Bollettini sulla sicurezza
Utilizza questo feed XML per iscriverti ai bollettini sulla sicurezza di Cloud Service Mesh.
Questa pagina elenca i bollettini sulla sicurezza per Cloud Service Mesh.
GCP-2024-052
Descrizione | Gravità | Note |
---|---|---|
Arresto anomalo di oghttp2 in OnBeginHeadersForStream Che cosa devo fare?Verificare se i tuoi cluster sono interessatiSono interessati solo i cluster che eseguono Cloud Service Mesh 1.23 MitigazioneCloud Service Mesh 1.23.2-asm.2 contiene la correzione del problema. Non è richiesta alcuna azione da parte tua. |
Alta |
Descrizione | Gravità | Note |
---|---|---|
Iniezione di log dannosi tramite i log di accesso Che cosa devo fare?Verifica se i cluster sono interessatiTutte le versioni di Cloud Service Mesh sono interessate da questa CVE. MitigazioneEsegui l'upgrade del cluster a una delle seguenti versioni con patch:
|
Medio |
Descrizione | Gravità | Note |
---|---|---|
Possibilità di manipolare le intestazioni "x-envoy" da origini esterne Che cosa devo fare?Verifica se i cluster sono interessatiTutte le versioni di Cloud Service Mesh sono interessate da questa CVE. MitigazioneEsegui l'upgrade del cluster a una delle seguenti versioni con patch:
|
Medio |
Descrizione | Gravità | Note |
---|---|---|
Arresto anomalo del filtro JWT nella cache della route svuotata con JWK remoti Che cosa devo fare?Verifica se i cluster sono interessatiTutte le versioni di Cloud Service Mesh sono interessate da questa CVE. MitigazioneEsegui l'upgrade del cluster a una delle seguenti versioni con patch:
|
Medio |
Descrizione | Gravità | Note |
---|---|---|
Envoy si arresta in modo anomalo per LocalRispondi nel client asincrono HTTP Che cosa devo fare?Verifica se i cluster sono interessatiTutte le versioni di Cloud Service Mesh sono interessate da questa CVE. MitigazioneEsegui l'upgrade del cluster a una delle seguenti versioni con patch:
|
Medio |
GCP-2024-032
Descrizione | Gravità | Note |
---|---|---|
Envoy accetta erroneamente la risposta HTTP 200 per l'attivazione della modalità di upgrade. Che cosa devo fare?Verifica se i cluster sono interessatiTutte le versioni di Cloud Service Mesh sono interessate da questa CVE. MitigazioneSe esegui Cloud Service Mesh gestito, il sistema verrà aggiornato automaticamente nei prossimi giorni. In caso contrario, esegui l'upgrade del cluster a una delle seguenti versioni con patch:
|
Medio |
Descrizione | Gravità | Note |
---|---|---|
Arresto anomalo di EnvoyQuicServerStream::OnInitialHeadersComplete(). Che cosa devo fare?Verifica se i cluster sono interessatiTutte le versioni di Cloud Service Mesh sono interessate da questa CVE. MitigazioneSe esegui Cloud Service Mesh gestito, il sistema verrà aggiornato automaticamente nei prossimi giorni. In caso contrario, esegui l'upgrade del cluster a una delle seguenti versioni con patch:
|
Medio |
Descrizione | Gravità | Note |
---|---|---|
Arresto anomalo in QuicheDataReader::PeekVarInt62Length(). Che cosa devo fare?Verifica se i cluster sono interessatiTutte le versioni di Cloud Service Mesh sono interessate da questa CVE. MitigazioneSe esegui Cloud Service Mesh gestito, il sistema verrà aggiornato automaticamente nei prossimi giorni. In caso contrario, esegui l'upgrade del cluster a una delle seguenti versioni con patch:
|
Medio |
Descrizione | Gravità | Note |
---|---|---|
Loop infinito durante la decompressione dei dati Brotli con input aggiuntivo. Che cosa devo fare?Verifica se i cluster sono interessatiTutte le versioni di Cloud Service Mesh sono interessate da questa CVE. MitigazioneSe esegui Cloud Service Mesh gestito, il sistema verrà aggiornato automaticamente nei prossimi giorni. In caso contrario, esegui l'upgrade del cluster a una delle seguenti versioni con patch:
|
Alta |
Descrizione | Gravità | Note |
---|---|---|
Arresto anomalo (uso dopo svuotamento) in EnvoyQuicServerStream. Che cosa devo fare?Verifica se i cluster sono interessatiTutte le versioni di Cloud Service Mesh sono interessate da questa CVE. MitigazioneSe esegui Cloud Service Mesh gestito, il sistema verrà aggiornato automaticamente nei prossimi giorni. In caso contrario, esegui l'upgrade del cluster a una delle seguenti versioni con patch:
|
Medio |
Descrizione | Gravità | Note |
---|---|---|
Arresto anomalo dovuto a un'eccezione JSON nlohmann non rilevata. Che cosa devo fare?Verifica se i cluster sono interessatiTutte le versioni di Cloud Service Mesh sono interessate da questa CVE. MitigazioneSe esegui Cloud Service Mesh gestito, il sistema verrà aggiornato automaticamente nei prossimi giorni. In caso contrario, esegui l'upgrade del cluster a una delle seguenti versioni con patch:
|
Alta |
Descrizione | Gravità | Note |
---|---|---|
Vettore OOM di Envoy dal client asincrono HTTP con buffer di risposta illimitato per la risposta mirror. Che cosa devo fare?Verifica se i cluster sono interessatiTutte le versioni di Cloud Service Mesh sono interessate da questa CVE. MitigazioneSe esegui Cloud Service Mesh gestito, il sistema verrà aggiornato automaticamente nei prossimi giorni. In caso contrario, esegui l'upgrade del cluster a una delle seguenti versioni con patch:
|
Medio |
GCP-2024-023
Pubblicato: 24/04/2024
Descrizione | Gravità | Note |
---|---|---|
HTTP/2: esaurimento della memoria a causa di un'inondazione di frame CONTINUATION. Che cosa devo fare?Verifica se i cluster sono interessatiTutte le versioni di Cloud Service Mesh sono interessate da questa CVE. MitigazioneSe esegui Cloud Service Mesh gestito, non è richiesta alcuna azione. Il sistema verrà aggiornate automaticamente nei prossimi giorni. Se esegui Cloud Service Mesh nel cluster, devi eseguire l'upgrade del cluster a uno delle seguenti versioni con patch:
Se utilizzi Cloud Service Mesh v1.17 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportato. Queste correzioni CVE non sono state sottoposte a backport. Devi eseguire l'upgrade a Cloud Service Mesh v1.18 o versioni successive. |
Alta |
Descrizione | Gravità | Note |
---|---|---|
HTTP/2: esaurimento della CPU a causa dell'inondazione CONTINUATION del frame Che cosa devo fare?Verifica se i cluster sono interessatiTutte le versioni di Cloud Service Mesh sono interessate da questa CVE. MitigazioneSe esegui Cloud Service Mesh gestito, non è richiesta alcuna azione. Il sistema verrà aggiornate automaticamente nei prossimi giorni. Se esegui Cloud Service Mesh nel cluster, devi eseguire l'upgrade del cluster a uno delle seguenti versioni con patch:
Se utilizzi Cloud Service Mesh 1.17 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state sottoposte a backport. Devi eseguire l'upgrade a Cloud Service Mesh 1.18 o versioni successive. |
Medio |
Descrizione | Gravità | Note |
---|---|---|
Chiusura anomala quando si utilizza Che cosa devo fare?Verifica se i cluster sono interessatiTutte le versioni di Cloud Service Mesh sono interessate da questa CVE. MitigazioneSe esegui Cloud Service Mesh gestito, non è richiesta alcuna azione. Il sistema verrà aggiornate automaticamente nei prossimi giorni. Se esegui Cloud Service Mesh nel cluster, devi eseguire l'upgrade del cluster a uno delle seguenti versioni con patch:
Se utilizzi Cloud Service Mesh v1.17 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita ed è non è più supportato. Queste correzioni CVE non sono state sottoposte a backport. Esegui l'upgrade a Cloud Service Mesh 1.18 o versioni successive. |
Alta |
Descrizione | Gravità | Note |
---|---|---|
Per gli attacchi DoS possono essere utilizzati i frame di CONTINUAZIONE HTTP/2. Che cosa devo fare?Verifica se i cluster sono interessatiTutte le versioni di Cloud Service Mesh sono interessate da questa CVE. MitigazioneSe esegui Cloud Service Mesh gestito, non è richiesta alcuna azione. Il sistema verrà aggiornate automaticamente nei prossimi giorni. Se esegui Cloud Service Mesh nel cluster, devi eseguire l'upgrade del cluster a uno delle seguenti versioni con patch:
Se utilizzi Cloud Service Mesh v1.17 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportato. Queste correzioni CVE non sono state sottoposte a backport. Esegui l'upgrade alla versione v1.18 o successiva. |
Non fornito |
GCP-2024-007
Pubblicato il: 08/02/2024
Descrizione | Gravità | Note |
---|---|---|
Envoy si arresta in modo anomalo quando è inattivo e si verifica il timeout delle richieste per tentativo nell'intervallo di backoff. Che cosa devo fare?Se utilizzi Cloud Service Mesh gestito, non è richiesta alcuna azione. Il sistema verrà aggiornate automaticamente nei prossimi giorni. Se esegui Cloud Service Mesh in cluster, devi eseguire l'upgrade del cluster a una delle seguenti versioni con patch:
Se utilizzi Anthos Service Mesh v1.17 o versioni precedenti, la release è arrivata alla fine e non è più supportato. Sebbene queste correzioni delle vulnerabilità CVE siano state backportate alla versione 1.17, devi eseguire l'upgrade alla versione 1.18 o successiva. |
Alta |
Descrizione | Gravità | Note |
---|---|---|
Utilizzo eccessivo della CPU quando il matcher del modello URI viene configurato utilizzando un'espressione regolare. Che cosa devo fare?Se utilizzi Cloud Service Mesh gestito, non è richiesta alcuna azione. Il sistema verrà aggiornate automaticamente nei prossimi giorni. Se esegui Cloud Service Mesh in cluster, devi eseguire l'upgrade del cluster a una delle seguenti versioni con patch:
Se utilizzi Anthos Service Mesh 1.17 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Sebbene queste correzioni delle vulnerabilità CVE siano state backportate alla versione 1.17, devi eseguire l'upgrade alla versione 1.18 o successiva. |
Medio |
Descrizione | Gravità | Note |
---|---|---|
L'autorizzazione esterna può essere ignorata quando il filtro del protocollo proxy imposta metadati UTF-8 non validi. Che cosa devo fare?Se utilizzi Cloud Service Mesh gestito, non è richiesta alcuna azione. Il sistema verrà aggiornate automaticamente nei prossimi giorni. Se esegui Cloud Service Mesh in cluster, devi eseguire l'upgrade del cluster a una delle seguenti versioni con patch:
Se utilizzi Anthos Service Mesh v1.17 o versioni precedenti, la release è arrivata alla fine e non è più supportato. Sebbene queste correzioni delle vulnerabilità CVE siano state backportate alla versione 1.17, devi eseguire l'upgrade alla versione 1.18 o successiva. |
Alta |
Descrizione | Gravità | Note |
---|---|---|
Envoy si arresta in modo anomalo quando viene utilizzato un tipo di indirizzo non supportato dal sistema operativo. Che cosa devo fare?Se utilizzi Cloud Service Mesh gestito, non è richiesta alcuna azione. Il sistema verrà aggiornate automaticamente nei prossimi giorni. Se esegui Cloud Service Mesh in cluster, devi eseguire l'upgrade del cluster a una delle seguenti versioni con patch:
Se utilizzi Anthos Service Mesh v1.17 o versioni precedenti, la release è arrivata alla fine e non è più supportato. Sebbene queste correzioni delle vulnerabilità CVE siano state backportate alla versione 1.17, devi eseguire l'upgrade alla versione 1.18 o successiva. |
Alta |
Descrizione | Gravità | Note |
---|---|---|
Arresto anomalo nel protocollo proxy quando il tipo di comando è Che cosa devo fare?Se utilizzi Cloud Service Mesh gestito, non è richiesta alcuna azione. Il sistema verrà aggiornate automaticamente nei prossimi giorni. Se esegui Cloud Service Mesh in cluster, devi eseguire l'upgrade del cluster a una delle seguenti versioni con patch:
Se utilizzi Anthos Service Mesh v1.17 o versioni precedenti, la release è arrivata alla fine e non è più supportato. Sebbene queste correzioni delle vulnerabilità CVE siano state backportate alla versione 1.17, devi eseguire l'upgrade alla versione 1.18 o successiva. |
Alta |
GCP-2023-031
Pubblicato: 10/10/2023
Descrizione | Gravità | Note |
---|---|---|
Un attacco denial of service può interessare il piano dati quando si utilizza il protocollo HTTP/2. Che cosa devo fare?Verifica se i cluster sono interessatiIl cluster è interessato se utilizza versioni patch di Cloud Service Mesh precedenti al 1.18.4, 1.17.7 o 1.16.7. MitigazioneEsegui l'upgrade del cluster a una delle seguenti versioni con patch:
Se esegui Cloud Service Mesh gestito, il sistema verrà aggiornato automaticamente entro i prossimi giorni. Se utilizzi Cloud Service Mesh 1.15 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state sottoposte a backport. Dovresti eseguire l'upgrade alla versione 1.16 o successiva. |
Alta |
GCP-2023-021
Aggiornamento: 26/07/2023
Pubblicato il: 25/07/2022Descrizione | Gravità | Note |
---|---|---|
Un client dannoso è in grado di costruire credenziali con validità permanente in alcuni scenari specifici. Ad esempio, la combinazione di host e data e ora di scadenza nel payload HMAC può essere sempre valida nel controllo HMAC del filtro OAuth2. Che cosa devo fare?Verificare se i tuoi cluster sono interessatiIl cluster è interessato se utilizza versioni patch di Cloud Service Mesh precedenti al
Esegui l'upgrade del cluster a una delle seguenti versioni con patch:
Se esegui Cloud Service Mesh gestito, il sistema verrà aggiornato automaticamente entro i prossimi giorni. Se utilizzi Anthos Service Mesh 1.14 o versioni precedenti, la tua release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state sottoposte a backport. Devi eseguire l'upgrade ad ASM 1.15 o versioni successive. |
Alta |
Descrizione | Gravità | Note |
---|---|---|
I logger di accesso gRPC che utilizzano l'ambito globale dell'ascoltatore possono causare un arresto anomalo di uso dopo svuotamento quando l'ascoltatore viene svuotato. Questo può essere attivato da un aggiornamento LDS con la stessa configurazione del log di accesso gRPC. Che cosa devo fare?Verificare se i tuoi cluster sono interessatiIl cluster è interessato se utilizza versioni patch di Cloud Service Mesh precedenti al
Esegui l'upgrade del cluster a una delle seguenti versioni con patch:
Se esegui Cloud Service Mesh gestito, il sistema verrà aggiornato automaticamente entro i prossimi giorni. Se utilizzi Anthos Service Mesh 1.14 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state sottoposte a backport. Devi eseguire l'upgrade ad ASM 1.15 o versioni successive. |
Medio |
Descrizione | Gravità | Note |
---|---|---|
Se l'intestazione Che cosa devo fare?Verificare se i tuoi cluster sono interessatiIl cluster è interessato se utilizza versioni patch di Cloud Service Mesh precedenti al
Esegui l'upgrade del cluster a una delle seguenti versioni con patch:
Se esegui Cloud Service Mesh gestito, il sistema verrà aggiornato automaticamente entro i prossimi giorni. Se utilizzi Anthos Service Mesh 1.14 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state sottoposte a backport. Devi eseguire l'upgrade ad ASM 1.15 o versioni successive. |
Medio |
Descrizione | Gravità | Note |
---|---|---|
Gli aggressori possono inviare richieste di schemi misti per aggirare alcuni controlli dello schema in Envoy. Ad esempio, se una richiesta con schema misto htTp viene inviata al filtro OAuth2, non supererà i controlli di corrispondenza esatta per http e informerà l'endpoint remoto che lo schema è https, bypassando così potenzialmente i controlli OAuth2 specifici per le richieste HTTP. Che cosa devo fare?Verificare se i tuoi cluster sono interessatiIl cluster è interessato se utilizza versioni patch di Cloud Service Mesh precedenti al
Esegui l'upgrade del cluster a una delle seguenti versioni con patch:
Se esegui Cloud Service Mesh gestito, il sistema verrà aggiornato automaticamente entro i prossimi giorni. Se utilizzi Anthos Service Mesh 1.14 o versioni precedenti, la tua release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state sottoposte a backport. Devi eseguire l'upgrade ad ASM 1.15 o versioni successive. |
Alta |
GCP-2023-019
Descrizione | Gravità | Note |
---|---|---|
Una risposta creata appositamente da un servizio upstream non attendibile può causare un denial of service tramite esaurimento della memoria. Questo è causato dal codec HTTP/2 di Envoy che potrebbe trapelare una mappa di intestazione e strutture di contabilità alla ricezione di RST_STREAM immediatamente seguito da i frame GOAWAY da un server upstream. Che cosa devo fare?Verificare se i tuoi cluster sono interessatiIl cluster è interessato se utilizza versioni patch di Cloud Service Mesh precedenti al
Esegui l'upgrade del cluster a una delle seguenti versioni con patch:
Se utilizzi Cloud Service Mesh gestito, il sistema verrà aggiornato automaticamente entro i prossimi giorni. Se utilizzi Anthos Service Mesh 1.14 o versioni precedenti, la tua release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state sottoposte a backport. Devi eseguire l'upgrade ad ASM 1.15 o versioni successive. |
Alta |
GCP-2023-002
Descrizione | Gravità | Note |
---|---|---|
Se Envoy è in esecuzione con il filtro OAuth abilitato esposto, un utente malintenzionato potrebbe creare una richiesta che potrebbe causare denial of service con l'arresto anomalo di Envoy. Che cosa devo fare?Verifica se i cluster sono interessatiI cluster sono interessati se utilizzano versioni patch di Cloud Service Mesh precedenti a:
Esegui l'upgrade del cluster a una delle seguenti versioni con patch:
Se utilizzi Cloud Service Mesh v1.13 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state sottoposte a backport. Devi eseguire l'upgrade a Cloud Service Mesh 1.14 o versioni successive. |
Medio |
Descrizione | Gravità | Note |
---|---|---|
L'utente malintenzionato può utilizzare questa vulnerabilità per bypassare i controlli di autenticazione quando viene utilizzato ext_authz. Che cosa devo fare?Verifica se i cluster sono interessatiI cluster sono interessati se utilizzano versioni patch di Cloud Service Mesh precedenti a:
Esegui l'upgrade del cluster a una delle seguenti versioni con patch:
Se utilizzi Cloud Service Mesh 1.13 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state sottoposte a backport. Dovresti eseguire l'upgrade a Cloud Service Mesh} 1.14 o versioni successive. |
Medio |
Descrizione | Gravità | Note |
---|---|---|
La configurazione Envoy deve anche includere un'opzione per aggiungere intestazioni delle richieste che siano state generate utilizzando gli input della richiesta, ad esempio la SAN del certificato peer. Che cosa devo fare?Verifica se i cluster sono interessatiI cluster sono interessati se utilizzano versioni patch di Cloud Service Mesh precedenti a:
Esegui l'upgrade del cluster a una delle seguenti versioni con patch:
Se utilizzi Cloud Service Mesh 1.13 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state sottoposte a backport. Devi eseguire l'upgrade a Cloud Service Mesh 1.14 o versioni successive. |
Alta |
Descrizione | Gravità | Note |
---|---|---|
Gli utenti malintenzionati possono inviare grandi corpi di richiesta per i percorsi in cui è attivato il filtro Lua e attivare arresti anomali. Che cosa devo fare?Verifica se i cluster sono interessatiI cluster sono interessati se utilizzano versioni patch di Cloud Service Mesh precedenti a:
Esegui l'upgrade del cluster a una delle seguenti versioni con patch:
Se utilizzi Cloud Service Mesh v1.13 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state sottoposte a backport. Devi eseguire l'upgrade a Cloud Service Mesh 1.14 o versioni successive. |
Medio |
Descrizione | Gravità | Note |
---|---|---|
Gli aggressori possono inviare richieste HTTP/2 o HTTP/3 appositamente realizzate per attivare errori di analisi sul servizio upstream HTTP/1. Che cosa devo fare?Verifica se i cluster sono interessatiI cluster sono interessati se utilizzano versioni patch di Cloud Service Mesh precedenti a:
Esegui l'upgrade del cluster a una delle seguenti versioni con patch:
Se utilizzi Cloud Service Mesh v1.13 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state sottoposte a backport. Devi eseguire l'upgrade a Cloud Service Mesh 1.14 o versioni successive. |
Medio |
Descrizione | Gravità | Note |
---|---|---|
L'intestazione x-envoy-original-path deve essere un'intestazione interna, ma Envoy non la rimuove dalla richiesta all'inizio dell'elaborazione della richiesta quando viene inviata da un client non attendibile. Che cosa devo fare?Verifica se i cluster sono interessatiI cluster sono interessati se utilizzano versioni patch di Cloud Service Mesh precedenti a:
Esegui l'upgrade del cluster a una delle seguenti versioni con patch:
Se utilizzi Cloud Service Mesh 1.13 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state sottoposte a backport. Devi eseguire l'upgrade a Cloud Service Mesh 1.14 o versioni successive. |
Alta |
GCP-2022-020
Pubblicato: 05/10/2022Ultimo aggiornamento: 12/10/2022
Aggiornamento del 12/10/2022: è stato aggiornato il link alla descrizione CVE e sono state aggiunte informazioni su aggiornamenti automatici per Cloud Service Mesh gestito.
Descrizione | Gravità | Note |
---|---|---|
Il control plane di Istio Che cosa devo fare?Verifica se i cluster sono interessatiIl cluster è interessato se utilizza versioni con patch di Cloud Service Mesh precedenti alla 1.14.4, 1.13.8 o 1.12.9. MitigazioneSe esegui Cloud Service Mesh autonomo, esegui l'upgrade del cluster a una delle seguenti versioni con patch:
Se esegui Cloud Service Mesh gestito, il sistema verrà automaticamente vengono aggiornate nei prossimi giorni. Se utilizzi Cloud Service Mesh v1.11 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita ed è non è più supportato. Queste correzioni CVE non sono state sottoposte a backport. Devi eseguire l'upgrade a Cloud Service Mesh 1.12 o versioni successive. |
Alta |
GCP-2022-015
Pubblicato: 09/06/2022Ultimo aggiornamento: 10/06/2022
Aggiornamento 10/06/2022: versioni patch aggiornate per Cloud Service Mesh.
Descrizione | Gravità | Note |
---|---|---|
Il piano dati di Istio può potenzialmente accedere alla memoria in modo non sicuro quando sono attivate le estensioni Metadata Exchange e Stats. Che cosa devo fare?Verificare se i tuoi cluster sono interessatiIl cluster è interessato se utilizza versioni con patch di Cloud Service Mesh precedenti alle versioni 1.13.4-asm.4, 1.12.7-asm.2 o 1.11.8-asm.4. Mitigazione di Cloud Service MeshEsegui l'upgrade del cluster a una delle seguenti versioni con patch:
Se utilizzi Cloud Service Mesh 1.10 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state sottoposte a backport. Devi eseguire l'upgrade a Cloud Service Mesh 1.11 o versioni successive. Per ulteriori informazioni, consulta Eseguire l'upgrade da versioni precedenti (GKE) o Eseguire l'upgrade da versioni precedenti (on-premise). |
Alta |
Descrizione | Gravità | Note |
---|---|---|
I dati possono superare i limiti di buffer intermedi se un aggressore passa un piccolo payload altamente compresso (noto anche come attacco zip bomb). Che cosa devo fare?Verificare se i tuoi cluster sono interessatiIl cluster è interessato se utilizza versioni con patch di Cloud Service Mesh precedenti alle versioni 1.13.4-asm.4, 1.12.7-asm.2 o 1.11.8-asm.4. Sebbene Cloud Service Mesh non supporti i filtri Envoy, l'utilizzo di un filtro di decompressione potrebbe interessarti. Mitigazione di Cloud Service MeshEsegui l'upgrade del cluster a una delle seguenti versioni con patch:
Se utilizzi Cloud Service Mesh 1.10 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state sottoposte a backport. Devi eseguire l'upgrade a Cloud Service Mesh 1.11 o versioni successive. Per ulteriori informazioni, consulta Eseguire l'upgrade da versioni precedenti (GKE) o Eseguire l'upgrade da versioni precedenti (on-premise). Mitigazione di EnvoyGli utenti di Envoy che gestiscono i propri Envoy devono assicurarsi di utilizzare la release 1.22.1 di Envoy. Gli utenti di Envoy che gestiscono i propri Envoy compilano i binari da una fonte come GitHub e li dispicchiano. Gli utenti che eseguono Envoy gestiti (Google Cloud fornisce i binari di Envoy) non devono fare nulla, poiché i prodotti cloud passeranno alla versione 1.22.1. |
Alta |
Descrizione | Gravità | Note |
---|---|---|
Potenziale scollegamento di un puntatore nullo in Che cosa devo fare?Verificare se i tuoi cluster sono interessatiIl cluster è interessato se utilizza versioni con patch di Cloud Service Mesh precedenti alle versioni 1.13.4-asm.4, 1.12.7-asm.2 o 1.11.8-asm.4. Mitigazione di Cloud Service MeshEsegui l'upgrade del cluster a una delle seguenti versioni con patch:
Se utilizzi Cloud Service Mesh 1.10 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state sottoposte a backport. Dovresti eseguire l'upgrade a Cloud Service Mesh 1.11 o versioni successive. Per ulteriori informazioni, consulta Upgrade da versioni precedenti (GKE oppure Upgrade da versioni precedenti (on-premise). Mitigazione di EnvoyGli utenti di Envoy che gestiscono i propri Envoy devono assicurarsi di utilizzare la release 1.22.1 di Envoy. Gli utenti di Envoy che gestiscono i propri Envoy compilano i binari da una fonte come GitHub e li dispicchiano. Gli utenti che eseguono Envoy gestiti (Google Cloud fornisce i binari di Envoy) non devono fare nulla, poiché i prodotti cloud passeranno alla versione 1.22.1. |
Medio |
Descrizione | Gravità | Note |
---|---|---|
Il filtro OAuth consente un bypass banale. Che cosa devo fare?Verificare se i tuoi cluster sono interessatiIl cluster è interessato se utilizza versioni con patch di Cloud Service Mesh precedenti alle versioni 1.13.4-asm.4, 1.12.7-asm.2 o 1.11.8-asm.4. Sebbene Cloud Service Mesh non supporti i filtri Envoy, l'utilizzo di un filtro OAuth potrebbe interessarti. Mitigazione di Cloud Service MeshEsegui l'upgrade del cluster a una delle seguenti versioni con patch:
Se utilizzi Cloud Service Mesh 1.10 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state sottoposte a backport. Dovresti eseguire l'upgrade a Cloud Service Mesh 1.11 o versioni successive. Per ulteriori informazioni, consulta Eseguire l'upgrade da versioni precedenti (GKE) o Eseguire l'upgrade da versioni precedenti (on-premise). Mitigazione di EnvoyAnche gli utenti di Envoy che gestiscono i propri Envoy utilizzano il filtro OAuth per assicurarsi di non con Envoy release 1.22.1. Gli utenti Envoy che gestiscono i propri Envoy creano i file binari da un come GitHub, ed eseguirne il deployment. Non è necessario alcun intervento da parte degli utenti che eseguono Envoy gestiti (Google Cloud fornisce i file binari di Envoy), per i quali i prodotti cloud passeranno alla versione 1.22.1. |
Critico |
Descrizione | Gravità | Note |
---|---|---|
Il filtro OAuth può danneggiare la memoria (versioni precedenti) o attivare un ASSERT() (versioni successive). Che cosa devo fare?Verificare se i tuoi cluster sono interessatiIl cluster è interessato se utilizza versioni con patch di Cloud Service Mesh precedenti alle versioni 1.13.4-asm.4, 1.12.7-asm.2 o 1.11.8-asm.4. Sebbene Cloud Service Mesh non supporti i filtri Envoy, l'utilizzo di un filtro OAuth potrebbe interessarti. Mitigazione di Cloud Service MeshEsegui l'upgrade del cluster a una delle seguenti versioni con patch:
Se utilizzi Cloud Service Mesh 1.10 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state sottoposte a backport. Devi eseguire l'upgrade a Cloud Service Mesh 1.11 o versioni successive. Mitigazione di EnvoyAnche gli utenti di Envoy che gestiscono i propri Envoy utilizzano il filtro OAuth per assicurarsi di non con Envoy release 1.22.1. Gli utenti Envoy che gestiscono i propri Envoy creano i file binari da un come GitHub, ed eseguirne il deployment. Gli utenti che eseguono Envoy gestiti (Google Cloud fornisce i binari di Envoy) non devono fare nulla, poiché i prodotti cloud passeranno alla versione 1.22.1. |
Alta |
Descrizione | Gravità | Note |
---|---|---|
I reindirizzamenti interni si arrestano in modo anomalo per le richieste con corpo o trailer. Che cosa devo fare?Verificare se i tuoi cluster sono interessatiIl cluster è interessato se utilizza versioni con patch di Cloud Service Mesh precedenti alle versioni 1.13.4-asm.4, 1.12.7-asm.2 o 1.11.8-asm.4. Mitigazione di Cloud Service MeshEsegui l'upgrade del cluster a una delle seguenti versioni con patch:
Se utilizzi Cloud Service Mesh 1.10 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state sottoposte a backport. Dovresti eseguire l'upgrade a Cloud Service Mesh 1.11 o versioni successive. Per ulteriori informazioni, consulta Eseguire l'upgrade da versioni precedenti (GKE) o Eseguire l'upgrade da versioni precedenti (on-premise). Mitigazione di EnvoyGli utenti di Envoy che gestiscono i propri Envoy devono assicurarsi di utilizzare la release 1.22.1 di Envoy. Gli utenti di Envoy che gestiscono i propri Envoy compilano i binari da una fonte come GitHub e li dispicchiano. Gli utenti che eseguono Envoy gestiti (Google Cloud fornisce i binari di Envoy) non devono fare nulla, poiché i prodotti cloud passeranno alla versione 1.22.1. |
Alta |
GCP-2022-010
Pubblicato: 10/03/2022Ultimo aggiornamento: 16/03/2022
Descrizione | Gravità | Note |
---|---|---|
Il piano di controllo Istio, istiod, è vulnerabile a un errore di elaborazione delle richieste, consentendo un aggressore che invia un messaggio appositamente creato che porta al piano di controllo che si arresta in modo anomalo quando il webhook di convalida per un cluster viene esposto pubblicamente. Questo endpoint è è gestito tramite la porta TLS 15017, ma non richiede alcuna autenticazione da parte dell’utente malintenzionato. Che cosa devo fare?Verifica se i cluster sono interessatiTutte le versioni di Cloud Service Mesh sono interessate da questo CVE. Nota: se utilizzi il piano di controllo gestito, questa vulnerabilità è già stata corretta e non ti riguarda. MitigazioneEsegui l'upgrade del cluster a una delle seguenti versioni con patch:
Se utilizzi Cloud Service Mesh 1.9 o versioni precedenti, la tua release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state sottoposte a backport. Dovresti eseguire l'upgrade in Cloud Service Mesh 1.10 o versioni successive. |
Alta |
GCP-2022-007
Pubblicato: 22/02/2022Descrizione | Gravità | Note |
---|---|---|
Istiod si arresta in modo anomalo alla ricezione di richieste con un'intestazione Che cosa devo fare?Verificare se i tuoi cluster sono interessatiIl cluster è interessato se si verificano entrambe le seguenti condizioni:
Nota: se utilizzi il piano di controllo gestito, questa vulnerabilità è già stata corretta e questo non ti riguarda. MitigazioneEsegui l'upgrade del cluster a una delle seguenti versioni con patch:
Se utilizzi Cloud Service Mesh 1.9 o versioni precedenti, la tua release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state sottoposte a backport. Esegui l'upgrade a Cloud Service Mesh 1.10 o versioni successive. |
Alta |
Descrizione | Gravità | Note |
---|---|---|
Potenziale dereferenziazione del puntatore nullo quando si utilizza la corrispondenza Che cosa devo fare?Verificare se i tuoi cluster sono interessatiIl cluster è interessato se si verificano entrambe le seguenti condizioni:
Esegui l'upgrade del cluster a una delle seguenti versioni con patch:
Se utilizzi Cloud Service Mesh 1.9 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state sottoposte a backport. Devi eseguire l'upgrade a Cloud Service Mesh 1.10 o versioni successive. |
Medio |
Descrizione | Gravità | Note |
---|---|---|
L'utilizzo dopo l'uso quando i filtri di risposta aumentano i dati di risposta e più dati superano limiti del buffer downstream. Che cosa devo fare?Verificare se i tuoi cluster sono interessatiIl cluster è interessato se si verificano entrambe le seguenti condizioni:
Esegui l'upgrade del cluster a una delle seguenti versioni con patch:
Se utilizzi Cloud Service Mesh 1.9 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state sottoposte a backport. Devi eseguire l'upgrade a Cloud Service Mesh 1.10 o versioni successive. |
Medio |
Descrizione | Gravità | Note |
---|---|---|
Utilizzo dopo svuotamento quando si esegue il tunneling TCP su HTTP, se la connessione a valle si disconnette durante l'instaurazione della connessione a monte. Che cosa devo fare?Verificare se i tuoi cluster sono interessatiIl cluster è interessato se si verificano entrambe le seguenti condizioni:
Esegui l'upgrade del cluster a una delle seguenti versioni con patch:
Se utilizzi Cloud Service Mesh 1.9 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state sottoposte a backport. Devi eseguire l'upgrade a Cloud Service Mesh 1.10 o versioni successive. |
Medio |
Descrizione | Gravità | Note |
---|---|---|
Una gestione errata della configurazione consente il riutilizzo della sessione mTLS senza riconvalida dopo le impostazioni di convalida sono cambiate. Che cosa devo fare?Verificare se i tuoi cluster sono interessatiIl cluster è interessato se si verificano entrambe le seguenti condizioni:
Esegui l'upgrade del cluster a una delle seguenti versioni con patch:
Se utilizzi Cloud Service Mesh 1.9 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state sottoposte a backport. Devi eseguire l'upgrade a Cloud Service Mesh 1.10 o versioni successive. |
Alta |
Descrizione | Gravità | Note |
---|---|---|
Gestione errata dei reindirizzamenti interni alle route con una voce di risposta diretta. Che cosa devo fare?Verificare se i tuoi cluster sono interessatiIl cluster è interessato se si verificano entrambe le seguenti condizioni:
Esegui l'upgrade del cluster a una delle seguenti versioni con patch:
Se utilizzi Cloud Service Mesh 1.9 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state sottoposte a backport. Devi eseguire l'upgrade a Cloud Service Mesh 1.10 o versioni successive. |
Alta |
Descrizione | Gravità | Note |
---|---|---|
Esaurimento dello stack quando un cluster viene eliminato tramite Cluster Discovery Service. Che cosa devo fare?Verificare se i tuoi cluster sono interessatiIl cluster è interessato se si verificano entrambe le seguenti condizioni:
Esegui l'upgrade del cluster a una delle seguenti versioni con patch:
Se utilizzi Cloud Service Mesh v1.9 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita ed è non è più supportato. Queste correzioni CVE non sono state sottoposte a backport. Devi eseguire l'upgrade a Cloud Service Mesh 1.10 o versioni successive. |
Medio |
GCP-2021-016
Pubblicato: 24/08/2021Descrizione | Gravità | Note |
---|---|---|
Istio contiene una vulnerabilità sfruttabile da remoto per cui una richiesta HTTP con un frammento (una sezione alla fine di un URI che inizia con un carattere
Ad esempio, un criterio di autorizzazione Istio nega le richieste inviate al percorso URI Questa correzione dipende da una correzione in Envoy, associata a CVE-2021-32779. Che cosa devo fare?Verifica se i cluster sono interessatiIl tuo cluster è interessato se si verificano entrambe le seguenti condizioni:
Esegui l'upgrade del cluster a una delle seguenti versioni con patch:
Con le nuove versioni, la parte del frammento dell'URI della richiesta viene rimossa prima dell'autorizzazione e del routing. Questo impedisce a una richiesta con un frammento nell'URI di bypassare i criteri di autorizzazione basati sull'URI senza la parte del frammento. DisattivaSe disattivi questo nuovo comportamento, la sezione dei frammenti nell'URI viene mantenuta. Per disattivarla, puoi configurare l'installazione come segue: apiVersion: install.istio.io/v1alpha1 kind: IstioOperator metadata: name: opt-out-fragment-cve-fix namespace: istio-system spec: meshConfig: defaultConfig: proxyMetadata: HTTP_STRIP_FRAGMENT_FROM_PATH_UNSAFE_IF_DISABLED: "false" Nota: se disattivi questo comportamento, il cluster diventa vulnerabile a questo CVE. |
Alta |
Descrizione | Gravità | Note |
---|---|---|
Istio contiene una vulnerabilità sfruttabile da remoto in cui una richiesta HTTP potrebbe potenzialmente aggirare un criterio di autorizzazione Istio quando vengono utilizzate regole basate su
Nelle versioni vulnerabili, il criterio di autorizzazione Istio confronta le intestazioni HTTP Che cosa devo fare?Verificare se i tuoi cluster sono interessatiIl tuo cluster è interessato se si verificano entrambe le seguenti condizioni:
Esegui l'upgrade del cluster a una delle seguenti versioni con patch:
Questo metodo di mitigazione garantisce che le intestazioni HTTP |
Alta |
Descrizione | Gravità | Note |
---|---|---|
Envoy contiene una vulnerabilità sfruttabile da remoto secondo cui una richiesta HTTP con più intestazioni di valore potrebbe eseguire un controllo incompleto dei criteri di autorizzazione quando viene utilizzata l'estensione Che cosa devo fare?Verifica se i cluster sono interessatiIl tuo cluster è interessato se si verificano entrambe le seguenti condizioni:
Esegui l'upgrade del cluster a una delle seguenti versioni con patch:
|
Alta |
Descrizione | Gravità | Note |
---|---|---|
Envoy contiene una vulnerabilità sfruttabile da remoto che influisce sulle estensioni Che cosa devo fare?Verifica se i cluster sono interessatiIl tuo cluster è interessato se si verificano entrambe le seguenti condizioni:
Esegui l'upgrade del cluster a una delle seguenti versioni con patch:
|
Alta |
Descrizione | Gravità | Note |
---|---|---|
Envoy contiene una vulnerabilità sfruttabile da remoto in cui un client Envoy che apre e reimposta un numero elevato di richieste HTTP/2 potrebbe causare un consumo eccessivo della CPU. Che cosa devo fare?Verificare se i tuoi cluster sono interessatiIl cluster è interessato se utilizza versioni con patch di Cloud Service Mesh precedenti a 1.7.8-asm.10, 1.8.6-asm.8, 1.9.8-asm.1 e 1.10.4-asm.6. MitigazioneEsegui l'upgrade del cluster a una delle seguenti versioni con patch:
Nota: se utilizzi Cloud Service Mesh 1.8 o versioni precedenti, esegui l'upgrade alle versioni patch più recenti di Cloud Service Mesh 1.9 e versioni successive per mitigare questa vulnerabilità. |
Alta |
Descrizione | Gravità | Note |
---|---|---|
Envoy contiene una vulnerabilità sfruttabile da remoto per cui un servizio upstream non attendibile potrebbe causare l'arresto anomalo di Envoy inviando il frame Che cosa devo fare?Verifica se i cluster sono interessatiIl cluster è interessato se utilizza Cloud Service Mesh 1.10 con una versione di patch precedente alla 1.10.4-asm.6. MitigazioneEsegui l'upgrade del cluster alla seguente versione della patch:
|
Alta |
GCP-2021-012
Pubblicato: 24/06/2021Descrizione | Gravità | Note |
---|---|---|
La sicurezza dell'Istio
Di solito, un deployment di gateway o carico di lavoro è in grado di accedere solo ai certificati TLS e
archiviate nel secret
all'interno del relativo spazio dei nomi. Tuttavia, un bug in Che cosa devo fare?Verificare se i tuoi cluster sono interessatiIl tuo cluster è interessato se si verificano TUTTE le seguenti condizioni:
Esegui l'upgrade del cluster a una delle seguenti versioni con patch:
Se non è possibile eseguire un upgrade, puoi mitigare questa vulnerabilità disattivando la memorizzazione nella cache di istiod .
Puoi disattivare la memorizzazione nella cache impostando la variabile di ambiente istiod su
PILOT_ENABLE_XDS_CACHE=false . Il rendimento del sistema e di istiod potrebbe essere
interessati dalla disattivazione della memorizzazione nella cache di XDS.
|
Alta |
GCP-2021-008
Pubblicato: 17/05/2021Descrizione | Gravità | Note |
---|---|---|
Istio contiene una vulnerabilità sfruttabile da remoto in cui un client esterno può accedere a servizi imprevisti nel cluster, bypassando i controlli di autorizzazione, quando un gateway è configurato con la configurazione di routing AUTO_PASSTHROUGH. Che cosa devo fare?Verifica se i cluster sono interessatiQuesta vulnerabilità interessa solo l'utilizzo del tipo di gateway AUTO_PASSTHROUGH, che solitamente viene utilizzato solo in implementazioni multi-network e multi-cluster. Rileva la modalità TLS di tutti i gateway nel cluster con il seguente comando: kubectl get gateways.networking.istio.io -A -o \ "custom-columns=NAMESPACE:.metadata.namespace, \ NAME:.metadata.name,TLS_MODE:.spec.servers[*].tls.mode" Se l'output mostra AUTO_PASSTHROUGH gateway, la tua situazione potrebbe essere interessata. MitigazioneAggiorna i cluster alle versioni più recenti di Cloud Service Mesh:
* Nota: l'implementazione di Cloud Service Mesh Piano di controllo gestito (disponibile solo nelle versioni 1.9.x) verranno completate nei prossimi giorni. |
Alta |
GCP-2021-007
Pubblicato il: 17/05/2021Descrizione | Gravità | Note |
---|---|---|
Istio contiene una vulnerabilità sfruttabile da remoto in cui un percorso della richiesta HTTP con più barre o caratteri barra emessi (%2F o %5C) potrebbe potenzialmente aggirare un criterio di autorizzazione Istio quando vengono utilizzate regole di autorizzazione basate sul percorso.
In uno scenario in cui un amministratore del cluster Istio definisce un criterio di autorizzazione di tipo DENY per rifiutare la richiesta al percorso
Secondo lo standard
RFC 3986,
il percorso Che cosa devo fare?Verifica se i cluster sono interessatiIl cluster è interessato da questa vulnerabilità se hai criteri di autorizzazione che utilizzano "Campo ALLOW action + notPaths" o "Campo NEGAZIONE + percorsi" pattern. Questi pattern sono vulnerabili a aggiramenti imprevisti dei criteri e devi eseguire l'upgrade per risolvere il problema di sicurezza il prima possibile. Di seguito è riportato un esempio di norma vulnerabile che utilizza il campo "azione DENY + percorsi" motivo: apiVersion: security.istio.io/v1beta1 kind: AuthorizationPolicy metadata: name: deny-path-admin spec: action: DENY rules: - to: - operation: paths: ["/admin"] Di seguito è riportato un altro esempio di criterio vulnerabile che utilizza "ALLOW action + notPaths campo" motivo: apiVersion: security.istio.io/v1beta1 kind: AuthorizationPolicy metadata: name: allow-path-not-admin spec: action: ALLOW rules: - to: - operation: notPaths: ["/admin"] Il tuo cluster non è interessato da questa vulnerabilità se:
In questi casi, l'upgrade è facoltativo. Aggiorna i cluster alle ultime versioni supportate di Cloud Service Mesh*. Queste versioni supportano configurando i proxy Envoy nel sistema con più opzioni di normalizzazione:
* Nota: l'implementazione del Managed Control Plane di Cloud Service Mesh (disponibile solo nelle versioni 1.9.x) verrà completata nei prossimi giorni. Segui le Guida alle best practice per la sicurezza di Istio per configurare i criteri di autorizzazione. |
Alta |
GCP-2021-004
Pubblicato: 6/05/2021Descrizione | Gravità | Note |
---|---|---|
I progetti Envoy e Istio hanno recentemente annunciato diverse nuove vulnerabilità di sicurezza (CVE-2021-28682, CVE-2021-28683 e CVE-2021-29258), che potrebbero consentire a un malintenzionato di arrestare in modo anomalo Envoy e potenzialmente rendere parti del cluster offline e non raggiungibili. Ciò influisce sui servizi forniti come Cloud Service Mesh. Che cosa devo fare?Per correggere queste vulnerabilità, esegui l'upgrade del bundle Cloud Service Mesh a una delle seguenti versioni con patch:
Per ulteriori informazioni, consulta le note di rilascio di Cloud Service Mesh. |
Alta |