セキュリティに関する情報

このページには、Istio on Google Kubernetes Engine(Istio on GKE)のセキュリティ情報が記載されます。

この XML フィードを使用して、Istio on GKE のセキュリティに関する情報に登録します。登録

GCP-2022-007

説明 重大度 メモ

Istio は、特別に細工された authorization ヘッダーを含むリクエストを受信するとクラッシュします。

必要な対策

クラスタが影響を受けるか確認する

次の両方の条件に該当する場合、クラスタはこの問題の影響を受けます。

  • 1.6.14-gke.9、1.4.11-gke.4、1.4.10-gke.23 より前の Istio on GKE パッチ バージョンを使用している。
  • この CVE はすべての Istio on GKE バージョンに影響します。
対策

クラスタを次のパッチ バージョンのいずれかにアップグレードします。

  • 1.6.14-gke.9
  • 1.4.11-gke.4
  • 1.4.10-gke.23

GKE 1.22 以降を使用している場合は、Istio on GKE 1.4.10 を使用してください。それ以外の場合は、Istio on GKE 1.4.11 を使用します。

CVE-2022-23635

説明 重大度 メモ

JWT フィルタ safe_regex の一致を使用すると null ポインタ逆参照が発生する可能性があります。

必要な対策

クラスタが影響を受けるか確認する

次の両方の条件に該当する場合、クラスタはこの問題の影響を受けます。

  • 1.6.14-gke.9、1.4.11-gke.4、1.4.10-gke.23 より前の Istio on GKE パッチ バージョンを使用している。
  • Istio on GKE は Envoy フィルタをサポートしていませんが、JWT フィルタ正規表現を使用すると影響を受ける可能性があります。
対策

クラスタを次のパッチ バージョンのいずれかにアップグレードします。

  • 1.6.14-gke.9
  • 1.4.11-gke.4
  • 1.4.10-gke.23

GKE 1.22 以降を使用している場合は、Istio on GKE 1.4.10 を使用してください。それ以外の場合は、Istio on GKE 1.4.11 を使用します。

CVE-2021-43824

説明 重大度 メモ

レスポンス フィルタによってレスポンス データが増加し、ダウンストリーム バッファの上限を超えると、Use-after-free が実行される可能性があります。

必要な対策

クラスタが影響を受けるか確認する

次の両方の条件に該当する場合、クラスタはこの問題の影響を受けます。

  • 1.6.14-gke.9、1.4.11-gke.4、1.4.10-gke.23 より前の Istio on GKE パッチ バージョンを使用している。
  • Istio on GKE は Envoy フィルタをサポートしていませんが、解凍フィルタを使用すると影響を受ける可能性があります。
対策

クラスタを次のパッチ バージョンのいずれかにアップグレードします。

  • 1.6.14-gke.9
  • 1.4.11-gke.4
  • 1.4.10-gke.23

GKE 1.22 以降を使用している場合は、Istio on GKE 1.4.10 を使用してください。それ以外の場合は、Istio on GKE 1.4.11 を使用します。

CVE-2021-43825

説明 重大度 メモ

アップストリーム接続の確立中にダウンストリームが切断されると、TCP over HTTP トンネリングで Use-after-free が実行される可能性があります。

必要な対策

クラスタが影響を受けるか確認する

次の両方の条件に該当する場合、クラスタはこの問題の影響を受けます。

  • 1.6.14-gke.9、1.4.11-gke.4、1.4.10-gke.23 より前の Istio on GKE パッチ バージョンを使用している。
  • Istio on GKE は Envoy フィルタをサポートしていませんが、トンネリング フィルタを使用すると影響を受ける可能性があります。
対策

クラスタを次のパッチ バージョンのいずれかにアップグレードします。

  • 1.6.14-gke.9
  • 1.4.11-gke.4
  • 1.4.10-gke.23

GKE 1.22 以降を使用している場合は、Istio on GKE 1.4.10 を使用してください。それ以外の場合は、Istio on GKE 1.4.11 を使用します。

CVE-2021-43826

説明 重大度 メモ

構成処理が適切でないため、検証設定の変更後に再検証が行われず、mTLS セッションが再利用される可能性があります。

必要な対策

クラスタが影響を受けるか確認する

次の両方の条件に該当する場合、クラスタはこの問題の影響を受けます。

  • 1.6.14-gke.9、1.4.11-gke.4、1.4.10-gke.23 より前の Istio on GKE パッチ バージョンを使用している。
  • mTLS を使用するすべての Istio on GKE サービスは、この CVE の影響を受けます。
対策

クラスタを次のパッチ バージョンのいずれかにアップグレードします。

  • 1.6.14-gke.9
  • 1.4.11-gke.4
  • 1.4.10-gke.23

GKE 1.22 以降を使用している場合は、Istio on GKE 1.4.10 を使用してください。それ以外の場合は、Istio on GKE 1.4.11 を使用します。

CVE-2022-21654

説明 重大度 メモ

ダイレクト レスポンス エントリを含むルートへの内部リダイレクトの処理が正しく行われません。

必要な対策

クラスタが影響を受けるか確認する

次の両方の条件に該当する場合、クラスタはこの問題の影響を受けます。

  • 1.6.14-gke.9、1.4.11-gke.4、1.4.10-gke.23 より前の Istio on GKE パッチ バージョンを使用している。
  • Istio on GKE は Envoy フィルタをサポートしていませんが、ダイレクト レスポンス フィルタを使用すると、影響を受ける可能性があります。
対策

クラスタを次のパッチ バージョンのいずれかにアップグレードします。

  • 1.6.14-gke.9
  • 1.4.11-gke.4
  • 1.4.10-gke.23

GKE 1.22 以降を使用している場合は、Istio on GKE 1.4.10 を使用してください。それ以外の場合は、Istio on GKE 1.4.11 を使用します。

CVE-2022-21655

GCP-2021-016

公開日: 2021 年 8 月 24 日
説明 重大度 メモ

Istio にリモートから悪用可能な脆弱性が存在します。HTTP リクエストの URI パスにフラグメント(URI の最後の # 文字で始まるセクション)があると、Istio の URI パスベースの認可ポリシーが回避される可能性があります。

たとえば、Istio 認可ポリシーでは、URI パス /user/profile に送信されたリクエストを拒否します。脆弱なバージョンでは、URI パス /user/profile#section1 を含むリクエストが拒否ポリシーを回避し、(正規化された URI パス /user/profile%23section1 を使用して)バックエンドにルーティングされるため、セキュリティ インシデントが発生します。

この修正は、CVE-2021-32779 に関連する Envoy での修正に依存しています。

必要な対策

クラスタが影響を受けるか確認する

次の両方の条件に該当する場合、クラスタはこの問題の影響を受けます。

  • 1.6.14-gke.5 より前のパッチ バージョンで Istio on GKE 1.6 を使用している。(Istio on GKE 1.4 は、デフォルトで認可ポリシーによってすべてのトラフィックが拒否されるため、影響を受けません)。
  • DENY actionsoperation.paths または ALLOW actionsoperation.notPaths の認可ポリシーを使用している。
対策

クラスタを次のパッチ バージョンにアップグレードします。

  • 1.6.14-gke.5

新しいバージョンでは、承認とルーティングの前にリクエストの URI のフラグメント部分が削除されます。これにより、フラグメント部分のない URI に基づく認可ポリシーが、URI にフラグメントが存在するリクエストによって回避されることがなくなります。

オプトアウト

この新しい動作をオプトアウトした場合、URI のフラグメント セクションは保持されます。オプトアウトするには、インストールを次のように構成します。


apiVersion: install.istio.io/v1alpha1
kind: IstioOperator
metadata:
  name: opt-out-fragment-cve-fix
  namespace: istio-system
spec:
  meshConfig:
    defaultConfig:
      proxyMetadata:
        HTTP_STRIP_FRAGMENT_FROM_PATH_UNSAFE_IF_DISABLED: "false"

注: この動作をオプトアウトすると、システムはこの CVE に対して脆弱になります。

CVE-2021-39156

説明 重大度

Istio にリモートから悪用可能な脆弱性が存在します。hosts または notHosts に基づくルールを使用している場合、HTTP リクエストが Istio 認可ポリシーを回避する可能性があります。

脆弱性のあるバージョンでは、Istio 認可ポリシーが大文字と小文字を区別する方法で HTTP Host または :authority ヘッダーを比較しますが、これは RFC 4343 に準拠していません。たとえば、ユーザーがホスト secret.com でリクエストを拒否する認可ポリシーを設定していても、攻撃者はホスト名 Secret.com でリクエストを送信することで、このポリシーを回避できます。ルーティング フローにより secret.com のバックエンドにトラフィックがルーティングされ、セキュリティ インシデントが発生します。

必要な対策

クラスタが影響を受けるか確認する

次の両方の条件に該当する場合、クラスタはこの問題の影響を受けます。

  • 1.6.14-gke.5 より前のパッチ バージョンで Istio on GKE 1.6 を使用している。(Istio on GKE 1.4 は、デフォルトで認可ポリシーによってすべてのトラフィックが拒否され、notHosts がサポートされていないため、影響を受けません)。
  • operation.hosts に基づく DENY actions または operation.notHosts に基づく ALLOW actions の認可ポリシーを使用している。
対策

クラスタを次のパッチ バージョンにアップグレードします。

  • 1.6.14-gke.5

この回避策により、大文字と小文字を区別せずに HTTP Host または :authority ヘッダーと認可ポリシーの hosts または notHosts 仕様が比較されます。

CVE-2021-39155

説明 重大度 メモ

Envoy にリモートから悪用可能な脆弱性が存在します。ext_authz 拡張機能が使用されている場合、複数のヘッダー値を持つ HTTP リクエストに対して不完全な認可ポリシー チェックが行われる可能性があります。リクエスト ヘッダーに複数の値が含まれている場合、外部承認サーバーは指定されたヘッダーの最後の値のみを認識します。

必要な対策

クラスタが影響を受けるか確認する

次の両方の条件に該当する場合、クラスタはこの問題の影響を受けます。

  • 1.4.10-gke.17 または 1.6.14-gke.5 より前のパッチ バージョンを使用している。
  • Istio on GKE の外部認証ext_authz)拡張機能を使用している。
対策

クラスタを次のパッチ バージョンのいずれかにアップグレードします。

  • 1.4.10-gke.17
  • 1.6.14-gke.5

CVE-2021-32777

説明 重大度

Envoy にリモートから悪用可能な脆弱性が存在します。Envoy の decompressorjson-transcodergrpc-web 拡張機能、またはリクエスト本文とレスポンス本文のサイズを変更して拡大する独自の拡張機能はこの問題の影響を受けます。Envoy の拡張機能で本文のサイズを変更し、内部バッファサイズより大きくすると、Envoy が割り当て解除されたメモリにアクセスし、異常終了する可能性があります。

必要な対策

クラスタが影響を受けるか確認する

次の両方の条件に該当する場合、クラスタはこの問題の影響を受けます。

  • 1.4.10-gke.17 または 1.6.14-gke.5 より前のパッチ バージョンを使用している。
  • EnvoyFilter を使用している。
対策

クラスタを次のパッチ バージョンのいずれかにアップグレードします。

  • 1.4.10-gke.17
  • 1.6.14-gke.5

CVE-2021-32781

GCP-2021-004

公開日: 2021 年 5 月 7 日
説明 重大度 メモ

先ごろ、Envoy プロジェクト/Istio プロジェクトは、Google Kubernetes Engine の Anthos Service Mesh と Istio に影響を与えるいくつかの新しいセキュリティ脆弱性を発表しました。

  • CVE-2021-28682: 1.17.1 から 1.17.1 までの Envoy では、リモートから悪用される整数オーバーフローが発生し、grpc-timeout 値が非常に大きくなると予期しないタイムアウト計算が発生します。
  • CVE-2021-28683: 1.17.1 から 1.17.1 までの Envoy は、リモートから悪用できる NULL ポインタの参照解除と、不明な TLS アラートコードの受信時に TLS でクラッシュすることが原因です。
  • CVE-2021-29258: Envoy 1.17.1 からリモートで悪用される脆弱性が組み込まれ、空のメタデータ マップを含む HTTP2 リクエストで Envoy がクラッシュする可能性があります。

必要な対策

これらの脆弱性を修正するには、最新のパッチリリースにアップグレードしてください。手順については、Istio on GKE のアップグレードをご覧ください。

CVE-2021-28682
CVE-2021-28683
CVE-2021-29258