果您使用的是 Anthos 服務網格 1.17 以下版本，該版本已停用，不再提供支援。雖然這些 CVE 修正已回移至 1.17，但您仍應升級至 1.18 以上版本。

高

CVE-2024-23325

指令類型為 LOCAL 時，Proxy 通訊協定會當機。

該怎麼辦？

如果您執行的是代管的 Cloud Service Mesh，則無須採取任何行動。系統將於未來幾天內自動更新。

如果您在叢集中執行 Cloud Service Mesh，則必須將叢集升級至下列其中一個已修補的版本：

• 1.20.3-asm.4
• 1.19.7-asm.3
• 1.18.7-asm.4
• 1.17.8-asm.20

如果您使用的是 Anthos 服務網格 1.17 以下版本，該版本已停用，不再提供支援。雖然這些 CVE 修正已回移至 1.17，但您仍應升級至 1.18 以上版本。

高

CVE-2024-23327

使用 HTTP/2 通訊協定時，拒絕服務攻擊可能會影響資料層。

該怎麼辦？

如果叢集使用的是 1.18.4、1.17.7 或 1.16.7 之前的 Cloud Service Mesh 修補版本，就會受到影響。

將叢集升級至下列任一修補版本：

• 1.18.4-asm.0
• 1.17.7-asm.0
• 1.16.7-asm.10

如果您使用的是受管理的 Cloud Service Mesh，系統會在未來幾天內自動更新。

如果您使用的是 Cloud Service Mesh 1.15 以下版本，該版本已停用，不再提供支援。這些 CVE 修正尚未反向移植。您應升級至 v1.16 以上版本。

高

CVE-2023-44487

在某些特定情況下，惡意用戶端可以建立永久有效的憑證。舉例來說，在 OAuth2 篩選器的 HMAC 檢查中，主機和到期時間的組合一律有效。

該怎麼辦？

如果叢集使用的是 2020 年 1 月 1 日之前的 Cloud Service Mesh 修補版本，就會受到影響。

• 1.17.4
• 1.16.6
• 1.15.7

將叢集升級至下列任一修補版本：

• 1.17.5-asm.0
• 1.16.7-asm.0
• 1.15.7-asm.23

如果您執行的是受管理的 Cloud Service Mesh，系統會在未來幾天內自動更新。

如果您使用的是 Anthos 服務網格 1.14 以下版本，該版本已達到生命週期終點，不再提供支援。這些 CVE 修正尚未反向移植。請升級至 ASM 1.15 以上版本。

高

CVE-2023-35941

使用事件監聽器全域範圍的 gRPC 存取記錄器，可能會在事件監聽器耗盡時導致使用後釋放的當機問題。這可以透過使用相同 gRPC 存取記錄設定的 LDS 更新觸發。

該怎麼辦？

如果叢集使用的是 2020 年 1 月 1 日之前的 Cloud Service Mesh 修補版本，就會受到影響。

• 1.17.4
• 1.16.6
• 1.15.7

將叢集升級至下列任一修補版本：

• 1.17.5-asm.0
• 1.16.7-asm.0
• 1.15.7-asm.23

如果您執行的是受管理的 Cloud Service Mesh，系統會在未來幾天內自動更新。

如果您使用的是 Anthos 服務網格 1.14 以下版本，該版本已達到生命週期終點，不再提供支援。這些 CVE 修正尚未反向移植。請升級至 ASM 1.15 以上版本。

中

CVE-2023-35942

如果 origin 標頭已設定為使用 request_headers_to_remove: origin 移除，CORS 篩選器就會發生分段錯誤並導致 Envoy 當機。

該怎麼辦？

如果叢集使用的是 2020 年 1 月 1 日之前的 Cloud Service Mesh 修補版本，就會受到影響。

• 1.17.4
• 1.16.6
• 1.15.7

將叢集升級至下列任一修補版本：

• 1.17.5-asm.0
• 1.16.7-asm.0
• 1.15.7-asm.23

如果您執行的是受管理的 Cloud Service Mesh，系統會在未來幾天內自動更新。

如果您使用的是 Anthos 服務網格 1.14 以下版本，該版本已達到生命週期終點，不再提供支援。這些 CVE 修正尚未反向移植。請升級至 ASM 1.15 以上版本。

中

CVE-2023-35943

攻擊者可以傳送混合架構要求，藉此略過 Envoy 中的部分架構檢查。舉例來說，如果混合了 htTp 的索引鍵要求傳送至 OAuth2 篩選器，則會在 http 的完全比對檢查中失敗，並通知遠端端點索引鍵為 https，因此可能會略過特定 HTTP 要求的 OAuth2 檢查。

該怎麼辦？

如果叢集使用的是 2020 年 1 月 1 日之前的 Cloud Service Mesh 修補版本，就會受到影響。

• 1.17.4
• 1.16.6
• 1.15.7

將叢集升級至下列任一修補版本：

• 1.17.5-asm.0
• 1.16.7-asm.0
• 1.15.7-asm.23

如果您執行的是受管理的 Cloud Service Mesh，系統會在未來幾天內自動更新。

如果您使用的是 Anthos 服務網格 1.14 以下版本，該版本已達到生命週期終點，不再提供支援。這些 CVE 修正尚未反向移植。請升級至 ASM 1.15 以上版本。

高

CVE-2023-35944

不受信任的上游服務所傳回的特別設計回應，可能會導致記憶體用盡，進而造成服務拒絕。這是因為 Envoy 的 HTTP/2 編解碼可能會在收到 RST_STREAM 後立即洩漏標頭對應項目和記帳結構，接著才會收到來自上游伺服器的 GOAWAY 框架。

該怎麼辦？

如果叢集使用的是 2020 年 1 月 1 日之前的 Cloud Service Mesh 修補版本，就會受到影響。

• 1.17.4
• 1.16.6
• 1.15.7

將叢集升級至下列任一修補版本：

• 1.17.4-asm.2
• 1.16.6-asm.3
• 1.15.7-asm.21

如果您執行的是受管理的 Cloud Service Mesh，系統會在未來幾天內自動更新。

如果您使用的是 Anthos 服務網格 1.14 以下版本，該版本已達到生命週期終點，不再提供支援。這些 CVE 修正尚未反向移植。請升級至 ASM 1.15 以上版本。

高

CVE-2023-35945

如果 Envoy 在啟用 OAuth 篩選器的情況下執行，惡意人士可能會建構要求，導致 Envoy 當機，進而造成拒絕服務。

該怎麼辦？

如果叢集使用的是以下版本之前的 Cloud Service Mesh 修補版本，就會受到影響：

• 1.16.4
• 1.15.7
• 1.14.6

將叢集升級至下列任一修補版本：

• 1.16.4-asm.2
• 1.15.7-asm.1
• 1.14.6-asm.11

如果您使用的是 Cloud Service Mesh 1.13 以下版本，則該版本已停用，不再提供支援。這些 CVE 修正尚未反向移植。請升級至 Cloud Service Mesh 1.14 以上版本。

中

CVE-2023-27496

攻擊者可利用這個漏洞，在使用 ext_authz 時略過驗證檢查。

該怎麼辦？

如果叢集使用的是以下版本之前的 Cloud Service Mesh 修補版本，就會受到影響：

• 1.16.4
• 1.15.7
• 1.14.6

將叢集升級至下列任一修補版本：

• 1.16.4-asm.2
• 1.15.7-asm.1
• 1.14.6-asm.11

如果您使用的是 Cloud Service Mesh 1.13 以下版本，則該版本已停用，不再提供支援。這些 CVE 修正尚未反向移植。請升級至 Cloud Service Mesh 1.14 以上版本。

中

CVE-2023-27488

Envoy 設定也必須包含選項，以便新增使用要求輸入內容 (即對等端憑證 SAN) 產生的標頭。

該怎麼辦？

如果叢集使用的是以下版本之前的 Cloud Service Mesh 修補版本，就會受到影響：

• 1.16.4
• 1.15.7
• 1.14.6

將叢集升級至下列任一修補版本：

• 1.16.4-asm.2
• 1.15.7-asm.1
• 1.14.6-asm.11

如果您使用的是 Cloud Service Mesh 1.13 以下版本，則該版本已停用，不再提供支援。這些 CVE 修正尚未反向移植。請升級至 Cloud Service Mesh 1.14 以上版本。

高

CVE-2023-27493

攻擊者可針對已啟用 Lua 篩選器的路徑傳送大型要求主體，並觸發當機。

該怎麼辦？

如果叢集使用的是以下版本之前的 Cloud Service Mesh 修補版本，就會受到影響：

• 1.16.4
• 1.15.7
• 1.14.6

將叢集升級至下列任一修補版本：

• 1.16.4-asm.2
• 1.15.7-asm.1
• 1.14.6-asm.11

如果您使用的是 Cloud Service Mesh 1.13 以下版本，則該版本已停用，不再提供支援。這些 CVE 修正尚未反向移植。請升級至 Cloud Service Mesh 1.14 以上版本。

中

CVE-2023-27492

攻擊者可以傳送特別製作的 HTTP/2 或 HTTP/3 要求，在 HTTP/1 上游服務上觸發剖析錯誤。

該怎麼辦？

如果叢集使用的是以下版本之前的 Cloud Service Mesh 修補版本，就會受到影響：

• 1.16.4
• 1.15.7
• 1.14.6

將叢集升級至下列任一修補版本：

• 1.16.4-asm.2
• 1.15.7-asm.1
• 1.14.6-asm.11

如果您使用的是 Cloud Service Mesh 1.13 以下版本，則該版本已停用，不再提供支援。這些 CVE 修正尚未反向移植。請升級至 Cloud Service Mesh 1.14 以上版本。

中

CVE-2023-27491

x-envoy-original-path 標頭應為內部標頭，但如果標頭是從不受信任的用戶端傳送，Envoy 不會在要求處理的開頭移除這個標頭。

該怎麼辦？

如果叢集使用的是以下版本之前的 Cloud Service Mesh 修補版本，就會受到影響：

• 1.16.4
• 1.15.7
• 1.14.6

將叢集升級至下列任一修補版本：

• 1.16.4-asm.2
• 1.15.7-asm.1
• 1.14.6-asm.11

如果您使用的是 Cloud Service Mesh 1.13 以下版本，則該版本已停用，不再提供支援。這些 CVE 修正尚未反向移植。請升級至 Cloud Service Mesh 1.14 以上版本。

高

CVE-2023-27487

Istio 控制平面 istiod 容易發生要求處理錯誤，因此惡意攻擊者可傳送特製訊息，導致叢集的驗證 webhook 公開時，控制平面發生當機。這個端點會透過 TLS 連接埠 15017 提供服務，但不需要攻擊者進行任何驗證。

該怎麼辦？

如果叢集使用的是 1.14.4、1.13.8 或 1.12.9 以下版本的 Cloud Service Mesh 修補程式，就會受到影響。

如果您執行的是獨立的 Cloud Service Mesh，請將叢集升級至下列任一修補版本：

• 如果您使用的是 Anthos 服務網格 1.14，請升級至 v1.14.4-asm.2
• 如果您使用的是 Anthos 服務網格 1.13，請升級至 v1.13.8-asm.4
• 如果您使用的是 Anthos 服務網格 1.12，請升級至 v1.12.9-asm.3

如果您使用受管理的 Cloud Service Mesh，系統會在未來幾天內自動更新。

如果您使用的是 Cloud Service Mesh 1.11 以下版本，則該版本已停用，不再提供支援。這些 CVE 修正尚未反向移植。您應升級至 Cloud Service Mesh 1.12 以上版本。

高

CVE-2022-39278

啟用中繼資料交換和統計資料擴充功能時，Istio 資料處理層可能會以不安全的方式存取記憶體。

該怎麼辦？

如果叢集使用的是 1.13.4-asm.4、1.12.7-asm.2 或 1.11.8-asm.4 之前的 Cloud Service Mesh 修補程式版本，就會受到影響。

將叢集升級至下列任一修補版本：

• 1.13.4-asm.4
• 1.12.7-asm.2
• 1.11.8-asm.4

如果您使用的是 Cloud Service Mesh 1.10 以下版本，該版本已達到產品生命週期的結束，不再提供支援。這些 CVE 修正尚未反向移植。請升級至 Cloud Service Mesh 1.11 以上版本。 詳情請參閱「從舊版升級 (GKE)」或「從舊版升級 (內部部署)」。

高

CVE-2022-31045

如果惡意攻擊者傳送小型高度壓縮酬載 (也稱為 ZIP 炸彈攻擊)，資料就可能超出中介緩衝區限制。

該怎麼辦？

如果叢集使用的是 1.13.4-asm.4、1.12.7-asm.2 或 1.11.8-asm.4 之前的 Cloud Service Mesh 修補程式版本，就會受到影響。

雖然 Cloud Service Mesh 不支援 Envoy 篩選器，但如果您使用解壓縮篩選器，可能會受到影響。

將叢集升級至下列任一修補版本：

• 1.13.4-asm.4
• 1.12.7-asm.2
• 1.11.8-asm.4

如果您使用的是 Cloud Service Mesh 1.10 以下版本，該版本已達到產品生命週期的結束，不再提供支援。這些 CVE 修正尚未反向移植。請升級至 Cloud Service Mesh 1.11 以上版本。 詳情請參閱「從舊版升級 (GKE)」或「從舊版升級 (內部部署)」。

自行管理 Envoy 的 Envoy 使用者，應確保使用 Envoy 1.22.1 版本。Envoy 使用者會管理自己的 Envoy，並從 GitHub 等來源建構及部署二進位檔。

執行受管理 Envoy 的使用者 (Google Cloud 提供 Envoy 二進位檔) 不需要採取任何行動，因為這些雲端產品會改用 1.22.1 版。

高

CVE-2022-29225

GrpcHealthCheckerImpl 中可能有空值指標解析。

該怎麼辦？

如果叢集使用的是 1.13.4-asm.4、1.12.7-asm.2 或 1.11.8-asm.4 之前的 Cloud Service Mesh 修補程式版本，就會受到影響。

將叢集升級至下列任一修補版本：

• 1.13.4-asm.4
• 1.12.7-asm.2
• 1.11.8-asm.4

如果您使用的是 Cloud Service Mesh 1.10 以下版本，該版本已達到產品生命週期的結束，不再提供支援。這些 CVE 修正尚未反向移植。請升級至 Cloud Service Mesh 1.11 以上版本。 詳情請參閱「從舊版升級 (GKE)」或「從舊版升級 (內部部署)」。

自行管理 Envoy 的 Envoy 使用者，應確保使用 Envoy 1.22.1 版本。Envoy 使用者會管理自己的 Envoy，並從 GitHub 等來源建構及部署二進位檔。

執行受管理 Envoy 的使用者 (Google Cloud 提供 Envoy 二進位檔) 不需要採取任何行動，因為這些雲端產品會改用 1.22.1 版。

中

CVE-2021-29224

OAuth 篩選器允許簡單的規避方式。

該怎麼辦？

如果叢集使用的是 1.13.4-asm.4、1.12.7-asm.2 或 1.11.8-asm.4 之前的 Cloud Service Mesh 修補程式版本，就會受到影響。

雖然 Cloud Service Mesh 不支援 Envoy 篩選器，但如果您使用 OAuth 篩選器，可能會受到影響。

將叢集升級至下列任一修補版本：

• 1.13.4-asm.4
• 1.12.7-asm.2
• 1.11.8-asm.4

如果您使用的是 Cloud Service Mesh 1.10 以下版本，該版本已達到產品生命週期的結束，不再提供支援。這些 CVE 修正尚未反向移植。請升級至 Cloud Service Mesh 1.11 以上版本。 詳情請參閱「從舊版升級 (GKE)」或「從舊版升級 (內部部署)」。

管理自有 Envoy 的 Envoy 使用者也使用 OAuth 篩選器，請務必確認他們使用的是 Envoy 1.22.1 版本。Envoy 使用者可自行管理 Envoy，從 GitHub 等來源建構及部署二進位檔。

執行受管理 Envoy 的使用者 (Google Cloud 提供 Envoy 二進位檔) 不需要採取任何行動，因為這些雲端產品會改用 1.22.1 版。

重大

CVE-2021-29226

OAuth 篩選器可能會損毀記憶體 (舊版) 或觸發 ASSERT() (新版)。

該怎麼辦？

如果叢集使用的是 1.13.4-asm.4、1.12.7-asm.2 或 1.11.8-asm.4 之前的 Cloud Service Mesh 修補程式版本，就會受到影響。

雖然 Cloud Service Mesh 不支援 Envoy 篩選器，但如果您使用 OAuth 篩選器，可能會受到影響。

將叢集升級至下列任一修補版本：

• 1.13.4-asm.4
• 1.12.7-asm.2
• 1.11.8-asm.4

如果您使用的是 Cloud Service Mesh 1.10 以下版本，該版本已達到產品生命週期的結束，不再提供支援。這些 CVE 修正尚未反向移植。請升級至 Cloud Service Mesh 1.11 以上版本。

管理自有 Envoy 的 Envoy 使用者也使用 OAuth 篩選器，應確保使用 Envoy 1.22.1 版本。Envoy 使用者可自行管理 Envoy，並從 GitHub 等來源建構及部署二進位檔。

執行受管理 Envoy 的使用者 (Google Cloud 提供 Envoy 二進位檔) 不需要採取任何行動，因為這些雲端產品會改用 1.22.1 版。

高

CVE-2022-29228

針對含有內文或預告片的要求，內部重新導向會發生當機。

該怎麼辦？

如果叢集使用的是 1.13.4-asm.4、1.12.7-asm.2 或 1.11.8-asm.4 之前的 Cloud Service Mesh 修補程式版本，就會受到影響。

將叢集升級至下列任一修補版本：

• 1.13.4-asm.4
• 1.12.7-asm.2
• 1.11.8-asm.4

如果您使用的是 Cloud Service Mesh 1.10 以下版本，該版本已達到產品生命週期的結束，不再提供支援。這些 CVE 修正尚未反向移植。請升級至 Cloud Service Mesh 1.11 以上版本。 詳情請參閱「從舊版升級 (GKE)」或「從舊版升級 (內部部署)」。

自行管理 Envoy 的 Envoy 使用者，應確保使用 Envoy 1.22.1 版本。Envoy 使用者會管理自己的 Envoy，並從 GitHub 等來源建構及部署二進位檔。

執行受管理 Envoy 的使用者 (Google Cloud 提供 Envoy 二進位檔) 不需要採取任何行動，因為這些雲端產品會改用 1.22.1 版。

高

CVE-2022-29227

Istio 控制平面 istiod 容易發生要求處理錯誤，因此惡意攻擊者可傳送特別設計的訊息，導致叢集的驗證 webhook 公開時，控制平面發生當機。這個端點會透過 TLS 連接埠 15017 提供服務，但不需要攻擊者進行任何驗證。

該怎麼辦？

所有 Cloud Service Mesh 版本都受到此 CVE 影響。

注意：如果您使用受管理的控制層，這個安全漏洞已修正，因此不會對您造成影響。

將叢集升級至下列任一修補版本：

• 1.12.5-asm.0
• 1.11.8-asm.0
• 1.10.6-asm.2

如果您使用的是 Cloud Service Mesh 1.9 以下版本，則該版本已停用，不再提供支援。這些 CVE 修正尚未反向移植。您應升級至 Cloud Service Mesh 1.10 以上版本。

高

CVE-2022-24726

Istiod 在收到含有特別設計 authorization 標頭的要求時會當機。

該怎麼辦？

如果叢集同時符合下列兩個條件，就會受到影響：

• 使用的是 1.12.4-asm.1、1.11.7-asm.1 或 1.10.6-asm.1 之前的 Cloud Service Mesh 修補程式版本。

注意：如果您使用受管理的控制層，這個安全漏洞已修正，因此不會影響您。

將叢集升級至下列任一修補版本：

• 1.12.4-asm.1
• 1.11.7-asm.1
• 1.10.6-asm.1

如果您使用的是 Cloud Service Mesh 1.9 以下版本，則該版本已停用，不再提供支援。這些 CVE 修正尚未反向移植。您應升級至 Cloud Service Mesh 1.10 以上版本。

高

CVE-2022-23635

使用 JWT 篩選器 safe_regex 比對時，可能會發生空值指標解參照。

該怎麼辦？

如果叢集同時符合下列兩個條件，就會受到影響：

• 使用的是 1.12.4-asm.1、1.11.7-asm.1 或 1.10.6-asm.1 之前的 Cloud Service Mesh 修補程式版本。
• 雖然 Cloud Service Mesh 不支援 Envoy 篩選器，但如果您使用 JWT 篩選器規則運算式，可能會受到影響。

將叢集升級至下列任一修補版本：

• 1.12.4-asm.1
• 1.11.7-asm.1
• 1.10.6-asm.1

如果您使用的是 Cloud Service Mesh 1.9 以下版本，則該版本已停用，不再提供支援。這些 CVE 修正尚未反向移植。請升級至 Cloud Service Mesh 1.10 以上版本。

中

CVE-2021-43824

當回應篩選器增加回應資料，且增加的資料超過下游緩衝區限制時，會發生使用後釋放的情況。

該怎麼辦？

如果叢集同時符合下列兩個條件，就會受到影響：

• 使用的是 1.12.4-asm.1、1.11.7-asm.1 或 1.10.6-asm.1 之前的 Cloud Service Mesh 修補程式版本。
• 雖然 Cloud Service Mesh 不支援 Envoy 篩選器，但如果您使用解壓縮篩選器，可能會受到影響。

將叢集升級至下列任一修補版本：

• 1.12.4-asm.1
• 1.11.7-asm.1
• 1.10.6-asm.1

如果您使用的是 Cloud Service Mesh 1.9 以下版本，則該版本已停用，不再提供支援。這些 CVE 修正尚未反向移植。請升級至 Cloud Service Mesh 1.10 以上版本。

中

CVE-2021-43825

如果上游連線建立期間發生下游連線中斷，則在透過 HTTP 建立 TCP 隧道時使用後釋放。

該怎麼辦？

如果叢集同時符合下列兩個條件，就會受到影響：

• 使用的是 1.12.4-asm.1、1.11.7-asm.1 或 1.10.6-asm.1 之前的 Cloud Service Mesh 修補程式版本。
• 雖然 Cloud Service Mesh 不支援 Envoy 篩選器，但如果您使用了隧道篩選器，可能會受到影響。

將叢集升級至下列任一修補版本：

• 1.12.4-asm.1
• 1.11.7-asm.1
• 1.10.6-asm.1

如果您使用的是 Cloud Service Mesh 1.9 以下版本，則該版本已停用，不再提供支援。這些 CVE 修正尚未反向移植。請升級至 Cloud Service Mesh 1.10 以上版本。

中

CVE-2021-43826

設定處理方式不正確，會導致驗證設定變更後，mTLS 工作階段可重複使用，而不需要重新驗證。

該怎麼辦？

如果叢集同時符合下列兩個條件，就會受到影響：

• 使用的是 1.12.4-asm.1、1.11.7-asm.1 或 1.10.6-asm.1 之前的 Cloud Service Mesh 修補程式版本。
• 所有使用 mTLS 的 Cloud Service Mesh 服務都受到此 CVE 影響。

將叢集升級至下列任一修補版本：

• 1.12.4-asm.1
• 1.11.7-asm.1
• 1.10.6-asm.1

如果您使用的是 Cloud Service Mesh 1.9 以下版本，則該版本已停用，不再提供支援。這些 CVE 修正尚未反向移植。請升級至 Cloud Service Mesh 1.10 以上版本。

高

CVE-2022-21654

針對含有直接回應項目的路徑，處理內部重新導向的方式有誤。

該怎麼辦？

如果叢集同時符合下列兩個條件，就會受到影響：

• 使用的是 1.12.4-asm.1、1.11.7-asm.1 或 1.10.6-asm.1 之前的 Cloud Service Mesh 修補程式版本。
• 雖然 Cloud Service Mesh 不支援 Envoy 篩選器，但如果您使用直接回應篩選器，可能會受到影響。

將叢集升級至下列任一修補版本：

• 1.12.4-asm.1
• 1.11.7-asm.1
• 1.10.6-asm.1

如果您使用的是 Cloud Service Mesh 1.9 以下版本，則該版本已停用，不再提供支援。這些 CVE 修正尚未反向移植。請升級至 Cloud Service Mesh 1.10 以上版本。

高

CVE-2022-21655

透過叢集探索服務刪除叢集時，堆疊耗盡。

該怎麼辦？

如果叢集同時符合下列兩個條件，就會受到影響：

• 使用的是 1.12.4-asm.1 或 1.11.7-asm.1 之前的 Cloud Service Mesh 修補程式版本。

將叢集升級至下列任一修補版本：

• 1.12.4-asm.1
• 1.11.7-asm.1

如果您使用的是 Cloud Service Mesh 1.9 以下版本，則該版本已停用，不再提供支援。這些 CVE 修正尚未反向移植。請升級至 Cloud Service Mesh 1.10 以上版本。

中

CVE-2022-23606

Istio 含有可遠端利用的安全漏洞，如果 URI 路徑中含有片段 (以 # 字元開頭的 URI 結尾部分)，HTTP 要求就可能會略過 Istio 的 URI 路徑型授權政策。

舉例來說，Istio 授權政策會拒絕傳送至 URI 路徑 /user/profile 的要求。在易受攻擊的版本中，含有 URI 路徑 /user/profile#section1 的要求會略過拒絕政策，並轉送至後端 (使用標準化 URI 路徑 /user/profile%23section1)，進而導致安全事件。

這個修正項目取決於 Envoy 中的修正項目，後者與 CVE-2021-32779 相關。

該怎麼辦？

如果叢集同時符合下列兩個條件，就會受到影響：

• 使用的是 1.7.8-asm.10、1.8.6-asm.8、1.9.8-asm.1 和 1.10.4-asm.6 之前的 Cloud Service Mesh 修補程式版本。
• 使用授權政策搭配 DENY actions 和 operation.paths，或 ALLOW actions 和 operation.notPaths。

將叢集升級至下列任一修補版本：

• 1.10.4-asm.6
• 1.9.8-asm.1
• 1.8.6-asm.8
• 1.7.8-asm.10

在新的版本中，系統會在授權和轉送之前移除要求 URI 的片段部分。這可避免 URI 中含有片段的要求，略過以不含片段部分的 URI 為基礎的授權政策。

如果您選擇停用這項新功能，系統會保留 URI 中的片段部分。如要選擇不加入，請按照下列方式設定安裝項目：

apiVersion: install.istio.io/v1alpha1
kind: IstioOperator
metadata:
  name: opt-out-fragment-cve-fix
  namespace: istio-system
spec:
  meshConfig:
    defaultConfig:
      proxyMetadata:
        HTTP_STRIP_FRAGMENT_FROM_PATH_UNSAFE_IF_DISABLED: "false"

注意：如果選擇停用這項行為，叢集就會容易受到這個 CVE 的影響。

高

CVE-2021-39156

Istio 含有可供遠端利用的安全漏洞，當使用以 hosts 或 notHosts 為依據的規則時，HTTP 要求可能會略過 Istio 授權政策。

在易受攻擊的版本中，Istio 授權政策會以區分大小寫的方式比較 HTTP Host 或 :authority 標頭，這與 RFC 4343 不一致。舉例來說，使用者可能會設定拒絕含有主機 secret.com 的要求的授權政策，但攻擊者可以透過傳送主機名稱為 Secret.com 的要求來規避這項政策。轉送流程會將流量轉送至 secret.com 的後端，導致安全事件。

該怎麼辦？

如果叢集同時符合下列兩個條件，就會受到影響：

• 使用的是 1.7.8-asm.10、1.8.6-asm.8、1.9.8-asm.1 和 1.10.4-asm.6 之前的 Cloud Service Mesh 修補程式版本。
• 使用授權政策，其中 DENY actions 以 operation.hosts 為依據，或 ALLOW actions 以 operation.notHosts 為依據。

將叢集升級至下列任一修補版本：

• 1.10.4-asm.6
• 1.9.8-asm.1
• 1.8.6-asm.8
• 1.7.8-asm.10

這項因應措施可確保系統根據授權政策中的 hosts 或 notHosts 規格，以不區分大小寫的方式評估 HTTP Host 或 :authority 標頭。

高

CVE-2021-39155

Envoy 含有可遠端利用的安全漏洞，當使用 ext_authz 擴充功能時，含有多個值標頭的 HTTP 要求可能會進行不完整的授權政策檢查。如果要求標頭含有多個值，外部授權伺服器只會看到指定標頭的最後一個值。

該怎麼辦？

如果叢集同時符合下列兩個條件，就會受到影響：

• 使用的是 1.7.8-asm.10、1.8.6-asm.8、1.9.8-asm.1 和 1.10.4-asm.6 之前的 Cloud Service Mesh 修補程式版本。
• 使用「外部授權」功能。

將叢集升級至下列任一修補版本：

• 1.10.4-asm.6
• 1.9.8-asm.1
• 1.8.6-asm.8
• 1.7.8-asm.10

高

CVE-2021-32777

Envoy 含有可遠端利用的安全漏洞，會影響 Envoy 的 decompressor、json-transcoder 或 grpc-web 擴充功能，或修改及增加要求或回應主體大小的專屬擴充功能。修改並增加 Envoy 擴充資料中主體的大小，超過內部緩衝區大小，可能會導致 Envoy 存取未配置的記憶體，並異常終止。

該怎麼辦？

如果叢集同時符合下列兩個條件，就會受到影響：

• 使用的是 1.7.8-asm.10、1.8.6-asm.8、1.9.8-asm.1 和 1.10.4-asm.6 之前的 Cloud Service Mesh 修補程式版本。
• 使用 EnvoyFilters。

將叢集升級至下列任一修補版本：

• 1.10.4-asm.6
• 1.9.8-asm.1
• 1.8.6-asm.8
• 1.7.8-asm.10

高

CVE-2021-32781

Envoy 含有可遠端利用的漏洞，如果 Envoy 用戶端開啟並重設大量 HTTP/2 要求，可能會導致 CPU 耗用量過高。

該怎麼辦？

如果叢集使用的是 1.7.8-asm.10、1.8.6-asm.8、1.9.8-asm.1 和 1.10.4-asm.6 之前的 Cloud Service Mesh 修補程式版本，就會受到影響。

將叢集升級至下列任一修補版本：

• 1.10.4-asm.6
• 1.9.8-asm.1

注意：如果您使用的是 Cloud Service Mesh 1.8 或更早版本，請升級至 Cloud Service Mesh 1.9 以上版本的最新修補程式，以降低此漏洞的風險。

高

CVE-2021-32778

Envoy 含有可遠端利用的安全漏洞，當中不受信任的上游服務會傳送 GOAWAY 影格，接著傳送 SETTINGS 影格，並將 SETTINGS_MAX_CONCURRENT_STREAMS 參數設為 0，導致 Envoy 異常終止。

該怎麼辦？

如果叢集使用 Cloud Service Mesh 1.10 且修補版本低於 1.10.4-asm.6，就會受到影響。

將叢集升級至以下修補程式版本：

• 1.10.4-asm.6

高

CVE-2021-32780

Istio 安全 Gateway 或使用 DestinationRule 的工作負載，可以透過 credentialName 設定，從 Kubernetes 密鑰載入 TLS 私密金鑰和憑證。在 Istio 1.8 以上版本中，系統會從 istiod 讀取機密，並透過 XDS 傳送至閘道和工作負載。

通常，閘道或工作負載部署作業只能存取在其命名空間內的密鑰中儲存的 TLS 憑證和私密金鑰。不過，istiod 中的錯誤會讓獲准存取 Istio XDS API 的用戶端，擷取 istiod 中快取的任何 TLS 憑證和私密金鑰。這個安全性漏洞只會影響 Cloud Service Mesh 的 1.8 和 1.9 次要版本。

該怎麼辦？

如果符合下列所有條件，您的叢集就會受到影響：

• 使用的是 1.9.x 1.9.6-asm.1 之前的版本，或是 1.8.x 1.8.6-asm.4 之前的版本。
• 它已定義 Gateways 或 DestinationRules，並指定 credentialName 欄位。
• 但未指定 istiod 標記 PILOT_ENABLE_XDS_CACHE=false。

將叢集升級至下列任一修補版本：

• 1.9.6-asm.1
• 1.8.6-asm.4

高

CVE-2021-34824

Istio 含有可遠端利用的漏洞，當閘道使用 AUTO_PASSTHROUGH 轉送設定時，外部用戶端就能存取叢集中的非預期服務，並略過授權檢查。

該怎麼辦？

這個安全漏洞只會影響 AUTO_PASSTHROUGH 閘道類型的使用情形，這種類型通常只會用於多網路、多叢集部署作業。

使用下列指令，偵測叢集中所有 Gateway 的 TLS 模式：

kubectl get gateways.networking.istio.io -A -o \
  "custom-columns=NAMESPACE:.metadata.namespace, \
  NAME:.metadata.name,TLS_MODE:.spec.servers[*].tls.mode"

如果輸出內容顯示任何 AUTO_PASSTHROUGH 閘道，就表示可能受到影響。

將叢集更新至最新的 Cloud Service Mesh 版本：

• 1.9.5-asm.2
• 1.8.6-asm.3
• 1.7.8-asm.8

* 注意：Cloud Service Mesh Managed Control Plane (僅適用於 1.9.x 以上版本) 的推出作業將於未來幾天內完成。

高

CVE-2021-31921

Istio 含有可遠端利用的安全漏洞，當使用路徑式授權規則時，包含多個斜線或已轉義斜線字元 (%2F 或 %5C) 的 HTTP 要求路徑可能會略過 Istio 授權政策。

如果 Istio 叢集管理員定義授權 DENY 政策，以拒絕路徑 "/admin" 的請求，則系統不會拒絕傳送至網址路徑 "//admin" 的請求。

根據 RFC 3986，含有多個斜線的路徑 "//admin" 在技術上應視為與 "/admin" 不同的路徑。不過，部分後端服務會選擇將多個斜線合併為單一斜線，以便將網址路徑標準化。這可能會導致授權政策遭到略過 ("//admin" 不符合 "/admin")，使用者就能在後端存取路徑 "/admin" 的資源。

該怎麼辦？

如果授權政策使用「ALLOW action + notPaths field」或「DENY action + paths field」模式，叢集就會受到這個安全漏洞的影響。這些模式容易遭到政策意外略過，因此您應盡快升級以修正安全性問題。

以下是使用「DENY action + paths field」模式的弱點政策範例：

apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: deny-path-admin
spec:
  action: DENY
  rules:
  - to:
    - operation:
        paths: ["/admin"]

以下是另一個使用「ALLOW action + notPaths 欄位」模式的漏洞政策範例：

apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: allow-path-not-admin
spec:
  action: ALLOW
  rules:
  - to:
    - operation:
        notPaths: ["/admin"]

以下情況下，您的叢集不會受到此安全漏洞的影響：

• 您沒有授權政策。
• 授權政策未定義 paths 或 notPaths 欄位。
• 您的授權政策使用「ALLOW action + paths field」或「DENY action + notPaths field」模式。這些模式只會導致意外拒絕，而不會導致政策規避。

在這些情況下，升級為選用項目。

將叢集更新至最新的支援 Cloud Service Mesh 版本*。這些版本支援在系統中設定 Envoy Proxy，並提供更多規格化選項：

• 1.9.5-asm.2
• 1.8.6-asm.3
• 1.7.8-asm.8

* 注意：Cloud Service Mesh Managed Control Plane (僅適用於 1.9.x 版本) 的推出作業將於未來幾天內完成。

請按照 Istio 安全性最佳做法指南設定授權政策。

高

CVE-2021-31920

Envoy 和 Istio 專案最近宣布了幾個新的安全漏洞 (CVE-2021-28682、CVE-2021-28683 和 CVE-2021-29258)，這些漏洞可能會讓攻擊者讓 Envoy 停止運作，並讓叢集的部分內容離線且無法連線。

這會影響 Cloud Service Mesh 等已提供的服務。

該怎麼辦？

如要修正這些安全漏洞，請將 Cloud Service Mesh 套件升級至下列修補版本之一：

• 1.9.3-asm.2
• 1.8.5-asm.2
• 1.7.8-asm.1
• 1.6.14-asm.2

詳情請參閱 Cloud Service Mesh 版本資訊。

高

CVE-2021-28682
CVE-2021-28683
CVE-2021-29258