セキュリティに関する情報

この XML フィードを使用して、Cloud Service Mesh のセキュリティに関する公開情報に登録します。登録

このページには、Cloud Service Mesh のセキュリティに関する公開情報が記載されています。

GCP-2024-032

説明 重大度 メモ

アップグレード モードに入ると、Envoy は HTTP 200 レスポンスを誤って受け入れます。

必要な対策

クラスタが影響を受けるか確認する

すべての Cloud Service Mesh バージョンがこの CVE の影響を受けます。

緩和策

マネージド Cloud Service Mesh を実行している場合、システムは数日後に自動的に更新されます。

そうでない場合は、クラスタを次のパッチ バージョンのいずれかにアップグレードします。

  • v1.21.3-asm.3
  • v1.20.7-asm.2
  • v1.19.10-asm.6
  • v1.18.7-asm.26
  • Cloud Service Mesh v1.17 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。Cloud Service Mesh 1.18 以降にアップグレードする必要があります。

CVE-2024-23326

説明 重大度 メモ

EnvoyQuicServerStream::OnInitialHeadersComplete() でクラッシュが発生する。

必要な対策

クラスタが影響を受けるか確認する

すべての Cloud Service Mesh バージョンがこの CVE の影響を受けます。

緩和策

マネージド Cloud Service Mesh を実行している場合、システムは数日後に自動的に更新されます。

そうでない場合は、クラスタを次のパッチ バージョンのいずれかにアップグレードします。

  • v1.21.3-asm.3
  • v1.20.7-asm.2
  • v1.19.10-asm.6
  • v1.18.7-asm.26
  • Cloud Service Mesh v1.17 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。Cloud Service Mesh 1.18 以降にアップグレードする必要があります。

CVE-2024-32974

説明 重大度 メモ

QuicheDataReader::PeekVarInt62Length() でクラッシュが発生する。

必要な対策

クラスタが影響を受けるか確認する

すべての Cloud Service Mesh バージョンがこの CVE の影響を受けます。

緩和策

マネージド Cloud Service Mesh を実行している場合、システムは数日後に自動的に更新されます。

そうでない場合は、クラスタを次のパッチ バージョンのいずれかにアップグレードします。

  • v1.21.3-asm.3
  • v1.20.7-asm.2
  • v1.19.10-asm.6
  • v1.18.7-asm.26
  • Cloud Service Mesh v1.17 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。Cloud Service Mesh 1.18 以降にアップグレードする必要があります。

CVE-2024-32975

説明 重大度 メモ

追加の入力で Brotli データを解凍中のエンドレス ループ。

必要な対策

クラスタが影響を受けるか確認する

すべての Cloud Service Mesh バージョンがこの CVE の影響を受けます。

緩和策

マネージド Cloud Service Mesh を実行している場合、システムは数日後に自動的に更新されます。

そうでない場合は、クラスタを次のパッチ バージョンのいずれかにアップグレードします。

  • v1.21.3-asm.3
  • v1.20.7-asm.2
  • v1.19.10-asm.6
  • v1.18.7-asm.26
  • Cloud Service Mesh v1.17 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。Cloud Service Mesh 1.18 以降にアップグレードする必要があります。

CVE-2024-32976

説明 重大度 メモ

EnvoyQuicServerStream で(use-after-free による)クラッシュが発生する。

必要な対策

クラスタが影響を受けるか確認する

すべての Cloud Service Mesh バージョンがこの CVE の影響を受けます。

緩和策

マネージド Cloud Service Mesh を実行している場合、システムは数日後に自動的に更新されます。

そうでない場合は、クラスタを次のパッチ バージョンのいずれかにアップグレードします。

  • v1.21.3-asm.3
  • v1.20.7-asm.2
  • v1.19.10-asm.6
  • v1.18.7-asm.26
  • Cloud Service Mesh v1.17 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。Cloud Service Mesh 1.18 以降にアップグレードする必要があります。

CVE-2024-34362

説明 重大度 メモ

キャッチされなかった nlohmann JSON 例外により、クラッシュが発生する。

必要な対策

クラスタが影響を受けるか確認する

すべての Cloud Service Mesh バージョンがこの CVE の影響を受けます。

緩和策

マネージド Cloud Service Mesh を実行している場合、システムは数日後に自動的に更新されます。

そうでない場合は、クラスタを次のパッチ バージョンのいずれかにアップグレードします。

  • v1.21.3-asm.3
  • v1.20.7-asm.2
  • v1.19.10-asm.6
  • v1.18.7-asm.26
  • Cloud Service Mesh v1.17 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。Cloud Service Mesh 1.18 以降にアップグレードする必要があります。

CVE-2024-34363

説明 重大度 メモ

ミラー レスポンス用の無制限のレスポンス バッファを持つ HTTP 非同期クライアントからの Envoy OOM ベクトル。

必要な対策

クラスタが影響を受けるか確認する

すべての Cloud Service Mesh バージョンがこの CVE の影響を受けます。

緩和策

マネージド Cloud Service Mesh を実行している場合、システムは数日後に自動的に更新されます。

そうでない場合は、クラスタを次のパッチ バージョンのいずれかにアップグレードします。

  • v1.21.3-asm.3
  • v1.20.7-asm.2
  • v1.19.10-asm.6
  • v1.18.7-asm.26
  • Cloud Service Mesh v1.17 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。Cloud Service Mesh 1.18 以降にアップグレードする必要があります。

CVE-2024-34364

GCP-2024-023

公開日: 2024 年 4 月 24 日

説明 重大度 メモ

HTTP/2: CONTINUATION フレーム フラッディングによるメモリ枯渇。

必要な対策

クラスタが影響を受けるか確認する

すべての Cloud Service Mesh バージョンがこの CVE の影響を受けます。

緩和策

マネージド Cloud Service Mesh を実行している場合は、何もする必要はありません。システムは数日以内に自動的に更新されます。

クラスタ内 Cloud Service Mesh を実行している場合は、クラスタを次のパッチ適用済みバージョンのいずれかにアップグレードする必要があります。

  • 1.20.6-asm.0
  • 1.19.10-asm.0
  • 1.18.7-asm.21

Cloud Service Mesh v1.17 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。Cloud Service Mesh v1.18 以降にアップグレードする必要があります。

CVE-2024-27919

説明 重大度 メモ

HTTP/2: CONTINUATION フレーム フラッディングによる CPU の枯渇

必要な対策

クラスタが影響を受けるか確認する

すべての Cloud Service Mesh バージョンがこの CVE の影響を受けます。

緩和策

マネージド Cloud Service Mesh を実行している場合は、何もする必要はありません。システムは数日以内に自動的に更新されます。

クラスタ内 Cloud Service Mesh を実行している場合は、クラスタを次のパッチ適用済みバージョンのいずれかにアップグレードする必要があります。

  • 1.20.6-asm.0
  • 1.19.10-asm.0
  • 1.18.7-asm.21

Cloud Service Mesh v1.17 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。Cloud Service Mesh 1.18 以降にアップグレードする必要があります。

CVE-2024-30255

説明 重大度 メモ

255 文字を超える「:authority」ヘッダーで auto_sni を使用する場合の異常終了。

必要な対策

クラスタが影響を受けるか確認する

すべての Cloud Service Mesh バージョンがこの CVE の影響を受けます。

緩和策

マネージド Cloud Service Mesh を実行している場合は、何もする必要はありません。システムは数日以内に自動的に更新されます。

クラスタ内 Cloud Service Mesh を実行している場合は、クラスタを次のパッチ適用済みバージョンのいずれかにアップグレードする必要があります。

  • 1.20.6-asm.0
  • 1.19.10-asm.0
  • 1.18.7-asm.21

Cloud Service Mesh v1.17 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。Cloud Service Mesh 1.18 以降にアップグレードする必要があります。

CVE-2024-32475

説明 重大度 メモ

HTTP/2 CONTINUATION フレームが DoS 攻撃に利用される可能性があります。

必要な対策

クラスタが影響を受けるか確認する

すべての Cloud Service Mesh バージョンがこの CVE の影響を受けます。

緩和策

マネージド Cloud Service Mesh を実行している場合は、何もする必要はありません。システムは数日以内に自動的に更新されます。

クラスタ内 Cloud Service Mesh を実行している場合は、クラスタを次のパッチ適用済みバージョンのいずれかにアップグレードする必要があります。

  • 1.20.6-asm.0
  • 1.19.10-asm.0
  • 1.18.7-asm.21

Cloud Service Mesh v1.17 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。バージョン v1.18 以降にアップグレードする必要があります。

指定されていません

CVE-2023-45288

GCP-2024-007

公開: 2024-02-08

説明 重大度 メモ

Envoy がアイドル状態の時にクラッシュし、バックオフ間隔内で試行がタイムアウトするたびにリクエストが発生します。

必要な対策

マネージド Cloud Service Mesh を実行している場合は、何もする必要はありません。システムは数日以内に自動的に更新されます。

クラスタ内 Cloud Service Mesh を実行している場合は、クラスタを次のパッチ適用済みバージョンのいずれかにアップグレードする必要があります。

  • 1.20.3-asm.4
  • 1.19.7-asm.3
  • 1.18.7-asm.4
  • 1.17.8-asm.20

Anthos Service Mesh v1.17 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正は 1.17 にバックポートされていますが、1.18 以降にアップグレードする必要があります。

CVE-2024-23322

説明 重大度 メモ

URI テンプレート マッチャーが正規表現を使用して構成されている場合に、CPU 使用率が過剰になります。

必要な対策

マネージド Cloud Service Mesh を実行している場合は、何もする必要はありません。システムは数日以内に自動的に更新されます。

クラスタ内 Cloud Service Mesh を実行している場合は、クラスタを次のパッチ適用済みバージョンのいずれかにアップグレードする必要があります。

  • 1.20.3-asm.4
  • 1.19.7-asm.3
  • 1.18.7-asm.4
  • 1.17.8-asm.20

Anthos Service Mesh v1.17 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正は 1.17 にバックポートされていますが、1.18 以降にアップグレードする必要があります。

CVE-2024-23323

説明 重大度 メモ

プロキシ プロトコル フィルタで無効な UTF-8 メタデータが設定されている場合は、外部認証がバイパスされる可能性があります。

必要な対策

マネージド Cloud Service Mesh を実行している場合は、何もする必要はありません。システムは数日以内に自動的に更新されます。

クラスタ内 Cloud Service Mesh を実行している場合は、クラスタを次のパッチ適用済みバージョンのいずれかにアップグレードする必要があります。

  • 1.20.3-asm.4
  • 1.19.7-asm.3
  • 1.18.7-asm.4
  • 1.17.8-asm.20

Anthos Service Mesh v1.17 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正は 1.17 にバックポートされていますが、1.18 以降にアップグレードする必要があります。

CVE-2024-23324

説明 重大度 メモ

OS でサポートされていないアドレスタイプを使用すると Envoy がクラッシュする。

必要な対策

マネージド Cloud Service Mesh を実行している場合は、何もする必要はありません。システムは数日以内に自動的に更新されます。

クラスタ内 Cloud Service Mesh を実行している場合は、クラスタを次のパッチ適用済みバージョンのいずれかにアップグレードする必要があります。

  • 1.20.3-asm.4
  • 1.19.7-asm.3
  • 1.18.7-asm.4
  • 1.17.8-asm.20

Anthos Service Mesh v1.17 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正は 1.17 にバックポートされていますが、1.18 以降にアップグレードする必要があります。

CVE-2024-23325

説明 重大度 メモ

コマンドタイプが LOCAL の場合、プロキシ プロトコルでクラッシュが発生します。

必要な対策

マネージド Cloud Service Mesh を実行している場合は、何もする必要はありません。システムは数日以内に自動的に更新されます。

クラスタ内 Cloud Service Mesh を実行している場合は、クラスタを次のパッチ適用済みバージョンのいずれかにアップグレードする必要があります。

  • 1.20.3-asm.4
  • 1.19.7-asm.3
  • 1.18.7-asm.4
  • 1.17.8-asm.20

Anthos Service Mesh v1.17 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正は 1.17 にバックポートされていますが、1.18 以降にアップグレードする必要があります。

CVE-2024-23327

GCP-2023-031

公開日: 2023 年 10 月 10 日

説明 重大度 メモ

HTTP/2 プロトコルを使用している場合、データプレーンがサービス拒否攻撃の影響を受ける可能性があります。

必要な対策

クラスタが影響を受けるか確認する

1.18.4、1.17.7、1.16.7 より前の Cloud Service Mesh パッチ バージョンを使用している場合、クラスタは影響を受けます。

緩和策

クラスタを次のパッチ バージョンのいずれかにアップグレードします。

  • 1.18.4-asm.0
  • 1.17.7-asm.0
  • 1.16.7-asm.10

マネージド Cloud Service Mesh を実行している場合、システムは数日以内に自動的に更新されます。

Cloud Service Mesh v1.15 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。v1.16 以上にアップグレードする必要があります。

CVE-2023-44487

GCP-2023-021

更新日: 2023 年 7 月 26 日

公開日 : 2022 年 7 月 25 日
説明 重大度

悪意のあるクライアントが、特定のシナリオで永続的な認証情報を使用して認証情報を作成することが可能です。たとえば、HMAC ペイロードのホストと有効期限の組み合わせが、OAuth2 フィルタの HMAC チェックで常に有効になる可能性があります。

必要な対策

クラスタが影響を受けるか確認する

以下より前の Cloud Service Mesh パッチ バージョンを使用している場合、クラスタは影響を受けます。

  • 1.17.4
  • 1.16.6
  • 1.15.7
対策

クラスタを次のパッチ バージョンのいずれかにアップグレードします。

  • 1.17.5-asm.0
  • 1.16.7-asm.0
  • 1.15.7-asm.23

マネージド Cloud Service Mesh を実行している場合、システムは数日以内に自動的に更新されます。

Anthos Service Mesh 1.14 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。ASM 1.15 以降にアップグレードする必要があります。

CVE-2023-35941

説明 重大度

リスナーのグローバル スコープを使用する gRPC アクセス ロガーにより、リスナーがドレインされたときに use-after-free クラッシュが発生する可能性があります。これは、同じ gRPC アクセスログ構成の LDS 更新によってトリガーされる可能性があります。

必要な対策

クラスタが影響を受けるか確認する

以下より前の Cloud Service Mesh パッチ バージョンを使用している場合、クラスタは影響を受けます。

  • 1.17.4
  • 1.16.6
  • 1.15.7
対策

クラスタを次のパッチ バージョンのいずれかにアップグレードします。

  • 1.17.5-asm.0
  • 1.16.7-asm.0
  • 1.15.7-asm.23

マネージド Cloud Service Mesh を実行している場合、システムは数日以内に自動的に更新されます。

Anthos Service Mesh 1.14 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。ASM 1.15 以降にアップグレードする必要があります。

CVE-2023-35942

説明 重大度

origin ヘッダーが request_headers_to_remove: origin で削除されるように構成されている場合、CORS フィルタがセグメンテーション違反になり Envoy がクラッシュします。

必要な対策

クラスタが影響を受けるか確認する

以下より前の Cloud Service Mesh パッチ バージョンを使用している場合、クラスタは影響を受けます。

  • 1.17.4
  • 1.16.6
  • 1.15.7
対策

クラスタを次のパッチ バージョンのいずれかにアップグレードします。

  • 1.17.5-asm.0
  • 1.16.7-asm.0
  • 1.15.7-asm.23

マネージド Cloud Service Mesh を実行している場合、システムは数日以内に自動的に更新されます。

Anthos Service Mesh 1.14 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。ASM 1.15 以降にアップグレードする必要があります。

CVE-2023-35943

説明 重大度

攻撃者が混合スキームのリクエストを送信して、Envoy の一部のスキーム チェックをバイパスできます。たとえば、混合スキームの HTTP を含むリクエストが OAuth2 フィルタに送信された場合、HTTP の完全一致チェックに失敗し、スキームが HTTPS であるとリモート エンドポイントに通知されるため、HTTP リクエストに固有の OAuth2 チェックがバイパスされる可能性があります。

必要な対策

クラスタが影響を受けるか確認する

以下より前の Cloud Service Mesh パッチ バージョンを使用している場合、クラスタは影響を受けます。

  • 1.17.4
  • 1.16.6
  • 1.15.7
対策

クラスタを次のパッチ バージョンのいずれかにアップグレードします。

  • 1.17.5-asm.0
  • 1.16.7-asm.0
  • 1.15.7-asm.23

マネージド Cloud Service Mesh を実行している場合、システムは数日以内に自動的に更新されます。

Anthos Service Mesh 1.14 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。ASM 1.15 以降にアップグレードする必要があります。

CVE-2023-35944

GCP-2023-019

説明 重大度

信頼できないアップストリーム サービスからの特別に作成されたレスポンスによって、メモリが枯渇しサービス拒否が発生する可能性があります。これは、Envoy の HTTP/2 コーデックが原因であり、アップストリーム サーバーから RST_STREAMを受信した直後に GOAWAY フレームを受信すると、ヘッダーマップとブックキーピング構造のメモリリークが発生する可能性があります。

必要な対策

クラスタが影響を受けるか確認する

以下より前の Cloud Service Mesh パッチ バージョンを使用している場合、クラスタは影響を受けます。

  • 1.17.4
  • 1.16.6
  • 1.15.7
対策

クラスタを次のパッチ バージョンのいずれかにアップグレードします。

  • 1.17.4-asm.2
  • 1.16.6-asm.3
  • 1.15.7-asm.21

マネージド Cloud Service Mesh を実行している場合、システムは数日以内に自動的に更新されます。

Anthos Service Mesh 1.14 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。ASM 1.15 以降にアップグレードする必要があります。

CVE-2023-35945

GCP-2023-002

説明 重大度

Envoy が OAuth フィルタを有効にして公開された状態で実行されている場合に、悪意のある行為者が Envoy をクラッシュさせてサービス拒否攻撃を引き起こすリクエストを作成できます。

必要な対策

クラスタが影響を受けるか確認する

Cloud Service Mesh のパッチ バージョンが以下より前のものを使用している場合、クラスタが影響を受けます。

  • 1.16.4
  • 1.15.7
  • 1.14.6
対策

クラスタを次のパッチ バージョンのいずれかにアップグレードします。

  • 1.16.4-asm.2
  • 1.15.7-asm.1
  • 1.14.6-asm.11

Cloud Service Mesh v1.13 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。Cloud Service Mesh 1.14 以降にアップグレードする必要があります。

CVE-2023-27496

説明 重大度

攻撃者は、この脆弱性を利用して ext_authz の使用時に認証チェックをバイパスできます。

必要な対策

クラスタが影響を受けるか確認する

Cloud Service Mesh のパッチ バージョンが以下より前のものを使用している場合、クラスタが影響を受けます。

  • 1.16.4
  • 1.15.7
  • 1.14.6
対策

クラスタを次のパッチ バージョンのいずれかにアップグレードします。

  • 1.16.4-asm.2
  • 1.15.7-asm.1
  • 1.14.6-asm.11

Cloud Service Mesh v1.13 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。Cloud Service Mesh 1.14 以降にアップグレードする必要があります。

CVE-2023-27488

説明 重大度

また、Envoy の構成には、リクエストからの入力を使用して生成されたリクエスト ヘッダー(ピア証明書 SAN)を追加するオプションも含める必要があります。

必要な対策

クラスタが影響を受けるか確認する

Cloud Service Mesh のパッチ バージョンが以下より前のものを使用している場合、クラスタが影響を受けます。

  • 1.16.4
  • 1.15.7
  • 1.14.6
対策

クラスタを次のパッチ バージョンのいずれかにアップグレードします。

  • 1.16.4-asm.2
  • 1.15.7-asm.1
  • 1.14.6-asm.11

Cloud Service Mesh v1.13 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。Cloud Service Mesh 1.14 以降にアップグレードする必要があります。

CVE-2023-27493

説明 重大度

攻撃者は、Lua フィルタを有効にしているルートに対し、大きなリクエスト本文を送信してクラッシュを引き起こせます。

必要な対策

クラスタが影響を受けるか確認する

Cloud Service Mesh のパッチ バージョンが以下より前のものを使用している場合、クラスタが影響を受けます。

  • 1.16.4
  • 1.15.7
  • 1.14.6
対策

クラスタを次のパッチ バージョンのいずれかにアップグレードします。

  • 1.16.4-asm.2
  • 1.15.7-asm.1
  • 1.14.6-asm.11

Cloud Service Mesh v1.13 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。Cloud Service Mesh 1.14 以降にアップグレードする必要があります。

CVE-2023-27492

説明 重大度

攻撃者は、特別に細工された HTTP/2 または HTTP/3 リクエストを送信して、HTTP/1 アップストリーム サービスで解析エラーを誘発させることができます。

必要な対策

クラスタが影響を受けるか確認する

Cloud Service Mesh のパッチ バージョンが以下より前のものを使用している場合、クラスタが影響を受けます。

  • 1.16.4
  • 1.15.7
  • 1.14.6
対策

クラスタを次のパッチ バージョンのいずれかにアップグレードします。

  • 1.16.4-asm.2
  • 1.15.7-asm.1
  • 1.14.6-asm.11

Cloud Service Mesh v1.13 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。Cloud Service Mesh 1.14 以降にアップグレードする必要があります。

CVE-2023-27491

説明 重大度

ヘッダー「x-envoy-original-path」は内部ヘッダーである必要がありますが、信頼できないクライアントから送信された場合、Envoy はリクエスト処理の開始時にこのヘッダーをリクエストから削除しません。

必要な対策

クラスタが影響を受けるか確認する

Cloud Service Mesh のパッチ バージョンが以下より前のものを使用している場合、クラスタが影響を受けます。

  • 1.16.4
  • 1.15.7
  • 1.14.6
対策

クラスタを次のパッチ バージョンのいずれかにアップグレードします。

  • 1.16.4-asm.2
  • 1.15.7-asm.1
  • 1.14.6-asm.11

Cloud Service Mesh v1.13 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。Cloud Service Mesh 1.14 以降にアップグレードする必要があります。

CVE-2023-27487

GCP-2022-020

公開日: 2022 年 10 月 5 日
更新日: 2022 年 10 月 12 日
2022-年 10-月 12 日の更新: CVE の説明へのリンクを更新し、マネージド Cloud Service Mesh の自動更新に関する情報を追加しました。
説明 重大度

Istio コントロール プレーン istiod はリクエスト処理中のエラーに対して脆弱で、悪意のある攻撃者が特別に細工されたメッセージを送信すると、クラスタの検証 Webhook が公開されたときにコントロール プレーンがクラッシュします。このエンドポイントは TLS ポート 15017 経由で提供されますが、攻撃者からの認証は必要ありません。

必要な対策

クラスタが影響を受けるか確認する

1.14.4、1.13.8、1.12.9 より前の Cloud Service Mesh パッチ バージョンを使用している場合、クラスタは影響を受けます。

対策

スタンドアロンの Cloud Service Mesh を実行している場合は、クラスタを次のパッチ適用済みバージョンのいずれかにアップグレードしてください。

  • Anthos Service Mesh 1.14 を使用している場合は、v1.14.4-asm.2 にアップグレードします
  • Anthos Service Mesh 1.13 を使用している場合は、v1.13.8-asm.4 にアップグレードします
  • Anthos Service Mesh 1.12 を使用している場合は、v1.12.9-asm.3 にアップグレードします

マネージド Cloud Service Mesh を実行している場合、システムは数日以内に自動的に更新されます。

Cloud Service Mesh v1.11 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。Cloud Service Mesh 1.12 以降にアップグレードする必要があります。

CVE-2022-39278

GCP-2022-015

公開日: 2022 年 6 月 9 日
更新日: 2022 年 6 月 10 日
2022 年 6 月 10 日の更新: Cloud Service Mesh のパッチ バージョンが更新されました。
説明 重大度 メモ

Istio データプレーンは、メタデータ交換と統計拡張機能が有効になっている場合、メモリに安全にアクセスできない可能性があります。

必要な対策

クラスタが影響を受けるか確認する

1.13.4-asm.4、1.12.7-asm.2、または 1.11.8-asm.4 より前の Cloud Service Mesh パッチ バージョンを使用している場合、クラスタが影響を受けます。

Cloud Service Mesh の緩和策

クラスタを次のいずれかのパッチ バージョンにアップグレードします。

  • 1.13.4-asm.4
  • 1.12.7-asm.2
  • 1.11.8-asm.4

Cloud Service Mesh v1.10 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。Cloud Service Mesh 1.11 以降にアップグレードする必要があります。詳細については、以前のバージョンからのアップグレード(GKE)または以前のバージョンからのアップグレード(オンプレミス)をご覧ください。

CVE-2022-31045

説明 重大度 メモ

悪意のある攻撃者が高度に圧縮済みの小さなペイロード(ZIP 爆弾攻撃とも知られている)を渡すと、データが中間バッファの上限を超えることがあります。

必要な対策

クラスタが影響を受けるか確認する

1.13.4-asm.4、1.12.7-asm.2、または 1.11.8-asm.4 より前の Cloud Service Mesh パッチ バージョンを使用している場合、クラスタが影響を受けます。

Cloud Service Mesh は Envoy フィルタをサポートしていませんが、解凍フィルタを使用すると影響を受ける可能性があります。

Cloud Service Mesh の緩和策

クラスタを次のいずれかのパッチ バージョンにアップグレードします。

  • 1.13.4-asm.4
  • 1.12.7-asm.2
  • 1.11.8-asm.4

Cloud Service Mesh v1.10 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。Cloud Service Mesh 1.11 以降にアップグレードする必要があります。詳細については、以前のバージョンからのアップグレード(GKE)または以前のバージョンからのアップグレード(オンプレミス)をご覧ください。

Envoy の緩和策

独自の Envoy を管理しているユーザーは、Envoy リリース 1.22.1 を使用する必要があります。独自の Envoy を管理する Envoy ユーザーは、GitHub などのソースからバイナリをビルドしてデプロイします。

マネージド Envoy(Google Cloud が Envoy バイナリを提供)を実行しているユーザーが行う必要がある操作はありません。Cloud プロダクトは 1.22.1 に切り替わります。

CVE-2022-29225

説明 重大度 メモ

GrpcHealthCheckerImpl での null ポインタ逆参照の可能性。

必要な対策

クラスタが影響を受けるか確認する

1.13.4-asm.4、1.12.7-asm.2、または 1.11.8-asm.4 より前の Cloud Service Mesh パッチ バージョンを使用している場合、クラスタが影響を受けます。

Cloud Service Mesh の緩和策

クラスタを次のいずれかのパッチ バージョンにアップグレードします。

  • 1.13.4-asm.4
  • 1.12.7-asm.2
  • 1.11.8-asm.4

Cloud Service Mesh v1.10 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。Cloud Service Mesh 1.11 以降にアップグレードする必要があります。詳細については、以前のバージョンからのアップグレード(GKE)または以前のバージョンからのアップグレード(オンプレミス)をご覧ください。

Envoy の緩和策

独自の Envoy を管理しているユーザーは、Envoy リリース 1.22.1 を使用する必要があります。独自の Envoy を管理する Envoy ユーザーは、GitHub などのソースからバイナリをビルドしてデプロイします。

マネージド Envoy(Google Cloud が Envoy バイナリを提供)を実行しているユーザーが行う必要がある操作はありません。Cloud プロダクトは 1.22.1 に切り替わります。

CVE-2021-29224

説明 重大度 メモ

OAuth フィルタは自明なバイパスを許可します。

必要な対策

クラスタが影響を受けるか確認する

1.13.4-asm.4、1.12.7-asm.2、または 1.11.8-asm.4 より前の Cloud Service Mesh パッチ バージョンを使用している場合、クラスタが影響を受けます。

Cloud Service Mesh では Envoy フィルタはサポートされていませんが、OAuth フィルタを使用すると影響を受ける可能性があります。

Cloud Service Mesh の緩和策

クラスタを次のいずれかのパッチ バージョンにアップグレードします。

  • 1.13.4-asm.4
  • 1.12.7-asm.2
  • 1.11.8-asm.4

Cloud Service Mesh v1.10 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。Cloud Service Mesh 1.11 以降にアップグレードする必要があります。詳細については、以前のバージョンからのアップグレード(GKE)または以前のバージョンからのアップグレード(オンプレミス)をご覧ください。

Envoy の緩和策

独自の Envoy を管理している Envoy ユーザーもOAuth フィルタを使用して、Envoy リリース 1.22.1 を使用していることを確認する必要があります。独自の Envoy を管理している Envoy ユーザーは、GitHub などのソースからバイナリをビルドしてデプロイします。

マネージド Envoy(Google Cloud が Envoy バイナリを提供)を実行しているユーザーが行う必要がある操作はありません。Cloud プロダクトは 1.22.1 に切り替わります。

重大

CVE-2021-29226

説明 重大度 メモ

OAuth フィルタは、メモリ(以前のバージョン)を破損させるか、ASSERT()(それ以降のバージョン)をトリガーできます。

必要な対策

クラスタが影響を受けるか確認する

1.13.4-asm.4、1.12.7-asm.2、または 1.11.8-asm.4 より前の Cloud Service Mesh パッチ バージョンを使用している場合、クラスタが影響を受けます。

Cloud Service Mesh では Envoy フィルタはサポートされていませんが、OAuth フィルタを使用すると影響を受ける可能性があります。

Cloud Service Mesh の緩和策

クラスタを次のいずれかのパッチ バージョンにアップグレードします。

  • 1.13.4-asm.4
  • 1.12.7-asm.2
  • 1.11.8-asm.4

Cloud Service Mesh v1.10 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。Cloud Service Mesh 1.11 以降にアップグレードする必要があります。

Envoy の緩和策

独自の Envoy を管理している Envoy ユーザーもOAuth フィルタを使用して、Envoy リリース 1.22.1 を使用していることを確認する必要があります。独自の Envoy を管理している Envoy ユーザーは、GitHub などのソースからバイナリをビルドしてデプロイします。

マネージド Envoy(Google Cloud が Envoy バイナリを提供)を実行しているユーザーが行う必要がある操作はありません。Cloud プロダクトは 1.22.1 に切り替わります。

CVE-2022-29228

説明 重大度 メモ

本文または後書きを含むリクエストに対して内部リダイレクトがクラッシュする。

必要な対策

クラスタが影響を受けるか確認する

1.13.4-asm.4、1.12.7-asm.2、または 1.11.8-asm.4 より前の Cloud Service Mesh パッチ バージョンを使用している場合、クラスタが影響を受けます。

Cloud Service Mesh の緩和策

クラスタを次のいずれかのパッチ バージョンにアップグレードします。

  • 1.13.4-asm.4
  • 1.12.7-asm.2
  • 1.11.8-asm.4

Cloud Service Mesh v1.10 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。Cloud Service Mesh 1.11 以降にアップグレードする必要があります。詳細については、以前のバージョンからのアップグレード(GKE)または以前のバージョンからのアップグレード(オンプレミス)をご覧ください。

Envoy の緩和策

独自の Envoy を管理しているユーザーは、Envoy リリース 1.22.1 を使用する必要があります。独自の Envoy を管理する Envoy ユーザーは、GitHub などのソースからバイナリをビルドしてデプロイします。

マネージド Envoy(Google Cloud が Envoy バイナリを提供)を実行しているユーザーが行う必要がある操作はありません。Cloud プロダクトは 1.22.1 に切り替わります。

CVE-2022-29227

GCP-2022-010

公開日: 2022 年 3 月 10 日
最終更新日: 2022 年 3 月 16 日
説明 重大度 メモ

Istio コントロール プレーン、istiod はリクエスト処理中のエラーに対して脆弱で、悪意のある攻撃者が特別に細工されたメッセージを送信すると、クラスタの検証 Webhook が公開されたときにコントロール プレーンがクラッシュします。このエンドポイントは TLS ポート 15017 経由で提供されますが、攻撃者からの認証は必要ありません。

必要な対策

クラスタが影響を受けるか確認する

すべての Cloud Service Mesh バージョンがこの CVE の影響を受けます。

注: マネージド コントロール プレーンを使用している場合、この脆弱性はすでに修正されており、影響を受けません。

対策

クラスタを次のパッチ バージョンのいずれかにアップグレードします。

  • 1.12.5-asm.0
  • 1.11.8-asm.0
  • 1.10.6-asm.2

Cloud Service Mesh v1.9 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。Cloud Service Mesh 1.10 以降にアップグレードする必要があります。

CVE-2022-24726

GCP-2022-007

公開日: 2022 年 2 月 22 日
説明 重大度 メモ

Istio は、特別に細工された authorization ヘッダーを含むリクエストを受信するとクラッシュします。

必要な対策

クラスタが影響を受けるか確認する

次の両方の条件に該当する場合、クラスタはこの問題の影響を受けます。

  • 1.12.4-asm.1、1.11.7-asm.1、1.10.6-asm.1 より前の Cloud Service Mesh パッチ バージョンを使用しています。

注: マネージド コントロール プレーンを使用している場合、この脆弱性はすでに修正されており、影響を受けません。

対策

クラスタを次のパッチ バージョンのいずれかにアップグレードします。

  • 1.12.4-asm.1
  • 1.11.7-asm.1
  • 1.10.6-asm.1

Cloud Service Mesh v1.9 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。Cloud Service Mesh 1.10 以降にアップグレードする必要があります。

CVE-2022-23635

説明 重大度 メモ

JWT フィルタ safe_regex の一致を使用すると null ポインタ逆参照が発生する可能性があります。

必要な対策

クラスタが影響を受けるか確認する

次の両方の条件に該当する場合、クラスタはこの問題の影響を受けます。

  • 1.12.4-asm.1、1.11.7-asm.1、1.10.6-asm.1 より前の Cloud Service Mesh パッチ バージョンを使用しています。
  • Cloud Service Mesh は Envoy フィルタをサポートしていませんが、JWT フィルタ正規表現を使用すると影響を受ける可能性があります。
対策

クラスタを次のパッチ バージョンのいずれかにアップグレードします。

  • 1.12.4-asm.1
  • 1.11.7-asm.1
  • 1.10.6-asm.1

Cloud Service Mesh v1.9 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。Cloud Service Mesh 1.10 以降にアップグレードする必要があります。

CVE-2021-43824

説明 重大度 メモ

レスポンス フィルタによってレスポンス データが増加し、ダウンストリーム バッファの上限を超えると、Use-after-free が実行される可能性があります。

必要な対策

クラスタが影響を受けるか確認する

次の両方の条件に該当する場合、クラスタはこの問題の影響を受けます。

  • 1.12.4-asm.1、1.11.7-asm.1、1.10.6-asm.1 より前の Cloud Service Mesh パッチ バージョンを使用しています。
  • Cloud Service Mesh は Envoy フィルタをサポートしていませんが、圧縮解除フィルタを使用すると影響を受ける可能性があります。
対策

クラスタを次のパッチ バージョンのいずれかにアップグレードします。

  • 1.12.4-asm.1
  • 1.11.7-asm.1
  • 1.10.6-asm.1

Cloud Service Mesh v1.9 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。Cloud Service Mesh 1.10 以降にアップグレードする必要があります。

CVE-2021-43825

説明 重大度 メモ

アップストリーム接続の確立中にダウンストリームが切断されると、TCP over HTTP トンネリングで Use-after-free が実行される可能性があります。

必要な対策

クラスタが影響を受けるか確認する

次の両方の条件に該当する場合、クラスタはこの問題の影響を受けます。

  • 1.12.4-asm.1、1.11.7-asm.1、1.10.6-asm.1 より前の Cloud Service Mesh パッチ バージョンを使用しています。
  • Cloud Service Mesh は Envoy フィルタをサポートしていませんが、トンネリング フィルタを使用すると影響を受ける可能性があります。
対策

クラスタを次のパッチ バージョンのいずれかにアップグレードします。

  • 1.12.4-asm.1
  • 1.11.7-asm.1
  • 1.10.6-asm.1

Cloud Service Mesh v1.9 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。Cloud Service Mesh 1.10 以降にアップグレードする必要があります。

CVE-2021-43826

説明 重大度 メモ

構成処理が適切でないため、検証設定の変更後に再検証が行われず、mTLS セッションが再利用される可能性があります。

必要な対策

クラスタが影響を受けるか確認する

次の両方の条件に該当する場合、クラスタはこの問題の影響を受けます。

  • 1.12.4-asm.1、1.11.7-asm.1、1.10.6-asm.1 より前の Cloud Service Mesh パッチ バージョンを使用しています。
  • mTLS を使用するすべての Cloud Service Mesh サービスが、この CVE の影響を受けます。
対策

クラスタを次のパッチ バージョンのいずれかにアップグレードします。

  • 1.12.4-asm.1
  • 1.11.7-asm.1
  • 1.10.6-asm.1

Cloud Service Mesh v1.9 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。Cloud Service Mesh 1.10 以降にアップグレードする必要があります。

CVE-2022-21654

説明 重大度 メモ

ダイレクト レスポンス エントリを含むルートへの内部リダイレクトの処理が正しく行われません。

必要な対策

クラスタが影響を受けるか確認する

次の両方の条件に該当する場合、クラスタはこの問題の影響を受けます。

  • 1.12.4-asm.1、1.11.7-asm.1、1.10.6-asm.1 より前の Cloud Service Mesh パッチ バージョンを使用しています。
  • Cloud Service Mesh は Envoy フィルタをサポートしていませんが、ダイレクト レスポンス フィルタを使用すると影響を受ける可能性があります。
対策

クラスタを次のパッチ バージョンのいずれかにアップグレードします。

  • 1.12.4-asm.1
  • 1.11.7-asm.1
  • 1.10.6-asm.1

Cloud Service Mesh v1.9 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。Cloud Service Mesh 1.10 以降にアップグレードする必要があります。

CVE-2022-21655

説明 重大度 メモ

クラスタ ディスカバリ サービスを介してクラスタが削除されると、スタックが枯渇します。

必要な対策

クラスタが影響を受けるか確認する

次の両方の条件に該当する場合、クラスタはこの問題の影響を受けます。

  • 1.12.4-asm.1 または 1.11.7-asm.1 より前の Cloud Service Mesh パッチ バージョンを使用します。
対策

クラスタを次のパッチ バージョンのいずれかにアップグレードします。

  • 1.12.4-asm.1
  • 1.11.7-asm.1

Cloud Service Mesh v1.9 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。Cloud Service Mesh 1.10 以降にアップグレードする必要があります。

CVE-2022-23606

GCP-2021-016

公開日: 2021 年 8 月 24 日
説明 重大度 メモ

Istio にリモートから悪用可能な脆弱性が存在します。HTTP リクエストの URI パスにフラグメント(URI の最後の # 文字で始まるセクション)があると、Istio の URI パスベースの認可ポリシーがバイパスされる可能性があります。

たとえば、Istio 認可ポリシーでは、URI パス /user/profile に送信されたリクエストを拒否します。脆弱なバージョンでは、URI パス /user/profile#section1 を含むリクエストが拒否ポリシーをバイパスし、(正規化された URI パス /user/profile%23section1 を使用して)バックエンドに転送されるため、セキュリティ インシデントが発生します。

この修正は、CVE-2021-32779 に関連する Envoy での修正に依存しています。

必要な対策

影響があるクラスタ

次の両方の条件に該当する場合、クラスタはこの問題の影響を受けます。

対策

クラスタを次のパッチ バージョンのいずれかにアップグレードします。

  • 1.10.4-asm.6
  • 1.9.8-asm.1
  • 1.8.6-asm.8
  • 1.7.8-asm.10

新しいバージョンでは、認可とルーティングの前にリクエストの URI のフラグメント部分が削除されます。これにより、フラグメント部分のない URI に基づく認可ポリシーが、URI にフラグメントが存在するリクエストによってバイパスされることがなくなります。

オプトアウト

この新しい動作をオプトアウトした場合、URI のフラグメント セクションは保持されます。オプトアウトするには、次のようにインストールを構成します。

apiVersion: install.istio.io/v1alpha1
kind: IstioOperator
metadata:
  name: opt-out-fragment-cve-fix
  namespace: istio-system
spec:
  meshConfig:
    defaultConfig:
      proxyMetadata:
        HTTP_STRIP_FRAGMENT_FROM_PATH_UNSAFE_IF_DISABLED: "false"

注: この動作をオプトアウトすると、クラスタはこの CVE に対して脆弱になります。

CVE-2021-39156

説明 重大度 メモ

Istio にリモートから悪用可能な脆弱性が存在します。hosts または notHosts に基づくルールを使用している場合に、HTTP リクエストが Istio 認可ポリシーをバイパスする可能性があります。

脆弱なバージョンでは、Istio 認可ポリシーが大文字と小文字を区別する方法で HTTP Host または :authority のヘッダーを比較しますが、この動作には RFC 4343 との一貫性が欠落しています。たとえば、ユーザーがホスト secret.com でリクエストを拒否する認可ポリシーを設定していても、攻撃者はホスト名 Secret.com でリクエストを送信することで、このポリシーをバイパスできます。ルーティング フローにより secret.com のバックエンドにトラフィックがルーティングされ、セキュリティ インシデントが発生します。

必要な対策

影響があるクラスタ

次の両方の条件に該当する場合、クラスタはこの問題の影響を受けます。

対策

クラスタを次のパッチ バージョンのいずれかにアップグレードします。

  • 1.10.4-asm.6
  • 1.9.8-asm.1
  • 1.8.6-asm.8
  • 1.7.8-asm.10

この緩和策により、大文字と小文字を区別せずに HTTP Host または :authority のヘッダーと認可ポリシーの hosts または notHosts の仕様が比較されます。

CVE-2021-39155

説明 重大度 メモ

Envoy にリモートから悪用可能な脆弱性が存在します。ext_authz 拡張機能が使用されている場合に、複数のヘッダー値を持つ HTTP リクエストに対して不完全な認可ポリシー チェックが行われる可能性があります。リクエスト ヘッダーに複数の値が含まれている場合、外部認可サーバーは指定されたヘッダーの最後の値のみを認識します。

必要な対策

影響があるクラスタ

次の両方の条件に該当する場合、クラスタはこの問題の影響を受けます。

  • 1.7.8-asm.10、1.8.6-asm.8、1.9.8-asm.1、1.10.4-asm.6 より前の Cloud Service Mesh パッチ バージョンを使用しています。
  • 外部認証機能を使用している。
対策

クラスタを次のパッチ バージョンのいずれかにアップグレードします。

  • 1.10.4-asm.6
  • 1.9.8-asm.1
  • 1.8.6-asm.8
  • 1.7.8-asm.10

CVE-2021-32777

説明 重大度 メモ

Envoy にリモートから悪用可能な脆弱性が存在します。Envoy の decompressorjson-transcodergrpc-web の拡張機能、またはリクエスト本文とレスポンス本文のサイズを変更して拡大する独自の拡張機能はこの問題の影響を受けます。Envoy の拡張機能で本文のサイズを変更し、内部バッファサイズより大きくすると、Envoy が割り当て解除されたメモリにアクセスし、異常終了する可能性があります。

必要な対策

影響があるクラスタ

次の両方の条件に該当する場合、クラスタはこの問題の影響を受けます。

  • 1.7.8-asm.10、1.8.6-asm.8、1.9.8-asm.1、1.10.4-asm.6 より前の Cloud Service Mesh パッチ バージョンを使用しています。
  • EnvoyFilters を使用している。
対策

クラスタを次のパッチ バージョンのいずれかにアップグレードします。

  • 1.10.4-asm.6
  • 1.9.8-asm.1
  • 1.8.6-asm.8
  • 1.7.8-asm.10

CVE-2021-32781

説明 重大度 メモ

Envoy にリモートから悪用可能な脆弱性が存在します。Envoy クライアントが多数の HTTP/2 リクエストを開いてリセットすると、CPU が過剰に消費される可能性があります。

必要な対策

クラスタが影響を受けるか確認する

1.7.8-asm.10、1.8.6-asm.8、1.9.8-asm.1、1.10.4-asm.6 より前の Cloud Service Mesh パッチ バージョンを使用している場合、クラスタが影響を受けます。

対策

クラスタを次のパッチ バージョンのいずれかにアップグレードします。

  • 1.10.4-asm.6
  • 1.9.8-asm.1

注: Cloud Service Mesh 1.8 以前を使用している場合は、この脆弱性を軽減するために Cloud Service Mesh 1.9 以降の最新のパッチ バージョンにアップグレードしてください。

CVE-2021-32778

説明 重大度 メモ

Envoy にリモートから悪用可能な脆弱性が存在します。信頼できないアップストリーム サービスから GOAWAY フレームに続いて、SETTINGS_MAX_CONCURRENT_STREAMS パラメータが 0 に設定された SETTINGS フレームが送信され、Envoy が異常終了する可能性があります。

必要な対策

クラスタが影響を受けるか確認する

1.10.4-asm.6 より前のパッチ バージョンの Cloud Service Mesh 1.10 を使用する場合、クラスタは影響を受けます。

対策

クラスタを次のパッチ バージョンにアップグレードします。

  • 1.10.4-asm.6

CVE-2021-32780

GCP-2021-012

公開日: 2021 年 6 月 24 日
説明 重大度 メモ

Istio セキュア Gateway または DestinationRule を使用するワークロードは、TLS 秘密鍵と証明書を credentialName 経由で Kubernetes Secret から読み込みます。Istio 1.8 以降では、Secret は istiod から読み取られ、XDS 経由でゲートウェイとワークロードに渡されます。

通常、ゲートウェイまたはワークロードのデプロイは、その Namespace 内の Secret に保存された TLS 証明書と秘密鍵にのみアクセスできます。ただし、istiod のバグにより、Istio XDS API へのアクセスが承認されたクライアントは、istiod にキャッシュ保存された TLS 証明書と秘密鍵を取得できます。このセキュリティの脆弱性は、Cloud Service Mesh の 1.8 と 1.9 のマイナー リリースにのみ影響します。

必要な対策

影響があるクラスタ

次のすべての条件に該当する場合、クラスタが影響を受けます。

  • 1.9.6-asm.1 より前の 1.9.x バージョンまたは 1.8.6-asm.4 より前の 1.8.x を使用している。
  • credentialName フィールドを指定して Gateways または DestinationRules を定義している。
  • istiod フラグ PILOT_ENABLE_XDS_CACHE=false を指定していない。
対策

クラスタを次のいずれかのパッチ適用済みバージョンにアップグレードします。

  • 1.9.6-asm.1
  • 1.8.6-asm.4

アップグレードできない場合は、istiod のキャッシュを無効にして、この脆弱性を軽減できます。キャッシュを無効にするには、istiod 環境変数を PILOT_ENABLE_XDS_CACHE=false に設定します。XDS キャッシュが無効になるため、システムと istiod のパフォーマンスに影響が生じる可能性があります。

CVE-2021-34824

GCP-2021-008

公開日: 2021 年 5 月 17 日
説明 重大度 メモ

Istio には、ゲートウェイが AUTO_PASSTHROUGH ルーティング構成で構成されている場合に、リモートから悪用できる脆弱性が存在します。この脆弱性により、外部クライアントが認証チェックを回避し、クラスタ内の想定されていないサービスにアクセスされる可能性があります。

必要な対策

影響があるクラスタ

この脆弱性は、AUTO_PASSTHROUGH のゲートウェイ タイプを利用している場合のみ影響を受けます。通常、このゲートウェイ タイプは、マルチネットワーク、マルチクラスタ デプロイでのみ使用されます。

次のコマンドを使用して、クラスタ内のゲートウェイすべての TLS モードを検出します。

kubectl get gateways.networking.istio.io -A -o \
  "custom-columns=NAMESPACE:.metadata.namespace, \
  NAME:.metadata.name,TLS_MODE:.spec.servers[*].tls.mode"

出力に AUTO_PASSTHROUGH ゲートウェイが表示された場合、影響を受ける可能性があります。

対策

クラスタを最新の Cloud Service Mesh バージョンに更新します。

  • 1.9.5-asm.2
  • 1.8.6-asm.3
  • 1.7.8-asm.8

* 注: Cloud Service Mesh マネージド コントロール プレーン(1.9.x バージョンでのみ使用可能)のロールアウトは、数日中に完了します。

CVE-2021-31921

GCP-2021-007

公開日: 2021 年 5 月 17 日
説明 重大度 メモ

Istio には、パスベースの認証ルールが使用されている場合に、リモートから悪用できる脆弱性が含まれています。この脆弱性により、複数のスラッシュやエスケープされたスラッシュ文字(%2F または %5C)を含む HTTP リクエストパスが、Istio 認可ポリシーを迂回できる可能性があります。

Istio クラスタ管理者がパス "/admin" でリクエストを拒否する認可 DENY ポリシーを定義している場合、URL パス "//admin" に送信されたリクエストは、認可ポリシーによって拒否されません。

RFC 3986 に従い、複数のスラッシュを含むパス "//admin" は、技術的には "/admin" とは異なるパスとして扱われる必要があります。ただし、バックエンド サービスの中には、複数のスラッシュを単一のスラッシュに結合して URL パスを正規化することを選択するものもあります。これにより、認可ポリシー("//admin""/admin" と一致しない)が回避され、ユーザーはバックエンドのパス "/admin" でリソースにアクセスできるようになります。

必要な対策

影響があるクラスタ

「ALLOW アクション + notPaths フィールド」または「DENY アクション + paths フィールド」のパターンを使用する認可ポリシーがある場合、クラスタはこの脆弱性の影響を受けます。こうしたパターンは、想定していないポリシーの迂回に対して脆弱であるため、可能な限り速やかにアップグレードを行い、セキュリティの問題を修正する必要があります。

「DENY アクション + paths フィールド」パターンを使用する脆弱なポリシーの例を次に示します。

apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: deny-path-admin
spec:
  action: DENY
  rules:
  - to:
    - operation:
        paths: ["/admin"]

「ALLOW アクション + notPaths フィールド」パターンを使用する脆弱なポリシーの例を次に示します。

apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: allow-path-not-admin
spec:
  action: ALLOW
  rules:
  - to:
    - operation:
        notPaths: ["/admin"]

次の場合、クラスタはこの脆弱性の影響を受けません。

  • 認可ポリシーがない。
  • 認可ポリシーで pathsnotPaths フィールドを定義していない。
  • 認可ポリシーで、「ALLOW アクション + paths フィールド」または「DENY アクション + notPaths フィールド」のパターンを使用している。これらのパターンでは、ポリシーの迂回ではなく、想定していない拒否だけを引き起こす可能性があります。
  • このような場合は、アップグレードは任意です。

対策

クラスタを、サポートされている最新の Cloud Service Mesh バージョン* に更新します。これらのバージョンでは、標準化されたさらに多くのオプションを使用したシステム内の Envoy プロキシの構成がサポートされています。

  • 1.9.5-asm.2
  • 1.8.6-asm.3
  • 1.7.8-asm.8

* 注: Cloud Service Mesh マネージド コントロール プレーン(1.9.x バージョンでのみ使用可能)のロールアウトは、数日中に完了します。

Istio セキュリティのベスト プラクティス ガイドに従って、認可ポリシーを構成します。

CVE-2021-31920

GCP-2021-004

公開日: 2021 年 5 月 6 日
説明 重大度 メモ

最近、Envoy と Istio のプロジェクトは攻撃者が Envoy をクラッシュさせ、そのクラスタの一部をオフラインおよび到達不能にするおそれがあるいくつかの新しいセキュリティ上の脆弱性(CVE-2021-28682、CVE-2021-28683、CVE-2021-29258)を発表しました

これは、Cloud Service Mesh などの配信サービスに影響します。

必要な対策

これらの脆弱性を修正するには、Cloud Service Mesh バンドルを次のパッチ適用済みバージョンのいずれかにアップグレードしてください。

  • 1.9.3-asm.2
  • 1.8.5-asm.2
  • 1.7.8-asm.1
  • 1.6.14-asm.2

詳細については、Cloud Service Mesh のリリースノートをご覧ください。

CVE-2021-28682
CVE-2021-28683
CVE-2021-29258