Sicherheitsbulletins

Die Istio-App stürzt ab, wenn Anfragen mit einem speziell erstellten authorization-Header eingehen.

Was soll ich tun?

Ihr Cluster ist betroffen, wenn die beiden folgenden Bedingungen zutreffen:

• Es verwendet Istio on GKE-Patch-Versionen vor 1.6.14-gke.9, 1.4.11-gke.4 oder 1.4.10-gke.23.
• Diese CVE-Version ist für alle Istio-Versionen erforderlich.

Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:

• 1.6.14-gke.9
• 1.4.11-gke.4
• 1.4.10-gke.23

Wenn Sie GKE 1.22 oder höher verwenden, verwenden Sie Istio for GKE 1.4.10. Verwenden Sie andernfalls Istio in GKE 1.4.11.

Hoch

CVE-2022-23635

Möglicher Verweis von Nullpointern, wenn der JWT-Filter safe_regex abgeglichen wird.

Was soll ich tun?

Ihr Cluster ist betroffen, wenn die beiden folgenden Bedingungen zutreffen:

• Es verwendet Istio on GKE-Patch-Versionen vor 1.6.14-gke.9, 1.4.11-gke.4 oder 1.4.10-gke.23.
• Auch wenn Istio in GKE keine Filter für Envoy unterstützt, könnte es zu Problemen kommen, wenn Sie den regulären Ausdruck des JWT-Filters verwenden.

Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:

• 1.6.14-gke.9
• 1.4.11-gke.4
• 1.4.10-gke.23

Wenn Sie GKE 1.22 oder höher verwenden, verwenden Sie Istio for GKE 1.4.10. Verwenden Sie andernfalls Istio in GKE 1.4.11.

Mittel

CVE-2021-43824

„Nachher kostenlos“, wenn Antwortfilter die Antwortdaten erhöhen und erhöhte Daten die nachgelagerten Zwischenspeichergrenzen überschreiten.

Was soll ich tun?

Ihr Cluster ist betroffen, wenn die beiden folgenden Bedingungen zutreffen:

• Es verwendet Istio on GKE-Patch-Versionen vor 1.6.14-gke.9, 1.4.11-gke.4 oder 1.4.10-gke.23.
• Istio unterstützt Filter in Istio zwar nicht, es kann aber trotzdem ein Problem mit einem Dekomprimierungsfilter geben.

Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:

• 1.6.14-gke.9
• 1.4.11-gke.4
• 1.4.10-gke.23

Wenn Sie GKE 1.22 oder höher verwenden, verwenden Sie Istio for GKE 1.4.10. Verwenden Sie andernfalls Istio in GKE 1.4.11.

Mittel

CVE-2021-43825

Kann nach dem Tunneling von TCP über HTTP verwendet werden, wenn nachgelagerte Verbindung während der Upstream-Verbindung getrennt wird.

Was soll ich tun?

Ihr Cluster ist betroffen, wenn die beiden folgenden Bedingungen zutreffen:

• Es verwendet Istio on GKE-Patch-Versionen vor 1.6.14-gke.9, 1.4.11-gke.4 oder 1.4.10-gke.23.
• Istio unterstützt in GKE zwar keine Filter für GKE, es kann aber auch Auswirkungen darauf geben, wenn Sie einen Tunnelfilter verwenden.

Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:

• 1.6.14-gke.9
• 1.4.11-gke.4
• 1.4.10-gke.23

Wenn Sie GKE 1.22 oder höher verwenden, verwenden Sie Istio for GKE 1.4.10. Verwenden Sie andernfalls Istio in GKE 1.4.11.

Mittel

CVE-2021-43826

Durch eine fehlerhafte Konfiguration können die mTLS-Sitzungen ohne erneute Validierung wiederverwendet werden, nachdem sich die Validierungseinstellungen geändert haben.

Was soll ich tun?

Ihr Cluster ist betroffen, wenn die beiden folgenden Bedingungen zutreffen:

• Es verwendet Istio on GKE-Patch-Versionen vor 1.6.14-gke.9, 1.4.11-gke.4 oder 1.4.10-gke.23.
• Diese CVE-Analyse betrifft alle Istio-on-GKE-Dienste, die mTLS verwenden.

Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:

• 1.6.14-gke.9
• 1.4.11-gke.4
• 1.4.10-gke.23

Wenn Sie GKE 1.22 oder höher verwenden, verwenden Sie Istio for GKE 1.4.10. Verwenden Sie andernfalls Istio in GKE 1.4.11.

Hoch

CVE-2022-21654-

Falsche Verarbeitung interner Weiterleitungen zu Routen mit einem Direct-Response-Eintrag.

Was soll ich tun?

Ihr Cluster ist betroffen, wenn die beiden folgenden Bedingungen zutreffen:

• Es verwendet Istio on GKE-Patch-Versionen vor 1.6.14-gke.9, 1.4.11-gke.4 oder 1.4.10-gke.23.
• Istio unterstützt in GKE zwar keine Filter für GKE, es kann aber trotzdem Auswirkungen auf Sie haben, wenn Sie einen Direct-Response-Filter verwenden.

Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:

• 1.6.14-gke.9
• 1.4.11-gke.4
• 1.4.10-gke.23

Wenn Sie GKE 1.22 oder höher verwenden, verwenden Sie Istio for GKE 1.4.10. Verwenden Sie andernfalls Istio in GKE 1.4.11.

Hoch

CVE-2022-21655-

Istio enthält eine remote ausnutzbare Sicherheitslücke, bei der eine HTTP-Anfrage mit einem Fragment (ein Abschnitt am Ende eines URI, der mit einem #-Zeichen beginnt) im URI-Pfad die URI-Pfad-basierten Autorisierungsrichtlinien umgehen kann.

Eine Istio-Autorisierungsrichtlinie lehnt beispielsweise Anfragen ab, die an den URI-Pfad /user/profile gesendet werden. In den anfälligen Versionen umgeht eine Anfrage mit dem URI-Pfad /user/profile#section1 die Ablehnungsrichtlinie und wird (mit dem normalisierten URI-Pfad /user/profile%23section1) an das Back-End weitergeleitet. Dies führt zu einem Sicherheitsvorfall.

Diese Korrektur hängt von einer Korrektur in Envoy ab, die mit CVE-2021-32779 verknüpft ist.

Was soll ich tun?

Ihr Cluster ist betroffen, wenn die beiden folgenden Bedingungen zutreffen:

• Er verwendet Istio on GKE 1.6 mit Patchversionen vor 1.6.14-gke.5 verwendet. (Istio on GKE 1.4 ist nicht betroffen, da die zugehörige Autorisierungsrichtlinie den gesamten Traffic standardmäßig ablehnt.)
• Er verwendet Autorisierungsrichtlinien mit DENY actions und operation.paths oder ALLOW actions und operation.notPaths.

Aktualisieren Sie Ihren Cluster auf die folgende Patchversion:

• 1.6.14-gke.5

Bei der neuen Version wird der Fragmentteil des Anfrage-URI vor der Autorisierung und dem Routing entfernt. Dadurch wird verhindert, dass eine Anfrage mit einem Fragment im URI Autorisierungsrichtlinien umgeht, die auf dem URI ohne den Fragmentteil basieren.

Wenn Sie dieses neue Verhalten deaktivieren, wird der Fragmentabschnitt im URI beibehalten. Um es zu deaktivieren, können Sie Ihre Installation so konfigurieren:

apiVersion: install.istio.io/v1alpha1
kind: IstioOperator
metadata:
  name: opt-out-fragment-cve-fix
  namespace: istio-system
spec:
  meshConfig:
    defaultConfig:
      proxyMetadata:
        HTTP_STRIP_FRAGMENT_FROM_PATH_UNSAFE_IF_DISABLED: "false"

Hinweis: Wenn Sie dieses Verhalten deaktivieren, ist Ihr System anfällig für diese CVE-Sicherheitslücke.

Hoch

CVE-2021-39156

Istio enthält eine remote ausnutzbare Sicherheitslücke, bei der eine HTTP-Anfrage eine Istio-Autorisierungsrichtlinie potenziell umgehen kann, wenn Regeln basierend auf hosts und notHosts verwendet werden.

In den anfälligen Versionen vergleicht die Istio-Autorisierungsrichtlinie den HTTP-Header Host oder :authority unter Berücksichtigung der Groß- und Kleinschreibung, was nicht mit RFC 4343 übereinstimmt. Der Nutzer könnte beispielsweise eine Autorisierungsrichtlinie haben, die Anfragen mit dem Host secret.com ablehnt. Der Angreifer kann dies jedoch umgehen, indem er die Anfrage unter dem Hostnamen Secret.com sendet. Beim Routing wird der Traffic an das Back-End für secret.com weitergeleitet, was zu einem Sicherheitsvorfall führt.

Was soll ich tun?

Ihr Cluster ist betroffen, wenn die beiden folgenden Bedingungen zutreffen:

• Er verwendet Istio on GKE 1.6 mit Patchversionen vor 1.6.14-gke.5 verwendet. (Istio on GKE 1.4 ist nicht betroffen, da die zugehörige Autorisierungsrichtlinie den gesamten Traffic standardmäßig ablehnt und notHosts nicht unterstützt.)
• Er verwendet Autorisierungsrichtlinien mit DENY actions basierend auf operation.hosts oder ALLOW actions basierend auf operation.notHosts.

Aktualisieren Sie Ihren Cluster auf die folgende Patchversion:

• 1.6.14-gke.5

Dadurch wird sichergestellt, dass die HTTP-Header Host und :authority in den Autorisierungsrichtlinien anhand der Spezifikation hosts oder notHosts unabhängig von der Groß- und Kleinschreibung ausgewertet werden.

Hoch

CVE-2021-39155

Envoy enthält eine remote ausnutzbare Sicherheitslücke, bei der eine HTTP-Anfrage mit mehreren Wertheadern eine unvollständige Prüfung der Autorisierungsrichtlinie durchführen kann, wenn die Erweiterung ext_authz verwendet wird. Wenn ein Anfrageheader mehrere Werte enthält, sieht der externe Autorisierungsserver nur den letzten Wert des angegebenen Headers.

Was soll ich tun?

Ihr Cluster ist betroffen, wenn die beiden folgenden Bedingungen zutreffen:

• Er verwendet Patchversionen vor 1.4.10-gke.17 oder 1.6.14-gke.5.
• Er verwendet die externe Autorisierung (ext_authz) von Istio on GKE.

Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:

• 1.4.10-gke.17
• 1.6.14-gke.5

Hoch

CVE-2021-32777

Envoy enthält eine remote ausnutzbare Sicherheitslücke bezüglich der Envoy-Erweiterungen decompressor, json-transcoder und grpc-web, die die Größe von Anfrage- oder Antworttexten ändern und erhöhen. Das Ändern und Erhöhen der Textgröße in der Envoy-Erweiterung über die interne Puffergröße hinaus kann dazu führen, dass Envoy auf den freigegebenen Speicher zugreift und anormal beendet wird.

Was soll ich tun?

Ihr Cluster ist betroffen, wenn die beiden folgenden Bedingungen zutreffen:

• Er verwendet Patchversionen vor 1.4.10-gke.17 oder 1.6.14-gke.5.
• Er verwendet EnvoyFilter.

Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:

• 1.4.10-gke.17
• 1.6.14-gke.5

Hoch

CVE-2021-32781

Das Envoy/Istio-Projekt hat kürzlich mehrere neue Sicherheitslücken bekanntgegeben, die Anthos Service Mesh und Istio on Google Kubernetes Engine betreffen:

• CVE-2021-28682: Envoy bis 1.17.1 enthält einen remote ausnutzbaren Integer-Overflow, bei dem ein sehr großer grpc-Zeitüberschreitungswert zu unerwarteten Zeitüberschreitungsberechnungen führt.
• CVE-2021-28683: Envoy bis 1.17.1 enthält eine remote ausnutzbare NULL-Zeiger-Dereferenzierung und stürzt in TLS ab, wenn ein unbekannter TLS-Benachrichtigungscode empfangen wird.
• CVE-2021-29258: Envoy bis 1.17.1 enthält eine remote ausnutzbare Sicherheitslücke, bei der eine HTTP2-Anfrage mit einer leeren Metadatenzuordnung zu einem Absturz von Envoy führen kann.

Was soll ich tun?

Führen Sie ein Upgrade auf die neueste Patchversion durch, um diese Sicherheitslücken zu beheben. Eine Anleitung finden Sie unter Istio on GKE upgraden.

Hoch

CVE-2021-28682
CVE-2021-28683
CVE-2021-29258