セキュリティに関する情報
この XML フィードを使用して、Cloud Service Mesh のセキュリティに関する公開情報に登録します。
このページには、Cloud Service Mesh のセキュリティに関する公開情報が記載されています。
GCP-2024-032
説明 | 重大度 | メモ |
---|---|---|
アップグレード モードに入ると、Envoy は HTTP 200 レスポンスを誤って受け入れます。 必要な対策クラスタが影響を受けるか確認するすべての Cloud Service Mesh バージョンがこの CVE の影響を受けます。 緩和策マネージド Cloud Service Mesh を実行している場合、システムは数日後に自動的に更新されます。 そうでない場合は、クラスタを次のパッチ バージョンのいずれかにアップグレードします。
|
中 |
説明 | 重大度 | メモ |
---|---|---|
EnvoyQuicServerStream::OnInitialHeadersComplete() でクラッシュが発生する。 必要な対策クラスタが影響を受けるか確認するすべての Cloud Service Mesh バージョンがこの CVE の影響を受けます。 緩和策マネージド Cloud Service Mesh を実行している場合、システムは数日後に自動的に更新されます。 そうでない場合は、クラスタを次のパッチ バージョンのいずれかにアップグレードします。
|
中 |
説明 | 重大度 | メモ |
---|---|---|
QuicheDataReader::PeekVarInt62Length() でクラッシュが発生する。 必要な対策クラスタが影響を受けるか確認するすべての Cloud Service Mesh バージョンがこの CVE の影響を受けます。 緩和策マネージド Cloud Service Mesh を実行している場合、システムは数日後に自動的に更新されます。 そうでない場合は、クラスタを次のパッチ バージョンのいずれかにアップグレードします。
|
中 |
説明 | 重大度 | メモ |
---|---|---|
追加の入力で Brotli データを解凍中のエンドレス ループ。 必要な対策クラスタが影響を受けるか確認するすべての Cloud Service Mesh バージョンがこの CVE の影響を受けます。 緩和策マネージド Cloud Service Mesh を実行している場合、システムは数日後に自動的に更新されます。 そうでない場合は、クラスタを次のパッチ バージョンのいずれかにアップグレードします。
|
高 |
説明 | 重大度 | メモ |
---|---|---|
EnvoyQuicServerStream で(use-after-free による)クラッシュが発生する。 必要な対策クラスタが影響を受けるか確認するすべての Cloud Service Mesh バージョンがこの CVE の影響を受けます。 緩和策マネージド Cloud Service Mesh を実行している場合、システムは数日後に自動的に更新されます。 そうでない場合は、クラスタを次のパッチ バージョンのいずれかにアップグレードします。
|
中 |
説明 | 重大度 | メモ |
---|---|---|
キャッチされなかった nlohmann JSON 例外により、クラッシュが発生する。 必要な対策クラスタが影響を受けるか確認するすべての Cloud Service Mesh バージョンがこの CVE の影響を受けます。 緩和策マネージド Cloud Service Mesh を実行している場合、システムは数日後に自動的に更新されます。 そうでない場合は、クラスタを次のパッチ バージョンのいずれかにアップグレードします。
|
高 |
説明 | 重大度 | メモ |
---|---|---|
ミラー レスポンス用の無制限のレスポンス バッファを持つ HTTP 非同期クライアントからの Envoy OOM ベクトル。 必要な対策クラスタが影響を受けるか確認するすべての Cloud Service Mesh バージョンがこの CVE の影響を受けます。 緩和策マネージド Cloud Service Mesh を実行している場合、システムは数日後に自動的に更新されます。 そうでない場合は、クラスタを次のパッチ バージョンのいずれかにアップグレードします。
|
中 |
GCP-2024-023
公開日: 2024 年 4 月 24 日
説明 | 重大度 | メモ |
---|---|---|
HTTP/2: CONTINUATION フレーム フラッディングによるメモリ枯渇。 必要な対策クラスタが影響を受けるか確認するすべての Cloud Service Mesh バージョンがこの CVE の影響を受けます。 緩和策マネージド Cloud Service Mesh を実行している場合は、何もする必要はありません。システムは数日以内に自動的に更新されます。 クラスタ内 Cloud Service Mesh を実行している場合は、クラスタを次のパッチ適用済みバージョンのいずれかにアップグレードする必要があります。
Cloud Service Mesh v1.17 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。Cloud Service Mesh v1.18 以降にアップグレードする必要があります。 |
高 |
説明 | 重大度 | メモ |
---|---|---|
HTTP/2: CONTINUATION フレーム フラッディングによる CPU の枯渇 必要な対策クラスタが影響を受けるか確認するすべての Cloud Service Mesh バージョンがこの CVE の影響を受けます。 緩和策マネージド Cloud Service Mesh を実行している場合は、何もする必要はありません。システムは数日以内に自動的に更新されます。 クラスタ内 Cloud Service Mesh を実行している場合は、クラスタを次のパッチ適用済みバージョンのいずれかにアップグレードする必要があります。
Cloud Service Mesh v1.17 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。Cloud Service Mesh 1.18 以降にアップグレードする必要があります。 |
中 |
説明 | 重大度 | メモ |
---|---|---|
255 文字を超える「:authority」ヘッダーで 必要な対策クラスタが影響を受けるか確認するすべての Cloud Service Mesh バージョンがこの CVE の影響を受けます。 緩和策マネージド Cloud Service Mesh を実行している場合は、何もする必要はありません。システムは数日以内に自動的に更新されます。 クラスタ内 Cloud Service Mesh を実行している場合は、クラスタを次のパッチ適用済みバージョンのいずれかにアップグレードする必要があります。
Cloud Service Mesh v1.17 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。Cloud Service Mesh 1.18 以降にアップグレードする必要があります。 |
高 |
説明 | 重大度 | メモ |
---|---|---|
HTTP/2 CONTINUATION フレームが DoS 攻撃に利用される可能性があります。 必要な対策クラスタが影響を受けるか確認するすべての Cloud Service Mesh バージョンがこの CVE の影響を受けます。 緩和策マネージド Cloud Service Mesh を実行している場合は、何もする必要はありません。システムは数日以内に自動的に更新されます。 クラスタ内 Cloud Service Mesh を実行している場合は、クラスタを次のパッチ適用済みバージョンのいずれかにアップグレードする必要があります。
Cloud Service Mesh v1.17 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。バージョン v1.18 以降にアップグレードする必要があります。 |
指定されていません |
GCP-2024-007
公開: 2024-02-08
説明 | 重大度 | メモ |
---|---|---|
Envoy がアイドル状態の時にクラッシュし、バックオフ間隔内で試行がタイムアウトするたびにリクエストが発生します。 必要な対策マネージド Cloud Service Mesh を実行している場合は、何もする必要はありません。システムは数日以内に自動的に更新されます。 クラスタ内 Cloud Service Mesh を実行している場合は、クラスタを次のパッチ適用済みバージョンのいずれかにアップグレードする必要があります。
Anthos Service Mesh v1.17 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正は 1.17 にバックポートされていますが、1.18 以降にアップグレードする必要があります。 |
高 |
説明 | 重大度 | メモ |
---|---|---|
URI テンプレート マッチャーが正規表現を使用して構成されている場合に、CPU 使用率が過剰になります。 必要な対策マネージド Cloud Service Mesh を実行している場合は、何もする必要はありません。システムは数日以内に自動的に更新されます。 クラスタ内 Cloud Service Mesh を実行している場合は、クラスタを次のパッチ適用済みバージョンのいずれかにアップグレードする必要があります。
Anthos Service Mesh v1.17 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正は 1.17 にバックポートされていますが、1.18 以降にアップグレードする必要があります。 |
中 |
説明 | 重大度 | メモ |
---|---|---|
プロキシ プロトコル フィルタで無効な UTF-8 メタデータが設定されている場合は、外部認証がバイパスされる可能性があります。 必要な対策マネージド Cloud Service Mesh を実行している場合は、何もする必要はありません。システムは数日以内に自動的に更新されます。 クラスタ内 Cloud Service Mesh を実行している場合は、クラスタを次のパッチ適用済みバージョンのいずれかにアップグレードする必要があります。
Anthos Service Mesh v1.17 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正は 1.17 にバックポートされていますが、1.18 以降にアップグレードする必要があります。 |
高 |
説明 | 重大度 | メモ |
---|---|---|
OS でサポートされていないアドレスタイプを使用すると Envoy がクラッシュする。 必要な対策マネージド Cloud Service Mesh を実行している場合は、何もする必要はありません。システムは数日以内に自動的に更新されます。 クラスタ内 Cloud Service Mesh を実行している場合は、クラスタを次のパッチ適用済みバージョンのいずれかにアップグレードする必要があります。
Anthos Service Mesh v1.17 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正は 1.17 にバックポートされていますが、1.18 以降にアップグレードする必要があります。 |
高 |
説明 | 重大度 | メモ |
---|---|---|
コマンドタイプが 必要な対策マネージド Cloud Service Mesh を実行している場合は、何もする必要はありません。システムは数日以内に自動的に更新されます。 クラスタ内 Cloud Service Mesh を実行している場合は、クラスタを次のパッチ適用済みバージョンのいずれかにアップグレードする必要があります。
Anthos Service Mesh v1.17 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正は 1.17 にバックポートされていますが、1.18 以降にアップグレードする必要があります。 |
高 |
GCP-2023-031
公開日: 2023 年 10 月 10 日
説明 | 重大度 | メモ |
---|---|---|
HTTP/2 プロトコルを使用している場合、データプレーンがサービス拒否攻撃の影響を受ける可能性があります。 必要な対策クラスタが影響を受けるか確認する1.18.4、1.17.7、1.16.7 より前の Cloud Service Mesh パッチ バージョンを使用している場合、クラスタは影響を受けます。 緩和策クラスタを次のパッチ バージョンのいずれかにアップグレードします。
マネージド Cloud Service Mesh を実行している場合、システムは数日以内に自動的に更新されます。 Cloud Service Mesh v1.15 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。v1.16 以上にアップグレードする必要があります。 |
高 |
GCP-2023-021
更新日: 2023 年 7 月 26 日
公開日 : 2022 年 7 月 25 日説明 | 重大度 | 注 |
---|---|---|
悪意のあるクライアントが、特定のシナリオで永続的な認証情報を使用して認証情報を作成することが可能です。たとえば、HMAC ペイロードのホストと有効期限の組み合わせが、OAuth2 フィルタの HMAC チェックで常に有効になる可能性があります。 必要な対策クラスタが影響を受けるか確認する以下より前の Cloud Service Mesh パッチ バージョンを使用している場合、クラスタは影響を受けます。
クラスタを次のパッチ バージョンのいずれかにアップグレードします。
マネージド Cloud Service Mesh を実行している場合、システムは数日以内に自動的に更新されます。 Anthos Service Mesh 1.14 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。ASM 1.15 以降にアップグレードする必要があります。 |
高 |
説明 | 重大度 | 注 |
---|---|---|
リスナーのグローバル スコープを使用する gRPC アクセス ロガーにより、リスナーがドレインされたときに use-after-free クラッシュが発生する可能性があります。これは、同じ gRPC アクセスログ構成の LDS 更新によってトリガーされる可能性があります。 必要な対策クラスタが影響を受けるか確認する以下より前の Cloud Service Mesh パッチ バージョンを使用している場合、クラスタは影響を受けます。
クラスタを次のパッチ バージョンのいずれかにアップグレードします。
マネージド Cloud Service Mesh を実行している場合、システムは数日以内に自動的に更新されます。 Anthos Service Mesh 1.14 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。ASM 1.15 以降にアップグレードする必要があります。 |
中 |
説明 | 重大度 | 注 |
---|---|---|
必要な対策クラスタが影響を受けるか確認する以下より前の Cloud Service Mesh パッチ バージョンを使用している場合、クラスタは影響を受けます。
クラスタを次のパッチ バージョンのいずれかにアップグレードします。
マネージド Cloud Service Mesh を実行している場合、システムは数日以内に自動的に更新されます。 Anthos Service Mesh 1.14 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。ASM 1.15 以降にアップグレードする必要があります。 |
中 |
説明 | 重大度 | 注 |
---|---|---|
攻撃者が混合スキームのリクエストを送信して、Envoy の一部のスキーム チェックをバイパスできます。たとえば、混合スキームの HTTP を含むリクエストが OAuth2 フィルタに送信された場合、HTTP の完全一致チェックに失敗し、スキームが HTTPS であるとリモート エンドポイントに通知されるため、HTTP リクエストに固有の OAuth2 チェックがバイパスされる可能性があります。 必要な対策クラスタが影響を受けるか確認する以下より前の Cloud Service Mesh パッチ バージョンを使用している場合、クラスタは影響を受けます。
クラスタを次のパッチ バージョンのいずれかにアップグレードします。
マネージド Cloud Service Mesh を実行している場合、システムは数日以内に自動的に更新されます。 Anthos Service Mesh 1.14 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。ASM 1.15 以降にアップグレードする必要があります。 |
高 |
GCP-2023-019
説明 | 重大度 | 注 |
---|---|---|
信頼できないアップストリーム サービスからの特別に作成されたレスポンスによって、メモリが枯渇しサービス拒否が発生する可能性があります。これは、Envoy の HTTP/2 コーデックが原因であり、アップストリーム サーバーから RST_STREAMを受信した直後に GOAWAY フレームを受信すると、ヘッダーマップとブックキーピング構造のメモリリークが発生する可能性があります。 必要な対策クラスタが影響を受けるか確認する以下より前の Cloud Service Mesh パッチ バージョンを使用している場合、クラスタは影響を受けます。
クラスタを次のパッチ バージョンのいずれかにアップグレードします。
マネージド Cloud Service Mesh を実行している場合、システムは数日以内に自動的に更新されます。 Anthos Service Mesh 1.14 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。ASM 1.15 以降にアップグレードする必要があります。 |
高 |
GCP-2023-002
説明 | 重大度 | 注 |
---|---|---|
Envoy が OAuth フィルタを有効にして公開された状態で実行されている場合に、悪意のある行為者が Envoy をクラッシュさせてサービス拒否攻撃を引き起こすリクエストを作成できます。 必要な対策クラスタが影響を受けるか確認するCloud Service Mesh のパッチ バージョンが以下より前のものを使用している場合、クラスタが影響を受けます。
クラスタを次のパッチ バージョンのいずれかにアップグレードします。
Cloud Service Mesh v1.13 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。Cloud Service Mesh 1.14 以降にアップグレードする必要があります。 |
中 |
説明 | 重大度 | 注 |
---|---|---|
攻撃者は、この脆弱性を利用して ext_authz の使用時に認証チェックをバイパスできます。 必要な対策クラスタが影響を受けるか確認するCloud Service Mesh のパッチ バージョンが以下より前のものを使用している場合、クラスタが影響を受けます。
クラスタを次のパッチ バージョンのいずれかにアップグレードします。
Cloud Service Mesh v1.13 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。Cloud Service Mesh 1.14 以降にアップグレードする必要があります。 |
中 |
説明 | 重大度 | 注 |
---|---|---|
また、Envoy の構成には、リクエストからの入力を使用して生成されたリクエスト ヘッダー(ピア証明書 SAN)を追加するオプションも含める必要があります。 必要な対策クラスタが影響を受けるか確認するCloud Service Mesh のパッチ バージョンが以下より前のものを使用している場合、クラスタが影響を受けます。
クラスタを次のパッチ バージョンのいずれかにアップグレードします。
Cloud Service Mesh v1.13 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。Cloud Service Mesh 1.14 以降にアップグレードする必要があります。 |
高 |
説明 | 重大度 | 注 |
---|---|---|
攻撃者は、Lua フィルタを有効にしているルートに対し、大きなリクエスト本文を送信してクラッシュを引き起こせます。 必要な対策クラスタが影響を受けるか確認するCloud Service Mesh のパッチ バージョンが以下より前のものを使用している場合、クラスタが影響を受けます。
クラスタを次のパッチ バージョンのいずれかにアップグレードします。
Cloud Service Mesh v1.13 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。Cloud Service Mesh 1.14 以降にアップグレードする必要があります。 |
中 |
説明 | 重大度 | 注 |
---|---|---|
攻撃者は、特別に細工された HTTP/2 または HTTP/3 リクエストを送信して、HTTP/1 アップストリーム サービスで解析エラーを誘発させることができます。 必要な対策クラスタが影響を受けるか確認するCloud Service Mesh のパッチ バージョンが以下より前のものを使用している場合、クラスタが影響を受けます。
クラスタを次のパッチ バージョンのいずれかにアップグレードします。
Cloud Service Mesh v1.13 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。Cloud Service Mesh 1.14 以降にアップグレードする必要があります。 |
中 |
説明 | 重大度 | 注 |
---|---|---|
ヘッダー「x-envoy-original-path」は内部ヘッダーである必要がありますが、信頼できないクライアントから送信された場合、Envoy はリクエスト処理の開始時にこのヘッダーをリクエストから削除しません。 必要な対策クラスタが影響を受けるか確認するCloud Service Mesh のパッチ バージョンが以下より前のものを使用している場合、クラスタが影響を受けます。
クラスタを次のパッチ バージョンのいずれかにアップグレードします。
Cloud Service Mesh v1.13 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。Cloud Service Mesh 1.14 以降にアップグレードする必要があります。 |
高 |
GCP-2022-020
公開日: 2022 年 10 月 5 日更新日: 2022 年 10 月 12 日
2022-年 10-月 12 日の更新: CVE の説明へのリンクを更新し、マネージド Cloud Service Mesh の自動更新に関する情報を追加しました。
説明 | 重大度 | 注 |
---|---|---|
Istio コントロール プレーン 必要な対策クラスタが影響を受けるか確認する1.14.4、1.13.8、1.12.9 より前の Cloud Service Mesh パッチ バージョンを使用している場合、クラスタは影響を受けます。 対策スタンドアロンの Cloud Service Mesh を実行している場合は、クラスタを次のパッチ適用済みバージョンのいずれかにアップグレードしてください。
マネージド Cloud Service Mesh を実行している場合、システムは数日以内に自動的に更新されます。 Cloud Service Mesh v1.11 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。Cloud Service Mesh 1.12 以降にアップグレードする必要があります。 |
高 |
GCP-2022-015
公開日: 2022 年 6 月 9 日更新日: 2022 年 6 月 10 日
2022 年 6 月 10 日の更新: Cloud Service Mesh のパッチ バージョンが更新されました。
説明 | 重大度 | メモ |
---|---|---|
Istio データプレーンは、メタデータ交換と統計拡張機能が有効になっている場合、メモリに安全にアクセスできない可能性があります。 必要な対策クラスタが影響を受けるか確認する1.13.4-asm.4、1.12.7-asm.2、または 1.11.8-asm.4 より前の Cloud Service Mesh パッチ バージョンを使用している場合、クラスタが影響を受けます。 Cloud Service Mesh の緩和策クラスタを次のいずれかのパッチ バージョンにアップグレードします。
Cloud Service Mesh v1.10 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。Cloud Service Mesh 1.11 以降にアップグレードする必要があります。詳細については、以前のバージョンからのアップグレード(GKE)または以前のバージョンからのアップグレード(オンプレミス)をご覧ください。 |
高 |
説明 | 重大度 | メモ |
---|---|---|
悪意のある攻撃者が高度に圧縮済みの小さなペイロード(ZIP 爆弾攻撃とも知られている)を渡すと、データが中間バッファの上限を超えることがあります。 必要な対策クラスタが影響を受けるか確認する1.13.4-asm.4、1.12.7-asm.2、または 1.11.8-asm.4 より前の Cloud Service Mesh パッチ バージョンを使用している場合、クラスタが影響を受けます。 Cloud Service Mesh は Envoy フィルタをサポートしていませんが、解凍フィルタを使用すると影響を受ける可能性があります。 Cloud Service Mesh の緩和策クラスタを次のいずれかのパッチ バージョンにアップグレードします。
Cloud Service Mesh v1.10 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。Cloud Service Mesh 1.11 以降にアップグレードする必要があります。詳細については、以前のバージョンからのアップグレード(GKE)または以前のバージョンからのアップグレード(オンプレミス)をご覧ください。 Envoy の緩和策独自の Envoy を管理しているユーザーは、Envoy リリース 1.22.1 を使用する必要があります。独自の Envoy を管理する Envoy ユーザーは、GitHub などのソースからバイナリをビルドしてデプロイします。 マネージド Envoy(Google Cloud が Envoy バイナリを提供)を実行しているユーザーが行う必要がある操作はありません。Cloud プロダクトは 1.22.1 に切り替わります。 |
高 |
説明 | 重大度 | メモ |
---|---|---|
必要な対策クラスタが影響を受けるか確認する1.13.4-asm.4、1.12.7-asm.2、または 1.11.8-asm.4 より前の Cloud Service Mesh パッチ バージョンを使用している場合、クラスタが影響を受けます。 Cloud Service Mesh の緩和策クラスタを次のいずれかのパッチ バージョンにアップグレードします。
Cloud Service Mesh v1.10 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。Cloud Service Mesh 1.11 以降にアップグレードする必要があります。詳細については、以前のバージョンからのアップグレード(GKE)または以前のバージョンからのアップグレード(オンプレミス)をご覧ください。 Envoy の緩和策独自の Envoy を管理しているユーザーは、Envoy リリース 1.22.1 を使用する必要があります。独自の Envoy を管理する Envoy ユーザーは、GitHub などのソースからバイナリをビルドしてデプロイします。 マネージド Envoy(Google Cloud が Envoy バイナリを提供)を実行しているユーザーが行う必要がある操作はありません。Cloud プロダクトは 1.22.1 に切り替わります。 |
中 |
説明 | 重大度 | メモ |
---|---|---|
OAuth フィルタは自明なバイパスを許可します。 必要な対策クラスタが影響を受けるか確認する1.13.4-asm.4、1.12.7-asm.2、または 1.11.8-asm.4 より前の Cloud Service Mesh パッチ バージョンを使用している場合、クラスタが影響を受けます。 Cloud Service Mesh では Envoy フィルタはサポートされていませんが、OAuth フィルタを使用すると影響を受ける可能性があります。 Cloud Service Mesh の緩和策クラスタを次のいずれかのパッチ バージョンにアップグレードします。
Cloud Service Mesh v1.10 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。Cloud Service Mesh 1.11 以降にアップグレードする必要があります。詳細については、以前のバージョンからのアップグレード(GKE)または以前のバージョンからのアップグレード(オンプレミス)をご覧ください。 Envoy の緩和策独自の Envoy を管理している Envoy ユーザーもOAuth フィルタを使用して、Envoy リリース 1.22.1 を使用していることを確認する必要があります。独自の Envoy を管理している Envoy ユーザーは、GitHub などのソースからバイナリをビルドしてデプロイします。 マネージド Envoy(Google Cloud が Envoy バイナリを提供)を実行しているユーザーが行う必要がある操作はありません。Cloud プロダクトは 1.22.1 に切り替わります。 |
重大 |
説明 | 重大度 | メモ |
---|---|---|
OAuth フィルタは、メモリ(以前のバージョン)を破損させるか、ASSERT()(それ以降のバージョン)をトリガーできます。 必要な対策クラスタが影響を受けるか確認する1.13.4-asm.4、1.12.7-asm.2、または 1.11.8-asm.4 より前の Cloud Service Mesh パッチ バージョンを使用している場合、クラスタが影響を受けます。 Cloud Service Mesh では Envoy フィルタはサポートされていませんが、OAuth フィルタを使用すると影響を受ける可能性があります。 Cloud Service Mesh の緩和策クラスタを次のいずれかのパッチ バージョンにアップグレードします。
Cloud Service Mesh v1.10 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。Cloud Service Mesh 1.11 以降にアップグレードする必要があります。 Envoy の緩和策独自の Envoy を管理している Envoy ユーザーもOAuth フィルタを使用して、Envoy リリース 1.22.1 を使用していることを確認する必要があります。独自の Envoy を管理している Envoy ユーザーは、GitHub などのソースからバイナリをビルドしてデプロイします。 マネージド Envoy(Google Cloud が Envoy バイナリを提供)を実行しているユーザーが行う必要がある操作はありません。Cloud プロダクトは 1.22.1 に切り替わります。 |
高 |
説明 | 重大度 | メモ |
---|---|---|
本文または後書きを含むリクエストに対して内部リダイレクトがクラッシュする。 必要な対策クラスタが影響を受けるか確認する1.13.4-asm.4、1.12.7-asm.2、または 1.11.8-asm.4 より前の Cloud Service Mesh パッチ バージョンを使用している場合、クラスタが影響を受けます。 Cloud Service Mesh の緩和策クラスタを次のいずれかのパッチ バージョンにアップグレードします。
Cloud Service Mesh v1.10 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。Cloud Service Mesh 1.11 以降にアップグレードする必要があります。詳細については、以前のバージョンからのアップグレード(GKE)または以前のバージョンからのアップグレード(オンプレミス)をご覧ください。 Envoy の緩和策独自の Envoy を管理しているユーザーは、Envoy リリース 1.22.1 を使用する必要があります。独自の Envoy を管理する Envoy ユーザーは、GitHub などのソースからバイナリをビルドしてデプロイします。 マネージド Envoy(Google Cloud が Envoy バイナリを提供)を実行しているユーザーが行う必要がある操作はありません。Cloud プロダクトは 1.22.1 に切り替わります。 |
高 |
GCP-2022-010
公開日: 2022 年 3 月 10 日最終更新日: 2022 年 3 月 16 日
説明 | 重大度 | メモ |
---|---|---|
Istio コントロール プレーン、istiod はリクエスト処理中のエラーに対して脆弱で、悪意のある攻撃者が特別に細工されたメッセージを送信すると、クラスタの検証 Webhook が公開されたときにコントロール プレーンがクラッシュします。このエンドポイントは TLS ポート 15017 経由で提供されますが、攻撃者からの認証は必要ありません。 必要な対策クラスタが影響を受けるか確認するすべての Cloud Service Mesh バージョンがこの CVE の影響を受けます。 注: マネージド コントロール プレーンを使用している場合、この脆弱性はすでに修正されており、影響を受けません。 対策クラスタを次のパッチ バージョンのいずれかにアップグレードします。
Cloud Service Mesh v1.9 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。Cloud Service Mesh 1.10 以降にアップグレードする必要があります。 |
高 |
GCP-2022-007
公開日: 2022 年 2 月 22 日説明 | 重大度 | メモ |
---|---|---|
Istio は、特別に細工された 必要な対策クラスタが影響を受けるか確認する次の両方の条件に該当する場合、クラスタはこの問題の影響を受けます。
注: マネージド コントロール プレーンを使用している場合、この脆弱性はすでに修正されており、影響を受けません。 対策クラスタを次のパッチ バージョンのいずれかにアップグレードします。
Cloud Service Mesh v1.9 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。Cloud Service Mesh 1.10 以降にアップグレードする必要があります。 |
高 |
説明 | 重大度 | メモ |
---|---|---|
JWT フィルタ 必要な対策クラスタが影響を受けるか確認する次の両方の条件に該当する場合、クラスタはこの問題の影響を受けます。
クラスタを次のパッチ バージョンのいずれかにアップグレードします。
Cloud Service Mesh v1.9 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。Cloud Service Mesh 1.10 以降にアップグレードする必要があります。 |
中 |
説明 | 重大度 | メモ |
---|---|---|
レスポンス フィルタによってレスポンス データが増加し、ダウンストリーム バッファの上限を超えると、Use-after-free が実行される可能性があります。 必要な対策クラスタが影響を受けるか確認する次の両方の条件に該当する場合、クラスタはこの問題の影響を受けます。
クラスタを次のパッチ バージョンのいずれかにアップグレードします。
Cloud Service Mesh v1.9 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。Cloud Service Mesh 1.10 以降にアップグレードする必要があります。 |
中 |
説明 | 重大度 | メモ |
---|---|---|
アップストリーム接続の確立中にダウンストリームが切断されると、TCP over HTTP トンネリングで Use-after-free が実行される可能性があります。 必要な対策クラスタが影響を受けるか確認する次の両方の条件に該当する場合、クラスタはこの問題の影響を受けます。
クラスタを次のパッチ バージョンのいずれかにアップグレードします。
Cloud Service Mesh v1.9 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。Cloud Service Mesh 1.10 以降にアップグレードする必要があります。 |
中 |
説明 | 重大度 | メモ |
---|---|---|
構成処理が適切でないため、検証設定の変更後に再検証が行われず、mTLS セッションが再利用される可能性があります。 必要な対策クラスタが影響を受けるか確認する次の両方の条件に該当する場合、クラスタはこの問題の影響を受けます。
クラスタを次のパッチ バージョンのいずれかにアップグレードします。
Cloud Service Mesh v1.9 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。Cloud Service Mesh 1.10 以降にアップグレードする必要があります。 |
高 |
説明 | 重大度 | メモ |
---|---|---|
ダイレクト レスポンス エントリを含むルートへの内部リダイレクトの処理が正しく行われません。 必要な対策クラスタが影響を受けるか確認する次の両方の条件に該当する場合、クラスタはこの問題の影響を受けます。
クラスタを次のパッチ バージョンのいずれかにアップグレードします。
Cloud Service Mesh v1.9 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。Cloud Service Mesh 1.10 以降にアップグレードする必要があります。 |
高 |
説明 | 重大度 | メモ |
---|---|---|
クラスタ ディスカバリ サービスを介してクラスタが削除されると、スタックが枯渇します。 必要な対策クラスタが影響を受けるか確認する次の両方の条件に該当する場合、クラスタはこの問題の影響を受けます。
クラスタを次のパッチ バージョンのいずれかにアップグレードします。
Cloud Service Mesh v1.9 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。Cloud Service Mesh 1.10 以降にアップグレードする必要があります。 |
中 |
GCP-2021-016
公開日: 2021 年 8 月 24 日説明 | 重大度 | メモ |
---|---|---|
Istio にリモートから悪用可能な脆弱性が存在します。HTTP リクエストの URI パスにフラグメント(URI の最後の
たとえば、Istio 認可ポリシーでは、URI パス この修正は、CVE-2021-32779 に関連する Envoy での修正に依存しています。 必要な対策影響があるクラスタ次の両方の条件に該当する場合、クラスタはこの問題の影響を受けます。
クラスタを次のパッチ バージョンのいずれかにアップグレードします。
新しいバージョンでは、認可とルーティングの前にリクエストの URI のフラグメント部分が削除されます。これにより、フラグメント部分のない URI に基づく認可ポリシーが、URI にフラグメントが存在するリクエストによってバイパスされることがなくなります。 オプトアウトこの新しい動作をオプトアウトした場合、URI のフラグメント セクションは保持されます。オプトアウトするには、次のようにインストールを構成します。 apiVersion: install.istio.io/v1alpha1 kind: IstioOperator metadata: name: opt-out-fragment-cve-fix namespace: istio-system spec: meshConfig: defaultConfig: proxyMetadata: HTTP_STRIP_FRAGMENT_FROM_PATH_UNSAFE_IF_DISABLED: "false" 注: この動作をオプトアウトすると、クラスタはこの CVE に対して脆弱になります。 |
高 |
説明 | 重大度 | メモ |
---|---|---|
Istio にリモートから悪用可能な脆弱性が存在します。
脆弱なバージョンでは、Istio 認可ポリシーが大文字と小文字を区別する方法で HTTP 必要な対策影響があるクラスタ次の両方の条件に該当する場合、クラスタはこの問題の影響を受けます。
クラスタを次のパッチ バージョンのいずれかにアップグレードします。
この緩和策により、大文字と小文字を区別せずに HTTP |
高 |
説明 | 重大度 | メモ |
---|---|---|
Envoy にリモートから悪用可能な脆弱性が存在します。 必要な対策影響があるクラスタ次の両方の条件に該当する場合、クラスタはこの問題の影響を受けます。
クラスタを次のパッチ バージョンのいずれかにアップグレードします。
|
高 |
説明 | 重大度 | メモ |
---|---|---|
Envoy にリモートから悪用可能な脆弱性が存在します。Envoy の 必要な対策影響があるクラスタ次の両方の条件に該当する場合、クラスタはこの問題の影響を受けます。
クラスタを次のパッチ バージョンのいずれかにアップグレードします。
|
高 |
説明 | 重大度 | メモ |
---|---|---|
Envoy にリモートから悪用可能な脆弱性が存在します。Envoy クライアントが多数の HTTP/2 リクエストを開いてリセットすると、CPU が過剰に消費される可能性があります。 必要な対策クラスタが影響を受けるか確認する1.7.8-asm.10、1.8.6-asm.8、1.9.8-asm.1、1.10.4-asm.6 より前の Cloud Service Mesh パッチ バージョンを使用している場合、クラスタが影響を受けます。 対策クラスタを次のパッチ バージョンのいずれかにアップグレードします。
注: Cloud Service Mesh 1.8 以前を使用している場合は、この脆弱性を軽減するために Cloud Service Mesh 1.9 以降の最新のパッチ バージョンにアップグレードしてください。 |
高 |
説明 | 重大度 | メモ |
---|---|---|
Envoy にリモートから悪用可能な脆弱性が存在します。信頼できないアップストリーム サービスから 必要な対策クラスタが影響を受けるか確認する1.10.4-asm.6 より前のパッチ バージョンの Cloud Service Mesh 1.10 を使用する場合、クラスタは影響を受けます。 対策クラスタを次のパッチ バージョンにアップグレードします。
|
高 |
GCP-2021-012
公開日: 2021 年 6 月 24 日説明 | 重大度 | メモ |
---|---|---|
Istio セキュア
通常、ゲートウェイまたはワークロードのデプロイは、その Namespace 内の Secret に保存された TLS 証明書と秘密鍵にのみアクセスできます。ただし、 必要な対策影響があるクラスタ次のすべての条件に該当する場合、クラスタが影響を受けます。
クラスタを次のいずれかのパッチ適用済みバージョンにアップグレードします。
アップグレードできない場合は、 istiod のキャッシュを無効にして、この脆弱性を軽減できます。キャッシュを無効にするには、istiod 環境変数を PILOT_ENABLE_XDS_CACHE=false に設定します。XDS キャッシュが無効になるため、システムと istiod のパフォーマンスに影響が生じる可能性があります。 |
高 |
GCP-2021-008
公開日: 2021 年 5 月 17 日説明 | 重大度 | メモ |
---|---|---|
Istio には、ゲートウェイが AUTO_PASSTHROUGH ルーティング構成で構成されている場合に、リモートから悪用できる脆弱性が存在します。この脆弱性により、外部クライアントが認証チェックを回避し、クラスタ内の想定されていないサービスにアクセスされる可能性があります。 必要な対策影響があるクラスタこの脆弱性は、AUTO_PASSTHROUGH のゲートウェイ タイプを利用している場合のみ影響を受けます。通常、このゲートウェイ タイプは、マルチネットワーク、マルチクラスタ デプロイでのみ使用されます。 次のコマンドを使用して、クラスタ内のゲートウェイすべての TLS モードを検出します。 kubectl get gateways.networking.istio.io -A -o \ "custom-columns=NAMESPACE:.metadata.namespace, \ NAME:.metadata.name,TLS_MODE:.spec.servers[*].tls.mode" 出力に AUTO_PASSTHROUGH ゲートウェイが表示された場合、影響を受ける可能性があります。 対策クラスタを最新の Cloud Service Mesh バージョンに更新します。
* 注: Cloud Service Mesh マネージド コントロール プレーン(1.9.x バージョンでのみ使用可能)のロールアウトは、数日中に完了します。 |
高 |
GCP-2021-007
公開日: 2021 年 5 月 17 日説明 | 重大度 | メモ |
---|---|---|
Istio には、パスベースの認証ルールが使用されている場合に、リモートから悪用できる脆弱性が含まれています。この脆弱性により、複数のスラッシュやエスケープされたスラッシュ文字(%2F または %5C)を含む HTTP リクエストパスが、Istio 認可ポリシーを迂回できる可能性があります。
Istio クラスタ管理者がパス
RFC 3986 に従い、複数のスラッシュを含むパス 必要な対策影響があるクラスタ「ALLOW アクション + notPaths フィールド」または「DENY アクション + paths フィールド」のパターンを使用する認可ポリシーがある場合、クラスタはこの脆弱性の影響を受けます。こうしたパターンは、想定していないポリシーの迂回に対して脆弱であるため、可能な限り速やかにアップグレードを行い、セキュリティの問題を修正する必要があります。 「DENY アクション + paths フィールド」パターンを使用する脆弱なポリシーの例を次に示します。 apiVersion: security.istio.io/v1beta1 kind: AuthorizationPolicy metadata: name: deny-path-admin spec: action: DENY rules: - to: - operation: paths: ["/admin"] 「ALLOW アクション + notPaths フィールド」パターンを使用する脆弱なポリシーの例を次に示します。 apiVersion: security.istio.io/v1beta1 kind: AuthorizationPolicy metadata: name: allow-path-not-admin spec: action: ALLOW rules: - to: - operation: notPaths: ["/admin"] 次の場合、クラスタはこの脆弱性の影響を受けません。
このような場合は、アップグレードは任意です。 クラスタを、サポートされている最新の Cloud Service Mesh バージョン* に更新します。これらのバージョンでは、標準化されたさらに多くのオプションを使用したシステム内の Envoy プロキシの構成がサポートされています。
* 注: Cloud Service Mesh マネージド コントロール プレーン(1.9.x バージョンでのみ使用可能)のロールアウトは、数日中に完了します。 Istio セキュリティのベスト プラクティス ガイドに従って、認可ポリシーを構成します。 |
高 |
GCP-2021-004
公開日: 2021 年 5 月 6 日説明 | 重大度 | メモ |
---|---|---|
最近、Envoy と Istio のプロジェクトは攻撃者が Envoy をクラッシュさせ、そのクラスタの一部をオフラインおよび到達不能にするおそれがあるいくつかの新しいセキュリティ上の脆弱性(CVE-2021-28682、CVE-2021-28683、CVE-2021-29258)を発表しました。 これは、Cloud Service Mesh などの配信サービスに影響します。 必要な対策これらの脆弱性を修正するには、Cloud Service Mesh バンドルを次のパッチ適用済みバージョンのいずれかにアップグレードしてください。
詳細については、Cloud Service Mesh のリリースノートをご覧ください。 |
高 |