Boletins de segurança

Esta página lista os boletins de segurança do Istio no Google Kubernetes Engine (Istio no GKE).

Use este feed XML para se inscrever nos boletins de segurança do Istio no GKE. Assinar

GCP-2022-007

Descrição Gravidade Observações

O Istiod falha ao receber solicitações com um cabeçalho authorization especialmente criado.

O que devo fazer?

Veja se os clusters foram afetados

Seu cluster será afetado se as duas condições a seguir forem verdadeiras:

  • Ele usa o Istio nas versões de patch do GKE anteriores às 1.6.14-gke.9, 1.4.11-gke.4 ou 1.4.10-gke.23.
  • Todas as versões do Istio no GKE são afetadas por essa CVE.
Mitigação

Faça upgrade do cluster para uma das seguintes versões com patch:

  • 1.6.14-gke.9
  • 1.4.11-gke.4
  • 1.4.10-gke.23

Se você estiver usando o GKE 1.22 ou superior, use o Istio no GKE 1.4.10. Caso contrário, use o Istio no GKE 1.4.11.

Alto

CVE-2022-23635

Descrição Gravidade Observações

É possível que a referência do ponteiro nulo ao usar o filtro JWT safe_regex corresponda.

O que devo fazer?

Veja se os clusters foram afetados

Seu cluster será afetado se as duas condições a seguir forem verdadeiras:

  • Ele usa o Istio nas versões de patch do GKE anteriores às 1.6.14-gke.9, 1.4.11-gke.4 ou 1.4.10-gke.23.
  • O Istio no GKE não é compatível com filtros do Envoy, mas isso poderá afetar você se usar o regex do filtro JWT.
Mitigação

Faça upgrade do cluster para uma das seguintes versões com patch:

  • 1.6.14-gke.9
  • 1.4.11-gke.4
  • 1.4.10-gke.23

Se você estiver usando o GKE 1.22 ou superior, use o Istio no GKE 1.4.10. Caso contrário, use o Istio no GKE 1.4.11.

Média

CVE-2021-43824
(em inglês)

Descrição Gravidade Observações

O uso após o uso sem custos quando os filtros de resposta aumentam os dados de resposta e os dados maiores excedem os limites do buffer de downstream.

O que devo fazer?

Veja se os clusters foram afetados

Seu cluster será afetado se as duas condições a seguir forem verdadeiras:

  • Ele usa o Istio nas versões de patch do GKE anteriores às 1.6.14-gke.9, 1.4.11-gke.4 ou 1.4.10-gke.23.
  • Embora o Istio no GKE não seja compatível com filtros do Envoy, talvez você seja afetado se usar um filtro de descompactação.
Mitigação

Faça upgrade do cluster para uma das seguintes versões com patch:

  • 1.6.14-gke.9
  • 1.4.11-gke.4
  • 1.4.10-gke.23

Se você estiver usando o GKE 1.22 ou superior, use o Istio no GKE 1.4.10. Caso contrário, use o Istio no GKE 1.4.11.

Média

CVE-2021-43825
(em inglês)

Descrição Gravidade Observações

Use após o teste gratuito ao encapsular o TCP sobre HTTP, caso o downstream se desconecte durante o estabelecimento da conexão upstream.

O que devo fazer?

Veja se os clusters foram afetados

Seu cluster será afetado se as duas condições a seguir forem verdadeiras:

  • Ele usa o Istio nas versões de patch do GKE anteriores às 1.6.14-gke.9, 1.4.11-gke.4 ou 1.4.10-gke.23.
  • O Istio no GKE não é compatível com filtros do Envoy, mas isso poderá ser afetado se você usar um filtro de encapsulamento.
Mitigação

Faça upgrade do cluster para uma das seguintes versões com patch:

  • 1.6.14-gke.9
  • 1.4.11-gke.4
  • 1.4.10-gke.23

Se você estiver usando o GKE 1.22 ou superior, use o Istio no GKE 1.4.10. Caso contrário, use o Istio no GKE 1.4.11.

Média

CVE-2021-43826 (em inglês)

Descrição Gravidade Observações

O gerenciamento incorreto de configurações permite a reutilização da sessão de mTLS sem a revalidação depois de mudanças nas configurações de validação.

O que devo fazer?

Veja se os clusters foram afetados

Seu cluster será afetado se as duas condições a seguir forem verdadeiras:

  • Ele usa o Istio nas versões de patch do GKE anteriores às 1.6.14-gke.9, 1.4.11-gke.4 ou 1.4.10-gke.23.
  • Todos os serviços do Istio no GKE que usam mTLS são afetados por essa CVE.
Mitigação

Faça upgrade do cluster para uma das seguintes versões com patch:

  • 1.6.14-gke.9
  • 1.4.11-gke.4
  • 1.4.10-gke.23

Se você estiver usando o GKE 1.22 ou superior, use o Istio no GKE 1.4.10. Caso contrário, use o Istio no GKE 1.4.11.

Alto

CVE-2022-21654

Descrição Gravidade Observações

Processamento incorreto de redirecionamentos internos para rotas com uma entrada de resposta direta.

O que devo fazer?

Veja se os clusters foram afetados

Seu cluster será afetado se as duas condições a seguir forem verdadeiras:

  • Ele usa o Istio nas versões de patch do GKE anteriores às 1.6.14-gke.9, 1.4.11-gke.4 ou 1.4.10-gke.23.
  • O Istio no GKE não é compatível com filtros do Envoy, mas isso poderá ser afetado se você usar um filtro de resposta direta.
Mitigação

Faça upgrade do cluster para uma das seguintes versões com patch:

  • 1.6.14-gke.9
  • 1.4.11-gke.4
  • 1.4.10-gke.23

Se você estiver usando o GKE 1.22 ou superior, use o Istio no GKE 1.4.10. Caso contrário, use o Istio no GKE 1.4.11.

Alto

CVE-2022-21655

GCP-2021-016

Publicação: 24/08/2021
Descrição Gravidade Observações

O Istio tem uma vulnerabilidade que pode ser explorada remotamente, em que uma solicitação HTTP com um fragmento (uma seção no final de um URI que começa com um caractere #) no caminho de URI pode ignorar a URI com base em caminho. políticas de autorização.

Por exemplo, uma política de autorização do Istio nega as solicitações enviadas ao caminho de URI /user/profile. Nas versões vulneráveis, uma solicitação com o caminho de URI /user/profile#section1 ignora a política de negação e encaminha para o back-end (com o caminho de URI normalizado /user/profile%23section1), o que leva a um incidente de segurança.

Essa correção depende de uma correção no Envoy, que está associada à CVE-2021-32779.

O que devo fazer?

Veja se os clusters foram afetados

Seu cluster será afetado se as duas condições a seguir forem verdadeiras:

  • Ele usa o Istio no GKE 1.6 com versões de patch anteriores à 1.6.14-gke.5. O Istio no GKE 1.4 não foi afetado porque a política de autorização nega todo o tráfego por padrão.
  • Ele usa políticas de autorização com DENY actions e operation.paths ou ALLOW actions e operation.notPaths.
Mitigação

Faça upgrade do cluster para a seguinte versão de patch:

  • 1.6.14-gke.5

Na nova versão, a parte do fragmento do URI da solicitação é removida antes da autorização e do roteamento. Isso impede que uma solicitação com um fragmento no URI ignore políticas de autorização baseadas no URI sem a parte do fragmento.

Desativar

Se você desativar esse novo comportamento, a seção de fragmento no URI será mantida. Para desativar, configure sua instalação da seguinte maneira:


apiVersion: install.istio.io/v1alpha1
kind: IstioOperator
metadata:
  name: opt-out-fragment-cve-fix
  namespace: istio-system
spec:
  meshConfig:
    defaultConfig:
      proxyMetadata:
        HTTP_STRIP_FRAGMENT_FROM_PATH_UNSAFE_IF_DISABLED: "false"

Observação: desativar esse comportamento torna seu sistema vulnerável a esse CVE.

Alta

CVE-2021-39156
(em inglês)

Descrição Gravidade Observações

O Istio tem uma vulnerabilidade que pode ser explorada remotamente, em que uma solicitação HTTP pode ignorar uma política de autorização do Istio ao usar regras baseadas em hosts ou notHosts.

Nas versões vulneráveis, a política de autorização do Istio compara os cabeçalhos Host ou :authority de HTTP com diferenciação de maiúsculas e minúsculas, o que é inconsistente com o RFC 4343. Por exemplo, o usuário pode ter uma política de autorização que rejeita solicitações com o host secret.com, mas o invasor pode ignorar isso enviando a solicitação no nome do host Secret.com. O fluxo de roteamento encaminha o tráfego para o back-end de secret.com, o que causa um incidente de segurança.

O que fazer?

Veja se os clusters foram afetados

Seu cluster será afetado se as duas condições a seguir forem verdadeiras:

  • Ele usa o Istio no GKE 1.6 com versões de patch anteriores à 1.6.14-gke.5. O Istio no GKE 1.4 não foi afetado porque a política de autorização recusa todo o tráfego por padrão e não suporta notHosts.
  • Ele usa políticas de autorização com DENY actions baseadas em operation.hosts ou ALLOW actions, baseadas em operation.notHosts.
Mitigação

Faça upgrade do cluster para a seguinte versão de patch:

  • 1.6.14-gke.5

Essa mitigação garante que os cabeçalhos HTTP Host ou :authority sejam avaliados em relação às especificações hosts ou notHosts nas políticas de autorização, sem diferenciar maiúsculas de minúsculas.

Alto

CVE-2021-39155
(em inglês)

Descrição Gravidade Observações

O Envoy contém uma vulnerabilidade que pode ser explorada remotamente e que uma solicitação HTTP com vários cabeçalhos de valor pode fazer uma verificação de política de autorização incompleta quando a extensão ext_authz é usada. Quando um cabeçalho de solicitação contém vários valores, o servidor de autorização externo verá apenas o último valor do cabeçalho fornecido.

O que devo fazer?

Veja se os clusters foram afetados

Seu cluster será afetado se as duas condições a seguir forem verdadeiras:

  • Ele usa versões de patch anteriores a 1.4.10-gke.17 ou 1.6.14-gke.5.
  • Ele usa a extensão de autorização externa (ext_authz) do Istio no GKE.
Mitigação

Faça upgrade do cluster para uma das seguintes versões com patch:

  • 1.4.10-gke.17
  • 1.6.14-gke.5

Alto

CVE-2021-32777

Descrição Gravidade Observações

O Envoy contém uma vulnerabilidade que pode ser explorada remotamente e afeta as extensões decompressor, json-transcoder ou grpc-web do Envoy ou extensões proprietárias que modificam e aumentam o tamanho dos corpos de solicitação ou resposta. Modificar e aumentar o tamanho do corpo em uma extensão do Envoy além do tamanho do buffer interno pode levar o Envoy a acessar a memória desalocada e encerrar de forma anormal.

O que fazer?

Veja se os clusters foram afetados

Seu cluster será afetado se as duas condições a seguir forem verdadeiras:

  • Ele usa versões de patch anteriores a 1.4.10-gke.17 ou 1.6.14-gke.5.
  • Ele usa o EnvoyFilter.
Mitigação

Faça upgrade do cluster para uma das seguintes versões com patch:

  • 1.4.10-gke.17
  • 1.6.14-gke.5

Alta

CVE-2021-32781
(em inglês)

GCP-2021-004

Publicação: 07/05/2021
Descrição Gravidade Observações

Recentemente, o projeto Envoy/Istio anunciou várias novas vulnerabilidades de segurança que afetam o Anthos Service Mesh e o Istio no Google Kubernetes Engine:

  • A CVE-2021-28682: o Envoy até a versão 1.17.1 contém um estouro de números inteiros que pode ser explorado remotamente, em que um valor de tempo limite do grpc muito grande gera cálculos de tempo limite inesperados.
  • CVE-2021-28683: o Envoy até 1.17.1 contém uma referência de ponteiro NULL explorada remotamente e falha no TLS quando um código de alerta TLS desconhecido é recebido.
  • O CVE-2021-29258: o Envoy até o 1.17.1 contém uma vulnerabilidade de exploração remota em que uma solicitação HTTP2 com um mapa de metadados vazio pode causar falhas no Envoy.

O que devo fazer?

Para corrigir essas vulnerabilidades, faça o upgrade para a versão de patch mais recente. Para instruções, consulte Como fazer upgrade do Istio no GKE.

Alto

CVE-2021-28682
CVE-2021-28683
CVE-2021-29258