安全公告

使用此 XML Feed 可订阅 Cloud Service Mesh 安全公告。订阅

本页面列出了 Cloud Service Mesh 的安全公告。

GCP-2024-052

发布日期:2024 年 9 月 19 日

说明 严重程度 备注

oghttp2 在 OnBeginHeadersForStream 上崩溃

该怎么做?

检查您的集群是否会受到影响

只有运行 Cloud Service Mesh v1.23 的集群会受到影响

应对措施

Cloud Service Mesh 1.23.2-asm.2 包含此问题的修复程序。您无需执行任何操作。

CVE-2024-45807

说明 严重程度 备注

通过访问日志注入恶意日志

该怎么做?

检查您的集群是否会受到影响

所有 Cloud Service Mesh 版本都会受到此 CVE 的影响。

应对措施

将集群升级到以下某个修补后的版本:

  • 1.20.8-asm.7
  • 1.21.5-asm.7
  • 1.22.5-asm.1
  • 1.23.2-asm.2

CVE-2024-45808

说明 严重程度 备注

可能会操纵来自外部来源的“x-envoy”标头

该怎么做?

检查您的集群是否会受到影响

所有 Cloud Service Mesh 版本都会受到此 CVE 的影响。

应对措施

将集群升级到以下某个修补后的版本:

  • 1.20.8-asm.7
  • 1.21.5-asm.7
  • 1.22.5-asm.1
  • 1.23.2-asm.2

CVE-2024-45806

说明 严重程度 备注

在包含远程 JWK 的清除路由缓存中,JWT 过滤器发生崩溃

该怎么做?

检查您的集群是否会受到影响

所有 Cloud Service Mesh 版本都会受到此 CVE 的影响。

应对措施

将集群升级到以下某个修补后的版本:

  • 1.20.8-asm.7
  • 1.21.5-asm.7
  • 1.22.5-asm.1
  • 1.23.2-asm.2

CVE-2024-45809

说明 严重程度 备注

http 异步客户端中的 LocalReply 会导致 Envoy 崩溃

该怎么做?

检查您的集群是否会受到影响

所有 Cloud Service Mesh 版本都会受到此 CVE 的影响。

应对措施

将集群升级到以下某个修补后的版本:

  • 1.20.8-asm.7
  • 1.21.5-asm.7
  • 1.22.5-asm.1
  • 1.23.2-asm.2

CVE-2024-45810

GCP-2024-032

发布日期:2024 年 6 月 24 日

说明 严重程度 备注

Envoy 错误地接受了用于进入升级模式的 HTTP 200 响应。

该怎么做?

检查您的集群是否会受到影响

所有 Cloud Service Mesh 版本都会受到此 CVE 的影响。

应对措施

如果您运行的是托管式 Cloud Service Mesh,您的系统将在未来几天内自动更新。

否则,请将集群升级到以下某个修补后的版本:

  • v1.21.3-asm.3
  • v1.20.7-asm.2
  • v1.19.10-asm.6
  • v1.18.7-asm.26
  • 如果您使用的是 Cloud Service Mesh v1.17 或更低版本,则您的版本已达到服务终止期限,不再受支持。这些 CVE 修复尚未反向移植。您应升级到 Cloud Service Mesh 1.18 或更高版本。

CVE-2024-23326

说明 严重程度 备注

EnvoyQuicServerStream::OnInitialHeadersComplete() 中发生崩溃。

该怎么做?

检查您的集群是否会受到影响

所有 Cloud Service Mesh 版本都会受到此 CVE 的影响。

应对措施

如果您运行的是托管式 Cloud Service Mesh,您的系统将在未来几天内自动更新。

否则,请将集群升级到以下某个修补后的版本:

  • v1.21.3-asm.3
  • v1.20.7-asm.2
  • v1.19.10-asm.6
  • v1.18.7-asm.26
  • 如果您使用的是 Cloud Service Mesh v1.17 或更低版本,则您的版本已达到服务终止期限,不再受支持。这些 CVE 修复尚未反向移植。您应升级到 Cloud Service Mesh 1.18 或更高版本。

CVE-2024-32974

说明 严重程度 备注

QuicheDataReader::PeekVarInt62Length() 中发生崩溃。

该怎么做?

检查您的集群是否会受到影响

所有 Cloud Service Mesh 版本都会受到此 CVE 的影响。

应对措施

如果您运行的是托管式 Cloud Service Mesh,您的系统将在未来几天内自动更新。

否则,请将集群升级到以下某个修补后的版本:

  • v1.21.3-asm.3
  • v1.20.7-asm.2
  • v1.19.10-asm.6
  • v1.18.7-asm.26
  • 如果您使用的是 Cloud Service Mesh v1.17 或更低版本,则您的版本已达到服务终止期限,不再受支持。这些 CVE 修复尚未反向移植。您应升级到 Cloud Service Mesh 1.18 或更高版本。

CVE-2024-32975

说明 严重程度 备注

使用额外输入解压缩 Brotli 数据时会出现无限循环。

该怎么做?

检查您的集群是否会受到影响

所有 Cloud Service Mesh 版本都会受到此 CVE 的影响。

应对措施

如果您运行的是托管式 Cloud Service Mesh,您的系统将在未来几天内自动更新。

否则,请将集群升级到以下某个修补后的版本:

  • v1.21.3-asm.3
  • v1.20.7-asm.2
  • v1.19.10-asm.6
  • v1.18.7-asm.26
  • 如果您使用的是 Cloud Service Mesh v1.17 或更低版本,则您的版本已达到服务终止期限,不再受支持。这些 CVE 修复尚未反向移植。您应升级到 Cloud Service Mesh 1.18 或更高版本。

CVE-2024-32976

说明 严重程度 备注

EnvoyQuicServerStream 中发生崩溃(释放后使用)。

该怎么做?

检查您的集群是否会受到影响

所有 Cloud Service Mesh 版本都会受到此 CVE 的影响。

应对措施

如果您运行的是托管式 Cloud Service Mesh,您的系统将在未来几天内自动更新。

否则,请将集群升级到以下某个修补后的版本:

  • v1.21.3-asm.3
  • v1.20.7-asm.2
  • v1.19.10-asm.6
  • v1.18.7-asm.26
  • 如果您使用的是 Cloud Service Mesh v1.17 或更低版本,则您的版本已达到服务终止期限,不再受支持。这些 CVE 修复尚未反向移植。您应升级到 Cloud Service Mesh 1.18 或更高版本。

CVE-2024-34362

说明 严重程度 备注

由于未捕获的 nlohmann JSON 异常而发生崩溃。

该怎么做?

检查您的集群是否会受到影响

所有 Cloud Service Mesh 版本都会受到此 CVE 的影响。

应对措施

如果您运行的是托管式 Cloud Service Mesh,您的系统将在未来几天内自动更新。

否则,请将集群升级到以下某个修补后的版本:

  • v1.21.3-asm.3
  • v1.20.7-asm.2
  • v1.19.10-asm.6
  • v1.18.7-asm.26
  • 如果您使用的是 Cloud Service Mesh v1.17 或更低版本,则您的版本已达到服务终止期限,不再受支持。这些 CVE 修复尚未反向移植。您应升级到 Cloud Service Mesh 1.18 或更高版本。

CVE-2024-34363

说明 严重程度 备注

来自 HTTP 异步客户端的 Envoy OOM 矢量,其中包含用于镜像响应的无限响应缓冲区。

该怎么做?

检查您的集群是否会受到影响

所有 Cloud Service Mesh 版本都会受到此 CVE 的影响。

应对措施

如果您运行的是托管式 Cloud Service Mesh,您的系统将在未来几天内自动更新。

否则,请将集群升级到以下某个修补后的版本:

  • v1.21.3-asm.3
  • v1.20.7-asm.2
  • v1.19.10-asm.6
  • v1.18.7-asm.26
  • 如果您使用的是 Cloud Service Mesh v1.17 或更低版本,则您的版本已达到服务终止期限,不再受支持。这些 CVE 修复尚未反向移植。您应升级到 Cloud Service Mesh 1.18 或更高版本。

CVE-2024-34364

GCP-2024-023

发布日期:2024 年 4 月 24 日

说明 严重程度 备注

HTTP/2:因 CONTINUATION 帧泛滥而导致内存耗尽。

该怎么做?

检查您的集群是否会受到影响

所有 Cloud Service Mesh 版本都会受到此 CVE 的影响。

应对措施

如果您运行的是托管式 Cloud Service Mesh,则无需执行任何操作。您的系统会在未来几天内自动更新。

如果您运行的是集群内 Cloud Service Mesh,则必须将集群升级到以下经过修补的版本之一:

  • 1.20.6-asm.0
  • 1.19.10-asm.0
  • 1.18.7-asm.21

如果您使用的是 Cloud Service Mesh v1.17 或更低版本,则您的版本已达到服务终止期限,不再受支持。这些 CVE 修复尚未反向移植。您应升级到 Cloud Service Mesh v1.18 或更高版本。

CVE-2024-27919

说明 严重程度 备注

HTTP/2:由于 CONTINUATION 帧泛滥而导致 CPU 耗尽

该怎么做?

检查您的集群是否会受到影响

所有 Cloud Service Mesh 版本都会受到此 CVE 的影响。

应对措施

如果您运行的是托管式 Cloud Service Mesh,则无需执行任何操作。您的系统会在未来几天内自动更新。

如果您运行的是集群内 Cloud Service Mesh,则必须将集群升级到以下经过修补的版本之一:

  • 1.20.6-asm.0
  • 1.19.10-asm.0
  • 1.18.7-asm.21

如果您使用的是 Cloud Service Mesh v1.17 或更低版本,则您的版本已达到服务终止期限,不再受支持。这些 CVE 修复尚未反向移植。您应该升级到 Cloud Service Mesh 1.18 或更高版本。

CVE-2024-30255

说明 严重程度 备注

使用 auto_sni 时,如果“:authority”标头长度超过 255 个字符,则会异常终止。

该怎么做?

检查您的集群是否会受到影响

所有 Cloud Service Mesh 版本都会受到此 CVE 的影响。

应对措施

如果您运行的是托管式 Cloud Service Mesh,则无需执行任何操作。您的系统会在未来几天内自动更新。

如果您运行的是集群内 Cloud Service Mesh,则必须将集群升级到以下经过修补的版本之一:

  • 1.20.6-asm.0
  • 1.19.10-asm.0
  • 1.18.7-asm.21

如果您使用的是 Cloud Service Mesh v1.17 或更低版本,则您的版本已达到服务终止期限,不再受支持。这些 CVE 修复尚未反向移植。您应该升级到 Cloud Service Mesh 1.18 或更高版本。

CVE-2024-32475

说明 严重程度 备注

HTTP/2 CONTINUATION 帧可用于 DoS 攻击。

该怎么做?

检查您的集群是否会受到影响

所有 Cloud Service Mesh 版本都会受到此 CVE 的影响。

应对措施

如果您运行的是托管式 Cloud Service Mesh,则无需执行任何操作。您的系统会在未来几天内自动更新。

如果您运行的是集群内 Cloud Service Mesh,则必须将集群升级到以下经过修补的版本之一:

  • 1.20.6-asm.0
  • 1.19.10-asm.0
  • 1.18.7-asm.21

如果您使用的是 Cloud Service Mesh v1.17 或更低版本,则您的版本已达到服务终止期限,不再受支持。这些 CVE 修复尚未反向移植。您应升级到 v1.18 或更高版本。

未提供

CVE-2023-45288

GCP-2024-007

发布日期:2024 年 2 月 8 日

说明 严重程度 备注

当处于空闲状态且在退避间隔内发生每次尝试请求超时时,Envoy 会崩溃。

该怎么做?

如果您运行的是托管式 Cloud Service Mesh,则无需执行任何操作。您的系统会在未来几天内自动更新。

如果您运行的是集群内 Cloud Service Mesh,则必须将集群升级到以下经过修补的版本之一:

  • 1.20.3-asm.4
  • 1.19.7-asm.3
  • 1.18.7-asm.4
  • 1.17.8-asm.20

如果您使用的是 Anthos Service Mesh v1.17 或更低版本,则您的版本已达到服务终止期限,不再受支持。虽然这些 CVE 修复已向后移植到 1.17,但您应升级到 1.18 或更高版本。

CVE-2024-23322

说明 严重程度 备注

使用正则表达式配置 URI 模板匹配器时,CPU 使用率过高。

该怎么做?

如果您运行的是托管式 Cloud Service Mesh,则无需执行任何操作。您的系统会在未来几天内自动更新。

如果您运行的是集群内 Cloud Service Mesh,则必须将集群升级到以下经过修补的版本之一:

  • 1.20.3-asm.4
  • 1.19.7-asm.3
  • 1.18.7-asm.4
  • 1.17.8-asm.20

如果您使用的是 Anthos Service Mesh v1.17 或更低版本,则您的版本已达到服务终止期限,不再受支持。虽然这些 CVE 修复已向后移植到 1.17,但您应升级到 1.18 或更高版本。

CVE-2024-23323

说明 严重程度 备注

当代理协议过滤器设置无效的 UTF-8 元数据时,可以绕过外部授权。

该怎么做?

如果您运行的是托管式 Cloud Service Mesh,则无需执行任何操作。您的系统会在未来几天内自动更新。

如果您运行的是集群内 Cloud Service Mesh,则必须将集群升级到以下经过修补的版本之一:

  • 1.20.3-asm.4
  • 1.19.7-asm.3
  • 1.18.7-asm.4
  • 1.17.8-asm.20

如果您使用的是 Anthos Service Mesh v1.17 或更低版本,则您的版本已达到服务终止期限,不再受支持。虽然这些 CVE 修复已向后移植到 1.17,但您应升级到 1.18 或更高版本。

CVE-2024-23324

说明 严重程度 备注

使用操作系统不支持的地址类型时,Envoy 会崩溃。

该怎么做?

如果您运行的是托管式 Cloud Service Mesh,则无需执行任何操作。您的系统会在未来几天内自动更新。

如果您运行的是集群内 Cloud Service Mesh,则必须将集群升级到以下经过修补的版本之一:

  • 1.20.3-asm.4
  • 1.19.7-asm.3
  • 1.18.7-asm.4
  • 1.17.8-asm.20

如果您使用的是 Anthos Service Mesh v1.17 或更低版本,则您的版本已达到服务终止期限,不再受支持。虽然这些 CVE 修复已向后移植到 1.17,但您应升级到 1.18 或更高版本。

CVE-2024-23325

说明 严重程度 备注

当命令类型为 LOCAL 时,代理协议会崩溃。

该怎么做?

如果您运行的是托管式 Cloud Service Mesh,则无需执行任何操作。您的系统会在未来几天内自动更新。

如果您运行的是集群内 Cloud Service Mesh,则必须将集群升级到以下经过修补的版本之一:

  • 1.20.3-asm.4
  • 1.19.7-asm.3
  • 1.18.7-asm.4
  • 1.17.8-asm.20

如果您使用的是 Anthos Service Mesh v1.17 或更低版本,则您的版本已达到服务终止期限,不再受支持。虽然这些 CVE 修复已向后移植到 1.17,但您应升级到 1.18 或更高版本。

CVE-2024-23327

GCP-2023-031

发布日期:2023-10-10

说明 严重程度 备注

使用 HTTP/2 协议时,拒绝服务攻击可能会影响数据平面。

该怎么做?

检查您的集群是否会受到影响

如果您的集群使用 1.18.4、1.17.7 或 1.16.7 之前的 Cloud Service Mesh 补丁版本,则会受到上述影响。

应对措施

将集群升级到以下某个修补后的版本:

  • 1.18.4-asm.0
  • 1.17.7-asm.0
  • 1.16.7-asm.10

如果您运行的是托管式 Cloud Service Mesh,您的系统将在未来几天内自动更新。

如果您使用的是 Cloud Service Mesh v1.15 或更低版本,则您的版本已达到服务终止期限,不再受支持。这些 CVE 修复尚未反向移植。您应该升级到 v1.16 或更高版本。

CVE-2023-44487

GCP-2023-021

更新日期:2023-07-26

发布日期:2022-07-25
说明 严重程度 备注

在某些特定场景中,恶意客户端能够构建永久有效的凭据。例如,HMAC 载荷中主机和到期时间的组合在 OAuth2 过滤器的 HMAC 检查中可以始终有效。

该怎么做?

检查您的集群是否会受到影响

如果集群使用以下版本之前的 Cloud Service Mesh 补丁版本,则会受到影响

  • 1.17.4
  • 1.16.6
  • 1.15.7
应对措施

将集群升级到以下某个修补后的版本:

  • 1.17.5-asm.0
  • 1.16.7-asm.0
  • 1.15.7-asm.23

如果您运行的是托管式 Cloud Service Mesh,您的系统将在未来几天内自动更新。

如果您使用的是 Anthos Service Mesh 1.14 或更低版本,则您的版本已达到服务终止期限,不再受支持。这些 CVE 修复尚未反向移植。您应该升级到 ASM 1.15 或更高版本。

CVE-2023-35941

说明 严重程度 备注

当监听器排空时,使用监听器的全局范围的 gRPC 访问日志记录器可能导致 use-after-free 崩溃。这可由具有相同 gRPC 访问日志配置的 LDS 更新触发。

该怎么做?

检查您的集群是否会受到影响

如果集群使用以下版本之前的 Cloud Service Mesh 补丁版本,则会受到影响

  • 1.17.4
  • 1.16.6
  • 1.15.7
应对措施

将集群升级到以下某个修补后的版本:

  • 1.17.5-asm.0
  • 1.16.7-asm.0
  • 1.15.7-asm.23

如果您运行的是托管式 Cloud Service Mesh,您的系统将在未来几天内自动更新。

如果您使用的是 Anthos Service Mesh 1.14 或更低版本,则您的版本已达到服务终止期限,不再受支持。这些 CVE 修复尚未反向移植。您应该升级到 ASM 1.15 或更高版本。

CVE-2023-35942

说明 严重程度 备注

如果 origin 标头配置为通过 request_headers_to_remove: origin 移除,CORS 过滤器将发生段错误并使 Envoy 崩溃。

该怎么做?

检查您的集群是否会受到影响

如果集群使用以下版本之前的 Cloud Service Mesh 补丁版本,则会受到影响

  • 1.17.4
  • 1.16.6
  • 1.15.7
应对措施

将集群升级到以下某个修补后的版本:

  • 1.17.5-asm.0
  • 1.16.7-asm.0
  • 1.15.7-asm.23

如果您运行的是托管式 Cloud Service Mesh,您的系统将在未来几天内自动更新。

如果您使用的是 Anthos Service Mesh 1.14 或更低版本,则您的版本已达到服务终止期限,不再受支持。这些 CVE 修复尚未反向移植。您应该升级到 ASM 1.15 或更高版本。

CVE-2023-35943

说明 严重程度 备注

攻击者可以发送具有大小写混合的传输协议的请求,以绕过 Envoy 中的某些传输协议检查。例如,如果向 OAuth2 过滤器发送具有大小写混合的传输协议 htTp 的请求,它将无法通过 http 的完全匹配检查,并通知远程端点传输协议为 https,从而可能绕过专门针对 HTTP 请求的 OAuth2 检查。

该怎么做?

检查您的集群是否会受到影响

如果集群使用以下版本之前的 Cloud Service Mesh 补丁版本,则会受到影响

  • 1.17.4
  • 1.16.6
  • 1.15.7
应对措施

将集群升级到以下某个修补后的版本:

  • 1.17.5-asm.0
  • 1.16.7-asm.0
  • 1.15.7-asm.23

如果您运行的是托管式 Cloud Service Mesh,您的系统将在未来几天内自动更新。

如果您使用的是 Anthos Service Mesh 1.14 或更低版本,则您的版本已达到服务终止期限,不再受支持。这些 CVE 修复尚未反向移植。您应该升级到 ASM 1.15 或更高版本。

CVE-2023-35944

GCP-2023-019

说明 严重程度 备注

来自不受信任的上行服务的专门设计的响应可能会通过耗尽内存引发拒绝服务攻击。造成此问题的原因是 Envoy 的 HTTP/2 编解码器在从上行服务器收到 RST_STREAM 之后立即收到 GOAWAY 帧时可能泄露标头映射和簿记结构。

该怎么做?

检查您的集群是否会受到影响

如果集群使用以下版本之前的 Cloud Service Mesh 补丁版本,则会受到影响

  • 1.17.4
  • 1.16.6
  • 1.15.7
应对措施

将集群升级到以下某个修补后的版本:

  • 1.17.4-asm.2
  • 1.16.6-asm.3
  • 1.15.7-asm.21

如果您运行的是托管式 Cloud Service Mesh,您的系统将在未来几天内自动更新。

如果您使用的是 Anthos Service Mesh 1.14 或更低版本,则您的版本已达到服务终止期限,不再受支持。这些 CVE 修复尚未反向移植。您应该升级到 ASM 1.15 或更高版本。

CVE-2023-35945

GCP-2023-002

说明 严重程度 备注

如果 Envoy 在启用 OAuth 过滤器的情况下运行,恶意行为体可能会构造请求,通过使 Envoy 崩溃而形成拒绝服务攻击。

该怎么做?

检查您的集群是否会受到影响

如果您的集群使用的 Cloud Service Mesh 补丁版本早于以下版本,则会受到影响:

  • 1.16.4
  • 1.15.7
  • 1.14.6
应对措施

将集群升级到以下某个修补后的版本:

  • 1.16.4-asm.2
  • 1.15.7-asm.1
  • 1.14.6-asm.11

如果您使用的是 Cloud Service Mesh v1.13 或更低版本,则您的版本已达到服务终止期限,不再受支持。这些 CVE 修复尚未反向移植。您应该升级到 Cloud Service Mesh 1.14 或更高版本。

CVE-2023-27496

说明 严重程度 备注

使用 ext_authz 时,攻击者可以利用此漏洞绕过身份验证检查。

该怎么做?

检查您的集群是否会受到影响

如果您的集群使用的 Cloud Service Mesh 补丁版本早于以下版本,则会受到影响:

  • 1.16.4
  • 1.15.7
  • 1.14.6
应对措施

将集群升级到以下某个修补后的版本:

  • 1.16.4-asm.2
  • 1.15.7-asm.1
  • 1.14.6-asm.11

如果您使用的是 Cloud Service Mesh v1.13 或更低版本,则您的版本已达到服务终止期限,不再受支持。这些 CVE 修复尚未反向移植。您应该升级到 Cloud Service Mesh} 1.14 或更高版本。

CVE-2023-27488

说明 严重程度 备注

Envoy 配置还必须包含一个选项,用于添加使用请求中的输入生成的请求标头,例如对等证书 SAN。

该怎么做?

检查您的集群是否会受到影响

如果您的集群使用的 Cloud Service Mesh 补丁版本早于以下版本,则会受到影响:

  • 1.16.4
  • 1.15.7
  • 1.14.6
应对措施

将集群升级到以下某个修补后的版本:

  • 1.16.4-asm.2
  • 1.15.7-asm.1
  • 1.14.6-asm.11

如果您使用的是 Cloud Service Mesh v1.13 或更低版本,则您的版本已达到服务终止期限,不再受支持。这些 CVE 修复尚未反向移植。您应该升级到 Cloud Service Mesh 1.14 或更高版本。

CVE-2023-27493

说明 严重程度 备注

攻击者可能针对启用 Lua 过滤器的路由发送大型请求正文并触发崩溃。

该怎么做?

检查您的集群是否会受到影响

如果您的集群使用的 Cloud Service Mesh 补丁版本早于以下版本,则会受到影响:

  • 1.16.4
  • 1.15.7
  • 1.14.6
应对措施

将集群升级到以下某个修补后的版本:

  • 1.16.4-asm.2
  • 1.15.7-asm.1
  • 1.14.6-asm.11

如果您使用的是 Cloud Service Mesh v1.13 或更低版本,则您的版本已达到服务终止期限,不再受支持。这些 CVE 修复尚未反向移植。您应该升级到 Cloud Service Mesh 1.14 或更高版本。

CVE-2023-27492

说明 严重程度 备注

攻击者可能发送特别设计的 HTTP/2 或 HTTP/3 请求,从而触发 HTTP/1 上游服务的解析错误。

该怎么做?

检查您的集群是否会受到影响

如果您的集群使用的 Cloud Service Mesh 补丁版本早于以下版本,则会受到影响:

  • 1.16.4
  • 1.15.7
  • 1.14.6
应对措施

将集群升级到以下某个修补后的版本:

  • 1.16.4-asm.2
  • 1.15.7-asm.1
  • 1.14.6-asm.11

如果您使用的是 Cloud Service Mesh v1.13 或更低版本,则您的版本已达到服务终止期限,不再受支持。这些 CVE 修复尚未反向移植。您应该升级到 Cloud Service Mesh 1.14 或更高版本。

CVE-2023-27491

说明 严重程度 备注

标头 x-envoy-original-path 应该是内部标头,但当请求从不受信任的客户端发出时,Envoy 不会在请求处理开始时从请求中移除此标头。

该怎么做?

检查您的集群是否会受到影响

如果您的集群使用的 Cloud Service Mesh 补丁版本早于以下版本,则会受到影响:

  • 1.16.4
  • 1.15.7
  • 1.14.6
应对措施

将集群升级到以下某个修补后的版本:

  • 1.16.4-asm.2
  • 1.15.7-asm.1
  • 1.14.6-asm.11

如果您使用的是 Cloud Service Mesh v1.13 或更低版本,则您的版本已达到服务终止期限,不再受支持。这些 CVE 修复尚未反向移植。您应该升级到 Cloud Service Mesh 1.14 或更高版本。

CVE-2023-27487

GCP-2022-020

发布日期:2022 年 10 月 5 日
更新日期:2022 年 10 月 12 日
2022 年 10 月 12 日更新:更新了指向 CVE 说明的链接,并添加了关于代管式 Cloud Service Mesh 自动更新的信息。
说明 严重程度 备注

Istio 控制平面 istiod 容易出现请求处理错误,从而允许恶意攻击者发送特别设计的消息,当集群的验证 webhook 公开提供时,会导致控制平面崩溃。此端点通过 TLS 端口 15017 提供,但不需要攻击者进行任何身份验证。

该怎么做?

检查您的集群是否会受到影响

如果您的集群使用 1.14.4、1.13.8 或 1.12.9 之前的 Cloud Service Mesh 补丁版本,则会受到影响。

应对措施

如果您运行的是独立 Cloud Service Mesh,请将集群升级到以下经过修补的版本之一:

  • 如果您使用的是 Anthos Service Mesh 1.14,请升级到 v1.14.4-asm.2
  • 如果您使用的是 Anthos Service Mesh 1.13,请升级到 v1.13.8-asm.4
  • 如果您使用的是 Anthos Service Mesh 1.12,请升级到 v1.12.9-asm.3

如果您运行的是托管式 Cloud Service Mesh,您的系统将在未来几天内自动更新。

如果您使用的是 Cloud Service Mesh v1.11 或更低版本,则您的版本已达到服务终止期限,不再受支持。这些 CVE 修复尚未反向移植。您应该升级到 Cloud Service Mesh 1.12 或更高版本。

CVE-2022-39278

GCP-2022-015

发布日期:2022-06-09
更新日期:2022-06-10
2022 年 6 月 10 日更新:更新了 Cloud Service Mesh 的补丁版本。
说明 严重程度 备注

启用元数据交换和统计扩展程序后,Istio 数据平面可能会以不安全的方式访问内存。

该怎么做?

检查您的集群是否会受到影响

如果您的集群使用低于 1.13.4-asm.4、1.12.7-asm.2 或 1.11.8-asm.4 的 Cloud Service Mesh 补丁版本,则会受到影响。

Cloud Service Mesh 缓解措施

将集群升级到以下某个修补后的版本:

  • 1.13.4-asm.4
  • 1.12.7-asm.2
  • 1.11.8-asm.4

如果您使用的是 Cloud Service Mesh v1.10 或更低版本,则您的版本已达到服务终止期限,不再受支持。这些 CVE 修复尚未反向移植。您应该升级到 Cloud Service Mesh 1.11 或更高版本。如需了解详情,请参阅从早期版本升级 (GKE)从早期版本升级(本地)

CVE-2022-31045

说明 严重程度 备注

如果恶意攻击者传递了高度压缩的小型载荷(也称为 zip 炸弹攻击),则数据可能会超过中间缓冲区限制。

该怎么做?

检查您的集群是否会受到影响

如果您的集群使用低于 1.13.4-asm.4、1.12.7-asm.2 或 1.11.8-asm.4 的 Cloud Service Mesh 补丁版本,则会受到影响。

尽管 Cloud Service Mesh 不支持 Envoy 过滤条件,但如果您使用解压缩过滤条件,则可能会受到影响。

Cloud Service Mesh 缓解措施

将集群升级到以下某个修补后的版本:

  • 1.13.4-asm.4
  • 1.12.7-asm.2
  • 1.11.8-asm.4

如果您使用的是 Cloud Service Mesh v1.10 或更低版本,则您的版本已达到服务终止期限,不再受支持。这些 CVE 修复尚未反向移植。您应该升级到 Cloud Service Mesh 1.11 或更高版本。如需了解详情,请参阅从早期版本升级 (GKE)从早期版本升级(本地)

Envoy 缓解措施

管理自己的 Envoy 的 Envoy 用户应确保使用 Envoy 1.22.1 版。管理自己的 Envoy 的 Envoy 用户从 GitHub 等来源构建二进制文件并进行部署。

运行代管式 Envoy 的用户无需执行任何操作(Google Cloud 提供 Envoy 二进制文件),Cloud 产品将改用 1.22.1 版。

CVE-2022-29225

说明 严重程度 备注

GrpcHealthCheckerImpl 中可能存在 null 指针解引用。

该怎么做?

检查您的集群是否会受到影响

如果您的集群使用低于 1.13.4-asm.4、1.12.7-asm.2 或 1.11.8-asm.4 的 Cloud Service Mesh 补丁版本,则会受到影响。

Cloud Service Mesh 缓解措施

将集群升级到以下某个修补后的版本:

  • 1.13.4-asm.4
  • 1.12.7-asm.2
  • 1.11.8-asm.4

如果您使用的是 Cloud Service Mesh v1.10 或更低版本,则您的版本已达到服务终止期限,不再受支持。这些 CVE 修复尚未反向移植。您应该升级到 Cloud Service Mesh 1.11 或更高版本。如需了解详情,请参阅从早期版本升级 (GKE)从早期版本升级(本地)

Envoy 缓解措施

管理自己的 Envoy 的 Envoy 用户应确保使用 Envoy 1.22.1 版。管理自己的 Envoy 的 Envoy 用户从 GitHub 等来源构建二进制文件并进行部署。

运行代管式 Envoy 的用户无需执行任何操作(Google Cloud 提供 Envoy 二进制文件),Cloud 产品将改用 1.22.1 版。

CVE-2021-29224

说明 严重程度 备注

OAuth 过滤条件允许普通绕过。

该怎么做?

检查您的集群是否会受到影响

如果您的集群使用低于 1.13.4-asm.4、1.12.7-asm.2 或 1.11.8-asm.4 的 Cloud Service Mesh 补丁版本,则会受到影响。

尽管 Cloud Service Mesh 不支持 Envoy 过滤条件,但如果您使用 OAuth 过滤条件,则可能会受到影响。

Cloud Service Mesh 缓解措施

将集群升级到以下某个修补后的版本:

  • 1.13.4-asm.4
  • 1.12.7-asm.2
  • 1.11.8-asm.4

如果您使用的是 Cloud Service Mesh v1.10 或更低版本,则您的版本已达到服务终止期限,不再受支持。这些 CVE 修复尚未反向移植。您应该升级到 Cloud Service Mesh 1.11 或更高版本。如需了解详情,请参阅从早期版本升级 (GKE)从早期版本升级(本地)

Envoy 缓解措施

管理自己的 Envoy 的 Envoy 用户也使用 OAuth 过滤条件,应确保使用 Envoy 1.22.1 版。管理自己的 Envoy 的 Envoy 用户从 GitHub 等来源构建二进制文件并进行部署。

运行代管式 Envoy 的用户无需执行任何操作(Google Cloud 提供 Envoy 二进制文件),Cloud 产品将改用 1.22.1 版。

严重

CVE-2021-29226

说明 严重程度 备注

OAuth 过滤条件可能会损坏内存(较低版本)或触发 ASSERT()(更高版本)。

该怎么做?

检查您的集群是否会受到影响

如果您的集群使用低于 1.13.4-asm.4、1.12.7-asm.2 或 1.11.8-asm.4 的 Cloud Service Mesh 补丁版本,则会受到影响。

尽管 Cloud Service Mesh 不支持 Envoy 过滤条件,但如果您使用 OAuth 过滤条件,则可能会受到影响。

Cloud Service Mesh 缓解措施

将集群升级到以下某个修补后的版本:

  • 1.13.4-asm.4
  • 1.12.7-asm.2
  • 1.11.8-asm.4

如果您使用的是 Cloud Service Mesh v1.10 或更低版本,则您的版本已达到服务终止期限,不再受支持。这些 CVE 修复尚未反向移植。您应该升级到 Cloud Service Mesh 1.11 或更高版本。

Envoy 缓解措施

管理自己的 Envoy 的 Envoy 用户也使用 OAuth 过滤条件,应确保使用 Envoy 1.22.1 版。管理自己的 Envoy 的 Envoy 用户从 GitHub 等来源构建二进制文件并进行部署。

运行代管式 Envoy 的用户无需执行任何操作(Google Cloud 提供 Envoy 二进制文件),Cloud 产品将改用 1.22.1 版。

CVE-2022-29228

说明 严重程度 备注

包含正文或尾部的请求的内部重定向会崩溃。

该怎么做?

检查您的集群是否会受到影响

如果您的集群使用低于 1.13.4-asm.4、1.12.7-asm.2 或 1.11.8-asm.4 的 Cloud Service Mesh 补丁版本,则会受到影响。

Cloud Service Mesh 缓解措施

将集群升级到以下某个修补后的版本:

  • 1.13.4-asm.4
  • 1.12.7-asm.2
  • 1.11.8-asm.4

如果您使用的是 Cloud Service Mesh v1.10 或更低版本,则您的版本已达到服务终止期限,不再受支持。这些 CVE 修复尚未反向移植。您应该升级到 Cloud Service Mesh 1.11 或更高版本。如需了解详情,请参阅从早期版本升级 (GKE)从早期版本升级(本地)

Envoy 缓解措施

管理自己的 Envoy 的 Envoy 用户应确保使用 Envoy 1.22.1 版。管理自己的 Envoy 的 Envoy 用户从 GitHub 等来源构建二进制文件并进行部署。

运行代管式 Envoy 的用户无需执行任何操作(Google Cloud 提供 Envoy 二进制文件),Cloud 产品将改用 1.22.1 版。

CVE-2022-29227

GCP-2022-010

发布日期:2022-03-10
更新日期:2022-03-16
说明 严重程度 备注

Istio 控制层面 (istiod) 容易出现请求处理错误,从而允许恶意攻击者发送特别设计的消息,当用于验证集群的网络钩子公开提供时,会导致控制层面崩溃。此端点通过 TLS 端口 15017 提供,但不需要攻击者进行任何身份验证。

该怎么做?

检查您的集群是否会受到影响

所有 Cloud Service Mesh 版本都会受到此 CVE 的影响。

注意:如果您使用的是代管式控制平面,则此漏洞已修复,您不会受到影响。

应对措施

将集群升级到以下某个修补后的版本:

  • 1.12.5-asm.0
  • 1.11.8-asm.0
  • 1.10.6-asm.2

如果您使用的是 Cloud Service Mesh v1.9 或更低版本,则您的版本已达到服务终止期限,不再受支持。这些 CVE 修复尚未反向移植。您应该升级到 Cloud Service Mesh 1.10 或更高版本。

CVE-2022-24726

GCP-2022-007

发布日期:2022-02-22
说明 严重程度 备注

收到包含特别设计的 authorization 标头的请求时,Istiod 会崩溃。

该怎么做?

检查您的集群是否会受到影响

如果同时满足以下两个条件,则您的集群会受到影响:

  • 它使用 1.12.4-asm.1、1.11.7-asm.1 或 1.10.6-asm.1 之前的 Cloud Service Mesh 补丁程序版本。

注意:如果您使用的是代管式控制平面,则此漏洞已修复,您不会受到影响。

应对措施

将集群升级到以下某个修补后的版本:

  • 1.12.4-asm.1
  • 1.11.7-asm.1
  • 1.10.6-asm.1

如果您使用的是 Cloud Service Mesh v1.9 或更低版本,则您的版本已达到服务终止期限,不再受支持。这些 CVE 修复尚未反向移植。您应该升级到 Cloud Service Mesh 1.10 或更高版本。

CVE-2022-23635

说明 严重程度 备注

使用 JWT 过滤条件 safe_regex 的匹配项时,可能存在 null 指针解引用。

该怎么做?

检查您的集群是否会受到影响

如果同时满足以下两个条件,则您的集群会受到影响:

  • 它使用 1.12.4-asm.1、1.11.7-asm.1 或 1.10.6-asm.1 之前的 Cloud Service Mesh 补丁程序版本。
  • 尽管 Cloud Service Mesh 不支持 Envoy 过滤条件,但如果您使用 JWT 过滤条件正则表达式,则可能会受到影响。
应对措施

将集群升级到以下某个修补后的版本:

  • 1.12.4-asm.1
  • 1.11.7-asm.1
  • 1.10.6-asm.1

如果您使用的是 Cloud Service Mesh v1.9 或更低版本,则您的版本已达到服务终止期限,不再受支持。这些 CVE 修复尚未反向移植。您应该升级到 Cloud Service Mesh 1.10 或更高版本。

CVE-2021-43824

说明 严重程度 备注

如果响应过滤条件增加响应数据且增加的数据超出下游缓冲区限制,则会发生“释放后使用”。

该怎么做?

检查您的集群是否会受到影响

如果同时满足以下两个条件,则您的集群会受到影响:

  • 它使用 1.12.4-asm.1、1.11.7-asm.1 或 1.10.6-asm.1 之前的 Cloud Service Mesh 补丁程序版本。
  • 尽管 Cloud Service Mesh 不支持 Envoy 过滤条件,但如果您使用解压缩过滤条件,则可能会受到影响。
应对措施

将集群升级到以下某个修补后的版本:

  • 1.12.4-asm.1
  • 1.11.7-asm.1
  • 1.10.6-asm.1

如果您使用的是 Cloud Service Mesh v1.9 或更低版本,则您的版本已达到服务终止期限,不再受支持。这些 CVE 修复尚未反向移植。您应该升级到 Cloud Service Mesh 1.10 或更高版本。

CVE-2021-43825

说明 严重程度 备注

通过 HTTP 建立 TCP 隧道时,如果在上游建立连接期间下游断开连接,则会发生“释放后使用”。

该怎么做?

检查您的集群是否会受到影响

如果同时满足以下两个条件,则您的集群会受到影响:

  • 它使用 1.12.4-asm.1、1.11.7-asm.1 或 1.10.6-asm.1 之前的 Cloud Service Mesh 补丁程序版本。
  • 尽管 Cloud Service Mesh 不支持 Envoy 过滤条件,但如果您使用隧道建立过滤条件,则可能会受到影响。
应对措施

将集群升级到以下某个修补后的版本:

  • 1.12.4-asm.1
  • 1.11.7-asm.1
  • 1.10.6-asm.1

如果您使用的是 Cloud Service Mesh v1.9 或更低版本,则您的版本已达到服务终止期限,不再受支持。这些 CVE 修复尚未反向移植。您应该升级到 Cloud Service Mesh 1.10 或更高版本。

CVE-2021-43826

说明 严重程度 备注

由于配置处理不恰当,导致在验证设置发生更改后无需重新验证便可重新使用 mTLS 会话。

该怎么做?

检查您的集群是否会受到影响

如果同时满足以下两个条件,则您的集群会受到影响:

  • 它使用 1.12.4-asm.1、1.11.7-asm.1 或 1.10.6-asm.1 之前的 Cloud Service Mesh 补丁程序版本。
  • 所有使用 mTLS 的 Cloud Service Mesh 服务都会受到此 CVE 的影响。
应对措施

将集群升级到以下某个修补后的版本:

  • 1.12.4-asm.1
  • 1.11.7-asm.1
  • 1.10.6-asm.1

如果您使用的是 Cloud Service Mesh v1.9 或更低版本,则您的版本已达到服务终止期限,不再受支持。这些 CVE 修复尚未反向移植。您应该升级到 Cloud Service Mesh 1.10 或更高版本。

CVE-2022-21654

说明 严重程度 备注

对具有直接响应条目的路由的内部重定向处理错误。

该怎么做?

检查您的集群是否会受到影响

如果同时满足以下两个条件,则您的集群会受到影响:

  • 它使用 1.12.4-asm.1、1.11.7-asm.1 或 1.10.6-asm.1 之前的 Cloud Service Mesh 补丁程序版本。
  • 尽管 Cloud Service Mesh 不支持 Envoy 过滤条件,但如果您使用直接响应过滤条件,则可能会受到影响。
应对措施

将集群升级到以下某个修补后的版本:

  • 1.12.4-asm.1
  • 1.11.7-asm.1
  • 1.10.6-asm.1

如果您使用的是 Cloud Service Mesh v1.9 或更低版本,则您的版本已达到服务终止期限,不再受支持。这些 CVE 修复尚未反向移植。您应该升级到 Cloud Service Mesh 1.10 或更高版本。

CVE-2022-21655

说明 严重程度 备注

通过集群发现服务删除集群时堆栈耗尽。

该怎么做?

检查您的集群是否会受到影响

如果同时满足以下两个条件,则您的集群会受到影响:

  • 它使用 1.12.4-asm.1 或 1.11.7-asm.1 之前的 Cloud Service Mesh 补丁程序版本。
应对措施

将集群升级到以下某个修补后的版本:

  • 1.12.4-asm.1
  • 1.11.7-asm.1

如果您使用的是 Cloud Service Mesh v1.9 或更低版本,则您的版本已达到服务终止期限,不再受支持。这些 CVE 修复尚未反向移植。您应该升级到 Cloud Service Mesh 1.10 或更高版本。

CVE-2022-23606

GCP-2021-016

已发布:2021-08-24
说明 严重程度 备注

Istio 包含一个远程利用漏洞,在该漏洞中,URI 路径中带有片段(URI 末尾以 # 字符开头的部分)的 HTTP 请求可以绕过 Istio 的 URI 路径授权政策。

例如,Istio 授权政策会拒绝发送到 URI 路径 /user/profile 的请求。在易受攻击的版本中,URI 路径为 /user/profile#section1 的请求会绕过拒绝政策并路由到后端(规范化 URI 路径 /user/profile%23section1),从而导致安全突发事件。

此修复依赖于 Envoy 中的修复,该修复与 CVE-2021-32779 相关联。

该怎么做?

检查您的集群是否会受到影响

如果同时满足以下两个条件,则您的集群会受到影响:

应对措施

将集群升级到以下某个修补后的版本:

  • 1.10.4-asm.6
  • 1.9.8-asm.1
  • 1.8.6-asm.8
  • 1.7.8-asm.10

对于新版本,请求的 URI 的片段部分会在授权和路由之前移除。这样可以防止在其 URI 中包含 Fragment 的请求绕过基于 URI 且没有 Fragment 部分的授权政策。

停用

如果您选择停用这种新行为,则 URI 中的片段部分会被保留。如需选择停用,您可以按如下方式配置安装:

apiVersion: install.istio.io/v1alpha1
kind: IstioOperator
metadata:
  name: opt-out-fragment-cve-fix
  namespace: istio-system
spec:
  meshConfig:
    defaultConfig:
      proxyMetadata:
        HTTP_STRIP_FRAGMENT_FROM_PATH_UNSAFE_IF_DISABLED: "false"

注意:如果选择停用此行为,您的集群将容易受到此 CVE 的影响。

CVE-2021-39156

说明 严重程度 备注

Istio 包含的一个远程漏洞,在使用基于 hostsnotHosts 的规则时,HTTP 请求可能会绕过 Istio 授权政策。

在易受攻击的版本中,Istio 授权政策以区分大小写的方式比较 HTTP Host:authority 标头,这与 RFC 4343 不一致。例如,用户可能拥有拒绝主机 secret.com 的请求的授权政策,但攻击者可以通过主机名 Secret.com 发送请求来绕过此政策。路由流程将流量路由到 secret.com 的后端,这会导致安全突发事件。

该怎么做?

检查您的集群是否会受到影响

如果同时满足以下两个条件,则您的集群会受到影响:

应对措施

将集群升级到以下某个修补后的版本:

  • 1.10.4-asm.6
  • 1.9.8-asm.1
  • 1.8.6-asm.8
  • 1.7.8-asm.10

此缓解措施可确保 HTTP Host:authority 标头根据授权政策中的 hostsnotHosts 规范(不区分大小写)进行评估。

CVE-2021-39155

说明 严重程度 备注

Envoy 包含一个远程漏洞,当使用 ext_authz 扩展程序时,具有多个值标头的 HTTP 请求可能会执行不完整的授权政策检查。如果请求标头包含多个值,则外部授权服务器将仅看到给定标头的最后一个值。

该怎么做?

检查您的集群是否会受到影响

如果同时满足以下两个条件,则您的集群会受到影响:

  • 它使用 1.7.8-asm.10、1.8.6-asm.8、1.9.8-asm.1 和 1.10.4-asm.6 之前的 Cloud Service Mesh 补丁版本。
  • 它使用外部授权功能。
应对措施

将集群升级到以下某个修补后的版本:

  • 1.10.4-asm.6
  • 1.9.8-asm.1
  • 1.8.6-asm.8
  • 1.7.8-asm.10

CVE-2021-32777

说明 严重程度 备注

Envoy 包含一个远程漏洞,该漏洞会影响 Envoy 的 decompressorjson-transcodergrpc-web 扩展程序或专有扩展程序,从而修改或增加请求或响应正文的大小。如果修改和增加 Envoy 扩展中正文超出内部缓冲区大小,可能会导致 Envoy 访问取消分配的内存并异常终止。

该怎么做?

检查您的集群是否会受到影响

如果同时满足以下两个条件,则您的集群会受到影响:

  • 它使用 1.7.8-asm.10、1.8.6-asm.8、1.9.8-asm.1 和 1.10.4-asm.6 之前的 Cloud Service Mesh 补丁版本。
  • 它使用 EnvoyFilters
应对措施

将集群升级到以下某个修补后的版本:

  • 1.10.4-asm.6
  • 1.9.8-asm.1
  • 1.8.6-asm.8
  • 1.7.8-asm.10

CVE-2021-32781

说明 严重程度 备注

Envoy 包含一个远程漏洞,利用该漏洞,Envoy 客户端会打开然后重置大量 HTTP/2 请求,可能会导致 CPU 消耗过度。

该怎么做?

检查您的集群是否会受到影响

如果您的集群使用 1.7.8-asm.10、1.8.6-asm.8、1.9.8-asm.1 和 1.10.4-asm.6 之前的 Cloud Service Mesh 补丁版本,则会受到影响。

应对措施

将集群升级到以下某个修补后的版本:

  • 1.10.4-asm.6
  • 1.9.8-asm.1

注意:如果您使用的是 Cloud Service Mesh 1.8 或更早版本,请升级到 Cloud Service Mesh 1.9 及更高版本的最新补丁程序版本,以缓解此漏洞。

CVE-2021-32778

说明 严重程度 备注

Envoy 包含一个远程漏洞,在该漏洞中,不受信任的上游服务可能会导致 Envoy 异常终止,方法是发送 GOAWAY 帧,后跟 SETTINGS 帧,并将 SETTINGS_MAX_CONCURRENT_STREAMS 参数设置为 0

该怎么做?

检查您的集群是否会受到影响

如果您的集群使用 1.10.4-asm.6 之前的 Cloud Service Mesh 1.10 补丁版本,则会受到影响。

应对措施

将集群升级到以下补丁程序版本:

  • 1.10.4-asm.6

CVE-2021-32780

GCP-2021-012

发布日期:2021-06-24
说明 严重程度 备注

Istio 安全 Gateway使用 DestinationRule 的工作负载可以通过 credentialName 配置从 Kubernetes Secret 加载 TLS 私钥和证书。从 Istio 1.8 及更高版本开始,Secret 从 istiod 读取并通过 XDS 传送到网关和工作负载。

通常,网关或工作负载部署只能访问存储在其命名空间内 Secret 中的 TLS 证书和私钥。但是,istiod 中的错误允许有权访问 Istio XDS API 的客户端检索 istiod 中缓存的所有 TLS 证书和私钥。此安全漏洞仅影响 Cloud Service Mesh 1.8 和 1.9 次要版本。

该怎么做?

检查您的集群是否会受到影响

如果满足以下所有条件,则您的集群会受到影响:

  • 我们使用 1.9.6-asm.1 之前的 1.9.x 版本或 1.8.6-asm.4 之前的 1.8.x。
  • 它定义了已指定 credentialName 字段的 GatewaysDestinationRules
  • 它未指定 istiod 标志 PILOT_ENABLE_XDS_CACHE=false
应对措施

将集群升级到以下某个修补后的版本:

  • 1.9.6-asm.1
  • 1.8.6-asm.4

如果升级不可行,您可以通过停用 istiod 缓存来缓解此漏洞。您可以通过将 istiod 环境变量设置为 PILOT_ENABLE_XDS_CACHE=false 来停用缓存。系统和 istiod 性能可能会受到影响,因为这会停用 XDS 缓存。

CVE-2021-34824

GCP-2021-008

发布日期:2021-05-17
说明 严重程度 备注

如果网关配置了 AUTO_PASSTHROUG 路由配置,则 Istio 包含一个远程可利用的漏洞,攻击者可以利用该漏洞访问集群中的意外服务。

该怎么做?

检查您的集群是否会受到影响

此漏洞仅影响 AUTO_PASSTHROUGH 网关类型(通常仅在多网络、多集群部署中使用)。

使用以下命令检测集群中所有网关的 TLS 模式:

kubectl get gateways.networking.istio.io -A -o \
  "custom-columns=NAMESPACE:.metadata.namespace, \
  NAME:.metadata.name,TLS_MODE:.spec.servers[*].tls.mode"

如果输出显示任何 AUTO_PASSTHROUGH 网关,则说明您可能受到了影响。

应对措施

将集群更新到最新版 Cloud Service Mesh 版本:

  • 1.9.5-asm.2
  • 1.8.6-asm.3
  • 1.7.8-asm.8

* 注意:Cloud Service Mesh 代管式控制平面(仅在 1.9.x 版本中提供)的发布将在未来几天内完成。

CVE-2021-31921

GCP-2021-007

发布日期:2021-05-17
说明 严重程度 备注

Istio 包含一个可远程利用的漏洞,在使用基于路径的授权规则时,如果 HTTP 请求包含多个斜杠或转义的斜杠字符(%2F 或 %5C),该请求可以绕过 Istio 授权政策。

如果 Istio 集群管理员定义了授权 DENY 政策来拒绝路径 "/admin" 的请求,则授权政策不会拒绝发送到网址路径 "//admin" 的请求。

根据 RFC 3986 标准,带有多个斜杠的路径 "//admin" 应被视为不同于 "/admin" 的不同路径。但是,某些后端服务选择通过将多个斜杠合并到一个斜杠来标准化网址路径。这可能会绕过授权政策 ("//admin""/admin" 不匹配),用户可以访问后端中 "/admin" 路径的资源。

该怎么做?

检查您的集群是否会受到影响

如果您的集群使用“ALLOW 操作 + notPaths 字段”或“DENY 操作 + paths 字段”模式,您的集群会受到此漏洞的影响。这些模式容易受到意外政策绕过攻击,您应该尽快升级以解决安全问题。

下面是一个使用“DENY 操作 + paths 字段”的易受攻击的政策示例:

apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: deny-path-admin
spec:
  action: DENY
  rules:
  - to:
    - operation:
        paths: ["/admin"]

以下是使用“ALLOW 操作 + notPaths 字段”格式的易受攻击的政策示例:

apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: allow-path-not-admin
spec:
  action: ALLOW
  rules:
  - to:
    - operation:
        notPaths: ["/admin"]

在以下情况下,您的集群不受此漏洞的影响:

  • 您没有授权政策。
  • 您的授权政策未定义 pathsnotPaths 字段。
  • 您的授权政策使用“ALLOW 操作 + paths 字段”或“DENY 操作 + notPaths 字段”模式。这些模式只能导致意外拒绝,而不是绕过政策。
  • 对于这些情况,可选择升级。

应对措施

将集群更新到最新版受支持的 Cloud Service Mesh 版本*。以下版本支持在系统中配置具有更多标准化选项的 Envoy 代理:

  • 1.9.5-asm.2
  • 1.8.6-asm.3
  • 1.7.8-asm.8

* 注意:Cloud Service Mesh 代管式控制平面(仅在 1.9.x 版本中提供)的发布将在未来几天内完成。

按照 Istio 安全最佳做法指南配置您的授权政策。

CVE-2021-31920

GCP-2021-004

发布日期:2021-05-06
说明 严重程度 备注

Envoy 和 Istio 项目最近公布了几个新的安全漏洞(CVE-2021-28682、CVE-2021-28683 和 CVE-2021-29258),攻击者可能会利用这些漏洞导致 Envoy 崩溃,并可能使集群的某些部分脱机且无法访问。

这会影响已交付的服务,例如 Cloud Service Mesh。

该怎么做?

如需修复这些漏洞,请将您的 Cloud Service Mesh 软件包升级到以下某个修补版本:

  • 1.9.3-asm.2
  • 1.8.5-asm.2
  • 1.7.8-asm.1
  • 1.6.14-asm.2

如需了解详情,请参阅 Cloud Service Mesh 版本说明

CVE-2021-28682
CVE-2021-28683
CVE-2021-29258