Boletines de seguridad

Uso después de liberar en la caché de DNS.

¿Qué debo hacer?

Solo se ven afectados los clústeres que ejecutan la versión 1.26 de Cloud Service Mesh en clúster.

Si ejecutas un Cloud Service Mesh gestionado, no te afecta y no tienes que hacer nada.

Si estás usando Cloud Service Mesh 1.26 en clústeres, actualiza los clústeres afectados a la versión 1.26.4-asm.1.

Alta

CVE-2025-54588

Happy Eyeballs: valida que additional_address sean direcciones IP en lugar de fallar al ordenar.

¿Qué debo hacer?

Tu clúster se verá afectado si las versiones del parche son anteriores a las siguientes:

• 1.23.4-asm.1
• 1.22.7-asm.1

En el caso de Cloud Service Mesh en el clúster, actualiza tu clúster a una de las siguientes versiones con parche:

• 1.23.4-asm.1
• 1.22.7-asm.1

Si usas Cloud Service Mesh v1.20 o versiones anteriores, tu lanzamiento ha llegado al final de su ciclo de vida y ya no se admite. Estas correcciones de CVE no se han aplicado a versiones anteriores. Debes actualizar a la versión 1.21 o a una posterior.

En el caso de la malla de servicios de Cloud gestionada, no es necesario hacer nada. Todas las versiones seguirán siendo compatibles y tu sistema se actualizará automáticamente en las próximas semanas.

Medio

CVE-2024-53269

HTTP/1: se produce un error de envío de sobrecarga cuando la solicitud se restablece previamente.

¿Qué debo hacer?

Tu clúster se verá afectado si las versiones del parche son anteriores a las siguientes:

• 1.23.4-asm.1
• 1.22.7-asm.1
• 1.21.5-asm.17
• 1.20.8-asm.14
• 1.19.10-asm.24

En el caso de Cloud Service Mesh en el clúster, actualiza tu clúster a una de las siguientes versiones con parche:

• 1.23.4-asm.1
• 1.22.7-asm.1
• 1.21.5-asm.17

Si usas Cloud Service Mesh v1.20 o versiones anteriores, tu lanzamiento ha llegado al final de su ciclo de vida y ya no se admite. Si usas Cloud Service Mesh v1.20 o versiones anteriores, tu versión ha llegado al final de su ciclo de vida y ya no se admite. Estas correcciones de CVE no se han aplicado a versiones anteriores. Debes actualizar a la versión 1.21 o a una posterior.

En el caso de la malla de servicios de Cloud gestionada, no es necesario hacer nada. Todas las versiones seguirán siendo compatibles y tu sistema se actualizará automáticamente en las próximas semanas.

Alta

CVE-2024-53270

HTTP/1.1: varios problemas con envoy.reloadable_features.http1_balsa_delay_reset.

¿Qué debo hacer?

Tu clúster se verá afectado si las versiones del parche son anteriores a las siguientes:

• 1.23.4-asm.1

En el caso de Cloud Service Mesh en el clúster, actualiza tu clúster a una de las siguientes versiones con parche:

• 1.23.4-asm.1

Si usas Cloud Service Mesh v1.20 o versiones anteriores, tu lanzamiento ha llegado al final de su ciclo de vida y ya no se admite. Si usas Cloud Service Mesh v1.20 o una versión anterior, tu lanzamiento ha llegado al final de su ciclo de vida y ya no se admite. Estas correcciones de CVE no se han aplicado a versiones anteriores. Debes actualizar a la versión 1.21 o a una posterior.

En el caso de la malla de servicios de Cloud gestionada, no es necesario hacer nada. Todas las versiones seguirán siendo compatibles y tu sistema se actualizará automáticamente en las próximas semanas.

Alta

CVE-2024-53271

Fallo de oghttp2 en OnBeginHeadersForStream

¿Qué debo hacer?

Solo se ven afectados los clústeres que ejecutan Cloud Service Mesh v1.23

Cloud Service Mesh 1.23.2-asm.2 contiene la corrección de este problema. No tienes que hacer nada.

Alta

CVE-2024-45807

Inyección de registros malintencionada a través de registros de acceso

¿Qué debo hacer?

Todas las versiones de Cloud Service Mesh se ven afectadas por esta CVE.

Actualiza tu clúster a una de las siguientes versiones parcheadas:

• 1.20.8-asm.7
• 1.21.5-asm.7
• 1.22.5-asm.1
• 1.23.2-asm.2

Medio

CVE-2024-45808

Posibilidad de manipular los encabezados `x-envoy` de fuentes externas

¿Qué debo hacer?

Todas las versiones de Cloud Service Mesh se ven afectadas por esta CVE.

Actualiza tu clúster a una de las siguientes versiones parcheadas:

• 1.20.8-asm.7
• 1.21.5-asm.7
• 1.22.5-asm.1
• 1.23.2-asm.2

Medio

CVE-2024-45806

Error del filtro JWT al borrar la caché de rutas con JWKs remotos

¿Qué debo hacer?

Todas las versiones de Cloud Service Mesh se ven afectadas por esta CVE.

Actualiza tu clúster a una de las siguientes versiones parcheadas:

• 1.20.8-asm.7
• 1.21.5-asm.7
• 1.22.5-asm.1
• 1.23.2-asm.2

Medio

CVE-2024-45809

Envoy falla en LocalReply en el cliente asíncrono http

¿Qué debo hacer?

Todas las versiones de Cloud Service Mesh se ven afectadas por esta CVE.

Actualiza tu clúster a una de las siguientes versiones parcheadas:

• 1.20.8-asm.7
• 1.21.5-asm.7
• 1.22.5-asm.1
• 1.23.2-asm.2

Medio

CVE-2024-45810

Envoy acepta incorrectamente la respuesta HTTP 200 para entrar en el modo de actualización.

¿Qué debo hacer?

Todas las versiones de Cloud Service Mesh se ven afectadas por esta CVE.

Si utilizas Cloud Service Mesh gestionado, tu sistema se actualizará automáticamente en los próximos días.

De lo contrario, actualiza tu clúster a una de las siguientes versiones parcheadas:

• v1.21.3-asm.3
• v1.20.7-asm.2
• v1.19.10-asm.6
• v1.18.7-asm.26
• Si usas Cloud Service Mesh v1.17 o una versión anterior, tu lanzamiento ha llegado al final de su ciclo de vida y ya no se admite. Estas correcciones de CVE no se han aplicado a versiones anteriores. Debes actualizar a Cloud Service Mesh 1.18 o una versión posterior.

Medio

CVE-2024-23326

Accidente en EnvoyQuicServerStream::OnInitialHeadersComplete().

¿Qué debo hacer?

Todas las versiones de Cloud Service Mesh se ven afectadas por esta CVE.

Si utilizas Cloud Service Mesh gestionado, tu sistema se actualizará automáticamente en los próximos días.

De lo contrario, actualiza tu clúster a una de las siguientes versiones parcheadas:

• v1.21.3-asm.3
• v1.20.7-asm.2
• v1.19.10-asm.6
• v1.18.7-asm.26
• Si usas Cloud Service Mesh v1.17 o una versión anterior, tu lanzamiento ha llegado al final de su ciclo de vida y ya no se admite. Estas correcciones de CVE no se han aplicado a versiones anteriores. Debes actualizar a Cloud Service Mesh 1.18 o una versión posterior.

Medio

CVE-2024-32974

Fallo en QuicheDataReader::PeekVarInt62Length().

¿Qué debo hacer?

Todas las versiones de Cloud Service Mesh se ven afectadas por esta CVE.

Si utilizas Cloud Service Mesh gestionado, tu sistema se actualizará automáticamente en los próximos días.

De lo contrario, actualiza tu clúster a una de las siguientes versiones parcheadas:

• v1.21.3-asm.3
• v1.20.7-asm.2
• v1.19.10-asm.6
• v1.18.7-asm.26
• Si usas Cloud Service Mesh v1.17 o una versión anterior, tu lanzamiento ha llegado al final de su ciclo de vida y ya no se admite. Estas correcciones de CVE no se han aplicado a versiones anteriores. Debes actualizar a Cloud Service Mesh 1.18 o una versión posterior.

Medio

CVE-2024-32975

Bucle infinito al descomprimir datos de Brotli con entradas adicionales.

¿Qué debo hacer?

Todas las versiones de Cloud Service Mesh se ven afectadas por esta CVE.

Si utilizas Cloud Service Mesh gestionado, tu sistema se actualizará automáticamente en los próximos días.

De lo contrario, actualiza tu clúster a una de las siguientes versiones parcheadas:

• v1.21.3-asm.3
• v1.20.7-asm.2
• v1.19.10-asm.6
• v1.18.7-asm.26
• Si usas Cloud Service Mesh v1.17 o una versión anterior, tu lanzamiento ha llegado al final de su ciclo de vida y ya no se admite. Estas correcciones de CVE no se han aplicado a versiones anteriores. Debes actualizar a Cloud Service Mesh 1.18 o una versión posterior.

Alta

CVE-2024-32976

Fallo (uso después de liberar) en EnvoyQuicServerStream.

¿Qué debo hacer?

Todas las versiones de Cloud Service Mesh se ven afectadas por esta CVE.

Si utilizas Cloud Service Mesh gestionado, tu sistema se actualizará automáticamente en los próximos días.

De lo contrario, actualiza tu clúster a una de las siguientes versiones parcheadas:

• v1.21.3-asm.3
• v1.20.7-asm.2
• v1.19.10-asm.6
• v1.18.7-asm.26
• Si usas Cloud Service Mesh v1.17 o una versión anterior, tu lanzamiento ha llegado al final de su ciclo de vida y ya no se admite. Estas correcciones de CVE no se han aplicado a versiones anteriores. Debes actualizar a Cloud Service Mesh 1.18 o una versión posterior.

Medio

CVE-2024-34362

Se produce un error debido a una excepción JSON de nlohmann no detectada.

¿Qué debo hacer?

Todas las versiones de Cloud Service Mesh se ven afectadas por esta CVE.

Si utilizas Cloud Service Mesh gestionado, tu sistema se actualizará automáticamente en los próximos días.

De lo contrario, actualiza tu clúster a una de las siguientes versiones parcheadas:

• v1.21.3-asm.3
• v1.20.7-asm.2
• v1.19.10-asm.6
• v1.18.7-asm.26
• Si usas Cloud Service Mesh v1.17 o una versión anterior, tu lanzamiento ha llegado al final de su ciclo de vida y ya no se admite. Estas correcciones de CVE no se han aplicado a versiones anteriores. Debes actualizar a Cloud Service Mesh 1.18 o una versión posterior.

Alta

CVE-2024-34363

Vector OOM de Envoy del cliente asíncrono HTTP con un búfer de respuesta ilimitado para la respuesta de réplica.

¿Qué debo hacer?

Todas las versiones de Cloud Service Mesh se ven afectadas por esta CVE.

Si utilizas Cloud Service Mesh gestionado, tu sistema se actualizará automáticamente en los próximos días.

De lo contrario, actualiza tu clúster a una de las siguientes versiones parcheadas:

• v1.21.3-asm.3
• v1.20.7-asm.2
• v1.19.10-asm.6
• v1.18.7-asm.26
• Si usas Cloud Service Mesh v1.17 o una versión anterior, tu lanzamiento ha llegado al final de su ciclo de vida y ya no se admite. Estas correcciones de CVE no se han aplicado a versiones anteriores. Debes actualizar a Cloud Service Mesh 1.18 o una versión posterior.

Medio

CVE-2024-34364

HTTP/2: agotamiento de la memoria debido a una inundación de tramas CONTINUATION.

¿Qué debo hacer?

Todas las versiones de Cloud Service Mesh se ven afectadas por esta CVE.

Si ejecutas Cloud Service Mesh gestionado, no tienes que hacer nada. Tu sistema se actualizará automáticamente en los próximos días.

Si ejecutas Cloud Service Mesh en el clúster, debes actualizarlo a una de las siguientes versiones con parche:

• 1.20.6-asm.0
• 1.19.10-asm.0
• 1.18.7-asm.21

Si usas Cloud Service Mesh v1.17 o una versión anterior, tu lanzamiento ha llegado al final de su ciclo de vida y ya no se admite. Estas correcciones de CVE no se han aplicado a versiones anteriores. Debes actualizar a Cloud Service Mesh v1.18 o una versión posterior.

Alta

CVE-2024-27919

HTTP/2: agotamiento de la CPU debido a una inundación de tramas CONTINUATION

¿Qué debo hacer?

Todas las versiones de Cloud Service Mesh se ven afectadas por esta CVE.

Si ejecutas Cloud Service Mesh gestionado, no tienes que hacer nada. Tu sistema se actualizará automáticamente en los próximos días.

Si ejecutas Cloud Service Mesh en el clúster, debes actualizarlo a una de las siguientes versiones con parche:

• 1.20.6-asm.0
• 1.19.10-asm.0
• 1.18.7-asm.21

Si usas Cloud Service Mesh v1.17 o una versión anterior, tu lanzamiento ha llegado al final de su ciclo de vida y ya no se admite. Estas correcciones de CVE no se han aplicado a versiones anteriores. Debes actualizar a Cloud Service Mesh 1.18 o una versión posterior.

Medio

CVE-2024-30255

Terminación anormal al usar auto_sni con un encabezado ":authority" de más de 255 caracteres.

¿Qué debo hacer?

Todas las versiones de Cloud Service Mesh se ven afectadas por esta CVE.

Si ejecutas Cloud Service Mesh gestionado, no tienes que hacer nada. Tu sistema se actualizará automáticamente en los próximos días.

Si ejecutas Cloud Service Mesh en el clúster, debes actualizarlo a una de las siguientes versiones con parche:

• 1.20.6-asm.0
• 1.19.10-asm.0
• 1.18.7-asm.21

Si usas Cloud Service Mesh v1.17 o una versión anterior, tu lanzamiento ha llegado al final de su ciclo de vida y ya no se admite. Estas correcciones de CVE no se han aplicado a versiones anteriores. Debes actualizar a Cloud Service Mesh 1.18 o una versión posterior.

Alta

CVE-2024-32475

Los marcos CONTINUATION de HTTP/2 se pueden utilizar para ataques DoS.

¿Qué debo hacer?

Todas las versiones de Cloud Service Mesh se ven afectadas por esta CVE.

Si ejecutas Cloud Service Mesh gestionado, no tienes que hacer nada. Tu sistema se actualizará automáticamente en los próximos días.

Si ejecutas Cloud Service Mesh en el clúster, debes actualizarlo a una de las siguientes versiones con parche:

• 1.20.6-asm.0
• 1.19.10-asm.0
• 1.18.7-asm.21

Si usas Cloud Service Mesh v1.17 o una versión anterior, tu lanzamiento ha llegado al final de su ciclo de vida y ya no se admite. Estas correcciones de CVE no se han aplicado a versiones anteriores. Debes actualizar a la versión 1.18 o a una posterior.

Sin proporcionar

CVE-2023-45288

Envoy falla cuando está inactivo y se produce un tiempo de espera de solicitudes por intento dentro del intervalo de retardo.

¿Qué debo hacer?

Si ejecutas Cloud Service Mesh gestionado, no tienes que hacer nada. Tu sistema se actualizará automáticamente en los próximos días.

Si ejecutas Cloud Service Mesh en el clúster, debes actualizarlo a una de las siguientes versiones con parche:

• 1.20.3-asm.4
• 1.19.7-asm.3
• 1.18.7-asm.4
• 1.17.8-asm.20

Si usas Anthos Service Mesh 1.17 o una versión anterior, tu lanzamiento ha llegado al final de su ciclo de vida y ya no se admite. Aunque estas correcciones de CVE se han aplicado a la versión 1.17, te recomendamos que actualices a la versión 1.18 o a una posterior.

Alta

CVE-2024-23322

Uso excesivo de CPU cuando el matcher de plantillas URI se configura mediante una expresión regular.

¿Qué debo hacer?

Si ejecutas Cloud Service Mesh gestionado, no tienes que hacer nada. Tu sistema se actualizará automáticamente en los próximos días.

Si ejecutas Cloud Service Mesh en el clúster, debes actualizarlo a una de las siguientes versiones con parche:

• 1.20.3-asm.4
• 1.19.7-asm.3
• 1.18.7-asm.4
• 1.17.8-asm.20

Si usas Anthos Service Mesh 1.17 o una versión anterior, tu lanzamiento ha llegado al final de su ciclo de vida y ya no se admite. Aunque estas correcciones de CVE se han aplicado a la versión 1.17, te recomendamos que actualices a la versión 1.18 o a una posterior.

Medio

CVE-2024-23323

La autorización externa se puede omitir cuando el filtro del protocolo Proxy define metadatos UTF-8 no válidos.

¿Qué debo hacer?

Si ejecutas Cloud Service Mesh gestionado, no tienes que hacer nada. Tu sistema se actualizará automáticamente en los próximos días.

Si ejecutas Cloud Service Mesh en el clúster, debes actualizarlo a una de las siguientes versiones con parche:

• 1.20.3-asm.4
• 1.19.7-asm.3
• 1.18.7-asm.4
• 1.17.8-asm.20

Si usas Anthos Service Mesh 1.17 o una versión anterior, tu lanzamiento ha llegado al final de su ciclo de vida y ya no se admite. Aunque estas correcciones de CVE se han aplicado a la versión 1.17, te recomendamos que actualices a la versión 1.18 o a una posterior.

Alta

CVE-2024-23324

Envoy falla al usar un tipo de dirección que no es compatible con el SO.

¿Qué debo hacer?

Si ejecutas Cloud Service Mesh gestionado, no tienes que hacer nada. Tu sistema se actualizará automáticamente en los próximos días.

Si ejecutas Cloud Service Mesh en el clúster, debes actualizarlo a una de las siguientes versiones con parche:

• 1.20.3-asm.4
• 1.19.7-asm.3
• 1.18.7-asm.4
• 1.17.8-asm.20

Si usas Anthos Service Mesh 1.17 o una versión anterior, tu lanzamiento ha llegado al final de su ciclo de vida y ya no se admite. Aunque estas correcciones de CVE se han aplicado a la versión 1.17, te recomendamos que actualices a la versión 1.18 o a una posterior.

Alta

CVE-2024-23325

Se produce un fallo en el protocolo proxy cuando el tipo de comando es LOCAL.

¿Qué debo hacer?

Si ejecutas Cloud Service Mesh gestionado, no tienes que hacer nada. Tu sistema se actualizará automáticamente en los próximos días.

Si ejecutas Cloud Service Mesh en el clúster, debes actualizarlo a una de las siguientes versiones con parche:

• 1.20.3-asm.4
• 1.19.7-asm.3
• 1.18.7-asm.4
• 1.17.8-asm.20

Si usas Anthos Service Mesh 1.17 o una versión anterior, tu lanzamiento ha llegado al final de su ciclo de vida y ya no se admite. Aunque estas correcciones de CVE se han aplicado a la versión 1.17, te recomendamos que actualices a la versión 1.18 o a una posterior.

Alta

CVE-2024-23327

Un ataque de denegación de servicio puede afectar al plano de datos cuando se usa el protocolo HTTP/2.

¿Qué debo hacer?

Tu clúster se verá afectado si usa versiones de parche de Cloud Service Mesh anteriores a la 1.18.4, la 1.17.7 o la 1.16.7.

Actualiza tu clúster a una de las siguientes versiones parcheadas:

• 1.18.4-asm.0
• 1.17.7-asm.0
• 1.16.7-asm.10

Si utilizas Cloud Service Mesh gestionado, tu sistema se actualizará automáticamente en los próximos días.

Si usas Cloud Service Mesh v1.15 o una versión anterior, tu lanzamiento ha llegado al final de su ciclo de vida y ya no se admite. Estas correcciones de CVE no se han aplicado a versiones anteriores. Deberías actualizar a la versión 1.16 o posterior.

Alta

CVE-2023-44487

Un cliente malintencionado puede crear credenciales con validez permanente en algunos casos concretos. Por ejemplo, la combinación de host y tiempo de vencimiento de la carga útil de HMAC siempre puede ser válida en la comprobación de HMAC del filtro OAuth2.

¿Qué debo hacer?

Tu clúster se verá afectado si usa versiones de parche de Cloud Service Mesh anteriores a

• 1.17.4
• 1.16.6
• 1.15.7

Actualiza tu clúster a una de las siguientes versiones parcheadas:

• 1.17.5-asm.0
• 1.16.7-asm.0
• 1.15.7-asm.23

Si utilizas Cloud Service Mesh gestionado, tu sistema se actualizará automáticamente en los próximos días.

Si usas Anthos Service Mesh 1.14 o una versión anterior, tu lanzamiento ha llegado al final de su ciclo de vida y ya no se admite. Estas correcciones de CVE no se han aplicado a versiones anteriores. Deberías actualizar a ASM 1.15 o una versión posterior.

Alta

CVE-2023-35941

Los registradores de acceso gRPC que usan el ámbito global del listener pueden provocar un fallo de uso después de liberar cuando se agota el listener. Esto se puede activar mediante una actualización de LDS con la misma configuración de registro de acceso de gRPC.

¿Qué debo hacer?

Tu clúster se verá afectado si usa versiones de parche de Cloud Service Mesh anteriores a

• 1.17.4
• 1.16.6
• 1.15.7

Actualiza tu clúster a una de las siguientes versiones parcheadas:

• 1.17.5-asm.0
• 1.16.7-asm.0
• 1.15.7-asm.23

Si utilizas Cloud Service Mesh gestionado, tu sistema se actualizará automáticamente en los próximos días.

Si usas Anthos Service Mesh 1.14 o una versión anterior, tu lanzamiento ha llegado al final de su ciclo de vida y ya no se admite. Estas correcciones de CVE no se han aplicado a versiones anteriores. Deberías actualizar a ASM 1.15 o una versión posterior.

Medio

CVE-2023-35942

Si el encabezado origin se configura para que se elimine con request_headers_to_remove: origin, el filtro CORS provocará un error de segmentación y Envoy fallará.

¿Qué debo hacer?

Tu clúster se verá afectado si usa versiones de parche de Cloud Service Mesh anteriores a

• 1.17.4
• 1.16.6
• 1.15.7

Actualiza tu clúster a una de las siguientes versiones parcheadas:

• 1.17.5-asm.0
• 1.16.7-asm.0
• 1.15.7-asm.23

Si utilizas Cloud Service Mesh gestionado, tu sistema se actualizará automáticamente en los próximos días.

Si usas Anthos Service Mesh 1.14 o una versión anterior, tu lanzamiento ha llegado al final de su ciclo de vida y ya no se admite. Estas correcciones de CVE no se han aplicado a versiones anteriores. Deberías actualizar a ASM 1.15 o una versión posterior.

Medio

CVE-2023-35943

Los atacantes pueden enviar solicitudes de esquemas mixtos para eludir algunas comprobaciones de esquemas en Envoy. Por ejemplo, si se envía una solicitud con el esquema mixto htTp al filtro OAuth2, no superará las comprobaciones de coincidencia exacta de http e informará al endpoint remoto de que el esquema es https, lo que podría eludir las comprobaciones de OAuth2 específicas de las solicitudes HTTP.

¿Qué debo hacer?

Tu clúster se verá afectado si usa versiones de parche de Cloud Service Mesh anteriores a

• 1.17.4
• 1.16.6
• 1.15.7

Actualiza tu clúster a una de las siguientes versiones parcheadas:

• 1.17.5-asm.0
• 1.16.7-asm.0
• 1.15.7-asm.23

Si utilizas Cloud Service Mesh gestionado, tu sistema se actualizará automáticamente en los próximos días.

Si usas Anthos Service Mesh 1.14 o una versión anterior, tu lanzamiento ha llegado al final de su ciclo de vida y ya no se admite. Estas correcciones de CVE no se han aplicado a versiones anteriores. Deberías actualizar a ASM 1.15 o una versión posterior.

Alta

CVE-2023-35944

Una respuesta diseñada específicamente de un servicio upstream no fiable puede provocar una denegación de servicio por agotamiento de la memoria. Esto se debe al códec HTTP/2 de Envoy, que puede filtrar un mapa de encabezado y estructuras de registro al recibir RST_STREAM inmediatamente después de los marcos GOAWAY de un servidor upstream.

¿Qué debo hacer?

Tu clúster se verá afectado si usa versiones de parche de Cloud Service Mesh anteriores a

• 1.17.4
• 1.16.6
• 1.15.7

Actualiza tu clúster a una de las siguientes versiones parcheadas:

• 1.17.4-asm.2
• 1.16.6-asm.3
• 1.15.7-asm.21

Si utilizas Cloud Service Mesh gestionado, tu sistema se actualizará automáticamente en los próximos días.

Si usas Anthos Service Mesh 1.14 o una versión anterior, tu lanzamiento ha llegado al final de su ciclo de vida y ya no se admite. Estas correcciones de CVE no se han aplicado a versiones anteriores. Deberías actualizar a ASM 1.15 o una versión posterior.

Alta

CVE-2023-35945

Si Envoy se ejecuta con el filtro OAuth habilitado, un agente malintencionado podría crear una solicitud que provocaría una denegación de servicio al bloquear Envoy.

¿Qué debo hacer?

Tus clústeres se verán afectados si usan versiones de parche de Cloud Service Mesh anteriores a las siguientes:

• 1.16.4
• 1.15.7
• 1.14.6

Actualiza tu clúster a una de las siguientes versiones parcheadas:

• 1.16.4-asm.2
• 1.15.7-asm.1
• 1.14.6-asm.11

Si usas Cloud Service Mesh v1.13 o una versión anterior, tu lanzamiento ha llegado al final de su ciclo de vida y ya no se admite. Estas correcciones de CVE no se han aplicado a versiones anteriores. Debes actualizar a Cloud Service Mesh 1.14 o una versión posterior.

Medio

CVE-2023-27496

El atacante puede usar esta vulnerabilidad para eludir las comprobaciones de autenticación cuando se usa ext_authz.

¿Qué debo hacer?

Tus clústeres se verán afectados si usan versiones de parche de Cloud Service Mesh anteriores a las siguientes:

• 1.16.4
• 1.15.7
• 1.14.6

Actualiza tu clúster a una de las siguientes versiones parcheadas:

• 1.16.4-asm.2
• 1.15.7-asm.1
• 1.14.6-asm.11

Si usas Cloud Service Mesh v1.13 o una versión anterior, tu lanzamiento ha llegado al final de su ciclo de vida y ya no se admite. Estas correcciones de CVE no se han aplicado a versiones anteriores. Debes actualizar a Cloud Service Mesh 1.14 o una versión posterior.

Medio

CVE-2023-27488

La configuración de Envoy también debe incluir una opción para añadir encabezados de solicitud que se hayan generado a partir de las entradas de la solicitud, es decir, el SAN del certificado de peer.

¿Qué debo hacer?

Tus clústeres se verán afectados si usan versiones de parche de Cloud Service Mesh anteriores a las siguientes:

• 1.16.4
• 1.15.7
• 1.14.6

Actualiza tu clúster a una de las siguientes versiones parcheadas:

• 1.16.4-asm.2
• 1.15.7-asm.1
• 1.14.6-asm.11

Si usas Cloud Service Mesh v1.13 o una versión anterior, tu lanzamiento ha llegado al final de su ciclo de vida y ya no se admite. Estas correcciones de CVE no se han aplicado a versiones anteriores. Debes actualizar a Cloud Service Mesh 1.14 o una versión posterior.

Alta

CVE-2023-27493

Los atacantes pueden enviar cuerpos de solicitud grandes para rutas que tengan habilitado el filtro Lua y provocar fallos.

¿Qué debo hacer?

Tus clústeres se verán afectados si usan versiones de parche de Cloud Service Mesh anteriores a las siguientes:

• 1.16.4
• 1.15.7
• 1.14.6

Actualiza tu clúster a una de las siguientes versiones parcheadas:

• 1.16.4-asm.2
• 1.15.7-asm.1
• 1.14.6-asm.11

Si usas Cloud Service Mesh v1.13 o una versión anterior, tu lanzamiento ha llegado al final de su ciclo de vida y ya no se admite. Estas correcciones de CVE no se han aplicado a versiones anteriores. Debes actualizar a Cloud Service Mesh 1.14 o una versión posterior.

Medio

CVE-2023-27492

Los atacantes pueden enviar solicitudes HTTP/2 o HTTP/3 diseñadas específicamente para activar errores de análisis en el servicio upstream HTTP/1.

¿Qué debo hacer?

Tus clústeres se verán afectados si usan versiones de parche de Cloud Service Mesh anteriores a las siguientes:

• 1.16.4
• 1.15.7
• 1.14.6

Actualiza tu clúster a una de las siguientes versiones parcheadas:

• 1.16.4-asm.2
• 1.15.7-asm.1
• 1.14.6-asm.11

Si usas Cloud Service Mesh v1.13 o una versión anterior, tu lanzamiento ha llegado al final de su ciclo de vida y ya no se admite. Estas correcciones de CVE no se han aplicado a versiones anteriores. Debes actualizar a Cloud Service Mesh 1.14 o una versión posterior.

Medio

CVE-2023-27491

El encabezado x-envoy-original-path debería ser un encabezado interno, pero Envoy no lo elimina de la solicitud al principio del procesamiento de la solicitud cuando se envía desde un cliente no fiable.

¿Qué debo hacer?

Tus clústeres se verán afectados si usan versiones de parche de Cloud Service Mesh anteriores a las siguientes:

• 1.16.4
• 1.15.7
• 1.14.6

Actualiza tu clúster a una de las siguientes versiones parcheadas:

• 1.16.4-asm.2
• 1.15.7-asm.1
• 1.14.6-asm.11

Si usas Cloud Service Mesh v1.13 o una versión anterior, tu lanzamiento ha llegado al final de su ciclo de vida y ya no se admite. Estas correcciones de CVE no se han aplicado a versiones anteriores. Debes actualizar a Cloud Service Mesh 1.14 o una versión posterior.

Alta

CVE-2023-27487

El plano de control de Istio istiod es vulnerable a un error de procesamiento de solicitudes, lo que permite que un atacante malintencionado envíe un mensaje especialmente diseñado que provoque que el plano de control falle cuando el webhook de validación de un clúster se exponga públicamente. Este endpoint se sirve a través del puerto TLS 15017, pero no requiere ninguna autenticación por parte del atacante.

¿Qué debo hacer?

Tu clúster se verá afectado si usa versiones de parche de Cloud Service Mesh anteriores a la 1.14.4, la 1.13.8 o la 1.12.9.

Si estás usando Cloud Service Mesh como servicio independiente, actualiza tu clúster a una de las siguientes versiones parcheadas:

• Si usas Anthos Service Mesh 1.14, actualiza a la versión 1.14.4-asm.2.
• Si usas Anthos Service Mesh 1.13, actualiza a la versión 1.13.8-asm.4.
• Si usas Anthos Service Mesh 1.12, actualiza a la versión 1.12.9-asm.3.

Si utilizas Cloud Service Mesh gestionado, tu sistema se actualizará automáticamente en los próximos días.

Si usas Cloud Service Mesh v1.11 o una versión anterior, tu lanzamiento ha llegado al final de su ciclo de vida y ya no se admite. Estas correcciones de CVE no se han aplicado a versiones anteriores. Debes actualizar a Cloud Service Mesh 1.12 o una versión posterior.

Alta

CVE-2022-39278

El plano de datos de Istio puede acceder a la memoria de forma no segura cuando las extensiones Metadata Exchange y Stats están habilitadas.

¿Qué debo hacer?

Tu clúster se verá afectado si usa versiones de parche de Cloud Service Mesh anteriores a 1.13.4-asm.4, 1.12.7-asm.2 o 1.11.8-asm.4.

Actualiza tu clúster a una de las siguientes versiones parcheadas:

• 1.13.4-asm.4
• 1.12.7-asm.2
• 1.11.8-asm.4

Si usas Cloud Service Mesh v1.10 o una versión anterior, tu lanzamiento ha llegado al final de su ciclo de vida y ya no se admite. Estas correcciones de CVE no se han aplicado a versiones anteriores. Debes actualizar a Cloud Service Mesh 1.11 o una versión posterior. Para obtener más información, consulta Actualizar desde versiones anteriores (GKE) o Actualizar desde versiones anteriores (local).

Alta

CVE-2022-31045

Los datos pueden superar los límites del búfer intermedio si un atacante malintencionado envía una carga útil pequeña y muy comprimida (también conocida como ataque de bomba ZIP).

¿Qué debo hacer?

Tu clúster se verá afectado si usa versiones de parche de Cloud Service Mesh anteriores a 1.13.4-asm.4, 1.12.7-asm.2 o 1.11.8-asm.4.

Aunque Cloud Service Mesh no admite filtros de Envoy, es posible que te veas afectado si usas un filtro de descompresión.

Actualiza tu clúster a una de las siguientes versiones parcheadas:

• 1.13.4-asm.4
• 1.12.7-asm.2
• 1.11.8-asm.4

Si usas Cloud Service Mesh v1.10 o una versión anterior, tu lanzamiento ha llegado al final de su ciclo de vida y ya no se admite. Estas correcciones de CVE no se han aplicado a versiones anteriores. Debes actualizar a Cloud Service Mesh 1.11 o una versión posterior. Para obtener más información, consulta Actualizar desde versiones anteriores (GKE) o Actualizar desde versiones anteriores (local).

Los usuarios de Envoy que gestionen sus propios dispositivos Envoy deben asegurarse de que están usando la versión 1.22.1 de Envoy. Los usuarios de Envoy que gestionan sus propios Envoys compilan los archivos binarios a partir de una fuente como GitHub y los implementan.

Los usuarios que ejecuten Envoys gestionados (Google Cloud proporciona los archivos binarios de Envoy) no tienen que hacer nada, ya que los productos en la nube cambiarán a la versión 1.22.1.

Alta

CVE-2022-29225

Posible desreferencia de puntero nulo en GrpcHealthCheckerImpl.

¿Qué debo hacer?

Tu clúster se verá afectado si usa versiones de parche de Cloud Service Mesh anteriores a 1.13.4-asm.4, 1.12.7-asm.2 o 1.11.8-asm.4.

Actualiza tu clúster a una de las siguientes versiones parcheadas:

• 1.13.4-asm.4
• 1.12.7-asm.2
• 1.11.8-asm.4

Si usas Cloud Service Mesh v1.10 o una versión anterior, tu lanzamiento ha llegado al final de su ciclo de vida y ya no se admite. Estas correcciones de CVE no se han aplicado a versiones anteriores. Debes actualizar a Cloud Service Mesh 1.11 o una versión posterior. Para obtener más información, consulta Actualizar desde versiones anteriores (GKE) o Actualizar desde versiones anteriores (local).

Los usuarios de Envoy que gestionen sus propios dispositivos Envoy deben asegurarse de que están usando la versión 1.22.1 de Envoy. Los usuarios de Envoy que gestionan sus propios Envoys compilan los archivos binarios a partir de una fuente como GitHub y los implementan.

Los usuarios que ejecuten Envoys gestionados (Google Cloud proporciona los archivos binarios de Envoy) no tienen que hacer nada, ya que los productos en la nube cambiarán a la versión 1.22.1.

Medio

CVE-2021-29224

El filtro de OAuth permite una elusión trivial.

¿Qué debo hacer?

Tu clúster se verá afectado si usa versiones de parche de Cloud Service Mesh anteriores a 1.13.4-asm.4, 1.12.7-asm.2 o 1.11.8-asm.4.

Aunque Cloud Service Mesh no admite filtros de Envoy, es posible que te veas afectado si usas un filtro OAuth.

Actualiza tu clúster a una de las siguientes versiones parcheadas:

• 1.13.4-asm.4
• 1.12.7-asm.2
• 1.11.8-asm.4

Si usas Cloud Service Mesh v1.10 o una versión anterior, tu lanzamiento ha llegado al final de su ciclo de vida y ya no se admite. Estas correcciones de CVE no se han aplicado a versiones anteriores. Debes actualizar a Cloud Service Mesh 1.11 o una versión posterior. Para obtener más información, consulta Actualizar desde versiones anteriores (GKE) o Actualizar desde versiones anteriores (local).

Los usuarios de Envoy que gestionen sus propios Envoy y usen el filtro OAuth deben asegurarse de que utilizan la versión 1.22.1 de Envoy. Los usuarios de Envoy que gestionan sus propios Envoy compilan los archivos binarios a partir de una fuente como GitHub y los implementan.

Los usuarios que ejecuten Envoys gestionados (Google Cloud proporciona los archivos binarios de Envoy) no tienen que hacer nada, ya que los productos en la nube cambiarán a la versión 1.22.1.

Crítica

CVE-2021-29226

El filtro OAuth puede dañar la memoria (versiones anteriores) o activar un ASSERT() (versiones posteriores).

¿Qué debo hacer?

Tu clúster se verá afectado si usa versiones de parche de Cloud Service Mesh anteriores a 1.13.4-asm.4, 1.12.7-asm.2 o 1.11.8-asm.4.

Aunque Cloud Service Mesh no admite filtros de Envoy, es posible que te veas afectado si usas un filtro OAuth.

Actualiza tu clúster a una de las siguientes versiones parcheadas:

• 1.13.4-asm.4
• 1.12.7-asm.2
• 1.11.8-asm.4

Si usas Cloud Service Mesh v1.10 o una versión anterior, tu lanzamiento ha llegado al final de su ciclo de vida y ya no se admite. Estas correcciones de CVE no se han aplicado a versiones anteriores. Debes actualizar a Cloud Service Mesh 1.11 o una versión posterior.

Los usuarios de Envoy que gestionen sus propios Envoy y usen el filtro OAuth deben asegurarse de que utilizan la versión 1.22.1 de Envoy. Los usuarios de Envoy que gestionan sus propios Envoy compilan los archivos binarios a partir de una fuente como GitHub y los implementan.

Los usuarios que ejecuten Envoys gestionados (Google Cloud proporciona los archivos binarios de Envoy) no tienen que hacer nada, ya que los productos en la nube cambiarán a la versión 1.22.1.

Alta

CVE-2022-29228

Las redirecciones internas fallan en las solicitudes con cuerpo o tráilers.

¿Qué debo hacer?

Tu clúster se verá afectado si usa versiones de parche de Cloud Service Mesh anteriores a 1.13.4-asm.4, 1.12.7-asm.2 o 1.11.8-asm.4.

Actualiza tu clúster a una de las siguientes versiones parcheadas:

• 1.13.4-asm.4
• 1.12.7-asm.2
• 1.11.8-asm.4

Si usas Cloud Service Mesh v1.10 o una versión anterior, tu lanzamiento ha llegado al final de su ciclo de vida y ya no se admite. Estas correcciones de CVE no se han aplicado a versiones anteriores. Debes actualizar a Cloud Service Mesh 1.11 o una versión posterior. Para obtener más información, consulta Actualizar desde versiones anteriores (GKE) o Actualizar desde versiones anteriores (local).

Los usuarios de Envoy que gestionen sus propios dispositivos Envoy deben asegurarse de que están usando la versión 1.22.1 de Envoy. Los usuarios de Envoy que gestionan sus propios Envoys compilan los archivos binarios a partir de una fuente como GitHub y los implementan.

Los usuarios que ejecuten Envoys gestionados (Google Cloud proporciona los archivos binarios de Envoy) no tienen que hacer nada, ya que los productos en la nube cambiarán a la versión 1.22.1.

Alta

CVE-2022-29227

El plano de control de Istio, istiod, es vulnerable a un error de procesamiento de solicitudes, lo que permite que un atacante malintencionado envíe un mensaje especialmente diseñado que provoque que el plano de control falle cuando el webhook de validación de un clúster se exponga públicamente. Este endpoint se sirve a través del puerto TLS 15017, pero no requiere ninguna autenticación por parte del atacante.

¿Qué debo hacer?

Todas las versiones de Cloud Service Mesh se ven afectadas por esta CVE.

Nota: Si usas un plano de control gestionado, esta vulnerabilidad ya se ha corregido y no te afecta.

Actualiza tu clúster a una de las siguientes versiones parcheadas:

• 1.12.5-asm.0
• 1.11.8-asm.0
• 1.10.6-asm.2

Si usas Cloud Service Mesh v1.9 o una versión anterior, tu lanzamiento ha llegado al final de su ciclo de vida y ya no se admite. Estas correcciones de CVE no se han aplicado a versiones anteriores. Debes actualizar a Cloud Service Mesh 1.10 o una versión posterior.

Alta

CVE-2022-24726

Istiod falla al recibir solicitudes con un encabezado authorization especialmente diseñado.

¿Qué debo hacer?

Tu clúster se verá afectado si se cumplen las dos condiciones siguientes:

• Usa versiones de parche de Cloud Service Mesh anteriores a 1.12.4-asm.1, 1.11.7-asm.1, o 1.10.6-asm.1.

Nota: Si usas un plano de control gestionado, esta vulnerabilidad ya se ha corregido y no te afecta.

Actualiza tu clúster a una de las siguientes versiones parcheadas:

• 1.12.4-asm.1
• 1.11.7-asm.1
• 1.10.6-asm.1

Si usas Cloud Service Mesh v1.9 o una versión anterior, tu lanzamiento ha llegado al final de su ciclo de vida y ya no se admite. Estas correcciones de CVE no se han aplicado a versiones anteriores. Debes actualizar a Cloud Service Mesh 1.10 o una versión posterior.

Alta

CVE-2022-23635

Posible desreferencia de puntero nulo al usar el filtro JWT safe_regex match.

¿Qué debo hacer?

Tu clúster se verá afectado si se cumplen las dos condiciones siguientes:

• Usa versiones de parche de Cloud Service Mesh anteriores a 1.12.4-asm.1, 1.11.7-asm.1, o 1.10.6-asm.1.
• Aunque Cloud Service Mesh no admite filtros de Envoy, es posible que te veas afectado si usas expresiones regulares de filtros JWT.

Actualiza tu clúster a una de las siguientes versiones parcheadas:

• 1.12.4-asm.1
• 1.11.7-asm.1
• 1.10.6-asm.1

Si usas Cloud Service Mesh v1.9 o versiones anteriores, tu lanzamiento ha llegado al final de su ciclo de vida y ya no se admite. Estas correcciones de CVE no se han aplicado a versiones anteriores. Debes actualizar a Cloud Service Mesh 1.10 o una versión posterior.

Medio

CVE-2021-43824

Uso después de liberar cuando los filtros de respuesta aumentan los datos de respuesta y los datos aumentados superan los límites del búfer de nivel inferior.

¿Qué debo hacer?

Tu clúster se verá afectado si se cumplen las dos condiciones siguientes:

• Usa versiones de parche de Cloud Service Mesh anteriores a 1.12.4-asm.1, 1.11.7-asm.1, o 1.10.6-asm.1.
• Aunque Cloud Service Mesh no admite filtros de Envoy, es posible que te veas afectado si usas un filtro de descompresión.

Actualiza tu clúster a una de las siguientes versiones parcheadas:

• 1.12.4-asm.1
• 1.11.7-asm.1
• 1.10.6-asm.1

Si usas Cloud Service Mesh v1.9 o versiones anteriores, tu lanzamiento ha llegado al final de su ciclo de vida y ya no se admite. Estas correcciones de CVE no se han aplicado a versiones anteriores. Debes actualizar a Cloud Service Mesh 1.10 o una versión posterior.

Medio

CVE-2021-43825

Uso después de liberar al tunelizar TCP a través de HTTP, si la conexión de nivel inferior se desconecta durante el establecimiento de la conexión de nivel superior.

¿Qué debo hacer?

Tu clúster se verá afectado si se cumplen las dos condiciones siguientes:

• Usa versiones de parche de Cloud Service Mesh anteriores a 1.12.4-asm.1, 1.11.7-asm.1, o 1.10.6-asm.1.
• Aunque Cloud Service Mesh no admite filtros de Envoy, es posible que te veas afectado si usas un filtro de túnel.

Actualiza tu clúster a una de las siguientes versiones parcheadas:

• 1.12.4-asm.1
• 1.11.7-asm.1
• 1.10.6-asm.1

Si usas Cloud Service Mesh v1.9 o versiones anteriores, tu lanzamiento ha llegado al final de su ciclo de vida y ya no se admite. Estas correcciones de CVE no se han aplicado a versiones anteriores. Debes actualizar a Cloud Service Mesh 1.10 o una versión posterior.

Medio

CVE-2021-43826

Una gestión incorrecta de la configuración permite reutilizar la sesión de mTLS sin volver a validarla después de que se hayan cambiado los ajustes de validación.

¿Qué debo hacer?

Tu clúster se verá afectado si se cumplen las dos condiciones siguientes:

• Usa versiones de parche de Cloud Service Mesh anteriores a 1.12.4-asm.1, 1.11.7-asm.1, o 1.10.6-asm.1.
• Todos los servicios de Cloud Service Mesh que usan mTLS se ven afectados por esta CVE.

Actualiza tu clúster a una de las siguientes versiones parcheadas:

• 1.12.4-asm.1
• 1.11.7-asm.1
• 1.10.6-asm.1

Si usas Cloud Service Mesh v1.9 o versiones anteriores, tu lanzamiento ha llegado al final de su ciclo de vida y ya no se admite. Estas correcciones de CVE no se han aplicado a versiones anteriores. Debes actualizar a Cloud Service Mesh 1.10 o una versión posterior.

Alta

CVE-2022-21654

Se gestionan de forma incorrecta las redirecciones internas a rutas con una entrada de respuesta directa.

¿Qué debo hacer?

Tu clúster se verá afectado si se cumplen las dos condiciones siguientes:

• Usa versiones de parche de Cloud Service Mesh anteriores a 1.12.4-asm.1, 1.11.7-asm.1, o 1.10.6-asm.1.
• Aunque Cloud Service Mesh no admite filtros de Envoy, es posible que te veas afectado si usas un filtro de respuesta directa.

Actualiza tu clúster a una de las siguientes versiones parcheadas:

• 1.12.4-asm.1
• 1.11.7-asm.1
• 1.10.6-asm.1

Si usas Cloud Service Mesh v1.9 o versiones anteriores, tu lanzamiento ha llegado al final de su ciclo de vida y ya no se admite. Estas correcciones de CVE no se han aplicado a versiones anteriores. Debes actualizar a Cloud Service Mesh 1.10 o una versión posterior.

Alta

CVE-2022-21655

Agotamiento de la pila cuando se elimina un clúster mediante el servicio de descubrimiento de clústeres.

¿Qué debo hacer?

Tu clúster se verá afectado si se cumplen las dos condiciones siguientes:

• Usa versiones de parche de Cloud Service Mesh anteriores a 1.12.4-asm.1 o 1.11.7-asm.1.

Actualiza tu clúster a una de las siguientes versiones parcheadas:

• 1.12.4-asm.1
• 1.11.7-asm.1

Si usas Cloud Service Mesh v1.9 o versiones anteriores, tu lanzamiento ha llegado al final de su ciclo de vida y ya no se admite. Estas correcciones de CVE no se han aplicado a versiones anteriores. Debes actualizar a Cloud Service Mesh 1.10 o una versión posterior.

Medio

CVE-2022-23606

Istio contiene una vulnerabilidad explotable de forma remota en la que una solicitud HTTP con un fragmento (una sección al final de un URI que empieza con el carácter #) en la ruta del URI podría eludir las políticas de autorización basadas en la ruta del URI de Istio.

Por ejemplo, una política de autorización de Istio deniega las solicitudes enviadas a la ruta de URI /user/profile. En las versiones vulnerables, una solicitud con la ruta de URI /user/profile#section1 elude la política de denegación y se dirige al backend (con la ruta de URI normalizada /user/profile%23section1), lo que provoca un incidente de seguridad.

Esta corrección depende de una corrección en Envoy, que está asociada a CVE-2021-32779.

¿Qué debo hacer?

Tu clúster se verá afectado si se cumplen las dos condiciones siguientes:

• Usa versiones de parche de Cloud Service Mesh anteriores a 1.7.8-asm.10, 1.8.6-asm.8, 1.9.8-asm.1 y 1.10.4-asm.6.
• Usa políticas de autorización con DENY actions y operation.paths, o ALLOW actions y operation.notPaths.

Actualiza tu clúster a una de las siguientes versiones parcheadas:

• 1.10.4-asm.6
• 1.9.8-asm.1
• 1.8.6-asm.8
• 1.7.8-asm.10

Con las nuevas versiones, la parte del fragmento del URI de la solicitud se elimina antes de la autorización y el enrutamiento. De esta forma, se evita que una solicitud con un fragmento en su URI eluda las políticas de autorización basadas en el URI sin la parte del fragmento.

Si rechaza este nuevo comportamiento, se conservará la sección de fragmento del URI. Para inhabilitar esta opción, puedes configurar tu instalación de la siguiente manera:

apiVersion: install.istio.io/v1alpha1
kind: IstioOperator
metadata:
  name: opt-out-fragment-cve-fix
  namespace: istio-system
spec:
  meshConfig:
    defaultConfig:
      proxyMetadata:
        HTTP_STRIP_FRAGMENT_FROM_PATH_UNSAFE_IF_DISABLED: "false"

Nota: Si inhabilitas este comportamiento, tu clúster será vulnerable a esta CVE.

Alta

CVE-2021-39156

Istio contiene una vulnerabilidad explotable de forma remota en la que una solicitud HTTP podría eludir una política de autorización de Istio al usar reglas basadas en hosts o notHosts.

En las versiones vulnerables, la política de autorización de Istio compara las cabeceras HTTP Host o :authority de forma que distingue entre mayúsculas y minúsculas, lo que no se ajusta al RFC 4343. Por ejemplo, el usuario podría tener una política de autorización que rechace las solicitudes con el host secret.com, pero el atacante puede eludirla enviando la solicitud con el nombre de host Secret.com. El flujo de enrutamiento dirige el tráfico al backend de secret.com, lo que provoca un incidente de seguridad.

¿Qué debo hacer?

Tu clúster se verá afectado si se cumplen las dos condiciones siguientes:

• Usa versiones de parche de Cloud Service Mesh anteriores a 1.7.8-asm.10, 1.8.6-asm.8, 1.9.8-asm.1 y 1.10.4-asm.6.
• Usa políticas de autorización con DENY actions basadas en operation.hosts o ALLOW actions basadas en operation.notHosts.

Actualiza tu clúster a una de las siguientes versiones parcheadas:

• 1.10.4-asm.6
• 1.9.8-asm.1
• 1.8.6-asm.8
• 1.7.8-asm.10

Esta medida de mitigación asegura que los encabezados HTTP Host o :authority se evalúen con respecto a las especificaciones hosts o notHosts de las políticas de autorización sin distinguir entre mayúsculas y minúsculas.

Alta

CVE-2021-39155

Envoy contiene una vulnerabilidad que se puede explotar de forma remota. Una solicitud HTTP con varios encabezados de valor podría hacer una comprobación incompleta de la política de autorización cuando se usa la extensión ext_authz. Cuando un encabezado de solicitud contiene varios valores, el servidor de autorización externo solo verá el último valor del encabezado en cuestión.

¿Qué debo hacer?

Tu clúster se verá afectado si se cumplen las dos condiciones siguientes:

• Usa versiones de parche de Cloud Service Mesh anteriores a 1.7.8-asm.10, 1.8.6-asm.8, 1.9.8-asm.1 y 1.10.4-asm.6.
• Usa la función Autorización externa.

Actualiza tu clúster a una de las siguientes versiones parcheadas:

• 1.10.4-asm.6
• 1.9.8-asm.1
• 1.8.6-asm.8
• 1.7.8-asm.10

Alta

CVE-2021-32777

Envoy contiene una vulnerabilidad explotable de forma remota que afecta a las extensiones decompressor, json-transcoder o grpc-web de Envoy, o a las extensiones propietarias que modifican y aumentan el tamaño de los cuerpos de las solicitudes o respuestas. Si se modifica y aumenta el tamaño del cuerpo de una extensión de Envoy por encima del tamaño del búfer interno, Envoy podría acceder a memoria desasignada y finalizar de forma anómala.

¿Qué debo hacer?

Tu clúster se verá afectado si se cumplen las dos condiciones siguientes:

• Usa versiones de parche de Cloud Service Mesh anteriores a 1.7.8-asm.10, 1.8.6-asm.8, 1.9.8-asm.1 y 1.10.4-asm.6.
• Utiliza EnvoyFilters.

Actualiza tu clúster a una de las siguientes versiones parcheadas:

• 1.10.4-asm.6
• 1.9.8-asm.1
• 1.8.6-asm.8
• 1.7.8-asm.10

Alta

CVE-2021-32781

Envoy contiene una vulnerabilidad explotable de forma remota en la que un cliente de Envoy que abre y, a continuación, restablece un gran número de solicitudes HTTP/2 podría provocar un consumo excesivo de CPU.

¿Qué debo hacer?

Tu clúster se verá afectado si usa versiones de parche de Cloud Service Mesh anteriores a 1.7.8-asm.10, 1.8.6-asm.8, 1.9.8-asm.1 y 1.10.4-asm.6.

Actualiza tu clúster a una de las siguientes versiones parcheadas:

• 1.10.4-asm.6
• 1.9.8-asm.1

Nota: Si utilizas Cloud Service Mesh 1.8 o una versión anterior, actualiza a las versiones de parche más recientes de Cloud Service Mesh 1.9 y versiones posteriores para mitigar esta vulnerabilidad.

Alta

CVE-2021-32778

Envoy contiene una vulnerabilidad explotable de forma remota en la que un servicio upstream no fiable podría provocar que Envoy finalizara de forma anómala enviando el marco GOAWAY seguido del marco SETTINGS con el parámetro SETTINGS_MAX_CONCURRENT_STREAMS definido como 0.

¿Qué debo hacer?

Tu clúster se verá afectado si usa Cloud Service Mesh 1.10 con una versión de parche anterior a 1.10.4-asm.6.

Actualiza el clúster a la siguiente versión de parche:

• 1.10.4-asm.6

Alta

CVE-2021-32780

Las cargas de trabajo seguras de Istio Gateway o las que usan DestinationRule pueden cargar claves privadas y certificados TLS desde secretos de Kubernetes mediante la configuración credentialName. A partir de Istio 1.8, los secretos se leen de istiod y se transfieren a las pasarelas y cargas de trabajo a través de XDS.

Normalmente, una implementación de una carga de trabajo o una pasarela solo puede acceder a los certificados TLS y a las claves privadas almacenados en el secreto de su espacio de nombres. Sin embargo, un error en istiod permite que un cliente autorizado para acceder a la API XDS de Istio recupere cualquier certificado TLS y claves privadas almacenados en caché en istiod. Esta vulnerabilidad de seguridad solo afecta a las versiones secundarias 1.8 y 1.9 de Cloud Service Mesh.

¿Qué debo hacer?

Tu clúster se verá afectado si se cumplen TODAS las condiciones siguientes:

• Usa una versión 1.9.x anterior a 1.9.6-asm.1 o una versión 1.8.x anterior a 1.8.6-asm.4.
• Tiene Gateways o DestinationRules con el campo credentialName especificado.
• No se especifica la marca istiodPILOT_ENABLE_XDS_CACHE=false.

Actualiza tu clúster a una de las siguientes versiones parcheadas:

• 1.9.6-asm.1
• 1.8.6-asm.4

Alta

CVE-2021-34824

Istio contiene una vulnerabilidad que se puede explotar de forma remota, por la que un cliente externo puede acceder a servicios inesperados del clúster, omitiendo las comprobaciones de autorización, cuando una pasarela se configura con la configuración de enrutamiento AUTO_PASSTHROUGH.

¿Qué debo hacer?

Esta vulnerabilidad solo afecta al uso del tipo de pasarela AUTO_PASSTHROUGH, que normalmente solo se usa en implementaciones de varias redes y varios clústeres.

Detecta el modo TLS de todas las Gateways del clúster con el siguiente comando:

kubectl get gateways.networking.istio.io -A -o \
  "custom-columns=NAMESPACE:.metadata.namespace, \
  NAME:.metadata.name,TLS_MODE:.spec.servers[*].tls.mode"

Si el resultado muestra alguna pasarela AUTO_PASSTHROUGH, es posible que te veas afectado.

Actualiza tus clústeres a las versiones más recientes de Cloud Service Mesh:

• 1.9.5-asm.2
• 1.8.6-asm.3
• 1.7.8-asm.8

* Nota: El lanzamiento del plano de control gestionado de Cloud Service Mesh (solo disponible en las versiones 1.9.x) se completará en los próximos días.

Alta

CVE-2021-31921

Istio contiene una vulnerabilidad explotable de forma remota en la que una ruta de solicitud HTTP con varias barras o caracteres de barra de escape (%2F o %5C) podría eludir una política de autorización de Istio cuando se utilizan reglas de autorización basadas en rutas.

En un caso en el que un administrador de clúster de Istio define una política de autorización DENY para rechazar la solicitud en la ruta "/admin", la política de autorización NO rechazará una solicitud enviada a la ruta de URL "//admin".

Según el documento RFC 3986, la ruta "//admin" con varias barras inclinadas se debería tratar técnicamente como una ruta diferente de "/admin". Sin embargo, algunos servicios de backend normalizan las rutas de URL combinando varias barras en una sola. Esto puede provocar que se omita la política de autorización ("//admin" no coincide con "/admin") y que un usuario pueda acceder al recurso en la ruta "/admin" en el backend.

¿Qué debo hacer?

Tu clúster se ve afectado por esta vulnerabilidad si tienes políticas de autorización que usan los patrones "acción PERMITIR + campo notPaths" o "acción DENEGAR + campo paths". Estos patrones son vulnerables a eludir las políticas de forma inesperada, por lo que debes actualizarte lo antes posible para solucionar el problema de seguridad.

A continuación, se muestra un ejemplo de una política vulnerable que usa el patrón "acción DENY + campo paths":

apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: deny-path-admin
spec:
  action: DENY
  rules:
  - to:
    - operation:
        paths: ["/admin"]

A continuación, se muestra otro ejemplo de política vulnerable que usa el patrón "acción ALLOW + campo notPaths":

apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: allow-path-not-admin
spec:
  action: ALLOW
  rules:
  - to:
    - operation:
        notPaths: ["/admin"]

Tu clúster no se verá afectado por esta vulnerabilidad si se cumplen las siguientes condiciones:

• No tienes políticas de autorización.
• Tus políticas de autorización no definen los campos paths ni notPaths.
• Tus políticas de autorización usan patrones de "PERMITIR acción + campo de rutas" o "DENEGAR acción + campo de rutas no incluidas". Estos patrones solo podrían provocar rechazos inesperados en lugar de eludir las políticas.

En estos casos, la actualización es opcional.

Actualiza tus clústeres a las versiones de Cloud Service Mesh compatibles más recientes*. Estas versiones admiten la configuración de los proxies Envoy en el sistema con más opciones de normalización:

• 1.9.5-asm.2
• 1.8.6-asm.3
• 1.7.8-asm.8

* Nota: El lanzamiento del plano de control gestionado de Cloud Service Mesh (solo disponible en las versiones 1.9.x) se completará en los próximos días.

Sigue la guía de prácticas recomendadas de seguridad de Istio para configurar tus políticas de autorización.

Alta

CVE-2021-31920

Los proyectos Envoy e Istio han anunciado recientemente varias vulnerabilidades de seguridad (CVE-2021-28682, CVE-2021-28683 y CVE-2021-29258) que podrían permitir que un atacante bloqueara Envoy y, potencialmente, que algunas partes del clúster quedaran sin conexión y fueran inaccesibles.

Esto afecta a los servicios ofrecidos, como Cloud Service Mesh.

¿Qué debo hacer?

Para corregir estas vulnerabilidades, actualiza tu paquete de Cloud Service Mesh a una de las siguientes versiones parcheadas:

• 1.9.3-asm.2
• 1.8.5-asm.2
• 1.7.8-asm.1
• 1.6.14-asm.2

Para obtener más información, consulta las notas de la versión de Cloud Service Mesh.

Alta

CVE-2021-28682
CVE-2021-28683
CVE-2021-29258