보안 게시판

Istiod는 특별히 제작된 authorization 헤더를 사용하여 요청을 받으면 비정상 종료됩니다.

어떻게 해야 하나요?

다음 두 가지에 모두 해당하는 경우 클러스터가 영향을 받습니다.

• 1.6.14-gke.9, 1.4.11-gke.4 또는 1.4.10-gke.23 이전의 Istio on GKE 패치 버전을 사용합니다.
• 모든 Istio on GKE 버전은 이 CVE의 영향을 받습니다.

클러스터를 다음 패치 버전 중 하나로 업그레이드하세요.

• 1.6.14-gke.9
• 1.4.11-gke.4
• 1.4.10-gke.23

GKE 1.22 이상을 사용하는 경우 Istio on GKE 1.4.10을 사용합니다. 그렇지 않으면 Istio on GKE 1.4.11을 사용합니다.

높음

CVE-2022-23635

JWT 필터 safe_regex 일치를 사용할 때 잠재적인 null 포인터 역참조.

어떻게 해야 하나요?

다음 두 가지에 모두 해당하는 경우 클러스터가 영향을 받습니다.

• 1.6.14-gke.9, 1.4.11-gke.4 또는 1.4.10-gke.23 이전의 Istio on GKE 패치 버전을 사용합니다.
• Istio on GKE는 Envoy 필터를 지원하지 않지만 JWT 필터 정규식을 사용하면 영향을 받을 수 있습니다.

클러스터를 다음 패치 버전 중 하나로 업그레이드하세요.

• 1.6.14-gke.9
• 1.4.11-gke.4
• 1.4.10-gke.23

GKE 1.22 이상을 사용하는 경우 Istio on GKE 1.4.10을 사용합니다. 그렇지 않으면 Istio on GKE 1.4.11을 사용합니다.

보통

CVE-2021-43824

응답 필터가 응답 데이터를 늘리고 증가된 데이터가 다운스트림 버퍼 한도를 초과할 때, Use-after-free

어떻게 해야 하나요?

다음 두 가지에 모두 해당하는 경우 클러스터가 영향을 받습니다.

• 1.6.14-gke.9, 1.4.11-gke.4 또는 1.4.10-gke.23 이전의 Istio on GKE 패치 버전을 사용합니다.
• Istio on GKE는 Envoy 필터를 지원하지 않지만 압축 해제 필터를 사용하면 영향을 받을 수 있습니다.

클러스터를 다음 패치 버전 중 하나로 업그레이드하세요.

• 1.6.14-gke.9
• 1.4.11-gke.4
• 1.4.10-gke.23

GKE 1.22 이상을 사용하는 경우 Istio on GKE 1.4.10을 사용합니다. 그렇지 않으면 Istio on GKE 1.4.11을 사용합니다.

보통

CVE-2021-43825

HTTP를 통해 TCP를 터널링할 때 Use-after-free(업스트림 연결 설정 중에 다운스트림 연결이 끊어지는 경우)

어떻게 해야 하나요?

다음 두 가지에 모두 해당하는 경우 클러스터가 영향을 받습니다.

• 1.6.14-gke.9, 1.4.11-gke.4 또는 1.4.10-gke.23 이전의 Istio on GKE 패치 버전을 사용합니다.
• Istio on GKE는 Envoy 필터를 지원하지 않지만 터널링 필터를 사용하면 영향을 받을 수 있습니다.

클러스터를 다음 패치 버전 중 하나로 업그레이드하세요.

• 1.6.14-gke.9
• 1.4.11-gke.4
• 1.4.10-gke.23

GKE 1.22 이상을 사용하는 경우 Istio on GKE 1.4.10을 사용합니다. 그렇지 않으면 Istio on GKE 1.4.11을 사용합니다.

보통

CVE-2021-43826

잘못된 구성 처리로 검증 설정이 변경된 후 재검증 없이 mTLS 세션 재사용 허용

어떻게 해야 하나요?

다음 두 가지에 모두 해당하는 경우 클러스터가 영향을 받습니다.

• 1.6.14-gke.9, 1.4.11-gke.4 또는 1.4.10-gke.23 이전의 Istio on GKE 패치 버전을 사용합니다.
• mTLS를 사용하는 모든 Istio on GKE 서비스는 이 CVE의 영향을 받습니다.

클러스터를 다음 패치 버전 중 하나로 업그레이드하세요.

• 1.6.14-gke.9
• 1.4.11-gke.4
• 1.4.10-gke.23

GKE 1.22 이상을 사용하는 경우 Istio on GKE 1.4.10을 사용합니다. 그렇지 않으면 Istio on GKE 1.4.11을 사용합니다.

높음

CVE-2022-21654

직접 응답 항목이 있는 경로에 대한 내부 리디렉션을 잘못 처리

어떻게 해야 하나요?

다음 두 가지에 모두 해당하는 경우 클러스터가 영향을 받습니다.

• 1.6.14-gke.9, 1.4.11-gke.4 또는 1.4.10-gke.23 이전의 Istio on GKE 패치 버전을 사용합니다.
• Istio on GKE는 Envoy 필터를 지원하지 않지만 직접 응답 필터를 사용하면 영향을 받을 수 있습니다.

클러스터를 다음 패치 버전 중 하나로 업그레이드하세요.

• 1.6.14-gke.9
• 1.4.11-gke.4
• 1.4.10-gke.23

GKE 1.22 이상을 사용하는 경우 Istio on GKE 1.4.10을 사용합니다. 그렇지 않으면 Istio on GKE 1.4.11을 사용합니다.

높음

CVE-2022-21655

Istio에는 URI 경로에 프래그먼트(URI의 끝부분에 있는 # 문자로 시작하는 섹션)가 있는 HTTP 요청이 Istio의 URI 경로 기반 승인 정책을 우회할 수 있는 원격으로 악용 가능한 취약점이 있습니다.

예를 들어 Istio 승인 정책은 URI 경로 /user/profile로 전송된 요청을 거부합니다. 취약한 버전에서는 URI 경로 /user/profile#section1이 있는 요청이 거부 정책을 우회하고 정규화된 URI 경로 /user/profile%23section1로 백엔드로 라우팅하므로 보안 이슈가 발생합니다.

이 수정사항은 CVE-2021-32779와 관련된 Envoy 수정사항에 따라 다릅니다.

어떻게 해야 하나요?

다음 두 가지에 모두 해당하는 경우 클러스터가 영향을 받습니다.

• 1.6.14-gke.5 이전 패치 버전과 함께 Istio on GKE 1.6 사용. (Istio on GKE 1.4는 승인 정책이 기본적으로 모든 트래픽을 거부하므로 영향을 받지 않습니다.)
• DENY actions 및 operation.paths 또는 ALLOW actions 및 operation.notPaths가 포함된 승인 정책 사용

클러스터를 다음 패치 버전으로 업그레이드합니다.

• 1.6.14-gke.5

새 버전에서는 요청 URI의 프래그먼트 부분이 승인 및 라우팅 전에 삭제됩니다. 그러면 URI에 프래그먼트가 있는 요청이 프래그먼트 부분이 없는 URI에 기반한 승인 정책을 우회하는 것을 막을 수 있습니다.

이 새로운 동작을 선택 해제하면 URI의 프래그먼트 섹션이 유지됩니다. 선택 해제하려면 다음과 같이 설치를 구성하면 됩니다.

apiVersion: install.istio.io/v1alpha1
kind: IstioOperator
metadata:
  name: opt-out-fragment-cve-fix
  namespace: istio-system
spec:
  meshConfig:
    defaultConfig:
      proxyMetadata:
        HTTP_STRIP_FRAGMENT_FROM_PATH_UNSAFE_IF_DISABLED: "false"

참고: 이 동작을 선택 해제하면 시스템이 이 CVE에 취약해집니다.

높음

CVE-2021-39156

Istio에는 hosts 또는 notHosts에 기반한 규칙을 사용할 때 HTTP 요청이 Istio 승인 정책을 우회할 수 있는 원격으로 악용 가능한 취약점이 있습니다.

취약 버전에서는 Istio 승인 정책이 대소문자를 구분하는 방식으로 HTTP Host 또는 :authority 헤더를 비교하는데 RFC 4343에는 이에 대한 일관성이 없습니다. 예를 들어 사용자에게 호스트가 secret.com인 요청을 거부하는 승인 정책이 있을 수 있지만 공격자가 호스트 이름 Secret.com으로 요청을 전송하여 이를 우회할 수 있습니다. 라우팅 흐름이 secret.com의 백엔드로 트래픽을 라우팅하므로 보안 이슈가 발생합니다.

어떻게 해야 하나요?

다음 두 가지에 모두 해당하는 경우 클러스터가 영향을 받습니다.

• 1.6.14-gke.5 이전 패치 버전과 함께 Istio on GKE 1.6 사용. (Istio on GKE 1.4는 승인 정책이 기본적으로 모든 트래픽을 거부하고 notHosts를 지원하지 않으므로 영향을 받지 않습니다.)
• operation.hosts 기반의 DENY actions 또는 operation.notHosts 기반의 ALLOW actions를 사용하는 승인 정책 사용

클러스터를 다음 패치 버전으로 업그레이드합니다.

• 1.6.14-gke.5

그러면 HTTP Host 또는 :authority 헤더가 대소문자를 구분하지 않는 방식으로 승인 정책의 hosts 또는 notHosts 사양에 따라 평가됩니다.

높음

CVE-2021-39155

Envoy에는 ext_authz 확장 프로그램을 사용할 경우 값 헤더가 여러 개인 HTTP 요청이 불완전한 승인 정책 검사를 수행할 수 있는 원격으로 악용 가능한 취약점이 있습니다. 요청 헤더에 여러 값이 포함된 경우 외부 승인 서버에서 해당 헤더의 마지막 값만 확인할 수 있습니다.

어떻게 해야 하나요?

다음 두 가지에 모두 해당하는 경우 클러스터가 영향을 받습니다.

• 1.4.10-gke.17 또는 1.6.14-gke.5 이전의 패치 버전 사용.
• Istio on GKE 외부 승인(ext_authz) 확장 프로그램 사용

클러스터를 다음 패치 버전 중 하나로 업그레이드하세요.

• 1.4.10-gke.17
• 1.6.14-gke.5

높음

CVE-2021-32777

Envoy에는 요청 또는 응답 본문의 크기를 수정하고 늘리는 Envoy의 decompressor, json-transcoder, grpc-web 확장 프로그램 또는 독점 확장 프로그램에 영향을 주는 원격으로 악용 가능한 취약점이 있습니다. Envoy 확장 프로그램에서 본문 크기를 내부 버퍼 크기 이상으로 수정하고 늘리면 Envoy가 할당 해제된 메모리에 액세스하고 비정상적으로 종료될 수 있습니다.

어떻게 해야 하나요?

다음 두 가지에 모두 해당하는 경우 클러스터가 영향을 받습니다.

• 1.4.10-gke.17 또는 1.6.14-gke.5 이전의 패치 버전 사용.
• EnvoyFilter 사용

클러스터를 다음 패치 버전 중 하나로 업그레이드하세요.

• 1.4.10-gke.17
• 1.6.14-gke.5

높음

CVE-2021-32781

Envoy/Istio 프로젝트는 최근 Anthos Service Mesh 및 Istio on Google Kubernetes Engine에 영향을 미치는 몇 가지 새로운 보안 취약점을 발표했습니다.

• CVE-2021-28682: 1.17.1까지의 Envoy에는 매우 큰 grpc-timeout 값으로 인해 예기치 않은 제한 시간 계산으로 이어지는 원격으로 악용 가능한 정수 오버플로가 포함됩니다.
• CVE-2021-28683: 1.17.1까지의 Envoy에는 원격으로 악용 가능한 NULL 포인터 역참조 및 알 수 없는 TLS 알림 코드가 수신되면 TLS에서의 비정상 종료가 포함됩니다.
• CVE-2021-29258: 1.17.1까지의 Envoy에는 빈 메타데이터 맵이 있는 HTTP2 요청으로 인해 Envoy가 비정상 종료될 수 있는 원격으로 악용 가능한 취약점이 있습니다.

어떻게 해야 하나요?

이러한 취약점을 해결하려면 최신 패치 출시 버전으로 업그레이드하세요. 자세한 내용은 Istio on GKE 업그레이드를 참조하세요.

높음

CVE-2021-28682
CVE-2021-28683
CVE-2021-29258