Sicherheitsbulletins
Verwenden Sie diesen XML-Feed, um Sicherheitsbulletins für Cloud Service Mesh zu abonnieren.
Auf dieser Seite werden die Sicherheitsbulletins für Cloud Service Mesh aufgelistet.
GCP-2024-052
Veröffentlicht:19.09.2024
Beschreibung | Schweregrad | Hinweise |
---|---|---|
oghttp2-Absturz bei OnBeginHeadersForStream What should I do?Prüfen Sie, ob Ihre Cluster betroffen sindNur Cluster mit Cloud Service Mesh v1.23 sind betroffen Möglichkeiten zur Behebung des ProblemsCloud Service Mesh 1.23.2-asm.2 enthält die Behebung dieses Problems. Sie müssen nichts weiter tun. |
Hoch |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Einschleusung schädlicher Protokolle über Zugriffsprotokolle What should I do?Prüfen Sie, ob Ihre Cluster betroffen sindAlle Cloud Service Mesh-Versionen sind von dieser CVE betroffen. Möglichkeiten zur Behebung des ProblemsAktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
|
Mittel |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Manipulation von „x-envoy“-Headern aus externen Quellen What should I do?Prüfen Sie, ob Ihre Cluster betroffen sindAlle Cloud Service Mesh-Versionen sind von dieser CVE betroffen. Möglichkeiten zur Behebung des ProblemsAktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
|
Mittel |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
JWT-Filter-Absturz im Clear-Route-Cache mit Remote-JWKS What should I do?Prüfen Sie, ob Ihre Cluster betroffen sindAlle Cloud Service Mesh-Versionen sind von dieser CVE betroffen. Möglichkeiten zur Behebung des ProblemsAktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
|
Mittel |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Envoy stürzt bei LocalReply im asynchronen HTTP-Client ab What should I do?Prüfen Sie, ob Ihre Cluster betroffen sindAlle Cloud Service Mesh-Versionen sind von dieser CVE betroffen. Möglichkeiten zur Behebung des ProblemsAktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
|
Mittel |
GCP-2024-032
Veröffentlicht:24.06.2024
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Envoy akzeptiert fälschlicherweise eine HTTP 200-Antwort für den Wechsel in den Upgrade-Modus. What should I do?Prüfen Sie, ob Ihre Cluster betroffen sindAlle Cloud Service Mesh-Versionen sind von dieser CVE betroffen. Möglichkeiten zur Behebung des ProblemsWenn Sie verwaltetes Cloud Service Mesh ausführen, wird Ihr System in den nächsten Tagen automatisch aktualisiert. Aktualisieren Sie Ihren Cluster andernfalls auf eine der folgenden Patchversionen:
|
Mittel |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Absturz in EnvoyQuicServerStream::OnInitialHeadersComplete(). What should I do?Prüfen Sie, ob Ihre Cluster betroffen sindAlle Cloud Service Mesh-Versionen sind von dieser CVE betroffen. Möglichkeiten zur Behebung des ProblemsWenn Sie verwaltetes Cloud Service Mesh ausführen, wird Ihr System in den nächsten Tagen automatisch aktualisiert. Aktualisieren Sie Ihren Cluster andernfalls auf eine der folgenden Patchversionen:
|
Mittel |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Absturz in QuicheDataReader::PeekVarInt62Length(). What should I do?Prüfen Sie, ob Ihre Cluster betroffen sindAlle Cloud Service Mesh-Versionen sind von dieser CVE betroffen. Möglichkeiten zur Behebung des ProblemsWenn Sie verwaltetes Cloud Service Mesh ausführen, wird Ihr System in den nächsten Tagen automatisch aktualisiert. Aktualisieren Sie Ihren Cluster andernfalls auf eine der folgenden Patchversionen:
|
Mittel |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Endlose Schleife beim Dekomprimieren von Brotli-Daten mit zusätzlicher Eingabe What should I do?Prüfen Sie, ob Ihre Cluster betroffen sindAlle Cloud Service Mesh-Versionen sind von dieser CVE betroffen. Möglichkeiten zur Behebung des ProblemsWenn Sie verwaltetes Cloud Service Mesh ausführen, wird Ihr System in den nächsten Tagen automatisch aktualisiert. Aktualisieren Sie Ihren Cluster andernfalls auf eine der folgenden Patchversionen:
|
Hoch |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Absturz (Use-After-Free) in EnvoyQuicServerStream. What should I do?Prüfen Sie, ob Ihre Cluster betroffen sindAlle Cloud Service Mesh-Versionen sind von dieser CVE betroffen. Möglichkeiten zur Behebung des ProblemsWenn Sie verwaltetes Cloud Service Mesh ausführen, wird Ihr System in den nächsten Tagen automatisch aktualisiert. Aktualisieren Sie Ihren Cluster andernfalls auf eine der folgenden Patchversionen:
|
Mittel |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Absturz aufgrund einer nicht abgefangenen nlohmann-JSON-Ausnahme. What should I do?Prüfen Sie, ob Ihre Cluster betroffen sindAlle Cloud Service Mesh-Versionen sind von dieser CVE betroffen. Möglichkeiten zur Behebung des ProblemsWenn Sie verwaltetes Cloud Service Mesh ausführen, wird Ihr System in den nächsten Tagen automatisch aktualisiert. Aktualisieren Sie Ihren Cluster andernfalls auf eine der folgenden Patchversionen:
|
Hoch |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Envoy-OOM-Vektor von einem asynchronen HTTP-Client mit unbegrenztem Antwortbuffer für die Spiegelantwort. What should I do?Prüfen Sie, ob Ihre Cluster betroffen sindAlle Cloud Service Mesh-Versionen sind von dieser CVE betroffen. Möglichkeiten zur Behebung des ProblemsWenn Sie verwaltetes Cloud Service Mesh ausführen, wird Ihr System in den nächsten Tagen automatisch aktualisiert. Aktualisieren Sie Ihren Cluster andernfalls auf eine der folgenden Patchversionen:
|
Mittel |
GCP-2024-023
Veröffentlicht:24.04.2024
Beschreibung | Schweregrad | Hinweise |
---|---|---|
HTTP/2: Ausschöpfung des Arbeitsspeichers aufgrund von CONTINUATION-Frame-Flood What should I do?Prüfen Sie, ob Ihre Cluster betroffen sindAlle Cloud Service Mesh-Versionen sind von dieser CVE betroffen. Möglichkeiten zur Behebung des ProblemsWenn Sie ein verwaltetes Cloud Service Mesh verwenden, müssen Sie nichts weiter tun. Ihr System wird in den nächsten Tagen automatisch aktualisiert. Wenn Sie Cloud Service Mesh im Cluster ausführen, müssen Sie Ihren Cluster auf eine der folgenden Patchversionen aktualisieren:
Wenn Sie Cloud Service Mesh Version 1.17 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.18 oder höher ausführen. |
Hoch |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
HTTP/2: CPU-Auslastung aufgrund von CONTINUATION-Frame-Flood What should I do?Prüfen Sie, ob Ihre Cluster betroffen sindAlle Cloud Service Mesh-Versionen sind von dieser CVE betroffen. Möglichkeiten zur Behebung des ProblemsWenn Sie ein verwaltetes Cloud Service Mesh verwenden, müssen Sie nichts weiter tun. Ihr System wird in den nächsten Tagen automatisch aktualisiert. Wenn Sie Cloud Service Mesh im Cluster ausführen, müssen Sie Ihren Cluster auf eine der folgenden Patchversionen aktualisieren:
Wenn Sie Cloud Service Mesh Version 1.17 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.18 oder höher ausführen. |
Mittel |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Ungewöhnliche Beendigung bei Verwendung von What should I do?Prüfen Sie, ob Ihre Cluster betroffen sindAlle Cloud Service Mesh-Versionen sind von dieser CVE betroffen. Möglichkeiten zur Behebung des ProblemsWenn Sie ein verwaltetes Cloud Service Mesh verwenden, müssen Sie nichts weiter tun. Ihr System wird in den nächsten Tagen automatisch aktualisiert. Wenn Sie Cloud Service Mesh im Cluster ausführen, müssen Sie Ihren Cluster auf eine der folgenden Patchversionen aktualisieren:
Wenn Sie Cloud Service Mesh Version 1.17 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.18 oder höher ausführen. |
Hoch |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
HTTP/2-CONTINUATION-Frames können für DoS-Angriffe verwendet werden. What should I do?Prüfen Sie, ob Ihre Cluster betroffen sindAlle Cloud Service Mesh-Versionen sind von dieser CVE betroffen. Möglichkeiten zur Behebung des ProblemsWenn Sie ein verwaltetes Cloud Service Mesh verwenden, müssen Sie nichts weiter tun. Ihr System wird in den nächsten Tagen automatisch aktualisiert. Wenn Sie Cloud Service Mesh im Cluster ausführen, müssen Sie Ihren Cluster auf eine der folgenden Patchversionen aktualisieren:
Wenn Sie Cloud Service Mesh Version 1.17 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Version 1.18 oder höher durchführen. |
Nicht angegeben |
GCP-2024-007
Veröffentlicht:8. Februar 2024
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Envoy stürzt im Leerlauf ab und die Zeitüberschreitung für Anfragen pro Versuch tritt innerhalb des Backoff-Intervalls auf. What should I do?Wenn Sie ein verwaltetes Cloud Service Mesh verwenden, müssen Sie nichts weiter tun. Ihr System wird in den nächsten Tagen automatisch aktualisiert. Wenn Sie Cloud Service Mesh im Cluster ausführen, müssen Sie Ihren Cluster auf eine der folgenden Patchversionen aktualisieren:
Wenn Sie Anthos Service Mesh Version 1.17 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden zwar auf Version 1.17 zurückportiert, wir empfehlen jedoch ein Upgrade auf Version 1.18 oder höher. |
Hoch |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Übermäßige CPU-Auslastung, wenn der URI-Vorlagenabgleich mit einem regulären Ausdruck konfiguriert ist What should I do?Wenn Sie ein verwaltetes Cloud Service Mesh verwenden, müssen Sie nichts weiter tun. Ihr System wird in den nächsten Tagen automatisch aktualisiert. Wenn Sie Cloud Service Mesh im Cluster ausführen, müssen Sie Ihren Cluster auf eine der folgenden Patchversionen aktualisieren:
Wenn Sie Anthos Service Mesh Version 1.17 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden zwar auf Version 1.17 zurückportiert, wir empfehlen jedoch ein Upgrade auf Version 1.18 oder höher. |
Mittel |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Die externe Autorisierung kann umgangen werden, wenn der Proxy-Protokollfilter ungültige UTF-8-Metadaten festlegt. What should I do?Wenn Sie ein verwaltetes Cloud Service Mesh verwenden, müssen Sie nichts weiter tun. Ihr System wird in den nächsten Tagen automatisch aktualisiert. Wenn Sie Cloud Service Mesh im Cluster ausführen, müssen Sie Ihren Cluster auf eine der folgenden Patchversionen aktualisieren:
Wenn Sie Anthos Service Mesh Version 1.17 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden zwar auf Version 1.17 zurückportiert, wir empfehlen jedoch ein Upgrade auf Version 1.18 oder höher. |
Hoch |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Envoy stürzt ab, wenn ein Adresstyp verwendet wird, der vom Betriebssystem nicht unterstützt wird. What should I do?Wenn Sie ein verwaltetes Cloud Service Mesh verwenden, müssen Sie nichts weiter tun. Ihr System wird in den nächsten Tagen automatisch aktualisiert. Wenn Sie Cloud Service Mesh im Cluster ausführen, müssen Sie Ihren Cluster auf eine der folgenden Patchversionen aktualisieren:
Wenn Sie Anthos Service Mesh Version 1.17 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden zwar auf Version 1.17 zurückportiert, wir empfehlen jedoch ein Upgrade auf Version 1.18 oder höher. |
Hoch |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Absturz des Proxy-Protokolls, wenn der Befehlstyp What should I do?Wenn Sie ein verwaltetes Cloud Service Mesh verwenden, müssen Sie nichts weiter tun. Ihr System wird in den nächsten Tagen automatisch aktualisiert. Wenn Sie Cloud Service Mesh im Cluster ausführen, müssen Sie Ihren Cluster auf eine der folgenden Patchversionen aktualisieren:
Wenn Sie Anthos Service Mesh Version 1.17 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden zwar auf Version 1.17 zurückportiert, wir empfehlen jedoch ein Upgrade auf Version 1.18 oder höher. |
Hoch |
GCP-2023-031
Veröffentlicht: 10. Oktober 2023
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Ein Denial-of-Service-Angriff kann sich bei Verwendung des HTTP/2-Protokolls auf die Datenebene auswirken. What should I do?Prüfen Sie, ob Ihre Cluster betroffen sindIhr Cluster ist betroffen, wenn er Cloud Service Mesh-Patchversionen vor 1.18.4, 1.17.7 oder 1.16.7 verwendet. Möglichkeiten zur Behebung des ProblemsAktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
Wenn Sie verwaltetes Cloud Service Mesh ausführen, wird Ihr System innerhalb der nächsten Tage automatisch aktualisiert. Wenn Sie Cloud Service Mesh Version 1.15 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Version 1.16 oder höher ausführen. |
Hoch |
GCP-2023-021
Updated:2023-07-26
Veröffentlicht: 25.07.2022Beschreibung | Schweregrad | Hinweise |
---|---|---|
Ein böswilliger Client kann in bestimmten Fällen Anmeldedaten mit dauerhafter Gültigkeit erstellen. Beispielsweise kann die Kombination aus Host und Ablaufzeit in der HMAC-Nutzlast in der HMAC-Prüfung des OAuth2-Filters immer gültig sein. What should I do?Prüfen Sie, ob Ihre Cluster betroffen sindIhr Cluster ist betroffen, wenn er Cloud Service Mesh-Patchversionen vor
Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
Wenn Sie verwaltetes Cloud Service Mesh ausführen, wird Ihr System innerhalb der nächsten Tage automatisch aktualisiert. Wenn Sie Anthos Service Mesh 1.14 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf ASM 1.15 oder höher ausführen. |
Hoch |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
gRPC-Zugriffslogger, die den globalen Gültigkeitsbereich des Listeners verwenden, können einen „Use-After-Free“-Absturz verursachen, wenn der Listener geleert wird. Dies kann durch ein LDS-Update mit derselben gRPC-Zugriffsprotokollkonfiguration ausgelöst werden. What should I do?Prüfen Sie, ob Ihre Cluster betroffen sindIhr Cluster ist betroffen, wenn er Cloud Service Mesh-Patchversionen vor
Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
Wenn Sie verwaltetes Cloud Service Mesh ausführen, wird Ihr System innerhalb der nächsten Tage automatisch aktualisiert. Wenn Sie Anthos Service Mesh 1.14 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf ASM 1.15 oder höher ausführen. |
Mittel |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Wenn der What should I do?Prüfen Sie, ob Ihre Cluster betroffen sindIhr Cluster ist betroffen, wenn er Cloud Service Mesh-Patchversionen vor
Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
Wenn Sie verwaltetes Cloud Service Mesh ausführen, wird Ihr System innerhalb der nächsten Tage automatisch aktualisiert. Wenn Sie Anthos Service Mesh 1.14 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf ASM 1.15 oder höher ausführen. |
Mittel |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Angreifer können gemischte Schemaanfragen senden, um einige Schemaprüfungen in Envoy zu umgehen. Wenn beispielsweise eine Anfrage mit dem gemischten Schema „htTp“ an den OAuth2-Filter gesendet wird, schlagen die Prüfungen auf Übereinstimmung mit „http“ fehl und der Remote-Endpunkt wird darüber informiert, dass das Schema „https“ ist. Dadurch werden möglicherweise OAuth2-Prüfungen für HTTP-Anfragen umgangen. What should I do?Prüfen Sie, ob Ihre Cluster betroffen sindIhr Cluster ist betroffen, wenn er Cloud Service Mesh-Patchversionen vor
Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
Wenn Sie verwaltetes Cloud Service Mesh ausführen, wird Ihr System innerhalb der nächsten Tage automatisch aktualisiert. Wenn Sie Anthos Service Mesh 1.14 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf ASM 1.15 oder höher ausführen. |
Hoch |
GCP-2023-019
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Eine speziell erstellte Antwort von einem nicht vertrauenswürdigen vorgelagerten Dienst kann durch Ausschöpfung des Arbeitsspeichers zu einer Dienstverweigerung führen. Das liegt am HTTP/2-Codec von Envoy, der beim Empfang von RST_STREAM unmittelbar gefolgt von den GOAWAY-Frames von einem Upstream-Server eine Header-Map und Buchhaltungsstrukturen auslaufen lassen kann. What should I do?Prüfen Sie, ob Ihre Cluster betroffen sindIhr Cluster ist betroffen, wenn er Cloud Service Mesh-Patchversionen vor
Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
Wenn Sie verwaltetes Cloud Service Mesh ausführen, wird Ihr System innerhalb der nächsten Tage automatisch aktualisiert. Wenn Sie Anthos Service Mesh 1.14 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf ASM 1.15 oder höher ausführen. |
Hoch |
GCP-2023-002
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Wenn Envoy mit dem aktivierten OAuth-Filter ausgeführt wird, kann ein böswilliger Akteur eine Anfrage erstellen, die einen Dienstausfall verursacht, indem Envoy zum Absturz gebracht wird. What should I do?Prüfen Sie, ob Ihre Cluster betroffen sindIhre Cluster sind betroffen, wenn sie Cloud Service Mesh-Patchversionen vor den folgenden verwenden:
Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
Wenn Sie Cloud Service Mesh Version 1.13 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.14 oder höher ausführen. |
Mittel |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Der Angreifer kann diese Sicherheitslücke nutzen, um Authentifizierungsüberprüfungen zu umgehen, wenn „ext_authz“ verwendet wird. What should I do?Prüfen Sie, ob Ihre Cluster betroffen sindIhre Cluster sind betroffen, wenn sie Cloud Service Mesh-Patchversionen vor den folgenden verwenden:
Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
Wenn Sie Cloud Service Mesh Version 1.13 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.14 oder höher ausführen. |
Mittel |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Die Envoy-Konfiguration muss auch eine Option zum Hinzufügen von Anfrageheadern enthalten, die mit Eingaben aus der Anfrage generiert wurden, z.B. dem SAN des Peer-Zertifikats. What should I do?Prüfen Sie, ob Ihre Cluster betroffen sindIhre Cluster sind betroffen, wenn sie Cloud Service Mesh-Patchversionen vor den folgenden verwenden:
Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
Wenn Sie Cloud Service Mesh Version 1.13 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.14 oder höher ausführen. |
Hoch |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Angreifer können große Anfragekörper für Routen senden, für die der Lua-Filter aktiviert ist, und so Abstürze auslösen. What should I do?Prüfen Sie, ob Ihre Cluster betroffen sindIhre Cluster sind betroffen, wenn sie Cloud Service Mesh-Patchversionen vor den folgenden verwenden:
Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
Wenn Sie Cloud Service Mesh Version 1.13 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.14 oder höher ausführen. |
Mittel |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Angreifer können speziell erstellte HTTP/2- oder HTTP/3-Anfragen senden, um Parsingfehler beim HTTP/1-Upstream-Dienst auszulösen. What should I do?Prüfen Sie, ob Ihre Cluster betroffen sindIhre Cluster sind betroffen, wenn sie Cloud Service Mesh-Patchversionen vor den folgenden verwenden:
Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
Wenn Sie Cloud Service Mesh Version 1.13 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.14 oder höher ausführen. |
Mittel |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Der Header „x-envoy-original-path“ sollte ein interner Header sein. Envoy entfernt diesen Header jedoch nicht zu Beginn der Anfrageverarbeitung aus der Anfrage, wenn sie von einem nicht vertrauenswürdigen Client gesendet wird. What should I do?Prüfen Sie, ob Ihre Cluster betroffen sindIhre Cluster sind betroffen, wenn sie Cloud Service Mesh-Patchversionen vor den folgenden verwenden:
Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
Wenn Sie Cloud Service Mesh Version 1.13 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.14 oder höher ausführen. |
Hoch |
GCP-2022-020
Veröffentlicht: 05.10.2022Aktualisiert: 12.10.2022
12.10.2022-Update: Link zur CVE-Beschreibung aktualisiert und Informationen über automatische Updates für verwaltetes Cloud Service Mesh hinzugefügt.
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Die Istio-Steuerungsebene Was soll ich tun?Prüfen Sie, ob Ihre Cluster betroffen sindIhr Cluster ist betroffen, wenn er Cloud Service Mesh-Patchversionen vor 1.14.4, 1.13.8 oder 1.12.9 verwendet. Möglichkeiten zur Behebung des ProblemsWenn Sie eigenständiges Cloud Service Mesh ausführen, aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
Wenn Sie verwaltetes Cloud Service Mesh ausführen, wird Ihr System innerhalb der nächsten Tage automatisch aktualisiert. Wenn Sie Cloud Service Mesh Version 1.11 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.12 oder höher ausführen. |
Hoch |
GCP-2022-015
Veröffentlicht: 09. 06. 2022Zuletzt aktualisiert: 10. 06. 2022
10. 06. 2022-Update: Aktualisierte Patchversionen für Cloud Service Mesh.
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Die Istio-Datenebene kann potenziell unsicher auf den Speicher zugreifen, wenn die Exchange- und Stats-Erweiterungen für Metadata aktiviert sind. Was soll ich tun?Prüfen Sie, ob Ihre Cluster betroffen sindIhr Cluster ist betroffen, wenn er eine Cloud Service Mesh-Patchversion vor 1.13.4-asm.4, 1.12.7-asm.2 oder 1.11.8-asm.4 verwendet. Cloud Service Mesh-RisikominderungAktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
Wenn Sie Cloud Service Mesh Version 1.10 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.11 oder höher ausführen. Weitere Informationen finden Sie unter Upgrade von früheren Versionen (GKE) oder Upgrade von früheren Versionen (lokal). |
Hoch |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Daten können die zwischengelagerten Pufferlimits überschreiten, wenn ein böswilliger Angreifer eine kleine, stark komprimierte Nutzlast (auch als ZIP-Bomb-Angriff bezeichnet) übergibt. Was soll ich tun?Prüfen Sie, ob Ihre Cluster betroffen sindIhr Cluster ist betroffen, wenn er eine Cloud Service Mesh-Patchversion vor 1.13.4-asm.4, 1.12.7-asm.2 oder 1.11.8-asm.4 verwendet. Cloud Service Mesh unterstützt zwar keine Envoy-Filter, Sie können jedoch betroffen sein, wenn Sie einen Filter zum Dekomprimieren verwenden. Cloud Service Mesh-RisikominderungAktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
Wenn Sie Cloud Service Mesh Version 1.10 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.11 oder höher ausführen. Weitere Informationen finden Sie unter Upgrade von früheren Versionen (GKE) oder Upgrade von früheren Versionen (lokal). Envoy-RisikominderungEnvoy-Nutzer, die ihre eigenen Envoy-Dienste verwalten, müssen die Envoy-Version 1.22.1 verwenden. Envoy-Nutzer, die ihre eigenen Envoy-Dateien verwalten, erstellen die Binärdateien aus einer Quelle wie GitHub und stellen sie bereit. Nutzer, die verwaltete Envoy-Dienste ausführen (Google Cloud stellt die Binärdateien von Envoy bereit), für die Cloud-Produkte auf 1.22.1 umgestellt werden, müssen keine Maßnahmen ergreifen. |
Hoch |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Potenzielle Entfernung des Nullzeigerverweises in Was soll ich tun?Prüfen Sie, ob Ihre Cluster betroffen sindIhr Cluster ist betroffen, wenn er eine Cloud Service Mesh-Patchversion vor 1.13.4-asm.4, 1.12.7-asm.2 oder 1.11.8-asm.4 verwendet. Cloud Service Mesh-RisikominderungAktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
Wenn Sie Cloud Service Mesh Version 1.10 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.11 oder höher ausführen. Weitere Informationen finden Sie unter Upgrade von früheren Versionen (GKE) oder Upgrade von früheren Versionen (lokal). Envoy-RisikominderungEnvoy-Nutzer, die ihre eigenen Envoy-Dienste verwalten, müssen die Envoy-Version 1.22.1 verwenden. Envoy-Nutzer, die ihre eigenen Envoy-Dateien verwalten, erstellen die Binärdateien aus einer Quelle wie GitHub und stellen sie bereit. Nutzer, die verwaltete Envoy-Dienste ausführen (Google Cloud stellt die Binärdateien von Envoy bereit), für die Cloud-Produkte auf 1.22.1 umgestellt werden, müssen keine Maßnahmen ergreifen. |
Mittel |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
OAuth-Filter ermöglicht eine einfache Umgehung. Was soll ich tun?Prüfen Sie, ob Ihre Cluster betroffen sindIhr Cluster ist betroffen, wenn er eine Cloud Service Mesh-Patchversion vor 1.13.4-asm.4, 1.12.7-asm.2 oder 1.11.8-asm.4 verwendet. Cloud Service Mesh unterstützt zwar keine Envoy-Filter, Sie können jedoch betroffen sein, wenn Sie einen OAuth-Filter verwenden. Cloud Service Mesh-RisikominderungAktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
Wenn Sie Cloud Service Mesh Version 1.10 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.11 oder höher ausführen. Weitere Informationen finden Sie unter Upgrade von früheren Versionen (GKE) oder Upgrade von früheren Versionen (lokal). Envoy-RisikominderungEnvoy-Nutzer, die ihre eigenen Envoy-Dienste verwalten und einen OAuth-Filter verwenden, müssen Envoy-Version 1.22.1 verwenden. Envoy-Nutzer, die ihre eigenen Envoy-Dateien verwalten, erstellen die Binärdateien aus einer Quelle wie GitHub und stellen sie bereit. Nutzer, die verwaltete Envoy-Dienste ausführen (Google Cloud stellt die Binärdateien von Envoy bereit), für die Cloud-Produkte auf 1.22.1 umgestellt werden, müssen keine Maßnahmen ergreifen. |
Kritisch |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Ein OAuth-Filter kann Arbeitsspeicher beschädigen (frühere Versionen) oder einen ASSERT() (spätere Versionen) auslösen. Was soll ich tun?Prüfen Sie, ob Ihre Cluster betroffen sindIhr Cluster ist betroffen, wenn er eine Cloud Service Mesh-Patchversion vor 1.13.4-asm.4, 1.12.7-asm.2 oder 1.11.8-asm.4 verwendet. Cloud Service Mesh unterstützt zwar keine Envoy-Filter, Sie können jedoch betroffen sein, wenn Sie einen OAuth-Filter verwenden. Cloud Service Mesh-RisikominderungAktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
Wenn Sie Cloud Service Mesh Version 1.10 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.11 oder höher ausführen. Envoy-RisikominderungEnvoy-Nutzer, die ihre eigenen Envoy-Dienste verwalten und einen OAuth-Filter verwenden, müssen Envoy-Version 1.22.1 verwenden. Envoy-Nutzer, die ihre eigenen Envoy-Dateien verwalten, erstellen die Binärdateien aus einer Quelle wie GitHub und stellen sie bereit. Nutzer, die verwaltete Envoy-Dienste ausführen (Google Cloud stellt die Binärdateien von Envoy bereit), für die Cloud-Produkte auf 1.22.1 umgestellt werden, müssen keine Maßnahmen ergreifen. |
Hoch |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Interne Weiterleitungen schlagen bei Anfragen mit Text oder Anhängen fehl. Was soll ich tun?Prüfen Sie, ob Ihre Cluster betroffen sindIhr Cluster ist betroffen, wenn er eine Cloud Service Mesh-Patchversion vor 1.13.4-asm.4, 1.12.7-asm.2 oder 1.11.8-asm.4 verwendet. Cloud Service Mesh-RisikominderungAktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
Wenn Sie Cloud Service Mesh Version 1.10 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.11 oder höher ausführen. Weitere Informationen finden Sie unter Upgrade von früheren Versionen (GKE) oder Upgrade von früheren Versionen (lokal). Envoy-RisikominderungEnvoy-Nutzer, die ihre eigenen Envoy-Dienste verwalten, müssen die Envoy-Version 1.22.1 verwenden. Envoy-Nutzer, die ihre eigenen Envoy-Dateien verwalten, erstellen die Binärdateien aus einer Quelle wie GitHub und stellen sie bereit. Nutzer, die verwaltete Envoy-Dienste ausführen (Google Cloud stellt die Binärdateien von Envoy bereit), für die Cloud-Produkte auf 1.22.1 umgestellt werden, müssen keine Maßnahmen ergreifen. |
Hoch |
GCP-2022-010
Veröffentlicht: 10.03.202Zuletzt aktualisiert: 16.03.2022
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Die Istio-Steuerungsebene (istiod) ist anfällig für einen Fehler bei der Anfrageverarbeitung. Dadurch kann ein böswilliger Angreifer, der eine spezielle Nachricht sendet, einen Absturz der Steuerungsebene verursachen, wenn der Validierungs-Webhook für einen Cluster öffentlich zugänglich gemacht wird. Dieser Endpunkt wird über TLS-Port 15017 bereitgestellt, erfordert jedoch keine Authentifizierung durch den Angreifer. Was soll ich tun?Prüfen Sie, ob Ihre Cluster betroffen sindAlle Cloud Service Mesh-Versionen sind von dieser CVE betroffen. Hinweis: Wenn Sie die verwaltete Steuerungsebene verwenden, wurde diese Sicherheitslücke bereits behoben und Sie sind nicht betroffen. Möglichkeiten zur Behebung des ProblemsAktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
Wenn Sie Cloud Service Mesh Version 1.9 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.10 oder höher ausführen. |
Hoch |
GCP-2022-007
Veröffentlicht: 22.02.2022Beschreibung | Schweregrad | Hinweise |
---|---|---|
Istiod stürzt ab, wenn Anfragen mit einem speziell konzipierten Was soll ich tun?Prüfen Sie, ob Ihre Cluster betroffen sindIhr Cluster ist betroffen, wenn die beiden folgenden Bedingungen zutreffen:
Hinweis: Wenn Sie die verwaltete Steuerungsebene verwenden, wurde diese Sicherheitslücke bereits behoben und Sie sind nicht betroffen. Möglichkeiten zur Behebung des ProblemsAktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
Wenn Sie Cloud Service Mesh Version 1.9 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.10 oder höher ausführen. |
Hoch |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Potenzielle Nullzeiger-Dereferenz, wenn eine Übereinstimmung mit dem JWT-Filter Was soll ich tun?Prüfen Sie, ob Ihre Cluster betroffen sindIhr Cluster ist betroffen, wenn die beiden folgenden Bedingungen zutreffen:
Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
Wenn Sie Cloud Service Mesh Version 1.9 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.10 oder höher ausführen. |
Mittel |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Use-after-Free, wenn Antwortfilter die Antwortdaten erhöhen und mehr Daten die nachgelagerten Pufferlimits überschreiten. Was soll ich tun?Prüfen Sie, ob Ihre Cluster betroffen sindIhr Cluster ist betroffen, wenn die beiden folgenden Bedingungen zutreffen:
Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
Wenn Sie Cloud Service Mesh Version 1.9 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.10 oder höher ausführen. |
Mittel |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Use-after-Free, wenn TCP über HTTP getunnelt wird, wenn die Downstream-Verbindung während des Upstream-Verbindungsaufbaus unterbrochen wird. Was soll ich tun?Prüfen Sie, ob Ihre Cluster betroffen sindIhr Cluster ist betroffen, wenn die beiden folgenden Bedingungen zutreffen:
Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
Wenn Sie Cloud Service Mesh Version 1.9 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.10 oder höher ausführen. |
Mittel |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Durch eine falsche Konfigurationsbehandlung kann die mTLS-Sitzung ohne erneute Validierung wiederverwendet werden, nachdem sich die Validierungseinstellungen geändert haben. Was soll ich tun?Prüfen Sie, ob Ihre Cluster betroffen sindIhr Cluster ist betroffen, wenn die beiden folgenden Bedingungen zutreffen:
Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
Wenn Sie Cloud Service Mesh Version 1.9 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.10 oder höher ausführen. |
Hoch |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Falsche Verarbeitung interner Weiterleitungen an Routen mit einem direkten Antworteintrag. Was soll ich tun?Prüfen Sie, ob Ihre Cluster betroffen sindIhr Cluster ist betroffen, wenn die beiden folgenden Bedingungen zutreffen:
Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
Wenn Sie Cloud Service Mesh Version 1.9 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.10 oder höher ausführen. |
Hoch |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Stacküberlastung, wenn ein Cluster über Cluster Discovery Service gelöscht wird. Was soll ich tun?Prüfen Sie, ob Ihre Cluster betroffen sindIhr Cluster ist betroffen, wenn die beiden folgenden Bedingungen zutreffen:
Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
Wenn Sie Cloud Service Mesh Version 1.9 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.10 oder höher ausführen. |
Mittel |
GCP-2021-016
Veröffentlicht: 24.08.2021Beschreibung | Schweregrad | Hinweise |
---|---|---|
Istio enthält eine remote ausnutzbare Sicherheitslücke, bei der eine HTTP-Anfrage mit einem Fragment (ein Abschnitt am Ende eines URI, der mit einem
Eine Istio-Autorisierungsrichtlinie lehnt beispielsweise Anfragen ab, die an den URI-Pfad Diese Korrektur hängt von einer Korrektur in Envoy ab, die mit CVE-2021-32779 verknüpft ist. Was soll ich tun?Prüfen Sie, ob Ihre Cluster betroffen sindIhr Cluster ist betroffen, wenn die beiden folgenden Bedingungen zutreffen:
Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
Bei den neuen Versionen wird der Fragmentteil des URI der Anfrage vor der Autorisierung und dem Routing entfernt. Dadurch wird verhindert, dass eine Anfrage mit einem Fragment im URI Autorisierungsrichtlinien umgeht, die auf dem URI ohne den Fragmentteil basieren. DeaktivierenWenn Sie dieses neue Verhalten deaktivieren, wird der Fragmentabschnitt im URI beibehalten. Um es zu deaktivieren, können Sie Ihre Installation so konfigurieren: apiVersion: install.istio.io/v1alpha1 kind: IstioOperator metadata: name: opt-out-fragment-cve-fix namespace: istio-system spec: meshConfig: defaultConfig: proxyMetadata: HTTP_STRIP_FRAGMENT_FROM_PATH_UNSAFE_IF_DISABLED: "false" Hinweis: Wenn Sie dieses Verhalten deaktivieren, ist Ihr Cluster anfällig für diese CVE-Sicherheitslücke. |
Hoch |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Istio enthält eine remote ausnutzbare Sicherheitslücke, bei der eine HTTP-Anfrage eine Istio-Autorisierungsrichtlinie potenziell umgehen kann, wenn Regeln basierend auf
In den anfälligen Versionen vergleicht die Istio-Autorisierungsrichtlinie den HTTP-Header Was soll ich tun?Prüfen Sie, ob Ihre Cluster betroffen sindIhr Cluster ist betroffen, wenn die beiden folgenden Bedingungen zutreffen:
Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
Dadurch wird sichergestellt, dass die HTTP-Header |
Hoch |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Envoy enthält eine remote ausnutzbare Sicherheitslücke, bei der eine HTTP-Anfrage mit mehreren Wertheadern eine unvollständige Prüfung der Autorisierungsrichtlinie durchführen kann, wenn die Erweiterung Was soll ich tun?Prüfen Sie, ob Ihre Cluster betroffen sindIhr Cluster ist betroffen, wenn die beiden folgenden Bedingungen zutreffen:
Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
|
Hoch |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Envoy enthält eine remote ausnutzbare Sicherheitslücke bezüglich der Envoy-Erweiterungen Was soll ich tun?Prüfen Sie, ob Ihre Cluster betroffen sindIhr Cluster ist betroffen, wenn die beiden folgenden Bedingungen zutreffen:
Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
|
Hoch |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Envoy enthält eine remote ausnutzbare Sicherheitslücke, bei der ein Envoy-Client geöffnet und dann eine große Anzahl von HTTP/2-Anfragen zurückgesetzt werden kann, was zu einer übermäßigen CPU-Auslastung führen kann. Was soll ich tun?Prüfen Sie, ob Ihre Cluster betroffen sindIhr Cluster ist betroffen, wenn die Cloud Service Mesh-Patchversionen vor 1.7.8-asm.10, 1.8.6-asm.8, 1.9.8-asm.1 und 1.10.4-asm.6 verwendet werden. Möglichkeiten zur Behebung des ProblemsAktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
Hinweis: Wenn Sie Cloud Service Mesh 1.8 oder eine frühere Version verwenden, führen Sie ein Upgrade auf die neuesten Patchversionen von Cloud Service Mesh 1.9 und höher durch, um diese Sicherheitslücke zu verringern. |
Hoch |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Envoy enthält eine remote ausnutzbare Sicherheitslücke, bei der ein nicht vertrauenswürdiger Upstream-Dienst dazu führen könnte, dass Envoy anormal beendet wird, indem er den Frame Was soll ich tun?Prüfen Sie, ob Ihre Cluster betroffen sindIhr Cluster ist betroffen, wenn er Cloud Service Mesh 1.10 mit einer Patchversion vor 1.10.4-asm.6 verwendet. Möglichkeiten zur Behebung des ProblemsAktualisieren Sie Ihren Cluster auf die folgende Patchversion:
|
Hoch |
GCP-2021-012
Veröffentlicht: 24.06.2021Beschreibung | Schweregrad | Hinweise |
---|---|---|
Das Istio-sichere
Normalerweise kann ein Gateway oder eine Arbeitslastbereitstellung nur auf TLS-Zertifikate und private Schlüssel zugreifen, die im Secret in seinem Namespace gespeichert sind. Aufgrund eines Programmfehlers in What should I do?Prüfen Sie, ob Ihre Cluster betroffen sindIhr Cluster ist betroffen, wenn ALLE folgenden Bedingungen erfüllt sind:
Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
Wenn ein Upgrade nicht machbar ist, können Sie diese Sicherheitslücke minimieren, indem Sie das istiod -Caching deaktivieren.
Sie können das Caching deaktivieren, indem Sie die Umgebungsvariable istiod auf PILOT_ENABLE_XDS_CACHE=false setzen. Die Leistung des Systems und von istiod kann beeinträchtigt werden, wenn das XDS-Caching deaktiviert wird.
|
Hoch |
GCP-2021-008
Veröffentlich: 17. 05. 20201Beschreibung | Schweregrad | Hinweise |
---|---|---|
Istio enthält eine Sicherheitslücke, die aus der Ferne ausgenutzt werden kann, über die ein externer Client auf unerwartete Dienste im Cluster zugreifen kann. Dabei werden Autorisierungsprüfungen umgangen, wenn ein Gateway mit der Routingkonfiguration AUTO_PASSTHROUGH konfiguriert ist. Was soll ich tun?Prüfen Sie, ob Ihre Cluster betroffen sindDiese Sicherheitslücke betrifft nur die Verwendung des Gateway-Typs AUTO_PASSTHROUGH, die normalerweise nur in Multi-Cluster-Deployments mit mehreren Netzwerken verwendet wird. Ermitteln Sie mit dem folgenden Befehl den TLS-Modus aller Gateways im Cluster: kubectl get gateways.networking.istio.io -A -o \ "custom-columns=NAMESPACE:.metadata.namespace, \ NAME:.metadata.name,TLS_MODE:.spec.servers[*].tls.mode" Wenn in der Ausgabe AUTO_PASSTHROUGH-Gateways angezeigt werden, sind Sie möglicherweise betroffen. Möglichkeiten zur Behebung des ProblemsAktualisieren Sie Ihre Cluster auf die aktuelle Cloud Service Mesh-Version:
* Hinweis: Die Einführung der verwalteten Steuerungsebene von Cloud Service Mesh (nur in Versionen 1.9.x verfügbar) wird in den nächsten Tagen abgeschlossen. |
Hoch |
GCP-2021-007
Veröffentlich: 17. 05. 20201Beschreibung | Schweregrad | Hinweise |
---|---|---|
Istio enthält eine Sicherheitslücke, die aus der Ferne ausgenutzt werden kann und bei der ein HTTP-Anfragepfad mit mehreren Schrägstrichen oder mit maskierten Schrägstrichzeichen (%2F oder %5C) unter Umständen eine Istio-Autorisierungsrichtlinie umgehen kann, wenn pfadbasierte Autorisierungsregeln verwendet werden.
Es kann vorkommen, dass ein Administrator des Istio-Clusters eine Autorisierungs-DENY-Richtlinie definiert, um die Anfrage unter dem Pfad
Gemäß RFC 3986 sollte der Pfad Was soll ich tun?Prüfen Sie, ob Ihre Cluster betroffen sindIhr Cluster ist von dieser Sicherheitslücke betroffen, wenn Sie Autorisierungsrichtlinien mit den Mustern "ALLOW action + notPaths field" oder "DENY action + paths field" verwenden. Diese Muster sind anfällig für das unerwartete Umgehungen der Richtlinie und sollten daher so weit wie möglich aktualisiert werden, um das Sicherheitsproblem so schnell wie möglich zu beheben. Das folgende Beispiel zeigt eine anfällige Richtlinie, die das Muster "DENY action + paths field" verwendet: apiVersion: security.istio.io/v1beta1 kind: AuthorizationPolicy metadata: name: deny-path-admin spec: action: DENY rules: - to: - operation: paths: ["/admin"] Das folgende Beispiel zeigt eine weitere anfällige Richtlinie, die das Muster "ALLOW action + notPaths field" verwendet: apiVersion: security.istio.io/v1beta1 kind: AuthorizationPolicy metadata: name: allow-path-not-admin spec: action: ALLOW rules: - to: - operation: notPaths: ["/admin"] Ihr Cluster ist nicht von dieser Sicherheitslücke betroffen, wenn:
Für diese Fälle ist ein Upgrade optional. Aktualisieren Sie Ihre Cluster auf die aktuellste, unterstützte Cloud Service Mesh-Version*. Diese Versionen unterstützen die Konfiguration der Envoy-Proxys im System mit weiteren Normalisierungsoptionen:
* Hinweis: Die Einführung der verwalteten Steuerungsebene von Cloud Service Mesh (nur in Versionen 1.9.x verfügbar) wird in den nächsten Tagen abgeschlossen. Folgen Sie dem Best Practices-Leitfaden zur Sicherheit in Istio, um Ihre Autorisierungsrichtlinien zu konfigurieren. |
Hoch |
GCP-2021-004
Veröffentlicht: 06. 05. 2021Beschreibung | Schweregrad | Hinweise |
---|---|---|
Die Projekte Envoy und Istio haben kürzlich mehrere Sicherheitslücken bekanntgegeben (CVE-2021-28682, CVE-2021-28683 und CVE-2021-29258), die es einem Angreifer ermöglichen, Envoy zum Absturz zu bringen sowie potenziell Teile des Clusters offline zu stellen und unzugänglich zu machen. Dies wirkt sich auf bereitgestellte Dienste wie Cloud Service Mesh aus. What should I do?Aktualisieren Sie Ihr Cloud Service Mesh-Bundle auf eine der folgenden Patchversionen, um diese Sicherheitslücken zu beheben:
Weitere Informationen finden Sie in den Versionshinweisen zu Cloud Service Mesh. |
Hoch |