Bollettini sulla sicurezza

Utilizzo dopo la liberazione nella cache DNS.

Che cosa devo fare?

Sono interessati solo i cluster che eseguono Cloud Service Mesh in-cluster versione 1.26.

Se esegui un servizio Cloud Service Mesh gestito, non sei interessato e non devi fare nulla.

Se esegui Cloud Service Mesh 1.26 in-cluster, esegui l'upgrade di tutti i cluster interessati alla versione 1.26.4-asm.1.

Alta

CVE-2025-54588

Happy Eyeballs: verifica che additional_address siano indirizzi IP anziché causare un arresto anomalo durante l'ordinamento.

Che cosa devo fare?

Il tuo cluster è interessato se le versioni patch precedenti a:

• 1.23.4-asm.1
• 1.22.7-asm.1

Per Cloud Service Mesh in-cluster, esegui l'upgrade del cluster a una delle seguenti versioni patchate:

• 1.23.4-asm.1
• 1.22.7-asm.1

Se utilizzi Cloud Service Mesh v1.20 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni delle CVE non sono state eseguite. Ti consigliamo di eseguire l'upgrade alla versione 1.21 o successive.

Per Cloud Service Mesh gestito, non è richiesta alcuna azione. Tutte le versioni rimangono supportate e il sistema verrà aggiornato automaticamente nelle prossime settimane.

Media

CVE-2024-53269

HTTP/1: l'invio di sovraccarico si arresta in modo anomalo quando la richiesta viene reimpostata in anticipo.

Che cosa devo fare?

Il tuo cluster è interessato se le versioni patch precedenti a:

• 1.23.4-asm.1
• 1.22.7-asm.1
• 1.21.5-asm.17
• 1.20.8-asm.14
• 1.19.10-asm.24

Per Cloud Service Mesh in-cluster, esegui l'upgrade del cluster a una delle seguenti versioni patchate:

• 1.23.4-asm.1
• 1.22.7-asm.1
• 1.21.5-asm.17

Se utilizzi Cloud Service Mesh v1.20 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Se utilizzi Cloud Service Mesh v1.20 o versioni precedenti, la tua release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni delle CVE non sono state portate indietro. Ti consigliamo di eseguire l'upgrade alla versione 1.21 o successive.

Per Cloud Service Mesh gestito, non è richiesta alcuna azione. Tutte le versioni rimangono supportate e il sistema verrà aggiornato automaticamente nelle prossime settimane.

Alta

CVE-2024-53270

HTTP/1.1 Diversi problemi con envoy.reloadable_features.http1_balsa_delay_reset.

Che cosa devo fare?

Il tuo cluster è interessato se le versioni patch precedenti a:

• 1.23.4-asm.1

Per Cloud Service Mesh in-cluster, esegui l'upgrade del cluster a una delle seguenti versioni patchate:

• 1.23.4-asm.1

Se utilizzi Cloud Service Mesh v1.20 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Se utilizzi Cloud Service Mesh v1.20 o versioni precedenti, la tua release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni delle CVE non sono state portate indietro. Ti consigliamo di eseguire l'upgrade alla versione 1.21 o successive.

Per Cloud Service Mesh gestito, non è richiesta alcuna azione. Tutte le versioni rimangono supportate e il sistema verrà aggiornato automaticamente nelle prossime settimane.

Alta

CVE-2024-53271

oghttp2 crash on OnBeginHeadersForStream

Che cosa devo fare?

Sono interessati solo i cluster che eseguono Cloud Service Mesh v1.23

Cloud Service Mesh 1.23.2-asm.2 contiene la correzione per questo problema. Non è richiesta alcuna azione da parte tua.

Alta

CVE-2024-45807

Inserimento di log dannosi tramite i log degli accessi

Che cosa devo fare?

Tutte le versioni di Cloud Service Mesh sono interessate da questa vulnerabilità CVE.

Esegui l'upgrade del cluster a una delle seguenti versioni patchate:

• 1.20.8-asm.7
• 1.21.5-asm.7
• 1.22.5-asm.1
• 1.23.2-asm.2

Media

CVE-2024-45808

Possibilità di manipolare le intestazioni "x-envoy" da fonti esterne

Che cosa devo fare?

Tutte le versioni di Cloud Service Mesh sono interessate da questa vulnerabilità CVE.

Esegui l'upgrade del cluster a una delle seguenti versioni patchate:

• 1.20.8-asm.7
• 1.21.5-asm.7
• 1.22.5-asm.1
• 1.23.2-asm.2

Media

CVE-2024-45806

Arresto anomalo del filtro JWT durante lo svuotamento della cache delle route con JWK remoti

Che cosa devo fare?

Tutte le versioni di Cloud Service Mesh sono interessate da questa vulnerabilità CVE.

Esegui l'upgrade del cluster a una delle seguenti versioni patchate:

• 1.20.8-asm.7
• 1.21.5-asm.7
• 1.22.5-asm.1
• 1.23.2-asm.2

Media

CVE-2024-45809

Arresto anomalo di Envoy per LocalReply nel client asincrono HTTP

Che cosa devo fare?

Tutte le versioni di Cloud Service Mesh sono interessate da questa vulnerabilità CVE.

Esegui l'upgrade del cluster a una delle seguenti versioni patchate:

• 1.20.8-asm.7
• 1.21.5-asm.7
• 1.22.5-asm.1
• 1.23.2-asm.2

Media

CVE-2024-45810

Envoy accetta erroneamente la risposta HTTP 200 per l'attivazione della modalità di upgrade.

Che cosa devo fare?

Tutte le versioni di Cloud Service Mesh sono interessate da questa vulnerabilità CVE.

Se esegui Cloud Service Mesh gestito, il sistema verrà aggiornato automaticamente nei prossimi giorni.

In caso contrario, esegui l'upgrade del cluster a una delle seguenti versioni patchate:

• v1.21.3-asm.3
• v1.20.7-asm.2
• v1.19.10-asm.6
• v1.18.7-asm.26
• Se utilizzi Cloud Service Mesh v1.17 o versioni precedenti, la tua release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni delle CVE non sono state eseguite. Devi eseguire l'upgrade a Cloud Service Mesh 1.18 o versioni successive.

Media

CVE-2024-23326

Arresto anomalo in EnvoyQuicServerStream::OnInitialHeadersComplete().

Che cosa devo fare?

Tutte le versioni di Cloud Service Mesh sono interessate da questa vulnerabilità CVE.

Se esegui Cloud Service Mesh gestito, il sistema verrà aggiornato automaticamente nei prossimi giorni.

In caso contrario, esegui l'upgrade del cluster a una delle seguenti versioni patchate:

• v1.21.3-asm.3
• v1.20.7-asm.2
• v1.19.10-asm.6
• v1.18.7-asm.26
• Se utilizzi Cloud Service Mesh v1.17 o versioni precedenti, la tua release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni delle CVE non sono state eseguite. Devi eseguire l'upgrade a Cloud Service Mesh 1.18 o versioni successive.

Media

CVE-2024-32974

Arresto anomalo in QuicheDataReader::PeekVarInt62Length().

Che cosa devo fare?

Tutte le versioni di Cloud Service Mesh sono interessate da questa vulnerabilità CVE.

Se esegui Cloud Service Mesh gestito, il sistema verrà aggiornato automaticamente nei prossimi giorni.

In caso contrario, esegui l'upgrade del cluster a una delle seguenti versioni patchate:

• v1.21.3-asm.3
• v1.20.7-asm.2
• v1.19.10-asm.6
• v1.18.7-asm.26
• Se utilizzi Cloud Service Mesh v1.17 o versioni precedenti, la tua release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni delle CVE non sono state eseguite. Devi eseguire l'upgrade a Cloud Service Mesh 1.18 o versioni successive.

Media

CVE-2024-32975

Ciclo infinito durante la decompressione dei dati Brotli con input aggiuntivo.

Che cosa devo fare?

Tutte le versioni di Cloud Service Mesh sono interessate da questa vulnerabilità CVE.

Se esegui Cloud Service Mesh gestito, il sistema verrà aggiornato automaticamente nei prossimi giorni.

In caso contrario, esegui l'upgrade del cluster a una delle seguenti versioni patchate:

• v1.21.3-asm.3
• v1.20.7-asm.2
• v1.19.10-asm.6
• v1.18.7-asm.26
• Se utilizzi Cloud Service Mesh v1.17 o versioni precedenti, la tua release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni delle CVE non sono state eseguite. Devi eseguire l'upgrade a Cloud Service Mesh 1.18 o versioni successive.

Alta

CVE-2024-32976

Arresto anomalo (use-after-free) in EnvoyQuicServerStream.

Che cosa devo fare?

Tutte le versioni di Cloud Service Mesh sono interessate da questa vulnerabilità CVE.

Se esegui Cloud Service Mesh gestito, il sistema verrà aggiornato automaticamente nei prossimi giorni.

In caso contrario, esegui l'upgrade del cluster a una delle seguenti versioni patchate:

• v1.21.3-asm.3
• v1.20.7-asm.2
• v1.19.10-asm.6
• v1.18.7-asm.26
• Se utilizzi Cloud Service Mesh v1.17 o versioni precedenti, la tua release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni delle CVE non sono state eseguite. Devi eseguire l'upgrade a Cloud Service Mesh 1.18 o versioni successive.

Media

CVE-2024-34362

Arresto anomalo dovuto a un'eccezione JSON nlohmann non rilevata.

Che cosa devo fare?

Tutte le versioni di Cloud Service Mesh sono interessate da questa vulnerabilità CVE.

Se esegui Cloud Service Mesh gestito, il sistema verrà aggiornato automaticamente nei prossimi giorni.

In caso contrario, esegui l'upgrade del cluster a una delle seguenti versioni patchate:

• v1.21.3-asm.3
• v1.20.7-asm.2
• v1.19.10-asm.6
• v1.18.7-asm.26
• Se utilizzi Cloud Service Mesh v1.17 o versioni precedenti, la tua release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni delle CVE non sono state eseguite. Devi eseguire l'upgrade a Cloud Service Mesh 1.18 o versioni successive.

Alta

CVE-2024-34363

Vettore OOM di Envoy dal client HTTP asincrono con buffer di risposta illimitato per la risposta mirror.

Che cosa devo fare?

Tutte le versioni di Cloud Service Mesh sono interessate da questa vulnerabilità CVE.

Se esegui Cloud Service Mesh gestito, il sistema verrà aggiornato automaticamente nei prossimi giorni.

In caso contrario, esegui l'upgrade del cluster a una delle seguenti versioni patchate:

• v1.21.3-asm.3
• v1.20.7-asm.2
• v1.19.10-asm.6
• v1.18.7-asm.26
• Se utilizzi Cloud Service Mesh v1.17 o versioni precedenti, la tua release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni delle CVE non sono state eseguite. Devi eseguire l'upgrade a Cloud Service Mesh 1.18 o versioni successive.

Media

CVE-2024-34364

HTTP/2: esaurimento della memoria dovuto all'eccessivo numero di frame CONTINUATION.

Che cosa devo fare?

Tutte le versioni di Cloud Service Mesh sono interessate da questa vulnerabilità CVE.

Se esegui Cloud Service Mesh gestito, non è necessario alcun intervento. Il sistema verrà aggiornato automaticamente nei prossimi giorni.

Se esegui Cloud Service Mesh in-cluster, devi eseguire l'upgrade del cluster a una delle seguenti versioni patchate:

• 1.20.6-asm.0
• 1.19.10-asm.0
• 1.18.7-asm.21

Se utilizzi Cloud Service Mesh v1.17 o versioni precedenti, la tua release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni delle CVE non sono state eseguite. Devi eseguire l'upgrade a Cloud Service Mesh v1.18 o versioni successive.

Alta

CVE-2024-27919

HTTP/2: esaurimento della CPU dovuto all'eccessivo numero di frame CONTINUATION

Che cosa devo fare?

Tutte le versioni di Cloud Service Mesh sono interessate da questa vulnerabilità CVE.

Se esegui Cloud Service Mesh gestito, non è necessario alcun intervento. Il sistema verrà aggiornato automaticamente nei prossimi giorni.

Se esegui Cloud Service Mesh in-cluster, devi eseguire l'upgrade del cluster a una delle seguenti versioni patchate:

• 1.20.6-asm.0
• 1.19.10-asm.0
• 1.18.7-asm.21

Se utilizzi Cloud Service Mesh v1.17 o versioni precedenti, la tua release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni delle CVE non sono state eseguite. Devi eseguire l'upgrade a Cloud Service Mesh 1.18 o versioni successive.

Media

CVE-2024-30255

Terminazione anomala quando si utilizza auto_sni con l'intestazione ":authority" più lunga di 255 caratteri.

Che cosa devo fare?

Tutte le versioni di Cloud Service Mesh sono interessate da questa vulnerabilità CVE.

Se esegui Cloud Service Mesh gestito, non è necessario alcun intervento. Il sistema verrà aggiornato automaticamente nei prossimi giorni.

Se esegui Cloud Service Mesh in-cluster, devi eseguire l'upgrade del cluster a una delle seguenti versioni patchate:

• 1.20.6-asm.0
• 1.19.10-asm.0
• 1.18.7-asm.21

Se utilizzi Cloud Service Mesh v1.17 o versioni precedenti, la tua release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni delle CVE non sono state eseguite. Devi eseguire l'upgrade a Cloud Service Mesh 1.18 o versioni successive.

Alta

CVE-2024-32475

I frame HTTP/2 CONTINUATION possono essere utilizzati per attacchi DoS.

Che cosa devo fare?

Tutte le versioni di Cloud Service Mesh sono interessate da questa vulnerabilità CVE.

Se esegui Cloud Service Mesh gestito, non è necessario alcun intervento. Il sistema verrà aggiornato automaticamente nei prossimi giorni.

Se esegui Cloud Service Mesh in-cluster, devi eseguire l'upgrade del cluster a una delle seguenti versioni patchate:

• 1.20.6-asm.0
• 1.19.10-asm.0
• 1.18.7-asm.21

Se utilizzi Cloud Service Mesh v1.17 o versioni precedenti, la tua release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni delle CVE non sono state eseguite. Ti consigliamo di eseguire l'upgrade alla versione v1.18 o successive.

Non fornito

CVE-2023-45288

Envoy si arresta in modo anomalo quando è inattivo e si verificano timeout per tentativo di richiesta entro l'intervallo di backoff.

Che cosa devo fare?

Se esegui Cloud Service Mesh gestito, non è necessario alcun intervento. Il sistema verrà aggiornato automaticamente nei prossimi giorni.

Se esegui Cloud Service Mesh in-cluster, devi eseguire l'upgrade del cluster a una delle seguenti versioni patchate:

• 1.20.3-asm.4
• 1.19.7-asm.3
• 1.18.7-asm.4
• 1.17.8-asm.20

Se utilizzi Anthos Service Mesh v1.17 o versioni precedenti, la tua release ha raggiunto la fine del ciclo di vita e non è più supportata. Sebbene queste correzioni delle CVE siano state eseguite il backporting alla versione 1.17, ti consigliamo di eseguire l'upgrade alla versione 1.18 o successive.

Alta

CVE-2024-23322

Utilizzo eccessivo della CPU quando il matcher del modello URI è configurato utilizzando le espressioni regolari.

Che cosa devo fare?

Se esegui Cloud Service Mesh gestito, non è necessario alcun intervento. Il sistema verrà aggiornato automaticamente nei prossimi giorni.

Se esegui Cloud Service Mesh in-cluster, devi eseguire l'upgrade del cluster a una delle seguenti versioni patchate:

• 1.20.3-asm.4
• 1.19.7-asm.3
• 1.18.7-asm.4
• 1.17.8-asm.20

Se utilizzi Anthos Service Mesh v1.17 o versioni precedenti, la tua release ha raggiunto la fine del ciclo di vita e non è più supportata. Sebbene queste correzioni delle CVE siano state eseguite il backporting alla versione 1.17, ti consigliamo di eseguire l'upgrade alla versione 1.18 o successive.

Media

CVE-2024-23323

L'autorizzazione esterna può essere ignorata quando il filtro del protocollo proxy imposta metadati UTF-8 non validi.

Che cosa devo fare?

Se esegui Cloud Service Mesh gestito, non è necessario alcun intervento. Il sistema verrà aggiornato automaticamente nei prossimi giorni.

Se esegui Cloud Service Mesh in-cluster, devi eseguire l'upgrade del cluster a una delle seguenti versioni patchate:

• 1.20.3-asm.4
• 1.19.7-asm.3
• 1.18.7-asm.4
• 1.17.8-asm.20

Se utilizzi Anthos Service Mesh v1.17 o versioni precedenti, la tua release ha raggiunto la fine del ciclo di vita e non è più supportata. Sebbene queste correzioni delle CVE siano state eseguite il backporting alla versione 1.17, ti consigliamo di eseguire l'upgrade alla versione 1.18 o successive.

Alta

CVE-2024-23324

Envoy si arresta in modo anomalo quando si utilizza un tipo di indirizzo non supportato dal sistema operativo.

Che cosa devo fare?

Se esegui Cloud Service Mesh gestito, non è necessario alcun intervento. Il sistema verrà aggiornato automaticamente nei prossimi giorni.

Se esegui Cloud Service Mesh in-cluster, devi eseguire l'upgrade del cluster a una delle seguenti versioni patchate:

• 1.20.3-asm.4
• 1.19.7-asm.3
• 1.18.7-asm.4
• 1.17.8-asm.20

Se utilizzi Anthos Service Mesh v1.17 o versioni precedenti, la tua release ha raggiunto la fine del ciclo di vita e non è più supportata. Sebbene queste correzioni delle CVE siano state eseguite il backporting alla versione 1.17, ti consigliamo di eseguire l'upgrade alla versione 1.18 o successive.

Alta

CVE-2024-23325

Arresto anomalo nel protocollo proxy quando il tipo di comando è LOCAL.

Che cosa devo fare?

Se esegui Cloud Service Mesh gestito, non è necessario alcun intervento. Il sistema verrà aggiornato automaticamente nei prossimi giorni.

Se esegui Cloud Service Mesh in-cluster, devi eseguire l'upgrade del cluster a una delle seguenti versioni patchate:

• 1.20.3-asm.4
• 1.19.7-asm.3
• 1.18.7-asm.4
• 1.17.8-asm.20

Se utilizzi Anthos Service Mesh v1.17 o versioni precedenti, la tua release ha raggiunto la fine del ciclo di vita e non è più supportata. Sebbene queste correzioni delle CVE siano state eseguite il backporting alla versione 1.17, ti consigliamo di eseguire l'upgrade alla versione 1.18 o successive.

Alta

CVE-2024-23327

Un attacco Denial of Service può influire sul piano dati quando si utilizza il protocollo HTTP/2.

Che cosa devo fare?

Il cluster è interessato se utilizza versioni patch di Cloud Service Mesh precedenti a 1.18.4, 1.17.7 o 1.16.7.

Esegui l'upgrade del cluster a una delle seguenti versioni patchate:

• 1.18.4-asm.0
• 1.17.7-asm.0
• 1.16.7-asm.10

Se esegui Cloud Service Mesh gestito, il sistema verrà aggiornato automaticamente entro i prossimi giorni.

Se utilizzi Cloud Service Mesh v1.15 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni delle CVE non sono state eseguite. Ti consigliamo di eseguire l'upgrade alla versione 1.16 o successive.

Alta

CVE-2023-44487

In alcuni scenari specifici, un client dannoso è in grado di creare credenziali con validità permanente. Ad esempio, la combinazione di host e ora di scadenza nel payload HMAC può essere sempre valida nel controllo HMAC del filtro OAuth2.

Che cosa devo fare?

Il tuo cluster è interessato se utilizza versioni patch di Cloud Service Mesh precedenti a

• 1.17.4
• 1.16.6
• 1.15.7

Esegui l'upgrade del cluster a una delle seguenti versioni patchate:

• 1.17.5-asm.0
• 1.16.7-asm.0
• 1.15.7-asm.23

Se esegui Cloud Service Mesh gestito, il sistema verrà aggiornato automaticamente entro i prossimi giorni.

Se utilizzi Anthos Service Mesh 1.14 o versioni precedenti, la tua release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni delle CVE non sono state eseguite. Ti consigliamo di eseguire l'upgrade ad ASM 1.15 o versioni successive.

Alta

CVE-2023-35941

I logger di accesso gRPC che utilizzano l'ambito globale del listener possono causare un arresto anomalo di tipo use-after-free quando il listener viene svuotato. Questo può essere attivato da un aggiornamento LDS con la stessa configurazione dei log di accesso gRPC.

Che cosa devo fare?

Il tuo cluster è interessato se utilizza versioni patch di Cloud Service Mesh precedenti a

• 1.17.4
• 1.16.6
• 1.15.7

Esegui l'upgrade del cluster a una delle seguenti versioni patchate:

• 1.17.5-asm.0
• 1.16.7-asm.0
• 1.15.7-asm.23

Se esegui Cloud Service Mesh gestito, il sistema verrà aggiornato automaticamente entro i prossimi giorni.

Se utilizzi Anthos Service Mesh 1.14 o versioni precedenti, la tua release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni delle CVE non sono state eseguite. Ti consigliamo di eseguire l'upgrade ad ASM 1.15 o versioni successive.

Media

CVE-2023-35942

Se l'intestazione origin è configurata per essere rimossa con request_headers_to_remove: origin, il filtro CORS genererà un errore di segmentazione e Envoy si arresterà in modo anomalo.

Che cosa devo fare?

Il tuo cluster è interessato se utilizza versioni patch di Cloud Service Mesh precedenti a

• 1.17.4
• 1.16.6
• 1.15.7

Esegui l'upgrade del cluster a una delle seguenti versioni patchate:

• 1.17.5-asm.0
• 1.16.7-asm.0
• 1.15.7-asm.23

Se esegui Cloud Service Mesh gestito, il sistema verrà aggiornato automaticamente entro i prossimi giorni.

Se utilizzi Anthos Service Mesh 1.14 o versioni precedenti, la tua release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni delle CVE non sono state eseguite. Ti consigliamo di eseguire l'upgrade ad ASM 1.15 o versioni successive.

Media

CVE-2023-35943

Gli autori di attacchi possono inviare richieste di schemi misti per aggirare alcuni controlli degli schemi in Envoy. Ad esempio, se una richiesta con schema misto htTp viene inviata al filtro OAuth2, non supererà i controlli di corrispondenza esatta per http e comunicherà all'endpoint remoto che lo schema è https, bypassando così potenzialmente i controlli OAuth2 specifici per le richieste HTTP.

Che cosa devo fare?

Il tuo cluster è interessato se utilizza versioni patch di Cloud Service Mesh precedenti a

• 1.17.4
• 1.16.6
• 1.15.7

Esegui l'upgrade del cluster a una delle seguenti versioni patchate:

• 1.17.5-asm.0
• 1.16.7-asm.0
• 1.15.7-asm.23

Se esegui Cloud Service Mesh gestito, il sistema verrà aggiornato automaticamente entro i prossimi giorni.

Se utilizzi Anthos Service Mesh 1.14 o versioni precedenti, la tua release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni delle CVE non sono state eseguite. Ti consigliamo di eseguire l'upgrade ad ASM 1.15 o versioni successive.

Alta

CVE-2023-35944

Una risposta creata appositamente da un servizio upstream non attendibile può causare un denial of service a causa dell'esaurimento della memoria. Ciò è dovuto al codec HTTP/2 di Envoy, che potrebbe perdere una mappa di intestazioni e strutture di contabilità dopo aver ricevuto RST_STREAM immediatamente seguito dai frame GOAWAY da un server upstream.

Che cosa devo fare?

Il tuo cluster è interessato se utilizza versioni patch di Cloud Service Mesh precedenti a

• 1.17.4
• 1.16.6
• 1.15.7

Esegui l'upgrade del cluster a una delle seguenti versioni patchate:

• 1.17.4-asm.2
• 1.16.6-asm.3
• 1.15.7-asm.21

Se esegui Cloud Service Mesh gestito, il sistema verrà aggiornato automaticamente entro i prossimi giorni.

Se utilizzi Anthos Service Mesh 1.14 o versioni precedenti, la tua release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni delle CVE non sono state eseguite. Ti consigliamo di eseguire l'upgrade ad ASM 1.15 o versioni successive.

Alta

CVE-2023-35945

Se Envoy è in esecuzione con il filtro OAuth abilitato esposto, un malintenzionato potrebbe creare una richiesta che causerebbe un attacco Denial of Service bloccando Envoy.

Che cosa devo fare?

I tuoi cluster sono interessati se utilizzano versioni patch di Cloud Service Mesh precedenti a:

• 1.16.4
• 1.15.7
• 1.14.6

Esegui l'upgrade del cluster a una delle seguenti versioni patchate:

• 1.16.4-asm.2
• 1.15.7-asm.1
• 1.14.6-asm.11

Se utilizzi Cloud Service Mesh v1.13 o versioni precedenti, la tua release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni delle CVE non sono state eseguite. Devi eseguire l'upgrade a Cloud Service Mesh 1.14 o versioni successive.

Media

CVE-2023-27496

L'utente malintenzionato può utilizzare questa vulnerabilità per bypassare i controlli di autenticazione quando viene utilizzato ext_authz.

Che cosa devo fare?

I tuoi cluster sono interessati se utilizzano versioni patch di Cloud Service Mesh precedenti a:

• 1.16.4
• 1.15.7
• 1.14.6

Esegui l'upgrade del cluster a una delle seguenti versioni patchate:

• 1.16.4-asm.2
• 1.15.7-asm.1
• 1.14.6-asm.11

Se utilizzi Cloud Service Mesh v1.13 o versioni precedenti, la tua release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni delle CVE non sono state eseguite. Devi eseguire l'upgrade a Cloud Service Mesh 1.14 o versioni successive.

Media

CVE-2023-27488

La configurazione di Envoy deve includere anche un'opzione per aggiungere intestazioni delle richieste generate utilizzando gli input della richiesta, ad esempio il nome comune del soggetto del certificato peer.

Che cosa devo fare?

I tuoi cluster sono interessati se utilizzano versioni patch di Cloud Service Mesh precedenti a:

• 1.16.4
• 1.15.7
• 1.14.6

Esegui l'upgrade del cluster a una delle seguenti versioni patchate:

• 1.16.4-asm.2
• 1.15.7-asm.1
• 1.14.6-asm.11

Se utilizzi Cloud Service Mesh v1.13 o versioni precedenti, la tua release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni delle CVE non sono state eseguite. Devi eseguire l'upgrade a Cloud Service Mesh 1.14 o versioni successive.

Alta

CVE-2023-27493

Gli autori degli attacchi possono inviare corpi di richieste di grandi dimensioni per le route con il filtro Lua abilitato e causare arresti anomali.

Che cosa devo fare?

I tuoi cluster sono interessati se utilizzano versioni patch di Cloud Service Mesh precedenti a:

• 1.16.4
• 1.15.7
• 1.14.6

Esegui l'upgrade del cluster a una delle seguenti versioni patchate:

• 1.16.4-asm.2
• 1.15.7-asm.1
• 1.14.6-asm.11

Se utilizzi Cloud Service Mesh v1.13 o versioni precedenti, la tua release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni delle CVE non sono state eseguite. Devi eseguire l'upgrade a Cloud Service Mesh 1.14 o versioni successive.

Media

CVE-2023-27492

Gli autori degli attacchi possono inviare richieste HTTP/2 o HTTP/3 create appositamente per attivare errori di analisi sul servizio upstream HTTP/1.

Che cosa devo fare?

I tuoi cluster sono interessati se utilizzano versioni patch di Cloud Service Mesh precedenti a:

• 1.16.4
• 1.15.7
• 1.14.6

Esegui l'upgrade del cluster a una delle seguenti versioni patchate:

• 1.16.4-asm.2
• 1.15.7-asm.1
• 1.14.6-asm.11

Se utilizzi Cloud Service Mesh v1.13 o versioni precedenti, la tua release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni delle CVE non sono state eseguite. Devi eseguire l'upgrade a Cloud Service Mesh 1.14 o versioni successive.

Media

CVE-2023-27491

L'intestazione x-envoy-original-path dovrebbe essere un'intestazione interna, ma Envoy non la rimuove dalla richiesta all'inizio dell'elaborazione della richiesta quando viene inviata da un client non attendibile.

Che cosa devo fare?

I tuoi cluster sono interessati se utilizzano versioni patch di Cloud Service Mesh precedenti a:

• 1.16.4
• 1.15.7
• 1.14.6

Esegui l'upgrade del cluster a una delle seguenti versioni patchate:

• 1.16.4-asm.2
• 1.15.7-asm.1
• 1.14.6-asm.11

Se utilizzi Cloud Service Mesh v1.13 o versioni precedenti, la tua release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni delle CVE non sono state eseguite. Devi eseguire l'upgrade a Cloud Service Mesh 1.14 o versioni successive.

Alta

CVE-2023-27487

Il control plane Istio istiod è vulnerabile a un errore di elaborazione delle richieste, consentendo a un malintenzionato che invia un messaggio creato appositamente che causa l'arresto anomalo del control plane quando il webhook di convalida per un cluster è esposto pubblicamente. Questo endpoint viene servito sulla porta TLS 15017, ma non richiede alcuna autenticazione da parte dell'autore dell'attacco.

Che cosa devo fare?

Il cluster è interessato se utilizza versioni patch di Cloud Service Mesh precedenti alla 1.14.4, 1.13.8 o 1.12.9.

Se esegui Cloud Service Mesh autonomo, esegui l'upgrade del cluster a una delle seguenti versioni patchate:

• Se utilizzi Anthos Service Mesh 1.14, esegui l'upgrade alla versione 1.14.4-asm.2
• Se utilizzi Anthos Service Mesh 1.13, esegui l'upgrade alla versione 1.13.8-asm.4
• Se utilizzi Anthos Service Mesh 1.12, esegui l'upgrade alla versione 1.12.9-asm.3

Se esegui Cloud Service Mesh gestito, il sistema verrà aggiornato automaticamente nei prossimi giorni.

Se utilizzi Cloud Service Mesh v1.11 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni delle CVE non sono state eseguite. Devi eseguire l'upgrade a Cloud Service Mesh 1.12 o versioni successive.

Alta

CVE-2022-39278

Il data plane Istio può potenzialmente accedere alla memoria in modo non sicuro quando sono abilitate le estensioni Metadata Exchange e Stats.

Che cosa devo fare?

Il cluster è interessato se utilizza versioni patch di Cloud Service Mesh precedenti a 1.13.4-asm.4, 1.12.7-asm.2 o 1.11.8-asm.4.

Esegui l'upgrade del cluster a una delle seguenti versioni patchate:

• 1.13.4-asm.4
• 1.12.7-asm.2
• 1.11.8-asm.4

Se utilizzi Cloud Service Mesh v1.10 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni delle CVE non sono state eseguite. Devi eseguire l'upgrade a Cloud Service Mesh 1.11 o versioni successive. Per maggiori informazioni, consulta Eseguire l'upgrade dalle versioni precedenti (GKE) o Eseguire l'upgrade dalle versioni precedenti (on-premise).

Alta

CVE-2022-31045

I dati possono superare i limiti del buffer intermedio se un malintenzionato passa un payload piccolo e altamente compresso (noto anche come attacco zip bomb).

Che cosa devo fare?

Il cluster è interessato se utilizza versioni patch di Cloud Service Mesh precedenti a 1.13.4-asm.4, 1.12.7-asm.2 o 1.11.8-asm.4.

Sebbene Cloud Service Mesh non supporti i filtri Envoy, potresti essere interessato se utilizzi un filtro di decompressione.

Esegui l'upgrade del cluster a una delle seguenti versioni patchate:

• 1.13.4-asm.4
• 1.12.7-asm.2
• 1.11.8-asm.4

Se utilizzi Cloud Service Mesh v1.10 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni delle CVE non sono state eseguite. Devi eseguire l'upgrade a Cloud Service Mesh 1.11 o versioni successive. Per maggiori informazioni, consulta Eseguire l'upgrade dalle versioni precedenti (GKE) o Eseguire l'upgrade dalle versioni precedenti (on-premise).

Gli utenti di Envoy che gestiscono i propri Envoy devono assicurarsi di utilizzare la versione 1.22.1 di Envoy. Gli utenti di Envoy che gestiscono i propri Envoy creano i file binari da un'origine come GitHub e li implementano.

Gli utenti che eseguono Envoy gestiti (Google Cloud fornisce i binari di Envoy), per i quali i prodotti cloud passeranno alla versione 1.22.1, non devono intraprendere alcuna azione.

Alta

CVE-2022-29225

Potenziale dereferenziazione di puntatore nullo in GrpcHealthCheckerImpl.

Che cosa devo fare?

Il cluster è interessato se utilizza versioni patch di Cloud Service Mesh precedenti a 1.13.4-asm.4, 1.12.7-asm.2 o 1.11.8-asm.4.

Esegui l'upgrade del cluster a una delle seguenti versioni patchate:

• 1.13.4-asm.4
• 1.12.7-asm.2
• 1.11.8-asm.4

Se utilizzi Cloud Service Mesh v1.10 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni delle CVE non sono state eseguite. Devi eseguire l'upgrade a Cloud Service Mesh 1.11 o versioni successive. Per maggiori informazioni, consulta Eseguire l'upgrade dalle versioni precedenti (GKE) o Eseguire l'upgrade dalle versioni precedenti (on-premise).

Gli utenti di Envoy che gestiscono i propri Envoy devono assicurarsi di utilizzare la versione 1.22.1 di Envoy. Gli utenti di Envoy che gestiscono i propri Envoy creano i file binari da un'origine come GitHub e li implementano.

Gli utenti che eseguono Envoy gestiti (Google Cloud fornisce i binari di Envoy), per i quali i prodotti cloud passeranno alla versione 1.22.1, non devono intraprendere alcuna azione.

Media

CVE-2021-29224

Il filtro OAuth consente l'aggiramento banale.

Che cosa devo fare?

Il cluster è interessato se utilizza versioni patch di Cloud Service Mesh precedenti a 1.13.4-asm.4, 1.12.7-asm.2 o 1.11.8-asm.4.

Sebbene Cloud Service Mesh non supporti i filtri Envoy, potresti essere interessato se utilizzi un filtro OAuth.

Esegui l'upgrade del cluster a una delle seguenti versioni patchate:

• 1.13.4-asm.4
• 1.12.7-asm.2
• 1.11.8-asm.4

Se utilizzi Cloud Service Mesh v1.10 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni delle CVE non sono state eseguite. Devi eseguire l'upgrade a Cloud Service Mesh 1.11 o versioni successive. Per maggiori informazioni, consulta Eseguire l'upgrade dalle versioni precedenti (GKE) o Eseguire l'upgrade dalle versioni precedenti (on-premise).

Gli utenti di Envoy che gestiscono i propri Envoy e utilizzano il filtro OAuth devono assicurarsi di utilizzare la versione 1.22.1 di Envoy. Gli utenti di Envoy che gestiscono i propri Envoy creano i file binari da un'origine come GitHub e li eseguono il deployment.

Gli utenti che eseguono Envoy gestiti (Google Cloud fornisce i binari di Envoy), per i quali i prodotti cloud passeranno alla versione 1.22.1, non devono intraprendere alcuna azione.

Critico

CVE-2021-29226

Il filtro OAuth può danneggiare la memoria (versioni precedenti) o attivare un ASSERT() (versioni successive).

Che cosa devo fare?

Il cluster è interessato se utilizza versioni patch di Cloud Service Mesh precedenti a 1.13.4-asm.4, 1.12.7-asm.2 o 1.11.8-asm.4.

Sebbene Cloud Service Mesh non supporti i filtri Envoy, potresti essere interessato se utilizzi un filtro OAuth.

Esegui l'upgrade del cluster a una delle seguenti versioni patchate:

• 1.13.4-asm.4
• 1.12.7-asm.2
• 1.11.8-asm.4

Se utilizzi Cloud Service Mesh v1.10 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni delle CVE non sono state eseguite. Devi eseguire l'upgrade a Cloud Service Mesh 1.11 o versioni successive.

Gli utenti di Envoy che gestiscono i propri Envoy e utilizzano il filtro OAuth devono assicurarsi di utilizzare la versione 1.22.1 di Envoy. Gli utenti di Envoy che gestiscono i propri Envoy creano i file binari da un'origine come GitHub e li eseguono il deployment.

Gli utenti che eseguono Envoy gestiti (Google Cloud fornisce i binari di Envoy), per i quali i prodotti cloud passeranno alla versione 1.22.1, non devono intraprendere alcuna azione.

Alta

CVE-2022-29228

I reindirizzamenti interni si arrestano in modo anomalo per le richieste con corpo o trailer.

Che cosa devo fare?

Il cluster è interessato se utilizza versioni patch di Cloud Service Mesh precedenti a 1.13.4-asm.4, 1.12.7-asm.2 o 1.11.8-asm.4.

Esegui l'upgrade del cluster a una delle seguenti versioni patchate:

• 1.13.4-asm.4
• 1.12.7-asm.2
• 1.11.8-asm.4

Se utilizzi Cloud Service Mesh v1.10 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni delle CVE non sono state eseguite. Devi eseguire l'upgrade a Cloud Service Mesh 1.11 o versioni successive. Per maggiori informazioni, consulta Eseguire l'upgrade dalle versioni precedenti (GKE) o Eseguire l'upgrade dalle versioni precedenti (on-premise).

Gli utenti di Envoy che gestiscono i propri Envoy devono assicurarsi di utilizzare la versione 1.22.1 di Envoy. Gli utenti di Envoy che gestiscono i propri Envoy creano i file binari da un'origine come GitHub e li implementano.

Gli utenti che eseguono Envoy gestiti (Google Cloud fornisce i binari di Envoy), per i quali i prodotti cloud passeranno alla versione 1.22.1, non devono intraprendere alcuna azione.

Alta

CVE-2022-29227

Il control plane Istio, istiod, è vulnerabile a un errore di elaborazione delle richieste, consentendo a un malintenzionato che invia un messaggio appositamente creato che causa l'arresto anomalo del control plane quando il webhook di convalida per un cluster è esposto pubblicamente. Questo endpoint viene servito sulla porta TLS 15017, ma non richiede alcuna autenticazione da parte dell'autore dell'attacco.

Che cosa devo fare?

Tutte le versioni di Cloud Service Mesh sono interessate da questa vulnerabilità CVE.

Nota: se utilizzi Managed Control Plane, questa vulnerabilità è già stata corretta e non ti riguarda.

Esegui l'upgrade del cluster a una delle seguenti versioni patchate:

• 1.12.5-asm.0
• 1.11.8-asm.0
• 1.10.6-asm.2

Se utilizzi Cloud Service Mesh v1.9 o versioni precedenti, la tua release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni delle CVE non sono state eseguite. Devi eseguire l'upgrade a Cloud Service Mesh 1.10 o versioni successive.

Alta

CVE-2022-24726

Istiod si arresta in modo anomalo alla ricezione di richieste con un'intestazione authorization appositamente creata.

Che cosa devo fare?

Il tuo cluster è interessato se si verificano entrambe le seguenti condizioni:

• Utilizza versioni patch di Cloud Service Mesh precedenti a 1.12.4-asm.1, 1.11.7-asm.1, o 1.10.6-asm.1.

Nota: se utilizzi Managed Control Plane, questa vulnerabilità è già stata corretta e non ti riguarda.

Esegui l'upgrade del cluster a una delle seguenti versioni patchate:

• 1.12.4-asm.1
• 1.11.7-asm.1
• 1.10.6-asm.1

Se utilizzi Cloud Service Mesh v1.9 o versioni precedenti, la tua release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni delle CVE non sono state eseguite. Devi eseguire l'upgrade a Cloud Service Mesh 1.10 o versioni successive.

Alta

CVE-2022-23635

Potenziale dereferenziazione del puntatore nullo quando si utilizza la corrispondenza del filtro JWT safe_regex.

Che cosa devo fare?

Il tuo cluster è interessato se si verificano entrambe le seguenti condizioni:

• Utilizza versioni patch di Cloud Service Mesh precedenti a 1.12.4-asm.1, 1.11.7-asm.1, o 1.10.6-asm.1.
• Sebbene Cloud Service Mesh non supporti i filtri Envoy, potresti essere interessato se utilizzi l'espressione regolare del filtro JWT.

Esegui l'upgrade del cluster a una delle seguenti versioni patchate:

• 1.12.4-asm.1
• 1.11.7-asm.1
• 1.10.6-asm.1

Se utilizzi Cloud Service Mesh v1.9 o versioni precedenti, la tua release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni delle CVE non sono state eseguite. Devi eseguire l'upgrade a Cloud Service Mesh 1.10 o versioni successive.

Media

CVE-2021-43824

Use-after-free quando i filtri di risposta aumentano i dati di risposta e i dati aumentati superano i limiti del buffer downstream.

Che cosa devo fare?

Il tuo cluster è interessato se si verificano entrambe le seguenti condizioni:

• Utilizza versioni patch di Cloud Service Mesh precedenti a 1.12.4-asm.1, 1.11.7-asm.1, o 1.10.6-asm.1.
• Sebbene Cloud Service Mesh non supporti i filtri Envoy, potresti essere interessato se utilizzi un filtro di decompressione.

Esegui l'upgrade del cluster a una delle seguenti versioni patchate:

• 1.12.4-asm.1
• 1.11.7-asm.1
• 1.10.6-asm.1

Se utilizzi Cloud Service Mesh v1.9 o versioni precedenti, la tua release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni delle CVE non sono state eseguite. Devi eseguire l'upgrade a Cloud Service Mesh 1.10 o versioni successive.

Media

CVE-2021-43825

Use-after-free durante il tunneling TCP su HTTP, se la connessione downstream viene interrotta durante la creazione della connessione upstream.

Che cosa devo fare?

Il tuo cluster è interessato se si verificano entrambe le seguenti condizioni:

• Utilizza versioni patch di Cloud Service Mesh precedenti a 1.12.4-asm.1, 1.11.7-asm.1, o 1.10.6-asm.1.
• Sebbene Cloud Service Mesh non supporti i filtri Envoy, potresti essere interessato se utilizzi un filtro di tunneling.

Esegui l'upgrade del cluster a una delle seguenti versioni patchate:

• 1.12.4-asm.1
• 1.11.7-asm.1
• 1.10.6-asm.1

Se utilizzi Cloud Service Mesh v1.9 o versioni precedenti, la tua release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni delle CVE non sono state eseguite. Devi eseguire l'upgrade a Cloud Service Mesh 1.10 o versioni successive.

Media

CVE-2021-43826

La gestione errata della configurazione consente il riutilizzo della sessione mTLS senza nuova convalida dopo la modifica delle impostazioni di convalida.

Che cosa devo fare?

Il tuo cluster è interessato se si verificano entrambe le seguenti condizioni:

• Utilizza versioni patch di Cloud Service Mesh precedenti a 1.12.4-asm.1, 1.11.7-asm.1, o 1.10.6-asm.1.
• Tutti i servizi Cloud Service Mesh che utilizzano mTLS sono interessati da questa vulnerabilità CVE.

Esegui l'upgrade del cluster a una delle seguenti versioni patchate:

• 1.12.4-asm.1
• 1.11.7-asm.1
• 1.10.6-asm.1

Se utilizzi Cloud Service Mesh v1.9 o versioni precedenti, la tua release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni delle CVE non sono state eseguite. Devi eseguire l'upgrade a Cloud Service Mesh 1.10 o versioni successive.

Alta

CVE-2022-21654

Gestione errata dei reindirizzamenti interni alle route con una voce di risposta diretta.

Che cosa devo fare?

Il tuo cluster è interessato se si verificano entrambe le seguenti condizioni:

• Utilizza versioni patch di Cloud Service Mesh precedenti a 1.12.4-asm.1, 1.11.7-asm.1, o 1.10.6-asm.1.
• Sebbene Cloud Service Mesh non supporti i filtri Envoy, potresti subire un impatto se utilizzi un filtro di risposta diretta.

Esegui l'upgrade del cluster a una delle seguenti versioni patchate:

• 1.12.4-asm.1
• 1.11.7-asm.1
• 1.10.6-asm.1

Se utilizzi Cloud Service Mesh v1.9 o versioni precedenti, la tua release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni delle CVE non sono state eseguite. Devi eseguire l'upgrade a Cloud Service Mesh 1.10 o versioni successive.

Alta

CVE-2022-21655

Esaurimento dello stack quando un cluster viene eliminato tramite il servizio di rilevamento dei cluster.

Che cosa devo fare?

Il tuo cluster è interessato se si verificano entrambe le seguenti condizioni:

• Utilizza versioni patch di Cloud Service Mesh precedenti a 1.12.4-asm.1 o 1.11.7-asm.1.

Esegui l'upgrade del cluster a una delle seguenti versioni patchate:

• 1.12.4-asm.1
• 1.11.7-asm.1

Se utilizzi Cloud Service Mesh v1.9 o versioni precedenti, la tua release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni delle CVE non sono state eseguite. Devi eseguire l'upgrade a Cloud Service Mesh 1.10 o versioni successive.

Media

CVE-2022-23606

Istio contiene una vulnerabilità sfruttabile da remoto in cui una richiesta HTTP con un frammento (una sezione alla fine di un URI che inizia con un carattere #) nel percorso URI potrebbe bypassare i criteri di autorizzazione basati sul percorso URI di Istio.

Ad esempio, un criterio di autorizzazione Istio nega le richieste inviate al percorso URI /user/profile. Nelle versioni vulnerabili, una richiesta con il percorso URI /user/profile#section1 ignora il criterio di negazione e viene indirizzata al backend (con il percorso URI normalizzato /user/profile%23section1), il che porta a un incidente di sicurezza.

Questa correzione dipende da una correzione in Envoy, associata a CVE-2021-32779.

Che cosa devo fare?

Il tuo cluster è interessato se si verificano entrambe le seguenti condizioni:

• Utilizza versioni patch di Cloud Service Mesh precedenti a 1.7.8-asm.10, 1.8.6-asm.8, 1.9.8-asm.1 e 1.10.4-asm.6.
• Utilizza policy di autorizzazione con DENY actions e operation.paths oppure ALLOW actions e operation.notPaths.

Esegui l'upgrade del cluster a una delle seguenti versioni patchate:

• 1.10.4-asm.6
• 1.9.8-asm.1
• 1.8.6-asm.8
• 1.7.8-asm.10

Con le nuove versioni, la parte del frammento dell'URI della richiesta viene rimossa prima dell'autorizzazione e del routing. In questo modo, una richiesta con un frammento nel relativo URI non può bypassare i criteri di autorizzazione basati sull'URI senza la parte del frammento.

Se disattivi questo nuovo comportamento, la sezione del frammento nell'URI viene mantenuta. Per disattivare la funzionalità, puoi configurare l'installazione nel seguente modo:

apiVersion: install.istio.io/v1alpha1
kind: IstioOperator
metadata:
  name: opt-out-fragment-cve-fix
  namespace: istio-system
spec:
  meshConfig:
    defaultConfig:
      proxyMetadata:
        HTTP_STRIP_FRAGMENT_FROM_PATH_UNSAFE_IF_DISABLED: "false"

Nota: la disattivazione di questo comportamento rende il cluster vulnerabile a questo CVE.

Alta

CVE-2021-39156

Istio contiene una vulnerabilità sfruttabile da remoto in cui una richiesta HTTP potrebbe potenzialmente bypassare una policy di autorizzazione Istio quando si utilizzano regole basate su hosts o notHosts.

Nelle versioni vulnerabili, la policy di autorizzazione Istio confronta le intestazioni HTTP Host o :authority in modo sensibile alle maiuscole e minuscole, il che non è coerente con la RFC 4343. Ad esempio, l'utente potrebbe avere un criterio di autorizzazione che rifiuta le richieste con host secret.com, ma l'aggressore può aggirare questo problema inviando la richiesta all'hostname Secret.com. Il flusso di routing instrada il traffico al backend per secret.com, il che causa un incidente di sicurezza.

Che cosa devo fare?

Il tuo cluster è interessato se si verificano entrambe le seguenti condizioni:

• Utilizza versioni patch di Cloud Service Mesh precedenti a 1.7.8-asm.10, 1.8.6-asm.8, 1.9.8-asm.1 e 1.10.4-asm.6.
• Utilizza criteri di autorizzazione con DENY actions in base a operation.hosts o ALLOW actions in base a operation.notHosts.

Esegui l'upgrade del cluster a una delle seguenti versioni patchate:

• 1.10.4-asm.6
• 1.9.8-asm.1
• 1.8.6-asm.8
• 1.7.8-asm.10

Questa mitigazione garantisce che le intestazioni HTTP Host o :authority vengano valutate rispetto alle specifiche hosts o notHosts nelle norme di autorizzazione in modo non sensibile alle maiuscole.

Alta

CVE-2021-39155

Envoy contiene una vulnerabilità sfruttabile da remoto che una richiesta HTTP con più intestazioni di valori potrebbe eseguire un controllo incompleto delle norme di autorizzazione quando viene utilizzata l'estensione ext_authz. Quando un'intestazione della richiesta contiene più valori, il server di autorizzazione esterno visualizzerà solo l'ultimo valore dell'intestazione specificata.

Che cosa devo fare?

Il tuo cluster è interessato se si verificano entrambe le seguenti condizioni:

• Utilizza versioni patch di Cloud Service Mesh precedenti a 1.7.8-asm.10, 1.8.6-asm.8, 1.9.8-asm.1 e 1.10.4-asm.6.
• Utilizza la funzionalità Autorizzazione esterna.

Esegui l'upgrade del cluster a una delle seguenti versioni patchate:

• 1.10.4-asm.6
• 1.9.8-asm.1
• 1.8.6-asm.8
• 1.7.8-asm.10

Alta

CVE-2021-32777

Envoy contiene una vulnerabilità sfruttabile da remoto che interessa le estensioni decompressor, json-transcoder o grpc-web di Envoy o le estensioni proprietarie che modificano e aumentano le dimensioni dei corpi delle richieste o delle risposte. La modifica e l'aumento delle dimensioni del corpo in un'estensione di Envoy oltre le dimensioni del buffer interno potrebbero comportare l'accesso di Envoy alla memoria deallocata e la terminazione anomala.

Che cosa devo fare?

Il tuo cluster è interessato se si verificano entrambe le seguenti condizioni:

• Utilizza versioni patch di Cloud Service Mesh precedenti a 1.7.8-asm.10, 1.8.6-asm.8, 1.9.8-asm.1 e 1.10.4-asm.6.
• Utilizza EnvoyFilters.

Esegui l'upgrade del cluster a una delle seguenti versioni patchate:

• 1.10.4-asm.6
• 1.9.8-asm.1
• 1.8.6-asm.8
• 1.7.8-asm.10

Alta

CVE-2021-32781

Envoy contiene una vulnerabilità sfruttabile da remoto in cui un client Envoy che apre e poi reimposta un numero elevato di richieste HTTP/2 potrebbe comportare un consumo eccessivo di CPU.

Che cosa devo fare?

Il tuo cluster è interessato se utilizza versioni patch di Cloud Service Mesh precedenti a 1.7.8-asm.10, 1.8.6-asm.8, 1.9.8-asm.1 e 1.10.4-asm.6.

Esegui l'upgrade del cluster a una delle seguenti versioni patchate:

• 1.10.4-asm.6
• 1.9.8-asm.1

Nota: se utilizzi Cloud Service Mesh 1.8 o versioni precedenti, esegui l'upgrade alle patch più recenti di Cloud Service Mesh 1.9 e versioni successive per mitigare questa vulnerabilità.

Alta

CVE-2021-32778

Envoy contiene una vulnerabilità sfruttabile da remoto in cui un servizio upstream non attendibile potrebbe causare l'interruzione anomala di Envoy inviando il frame GOAWAY seguito dal frame SETTINGS con il parametro SETTINGS_MAX_CONCURRENT_STREAMS impostato su 0.

Che cosa devo fare?

Il cluster è interessato se utilizza Cloud Service Mesh 1.10 con una versione patch precedente alla 1.10.4-asm.6.

Esegui l'upgrade del cluster alla seguente versione patch:

• 1.10.4-asm.6

Alta

CVE-2021-32780

I carichi di lavoro Istio secure Gateway o che utilizzano DestinationRule possono caricare chiavi private e certificati TLS dai secret Kubernetes tramite la configurazione credentialName. A partire da Istio 1.8, i secret vengono letti da istiod e trasferiti a gateway e workload tramite XDS.

In genere, un deployment di gateway o workload può accedere solo ai certificati TLS e alle chiavi private memorizzati nel secret all'interno del proprio spazio dei nomi. Tuttavia, un bug in istiod consente a un client autorizzato ad accedere all'API Istio XDS di recuperare qualsiasi certificato TLS e chiavi private memorizzati nella cache in istiod. Questa vulnerabilità della sicurezza interessa solo le release secondarie 1.8 e 1.9 di Cloud Service Mesh.

Che cosa devo fare?

Il cluster è interessato se si verificano TUTTE le seguenti condizioni:

• Utilizza una versione 1.9.x precedente alla 1.9.6-asm.1 o una versione 1.8.x precedente alla 1.8.6-asm.4.
• Ha definito Gateways o DestinationRules con il campo credentialName specificato.
• Non specifica il flag istiod PILOT_ENABLE_XDS_CACHE=false.

Esegui l'upgrade del cluster a una delle seguenti versioni patchate:

• 1.9.6-asm.1
• 1.8.6-asm.4

Alta

CVE-2021-34824

Istio contiene una vulnerabilità sfruttabile da remoto in cui un client esterno può accedere a servizi imprevisti nel cluster, ignorando i controlli di autorizzazione, quando un gateway è configurato con la configurazione di routing AUTO_PASSTHROUGH.

Che cosa devo fare?

Questa vulnerabilità influisce solo sull'utilizzo del tipo di gateway AUTO_PASSTHROUGH, che in genere viene utilizzato solo in deployment multirete e multicluster.

Rileva la modalità TLS di tutti i gateway nel cluster con il seguente comando:

kubectl get gateways.networking.istio.io -A -o \
  "custom-columns=NAMESPACE:.metadata.namespace, \
  NAME:.metadata.name,TLS_MODE:.spec.servers[*].tls.mode"

Se nell'output vengono visualizzati gateway AUTO_PASSTHROUGH, potresti essere interessato.

Aggiorna i cluster alle versioni più recenti di Cloud Service Mesh:

• 1.9.5-asm.2
• 1.8.6-asm.3
• 1.7.8-asm.8

* Nota: l'implementazione del Managed Control Plane (disponibile solo nelle versioni 1.9.x) di Cloud Service Mesh verrà completata nei prossimi giorni.

Alta

CVE-2021-31921

Istio contiene una vulnerabilità sfruttabile da remoto in cui un percorso di richiesta HTTP con più slash o caratteri slash di escape (%2F o %5C) potrebbe potenzialmente bypassare una policy di autorizzazione Istio quando vengono utilizzate regole di autorizzazione basate sul percorso.

In uno scenario in cui un amministratore del cluster Istio definisce una policy di autorizzazione DENY per rifiutare la richiesta nel percorso "/admin", una richiesta inviata al percorso URL "//admin" NON verrà rifiutata dalla policy di autorizzazione.

Secondo lo standard RFC 3986, il percorso "//admin" con più barre oblique dovrebbe tecnicamente essere trattato come un percorso diverso da "/admin". Tuttavia, alcuni servizi di backend scelgono di normalizzare i percorsi URL unendo più barre in una singola barra. Ciò può comportare un bypass della norma di autorizzazione ("//admin" non corrisponde a "/admin") e un utente può accedere alla risorsa nel percorso "/admin" nel backend.

Che cosa devo fare?

Il cluster è interessato da questa vulnerabilità se hai criteri di autorizzazione che utilizzano i pattern "Azione ALLOW + campo notPaths" o "Azione DENY + campo paths". Questi pattern sono vulnerabili a bypass imprevisti delle norme e devi eseguire l'upgrade per risolvere il problema di sicurezza il prima possibile.

Di seguito è riportato un esempio di policy vulnerabile che utilizza il pattern "Azione DENY + campo percorsi":

apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: deny-path-admin
spec:
  action: DENY
  rules:
  - to:
    - operation:
        paths: ["/admin"]

Di seguito è riportato un altro esempio di norma vulnerabile che utilizza il pattern "Azione ALLOW + campo notPaths":

apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: allow-path-not-admin
spec:
  action: ALLOW
  rules:
  - to:
    - operation:
        notPaths: ["/admin"]

Il tuo cluster non è interessato da questa vulnerabilità se:

• Non hai criteri di autorizzazione.
• I criteri di autorizzazione non definiscono i campi paths o notPaths.
• I tuoi criteri di autorizzazione utilizzano i pattern "Azione ALLOW + campo paths" o "Azione DENY + campo notPaths". Questi pattern potrebbero causare solo un rifiuto imprevisto anziché l'elusione delle norme.

L'upgrade è facoltativo in questi casi.

Aggiorna i cluster alle ultime versioni supportate di Cloud Service Mesh*. Queste versioni supportano la configurazione dei proxy Envoy nel sistema con più opzioni di normalizzazione:

• 1.9.5-asm.2
• 1.8.6-asm.3
• 1.7.8-asm.8

* Nota: l'implementazione del Managed Control Plane (disponibile solo nelle versioni 1.9.x) di Cloud Service Mesh verrà completata nei prossimi giorni.

Segui la guida alle best practice per la sicurezza di Istio per configurare i criteri di autorizzazione.

Alta

CVE-2021-31920

I progetti Envoy e Istio hanno recentemente annunciato diverse nuove vulnerabilità di sicurezza (CVE-2021-28682, CVE-2021-28683 e CVE-2021-29258), che potrebbero consentire a un malintenzionato di bloccare Envoy e potenzialmente rendere offline e irraggiungibili parti del cluster.

Ciò influisce sui servizi forniti, come Cloud Service Mesh.

Che cosa devo fare?

Per correggere queste vulnerabilità, esegui l'upgrade del bundle Cloud Service Mesh a una delle seguenti versioni patchate:

• 1.9.3-asm.2
• 1.8.5-asm.2
• 1.7.8-asm.1
• 1.6.14-asm.2

Per ulteriori informazioni, consulta le note di rilascio di Cloud Service Mesh.

Alta

CVE-2021-28682
CVE-2021-28683
CVE-2021-29258