Boletines de seguridad

En esta página, se enumeran los boletines de seguridad de Istio en Google Kubernetes Engine (Istio on GKE).

Usa este feed XML para suscribirte a los boletines de seguridad de Istio on GKE. Suscribirse

GCP-2022-007

Descripción Gravedad Notas

Istio falla cuando recibe solicitudes con un encabezado authorization creado especialmente.

¿Qué debo hacer?

Verifica si tus clústeres se ven afectados

Tu clúster se ve afectado si se cumplen las siguientes condiciones:

  • Usa las versiones de parche de Istio on GKE anteriores a 1.6.14-gke.9, 1.4.11-gke.4 o 1.4.10-gke.23.
  • Todas las versiones de Istio on GKE se ven afectadas por esta CVE.
Mitigación

Actualiza el clúster a una de las siguientes versiones de parche:

  • 1.6.14‐gke.9
  • 1.4.11‐gke.4
  • 1.4.10‐gke.23

Si usas GKE 1.22 o superior, usa Istio en GKE 1.4.10. De lo contrario, usa Istio on GKE 1.4.11.

Alta

CVE‐2022‐23635

Descripción Gravedad Notas

Posible anulación de referencia de puntero nulo cuando se usa el filtro safe_regex de JWT.

¿Qué debo hacer?

Verifica si tus clústeres se ven afectados

Tu clúster se ve afectado si se cumplen las siguientes condiciones:

  • Usa las versiones de parche de Istio on GKE anteriores a 1.6.14-gke.9, 1.4.11-gke.4 o 1.4.10-gke.23.
  • Aunque Istio en GKE no admite filtros de Envoy, podrías verse afectado si usas la regex del filtro JWT.
Mitigación

Actualiza el clúster a una de las siguientes versiones de parche:

  • 1.6.14‐gke.9
  • 1.4.11‐gke.4
  • 1.4.10‐gke.23

Si usas GKE 1.22 o superior, usa Istio en GKE 1.4.10. De lo contrario, usa Istio on GKE 1.4.11.

Media

CVE‐2021‐43824

Descripción Gravedad Notas

Uso después de la liberación cuando los filtros de respuesta aumentan los datos de respuesta, y los datos incrementados superan los límites de búfer descendentes.

¿Qué debo hacer?

Verifica si tus clústeres se ven afectados

Tu clúster se ve afectado si se cumplen las siguientes condiciones:

  • Usa las versiones de parche de Istio on GKE anteriores a 1.6.14-gke.9, 1.4.11-gke.4 o 1.4.10-gke.23.
  • Aunque Istio en GKE no admite filtros de Envoy, podrías verse afectado si usas un filtro de descompresión.
Mitigación

Actualiza el clúster a una de las siguientes versiones de parche:

  • 1.6.14‐gke.9
  • 1.4.11‐gke.4
  • 1.4.10‐gke.23

Si usas GKE 1.22 o superior, usa Istio en GKE 1.4.10. De lo contrario, usa Istio on GKE 1.4.11.

Media

CVE‐2021‐43825

Descripción Gravedad Notas

Uso después de la liberación durante la tunelización de TCP a través de HTTP si se desconecta después durante el establecimiento de la conexión ascendente.

¿Qué debo hacer?

Verifica si tus clústeres se ven afectados

Tu clúster se ve afectado si se cumplen las siguientes condiciones:

  • Usa las versiones de parche de Istio on GKE anteriores a 1.6.14-gke.9, 1.4.11-gke.4 o 1.4.10-gke.23.
  • Aunque Istio en GKE no admite filtros de Envoy, podrías verse afectado si usas un filtro de tunelización.
Mitigación

Actualiza el clúster a una de las siguientes versiones de parche:

  • 1.6.14‐gke.9
  • 1.4.11‐gke.4
  • 1.4.10‐gke.23

Si usas GKE 1.22 o superior, usa Istio en GKE 1.4.10. De lo contrario, usa Istio on GKE 1.4.11.

Media

CVE‐2021‐43826

Descripción Gravedad Notas

Un control de configuración incorrecto permite que una sesión de mTLS se vuelva a usar sin una nueva validación tras el cambio de la configuración de validación.

¿Qué debo hacer?

Verifica si tus clústeres se ven afectados

Tu clúster se ve afectado si se cumplen las siguientes condiciones:

  • Usa las versiones de parche de Istio on GKE anteriores a 1.6.14-gke.9, 1.4.11-gke.4 o 1.4.10-gke.23.
  • Todos los servicios de Istio on GKE que usan mTLS se ven afectados por esta CVE.
Mitigación

Actualiza el clúster a una de las siguientes versiones de parche:

  • 1.6.14‐gke.9
  • 1.4.11‐gke.4
  • 1.4.10‐gke.23

Si usas GKE 1.22 o superior, usa Istio en GKE 1.4.10. De lo contrario, usa Istio on GKE 1.4.11.

Alta

CVE‐2022‐21654

Descripción Gravedad Notas

Control incorrecto de redireccionamientos internos a rutas con una entrada de respuesta directa.

¿Qué debo hacer?

Verifica si tus clústeres se ven afectados

Tu clúster se ve afectado si se cumplen las siguientes condiciones:

  • Usa las versiones de parche de Istio on GKE anteriores a 1.6.14-gke.9, 1.4.11-gke.4 o 1.4.10-gke.23.
  • Aunque Istio en GKE no admite filtros de Envoy, podrías verse afectado si usas un filtro de respuesta directa.
Mitigación

Actualiza el clúster a una de las siguientes versiones de parche:

  • 1.6.14‐gke.9
  • 1.4.11‐gke.4
  • 1.4.10‐gke.23

Si usas GKE 1.22 o superior, usa Istio en GKE 1.4.10. De lo contrario, usa Istio on GKE 1.4.11.

Alta

CVE‐2022‐21655

GCP-2021-016

Fecha de publicación: 24-08-2021
Descripción Gravedad Notas

Istio contiene una vulnerabilidad que se puede usar a nivel remoto en la que una solicitud HTTP con un fragmento (una sección al final de un URI que comienza con un carácter #) en la ruta del URI podría omitir las políticas de autorización de la ruta basada en URI de Istio.

Por ejemplo, una política de autorización de Istio rechaza las solicitudes enviadas a la ruta del URI /user/profile. En las versiones vulnerables, una solicitud con la ruta de acceso de URI /user/profile#section1 omite la política de denegación y se enruta al backend (con la ruta de URI normalizada /user/profile%23section1), lo que genera un incidente de seguridad.

Esta corrección depende de una corrección en Envoy, que está asociada con CVE-2021-32779.

¿Qué debo hacer?

Verifica si tus clústeres se ven afectados

Tu clúster se ve afectado si se cumplen las siguientes condiciones:

  • Usa Istio on GKE 1.6 con versiones de parche anteriores a la 1.6.14-gke.5. (Istio on GKE 1.4 no se ve afectado porque su política de autorización rechaza todo el tráfico de forma predeterminada).
  • Usa políticas de autorización con DENY actions y operation.paths, o ALLOW actions y operation.notPaths.
Mitigación

Actualiza tu clúster a la siguiente versión de parche:

  • 1.6.14-gke.5

Con la versión nueva, la parte del fragmento del URI de la solicitud se quita antes de la autorización y el enrutamiento. Esto evita que una solicitud con un fragmento en su URI omita las políticas de autorización basadas en el URI sin la parte del fragmento.

Inhabilitar

Si inhabilitas este comportamiento nuevo, se conserva la sección de fragmentos del URI. Para inhabilitarlo, puedes configurar la instalación de la siguiente manera:


apiVersion: install.istio.io/v1alpha1
kind: IstioOperator
metadata:
  name: opt-out-fragment-cve-fix
  namespace: istio-system
spec:
  meshConfig:
    defaultConfig:
      proxyMetadata:
        HTTP_STRIP_FRAGMENT_FROM_PATH_UNSAFE_IF_DISABLED: "false"

Nota: Si inhabilitas este comportamiento, tu clúster será vulnerable a esta CVE.

Alto

CVE‐2021‐39156

Descripción Gravedad Notas

Istio contiene una vulnerabilidad que se puede usar de forma remota, en la que una solicitud HTTP podría omitir una política de autorización de Istio cuando se usan reglas basadas en hosts o notHosts.

En las versiones vulnerables, la política de autorización de Istio compara los encabezados HTTP Host o :authority sin distinguir entre mayúsculas y minúsculas, lo que no concuerda con RFC 4343. Por ejemplo, el usuario podría tener una política de autorización que rechace las solicitudes con el host secret.com, pero el atacante puede omitir esto mediante el envío de la solicitud en el nombre de host Secret.com. El flujo de enrutamiento enruta el tráfico al backend de secret.com, lo que provoca un incidente de seguridad.

¿Qué debo hacer?

Verifica si tus clústeres se ven afectados

Tu clúster se ve afectado si se cumplen las siguientes condiciones:

  • Usa Istio on GKE 1.6 con versiones de parche anteriores a la 1.6.14-gke.5. (Istio en GKE 1.4 no se ve afectado porque su política de autorización rechaza todo el tráfico de forma predeterminada y no admite notHosts).
  • Usa políticas de autorización con DENY actions en función de operation.hosts o ALLOW actions en función de operation.notHosts.
Mitigación

Actualiza tu clúster a la siguiente versión de parche:

  • 1.6.14-gke.5

Esta mitigación garantiza que los encabezados HTTP Host o :authority se evalúen según las especificaciones hosts o notHosts en las políticas de autorización para que no distingan entre mayúsculas y minúsculas.

Alta

CVE‐2021‐39155

Descripción Gravedad Notas

Envoy contiene una vulnerabilidad que se puede usar de forma remota y que una solicitud HTTP con varios encabezados de valor puede realizar una verificación de política de autorización incompleta cuando se usa la extensión ext_authz. Cuando un encabezado de solicitud contiene varios valores, el servidor de autorización externo solo verá el último valor del encabezado especificado.

¿Qué debo hacer?

Verifica si tus clústeres se ven afectados

Tu clúster se ve afectado si se cumplen las siguientes condiciones:

  • Usa versiones de parche anteriores a 1.4.10-gke.17 o 1.6.14-gke.5.
  • Usa la extensión de autorización externa (ext_authz) de Istio on GKE.
Mitigación

Actualiza el clúster a una de las siguientes versiones de parche:

  • 1.4.10-gke.17
  • 1.6.14-gke.5

Alta

CVE‐2021‐32777

Descripción Gravedad Notas

Envoy contiene una vulnerabilidad que se puede usar de forma remota y afecta a las extensiones decompressor, json-transcoder o grpc-web de Envoy, o que modifican y aumentan el tamaño de los cuerpos de las solicitudes o respuestas. Modifica y aumenta el tamaño del cuerpo en la extensión de Envoy más allá del tamaño del búfer interno podría provocar que Envoy acceda a la memoria desasignada y finalice de forma anormal.

¿Qué debo hacer?

Verifica si tus clústeres se ven afectados

Tu clúster se ve afectado si se cumplen las siguientes condiciones:

  • Usa versiones de parche anteriores a 1.4.10-gke.17 o 1.6.14-gke.5.
  • Usa EnvoyFilter.
Mitigación

Actualiza el clúster a una de las siguientes versiones de parche:

  • 1.4.10-gke.17
  • 1.6.14-gke.5

Alto

CVE‐2021‐32781

GCP-2021-004

Fecha de publicación: 7/05/2021
Descripción Gravedad Notas

Recientemente, el proyecto de Envoy/Istio anunció varias vulnerabilidades de seguridad nuevas que afectan a Istio Service Mesh y a Istio en Google Kubernetes Engine:

  • CVE-2021-28682: Envoy a través de 1.17.1 contiene un desbordamiento de números enteros que se puede aprovechar de manera remota, en el que un valor de tiempo de espera muy grande de grpc genera cálculos de tiempo de espera inesperados.
  • CVE-2021-28683: Envoy hasta 1.17.1 contiene una desreferencia de puntero NULL de explotación remota y una falla en TLS cuando se recibe un código de alerta TLS desconocido.
  • CVE-2021-29258: Envoy a través de 1.17.1 contiene una vulnerabilidad de explotación remota en la que una solicitud HTTP2 con un mapa de metadatos vacío puede causar que Envoy falle.

¿Qué debo hacer?

Para corregir estas vulnerabilidades, actualiza a la versión más reciente del parche. Para obtener instrucciones, consulta Actualiza Istio on GKE.

Alta

CVE-2021-28682
CVE-2021-28683
CVE-2021-29258