En esta página, se enumeran los boletines de seguridad de Istio en Google Kubernetes Engine (Istio on GKE).
Usa este feed XML para suscribirte a los boletines de seguridad de Istio on GKE.
GCP-2022-007
Descripción | Gravedad | Notas |
---|---|---|
Istio falla cuando recibe solicitudes con un encabezado ¿Qué debo hacer?Verifica si tus clústeres se ven afectadosTu clúster se ve afectado si se cumplen las siguientes condiciones:
Actualiza el clúster a una de las siguientes versiones de parche:
Si usas GKE 1.22 o superior, usa Istio en GKE 1.4.10. De lo contrario, usa Istio on GKE 1.4.11. |
Alta |
Descripción | Gravedad | Notas |
---|---|---|
Posible anulación de referencia de puntero nulo cuando se usa el filtro ¿Qué debo hacer?Verifica si tus clústeres se ven afectadosTu clúster se ve afectado si se cumplen las siguientes condiciones:
Actualiza el clúster a una de las siguientes versiones de parche:
Si usas GKE 1.22 o superior, usa Istio en GKE 1.4.10. De lo contrario, usa Istio on GKE 1.4.11. |
Media |
Descripción | Gravedad | Notas |
---|---|---|
Uso después de la liberación cuando los filtros de respuesta aumentan los datos de respuesta, y los datos incrementados superan los límites de búfer descendentes. ¿Qué debo hacer?Verifica si tus clústeres se ven afectadosTu clúster se ve afectado si se cumplen las siguientes condiciones:
Actualiza el clúster a una de las siguientes versiones de parche:
Si usas GKE 1.22 o superior, usa Istio en GKE 1.4.10. De lo contrario, usa Istio on GKE 1.4.11. |
Media |
Descripción | Gravedad | Notas |
---|---|---|
Uso después de la liberación durante la tunelización de TCP a través de HTTP si se desconecta después durante el establecimiento de la conexión ascendente. ¿Qué debo hacer?Verifica si tus clústeres se ven afectadosTu clúster se ve afectado si se cumplen las siguientes condiciones:
Actualiza el clúster a una de las siguientes versiones de parche:
Si usas GKE 1.22 o superior, usa Istio en GKE 1.4.10. De lo contrario, usa Istio on GKE 1.4.11. |
Media |
Descripción | Gravedad | Notas |
---|---|---|
Un control de configuración incorrecto permite que una sesión de mTLS se vuelva a usar sin una nueva validación tras el cambio de la configuración de validación. ¿Qué debo hacer?Verifica si tus clústeres se ven afectadosTu clúster se ve afectado si se cumplen las siguientes condiciones:
Actualiza el clúster a una de las siguientes versiones de parche:
Si usas GKE 1.22 o superior, usa Istio en GKE 1.4.10. De lo contrario, usa Istio on GKE 1.4.11. |
Alta |
Descripción | Gravedad | Notas |
---|---|---|
Control incorrecto de redireccionamientos internos a rutas con una entrada de respuesta directa. ¿Qué debo hacer?Verifica si tus clústeres se ven afectadosTu clúster se ve afectado si se cumplen las siguientes condiciones:
Actualiza el clúster a una de las siguientes versiones de parche:
Si usas GKE 1.22 o superior, usa Istio en GKE 1.4.10. De lo contrario, usa Istio on GKE 1.4.11. |
Alta |
GCP-2021-016
Fecha de publicación: 24-08-2021Descripción | Gravedad | Notas |
---|---|---|
Istio contiene una vulnerabilidad que se puede usar a nivel remoto en la que una solicitud HTTP con un fragmento (una sección al final de un URI que comienza con un carácter
Por ejemplo, una política de autorización de Istio rechaza las solicitudes enviadas a la ruta del URI Esta corrección depende de una corrección en Envoy, que está asociada con CVE-2021-32779. ¿Qué debo hacer?Verifica si tus clústeres se ven afectadosTu clúster se ve afectado si se cumplen las siguientes condiciones:
Actualiza tu clúster a la siguiente versión de parche:
Con la versión nueva, la parte del fragmento del URI de la solicitud se quita antes de la autorización y el enrutamiento. Esto evita que una solicitud con un fragmento en su URI omita las políticas de autorización basadas en el URI sin la parte del fragmento. InhabilitarSi inhabilitas este comportamiento nuevo, se conserva la sección de fragmentos del URI. Para inhabilitarlo, puedes configurar la instalación de la siguiente manera: apiVersion: install.istio.io/v1alpha1 kind: IstioOperator metadata: name: opt-out-fragment-cve-fix namespace: istio-system spec: meshConfig: defaultConfig: proxyMetadata: HTTP_STRIP_FRAGMENT_FROM_PATH_UNSAFE_IF_DISABLED: "false" Nota: Si inhabilitas este comportamiento, tu clúster será vulnerable a esta CVE. |
Alto |
Descripción | Gravedad | Notas |
---|---|---|
Istio contiene una vulnerabilidad que se puede usar de forma remota, en la que una solicitud HTTP podría omitir una política de autorización de Istio cuando se usan reglas basadas en
En las versiones vulnerables, la política de autorización de Istio compara los encabezados HTTP ¿Qué debo hacer?Verifica si tus clústeres se ven afectadosTu clúster se ve afectado si se cumplen las siguientes condiciones:
Actualiza tu clúster a la siguiente versión de parche:
Esta mitigación garantiza que los encabezados HTTP |
Alta |
Descripción | Gravedad | Notas |
---|---|---|
Envoy contiene una vulnerabilidad que se puede usar de forma remota y que una solicitud HTTP con varios encabezados de valor puede realizar una verificación de política de autorización incompleta cuando se usa la extensión ¿Qué debo hacer?Verifica si tus clústeres se ven afectadosTu clúster se ve afectado si se cumplen las siguientes condiciones:
Actualiza el clúster a una de las siguientes versiones de parche:
|
Alta |
Descripción | Gravedad | Notas |
---|---|---|
Envoy contiene una vulnerabilidad que se puede usar de forma remota y afecta a las extensiones ¿Qué debo hacer?Verifica si tus clústeres se ven afectadosTu clúster se ve afectado si se cumplen las siguientes condiciones:
Actualiza el clúster a una de las siguientes versiones de parche:
|
Alto |
GCP-2021-004
Fecha de publicación: 7/05/2021Descripción | Gravedad | Notas |
---|---|---|
Recientemente, el proyecto de Envoy/Istio anunció varias vulnerabilidades de seguridad nuevas que afectan a Istio Service Mesh y a Istio en Google Kubernetes Engine:
¿Qué debo hacer?Para corregir estas vulnerabilidades, actualiza a la versión más reciente del parche. Para obtener instrucciones, consulta Actualiza Istio on GKE. |
Alta |