Boletines de seguridad

Istio falla cuando recibe solicitudes con un encabezado authorization creado especialmente.

¿Qué debo hacer?

Tu clúster se ve afectado si se cumplen las siguientes condiciones:

• Usa las versiones de parche de Istio on GKE anteriores a 1.6.14-gke.9, 1.4.11-gke.4 o 1.4.10-gke.23.
• Todas las versiones de Istio on GKE se ven afectadas por esta CVE.

Actualiza el clúster a una de las siguientes versiones de parche:

• 1.6.14‐gke.9
• 1.4.11‐gke.4
• 1.4.10‐gke.23

Si usas GKE 1.22 o superior, usa Istio en GKE 1.4.10. De lo contrario, usa Istio on GKE 1.4.11.

Alta

CVE‐2022‐23635

Posible anulación de referencia de puntero nulo cuando se usa el filtro safe_regex de JWT.

¿Qué debo hacer?

Tu clúster se ve afectado si se cumplen las siguientes condiciones:

• Usa las versiones de parche de Istio on GKE anteriores a 1.6.14-gke.9, 1.4.11-gke.4 o 1.4.10-gke.23.
• Aunque Istio en GKE no admite filtros de Envoy, podrías verse afectado si usas la regex del filtro JWT.

Actualiza el clúster a una de las siguientes versiones de parche:

• 1.6.14‐gke.9
• 1.4.11‐gke.4
• 1.4.10‐gke.23

Si usas GKE 1.22 o superior, usa Istio en GKE 1.4.10. De lo contrario, usa Istio on GKE 1.4.11.

Media

CVE‐2021‐43824

Uso después de la liberación cuando los filtros de respuesta aumentan los datos de respuesta, y los datos incrementados superan los límites de búfer descendentes.

¿Qué debo hacer?

Tu clúster se ve afectado si se cumplen las siguientes condiciones:

• Usa las versiones de parche de Istio on GKE anteriores a 1.6.14-gke.9, 1.4.11-gke.4 o 1.4.10-gke.23.
• Aunque Istio en GKE no admite filtros de Envoy, podrías verse afectado si usas un filtro de descompresión.

Actualiza el clúster a una de las siguientes versiones de parche:

• 1.6.14‐gke.9
• 1.4.11‐gke.4
• 1.4.10‐gke.23

Si usas GKE 1.22 o superior, usa Istio en GKE 1.4.10. De lo contrario, usa Istio on GKE 1.4.11.

Media

CVE‐2021‐43825

Uso después de la liberación durante la tunelización de TCP a través de HTTP si se desconecta después durante el establecimiento de la conexión ascendente.

¿Qué debo hacer?

Tu clúster se ve afectado si se cumplen las siguientes condiciones:

• Usa las versiones de parche de Istio on GKE anteriores a 1.6.14-gke.9, 1.4.11-gke.4 o 1.4.10-gke.23.
• Aunque Istio en GKE no admite filtros de Envoy, podrías verse afectado si usas un filtro de tunelización.

Actualiza el clúster a una de las siguientes versiones de parche:

• 1.6.14‐gke.9
• 1.4.11‐gke.4
• 1.4.10‐gke.23

Si usas GKE 1.22 o superior, usa Istio en GKE 1.4.10. De lo contrario, usa Istio on GKE 1.4.11.

Media

CVE‐2021‐43826

Un control de configuración incorrecto permite que una sesión de mTLS se vuelva a usar sin una nueva validación tras el cambio de la configuración de validación.

¿Qué debo hacer?

Tu clúster se ve afectado si se cumplen las siguientes condiciones:

• Usa las versiones de parche de Istio on GKE anteriores a 1.6.14-gke.9, 1.4.11-gke.4 o 1.4.10-gke.23.
• Todos los servicios de Istio on GKE que usan mTLS se ven afectados por esta CVE.

Actualiza el clúster a una de las siguientes versiones de parche:

• 1.6.14‐gke.9
• 1.4.11‐gke.4
• 1.4.10‐gke.23

Si usas GKE 1.22 o superior, usa Istio en GKE 1.4.10. De lo contrario, usa Istio on GKE 1.4.11.

Alta

CVE‐2022‐21654

Control incorrecto de redireccionamientos internos a rutas con una entrada de respuesta directa.

¿Qué debo hacer?

Tu clúster se ve afectado si se cumplen las siguientes condiciones:

• Usa las versiones de parche de Istio on GKE anteriores a 1.6.14-gke.9, 1.4.11-gke.4 o 1.4.10-gke.23.
• Aunque Istio en GKE no admite filtros de Envoy, podrías verse afectado si usas un filtro de respuesta directa.

Actualiza el clúster a una de las siguientes versiones de parche:

• 1.6.14‐gke.9
• 1.4.11‐gke.4
• 1.4.10‐gke.23

Si usas GKE 1.22 o superior, usa Istio en GKE 1.4.10. De lo contrario, usa Istio on GKE 1.4.11.

Alta

CVE‐2022‐21655

Istio contiene una vulnerabilidad que se puede usar a nivel remoto en la que una solicitud HTTP con un fragmento (una sección al final de un URI que comienza con un carácter #) en la ruta del URI podría omitir las políticas de autorización de la ruta basada en URI de Istio.

Por ejemplo, una política de autorización de Istio rechaza las solicitudes enviadas a la ruta del URI /user/profile. En las versiones vulnerables, una solicitud con la ruta de acceso de URI /user/profile#section1 omite la política de denegación y se enruta al backend (con la ruta de URI normalizada /user/profile%23section1), lo que genera un incidente de seguridad.

Esta corrección depende de una corrección en Envoy, que está asociada con CVE-2021-32779.

¿Qué debo hacer?

Tu clúster se ve afectado si se cumplen las siguientes condiciones:

• Usa Istio on GKE 1.6 con versiones de parche anteriores a la 1.6.14-gke.5. (Istio on GKE 1.4 no se ve afectado porque su política de autorización rechaza todo el tráfico de forma predeterminada).
• Usa políticas de autorización con DENY actions y operation.paths, o ALLOW actions y operation.notPaths.

Actualiza tu clúster a la siguiente versión de parche:

• 1.6.14-gke.5

Con la versión nueva, la parte del fragmento del URI de la solicitud se quita antes de la autorización y el enrutamiento. Esto evita que una solicitud con un fragmento en su URI omita las políticas de autorización basadas en el URI sin la parte del fragmento.

Si inhabilitas este comportamiento nuevo, se conserva la sección de fragmentos del URI. Para inhabilitarlo, puedes configurar la instalación de la siguiente manera:

apiVersion: install.istio.io/v1alpha1
kind: IstioOperator
metadata:
  name: opt-out-fragment-cve-fix
  namespace: istio-system
spec:
  meshConfig:
    defaultConfig:
      proxyMetadata:
        HTTP_STRIP_FRAGMENT_FROM_PATH_UNSAFE_IF_DISABLED: "false"

Nota: Si inhabilitas este comportamiento, tu clúster será vulnerable a esta CVE.

Alto

CVE‐2021‐39156

Istio contiene una vulnerabilidad que se puede usar de forma remota, en la que una solicitud HTTP podría omitir una política de autorización de Istio cuando se usan reglas basadas en hosts o notHosts.

En las versiones vulnerables, la política de autorización de Istio compara los encabezados HTTP Host o :authority sin distinguir entre mayúsculas y minúsculas, lo que no concuerda con RFC 4343. Por ejemplo, el usuario podría tener una política de autorización que rechace las solicitudes con el host secret.com, pero el atacante puede omitir esto mediante el envío de la solicitud en el nombre de host Secret.com. El flujo de enrutamiento enruta el tráfico al backend de secret.com, lo que provoca un incidente de seguridad.

¿Qué debo hacer?

Tu clúster se ve afectado si se cumplen las siguientes condiciones:

• Usa Istio on GKE 1.6 con versiones de parche anteriores a la 1.6.14-gke.5. (Istio en GKE 1.4 no se ve afectado porque su política de autorización rechaza todo el tráfico de forma predeterminada y no admite notHosts).
• Usa políticas de autorización con DENY actions en función de operation.hosts o ALLOW actions en función de operation.notHosts.

Actualiza tu clúster a la siguiente versión de parche:

• 1.6.14-gke.5

Esta mitigación garantiza que los encabezados HTTP Host o :authority se evalúen según las especificaciones hosts o notHosts en las políticas de autorización para que no distingan entre mayúsculas y minúsculas.

Alta

CVE‐2021‐39155

Envoy contiene una vulnerabilidad que se puede usar de forma remota y que una solicitud HTTP con varios encabezados de valor puede realizar una verificación de política de autorización incompleta cuando se usa la extensión ext_authz. Cuando un encabezado de solicitud contiene varios valores, el servidor de autorización externo solo verá el último valor del encabezado especificado.

¿Qué debo hacer?

Tu clúster se ve afectado si se cumplen las siguientes condiciones:

• Usa versiones de parche anteriores a 1.4.10-gke.17 o 1.6.14-gke.5.
• Usa la extensión de autorización externa (ext_authz) de Istio on GKE.

Actualiza el clúster a una de las siguientes versiones de parche:

• 1.4.10-gke.17
• 1.6.14-gke.5

Alta

CVE‐2021‐32777

Envoy contiene una vulnerabilidad que se puede usar de forma remota y afecta a las extensiones decompressor, json-transcoder o grpc-web de Envoy, o que modifican y aumentan el tamaño de los cuerpos de las solicitudes o respuestas. Modifica y aumenta el tamaño del cuerpo en la extensión de Envoy más allá del tamaño del búfer interno podría provocar que Envoy acceda a la memoria desasignada y finalice de forma anormal.

¿Qué debo hacer?

Tu clúster se ve afectado si se cumplen las siguientes condiciones:

• Usa versiones de parche anteriores a 1.4.10-gke.17 o 1.6.14-gke.5.
• Usa EnvoyFilter.

Actualiza el clúster a una de las siguientes versiones de parche:

• 1.4.10-gke.17
• 1.6.14-gke.5

Alto

CVE‐2021‐32781

Recientemente, el proyecto de Envoy/Istio anunció varias vulnerabilidades de seguridad nuevas que afectan a Istio Service Mesh y a Istio en Google Kubernetes Engine:

• CVE-2021-28682: Envoy a través de 1.17.1 contiene un desbordamiento de números enteros que se puede aprovechar de manera remota, en el que un valor de tiempo de espera muy grande de grpc genera cálculos de tiempo de espera inesperados.
• CVE-2021-28683: Envoy hasta 1.17.1 contiene una desreferencia de puntero NULL de explotación remota y una falla en TLS cuando se recibe un código de alerta TLS desconocido.
• CVE-2021-29258: Envoy a través de 1.17.1 contiene una vulnerabilidad de explotación remota en la que una solicitud HTTP2 con un mapa de metadatos vacío puede causar que Envoy falle.

¿Qué debo hacer?

Para corregir estas vulnerabilidades, actualiza a la versión más reciente del parche. Para obtener instrucciones, consulta Actualiza Istio on GKE.

Alta

CVE-2021-28682
CVE-2021-28683
CVE-2021-29258