Boletines de seguridad
Usa este feed XML para suscribirte a los boletines de seguridad de la malla de servicios de Anthos.
En esta página, se enumeran los boletines de seguridad de Anthos Service Mesh.
GCP‐2023‐019
Descripción | Gravedad | Notas |
---|---|---|
Una respuesta específica de un servicio ascendente que no es de confianza puede causar la denegación del servicio debido al agotamiento de la memoria. Esto se debe al códec HTTP/2 de Envoy que puede filtrar un mapa de encabezado y estructuras de contabilidad cuando recibe RST_STREAM inmediatamente seguido de los marcos GOAWAY de un servidor ascendente. ¿Qué debo hacer?Verifica si tus clústeres se ven afectadosTu clúster se verá afectado si usa versiones de parche de Anthos Service Mesh anteriores a
Actualiza el clúster a una de las siguientes versiones de parche:
Si ejecutas Anthos Service Mesh administrado, tu sistema se actualizará automáticamente en los próximos días. Si usas Anthos Service Mesh 1.14 o una versión anterior, la actualización alcanzó el final del ciclo de vida y ya no es compatible. Estas correcciones de CVE no se portaron a versiones anteriores. Debes actualizar a ASM 1.15 o una versión posterior. |
Alta |
GCP‐2023‐002
Descripción | Gravedad | Notas |
---|---|---|
Si Envoy se está ejecutando con el filtro de OAuth habilitado expuesto, un actor malicioso podría crear una solicitud que cause la denegación del servicio debido a una falla de Envoy. ¿Qué debo hacer?Verifica si tus clústeres se ven afectadosTus clústeres se ven afectados si usan versiones de parche de Anthos Service Mesh anteriores a la siguiente situación:
Actualiza el clúster a una de las siguientes versiones de parche:
Si usas la versión 1.13 o una anterior de Anthos Service Mesh, tu versión ya finalizó y no se admite. Estas correcciones de CVE no se portaron a versiones anteriores. Debes actualizar a Anthos Service Mesh 1.14 o una versión posterior. |
Media |
Descripción | Gravedad | Notas |
---|---|---|
El atacante puede usar esta vulnerabilidad para evitar las verificaciones de autenticación cuando se usa ext_authz. ¿Qué debo hacer?Verifica si tus clústeres se ven afectadosTus clústeres se ven afectados si usan versiones de parche de Anthos Service Mesh anteriores a la siguiente situación:
Actualiza el clúster a una de las siguientes versiones de parche:
Si usas la versión 1.13 o una anterior de Anthos Service Mesh, tu versión ya finalizó y no se admite. Estas correcciones de CVE no se portaron a versiones anteriores. Debes actualizar a Anthos Service Mesh 1.14 o una versión posterior. |
Media |
Descripción | Gravedad | Notas |
---|---|---|
La configuración de Envoy también debe incluir una opción para agregar encabezados de solicitud que se generaron con entradas de la solicitud, es decir, el SAN de certificado de intercambio de tráfico. ¿Qué debo hacer?Verifica si tus clústeres se ven afectadosTus clústeres se ven afectados si usan versiones de parche de Anthos Service Mesh anteriores a la siguiente situación:
Actualiza el clúster a una de las siguientes versiones de parche:
Si usas la versión 1.13 o una anterior de Anthos Service Mesh, tu versión ya finalizó y no se admite. Estas correcciones de CVE no se portaron a versiones anteriores. Debes actualizar a Anthos Service Mesh 1.14 o una versión posterior. |
Alta |
Descripción | Gravedad | Notas |
---|---|---|
Los atacantes pueden enviar cuerpos de solicitudes grandes para rutas que tienen habilitado el filtro Lua y activan fallas. ¿Qué debo hacer?Verifica si tus clústeres se ven afectadosTus clústeres se ven afectados si usan versiones de parche de Anthos Service Mesh anteriores a la siguiente situación:
Actualiza el clúster a una de las siguientes versiones de parche:
Si usas la versión 1.13 o una anterior de Anthos Service Mesh, tu versión ya finalizó y no se admite. Estas correcciones de CVE no se portaron a versiones anteriores. Debes actualizar a Anthos Service Mesh 1.14 o una versión posterior. |
Media |
Descripción | Gravedad | Notas |
---|---|---|
Los atacantes pueden enviar solicitudes HTTP/2 o HTTP/3 creadas de forma específica para activar los errores de análisis en el servicio ascendente HTTP/1. ¿Qué debo hacer?Verifica si tus clústeres se ven afectadosTus clústeres se ven afectados si usan versiones de parche de Anthos Service Mesh anteriores a la siguiente situación:
Actualiza el clúster a una de las siguientes versiones de parche:
Si usas la versión 1.13 o una anterior de Anthos Service Mesh, tu versión ya finalizó y no se admite. Estas correcciones de CVE no se portaron a versiones anteriores. Debes actualizar a Anthos Service Mesh 1.14 o una versión posterior. |
Media |
Descripción | Gravedad | Notas |
---|---|---|
El encabezado x-envoy-original-path debe ser un encabezado interno, pero Envoy no quita este encabezado de la solicitud al comienzo del procesamiento de la solicitud cuando se envía desde un cliente que no es de confianza. ¿Qué debo hacer?Verifica si tus clústeres se ven afectadosTus clústeres se ven afectados si usan versiones de parche de Anthos Service Mesh anteriores a la siguiente situación:
Actualiza el clúster a una de las siguientes versiones de parche:
Si usas la versión 1.13 o una anterior de Anthos Service Mesh, tu versión ya finalizó y no se admite. Estas correcciones de CVE no se portaron a versiones anteriores. Debes actualizar a Anthos Service Mesh 1.14 o una versión posterior. |
Alta |
GCP-2022-020
Fecha de publicación: 5 de octubre de 2022Última actualización: 12 de octubre de 2022
Actualización del 12 de octubre de 2022: Se actualizó el vínculo a la descripción de CVE y se agregó información sobre actualizaciones automáticas para Anthos Service Mesh administrado.
Descripción | Gravedad | Notas |
---|---|---|
El plano de control de Istio, istiod, es vulnerable a un error de procesamiento de solicitudes, lo que permite que un atacante malicioso envíe un mensaje creado especialmente a fin de que el plano de control falle cuando el webhook de validación para un clúster se expone públicamente. Este extremo se entrega a través del puerto TLS 15017, pero no requiere ninguna autenticación del atacante. ¿Qué debo hacer?Verifica si tus clústeres se ven afectadosTu clúster se ve afectado si usa versiones de parche de Anthos Service Mesh anteriores a 1.14.4, 1.13.8 o 1.12.9. MitigaciónSi ejecutas Anthos Service Mesh independiente, actualiza tu clúster a una de las siguientes versiones con parche:
Si ejecutas Anthos Service Mesh administrado, tu sistema se actualizará automáticamente en los próximos días. Si usas Anthos Service Mesh v1.11 o una versión anterior, tu versión llegó al final del ciclo de vida y ya no es compatible. Estas correcciones de CVE no se portaron a versiones anteriores. Debes actualizar a Anthos Service Mesh 1.12 o una versión posterior. |
Alta |
GCP-2022-015
Fecha de publicación: 9/6/2022Última actualización: 10/06/2022
Actualización del 10/06/2022: Se actualizaron las versiones del parche para Anthos Service Mesh.
Descripción | Gravedad | Notas |
---|---|---|
El plano de datos de Istio puede acceder a la memoria de forma insegura cuando se habilitan las extensiones de estadísticas e intercambio de metadatos. ¿Qué debo hacer?Verifica si tus clústeres se ven afectadosTu clúster se ve afectado si usa versiones de parche de Anthos Service Mesh anteriores a 1.13.4-asm.4, 1.12.7-asm.2 o 1.11.8-asm.4. Mitigación de Anthos Service MeshActualiza el clúster a una de las siguientes versiones de parche:
Si usas Anthos Service Mesh v1.10 o una versión anterior, tu versión llegó al final del ciclo de vida y ya no es compatible. Estas correcciones de CVE no se portaron a versiones anteriores. Debes actualizar a Anthos Service Mesh 1.11 o una versión posterior. Para obtener más información, consulta Actualiza desde versiones anteriores (GKE) o Actualiza desde versiones anteriores (locales). |
Alta |
Descripción | Gravedad | Notas |
---|---|---|
Los datos pueden exceder los límites de búfer intermedios si un atacante malicioso pasa una carga útil pequeña altamente comprimida (también conocida como ataque de bomba zip). ¿Qué debo hacer?Verifica si tus clústeres se ven afectadosTu clúster se ve afectado si usa versiones de parche de Anthos Service Mesh anteriores a 1.13.4-asm.4, 1.12.7-asm.2 o 1.11.8-asm.4. Aunque Anthos Service Mesh no admite filtros de Envoy, es posible que te veas afectado si usas un filtro de descompresión. Mitigación de Anthos Service MeshActualiza el clúster a una de las siguientes versiones de parche:
Si usas Anthos Service Mesh v1.10 o una versión anterior, tu versión llegó al final del ciclo de vida y ya no es compatible. Estas correcciones de CVE no se portaron a versiones anteriores. Debes actualizar a Anthos Service Mesh 1.11 o una versión posterior. Para obtener más información, consulta Actualiza desde versiones anteriores (GKE) o Actualiza desde versiones anteriores (locales). Mitigación de EnvoyLos usuarios de Envoy que administran sus propios Envoys deben asegurarse de usar la versión 1.22.1 de Envoy. Los usuarios de Envoy que administran sus propios Envoys compilan los objetos binarios desde una fuente como GitHub y los implementan. No deben realizar ninguna acción los usuarios que ejecutan Envoys administrados (Google Cloud proporciona los objetos binarios de Envoy), para los que los productos de la nube cambiarán a la versión 1.22.1. |
Alta |
Descripción | Gravedad | Notas |
---|---|---|
Posible eliminación de referencia de puntero nulo en ¿Qué debo hacer?Verifica si tus clústeres se ven afectadosTu clúster se ve afectado si usa versiones de parche de Anthos Service Mesh anteriores a 1.13.4-asm.4, 1.12.7-asm.2 o 1.11.8-asm.4. Mitigación de Anthos Service MeshActualiza el clúster a una de las siguientes versiones de parche:
Si usas Anthos Service Mesh v1.10 o una versión anterior, tu versión llegó al final del ciclo de vida y ya no es compatible. Estas correcciones de CVE no se portaron a versiones anteriores. Debes actualizar a Anthos Service Mesh 1.11 o una versión posterior. Para obtener más información, consulta Actualiza desde versiones anteriores (GKE) o Actualiza desde versiones anteriores (locales). Mitigación de EnvoyLos usuarios de Envoy que administran sus propios Envoys deben asegurarse de usar la versión 1.22.1 de Envoy. Los usuarios de Envoy que administran sus propios Envoys compilan los objetos binarios desde una fuente como GitHub y los implementan. No deben realizar ninguna acción los usuarios que ejecutan Envoys administrados (Google Cloud proporciona los objetos binarios de Envoy), para los que los productos de la nube cambiarán a la versión 1.22.1. |
Media |
Descripción | Gravedad | Notas |
---|---|---|
El filtro OAuth permite la omisión trivial. ¿Qué debo hacer?Verifica si tus clústeres se ven afectadosTu clúster se ve afectado si usa versiones de parche de Anthos Service Mesh anteriores a 1.13.4-asm.4, 1.12.7-asm.2 o 1.11.8-asm.4. Aunque Anthos Service Mesh no admite filtros de Envoy, es posible que te veas afectado si usas un filtro de OAuth. Mitigación de Anthos Service MeshActualiza el clúster a una de las siguientes versiones de parche:
Si usas Anthos Service Mesh v1.10 o una versión anterior, tu versión llegó al final del ciclo de vida y ya no es compatible. Estas correcciones de CVE no se portaron a versiones anteriores. Debes actualizar a Anthos Service Mesh 1.11 o una versión posterior. Para obtener más información, consulta Actualiza desde versiones anteriores (GKE) o Actualiza desde versiones anteriores (locales). Mitigación de EnvoyLos usuarios de Envoy que administran sus propios Envoy y también usan el filtro de OAuth deben asegurarse de usar la versión 1.22.1 de Envoy. Los usuarios de Envoy que administran sus propios Envoys compilan los objetos binarios desde una fuente como GitHub y los implementan. No deben realizar ninguna acción los usuarios que ejecutan Envoys administrados (Google Cloud proporciona los objetos binarios de Envoy), para los que los productos de la nube cambiarán a la versión 1.22.1. |
Crítica |
Descripción | Gravedad | Notas |
---|---|---|
El filtro OAuth puede dañar la memoria (versiones anteriores) o activar un ASSERT() (versiones posteriores). ¿Qué debo hacer?Verifica si tus clústeres se ven afectadosTu clúster se ve afectado si usa versiones de parche de Anthos Service Mesh anteriores a 1.13.4-asm.4, 1.12.7-asm.2 o 1.11.8-asm.4. Aunque Anthos Service Mesh no admite filtros de Envoy, es posible que te veas afectado si usas un filtro de OAuth. Mitigación de Anthos Service MeshActualiza el clúster a una de las siguientes versiones de parche:
Si usas Anthos Service Mesh v1.10 o una versión anterior, tu versión llegó al final del ciclo de vida y ya no es compatible. Estas correcciones de CVE no se portaron a versiones anteriores. Debes actualizar a Anthos Service Mesh 1.11 o una versión posterior. Mitigación de EnvoyLos usuarios de Envoy que administran sus propios Envoy y también usan el filtro de OAuth deben asegurarse de usar la versión 1.22.1 de Envoy. Los usuarios de Envoy que administran sus propios Envoys compilan los objetos binarios desde una fuente como GitHub y los implementan. No deben realizar ninguna acción los usuarios que ejecutan Envoys administrados (Google Cloud proporciona los objetos binarios de Envoy), para los que los productos de la nube cambiarán a la versión 1.22.1. |
Alta |
Descripción | Gravedad | Notas |
---|---|---|
Los redireccionamientos internos fallan para las solicitudes con cuerpo o trailers. ¿Qué debo hacer?Verifica si tus clústeres se ven afectadosTu clúster se ve afectado si usa versiones de parche de Anthos Service Mesh anteriores a 1.13.4-asm.4, 1.12.7-asm.2 o 1.11.8-asm.4. Mitigación de Anthos Service MeshActualiza el clúster a una de las siguientes versiones de parche:
Si usas Anthos Service Mesh v1.10 o una versión anterior, tu versión llegó al final del ciclo de vida y ya no es compatible. Estas correcciones de CVE no se portaron a versiones anteriores. Debes actualizar a Anthos Service Mesh 1.11 o una versión posterior. Para obtener más información, consulta Actualiza desde versiones anteriores (GKE) o Actualiza desde versiones anteriores (locales). Mitigación de EnvoyLos usuarios de Envoy que administran sus propios Envoys deben asegurarse de usar la versión 1.22.1 de Envoy. Los usuarios de Envoy que administran sus propios Envoys compilan los objetos binarios desde una fuente como GitHub y los implementan. No deben realizar ninguna acción los usuarios que ejecutan Envoys administrados (Google Cloud proporciona los objetos binarios de Envoy), para los que los productos de la nube cambiarán a la versión 1.22.1. |
Alta |
GCP-2022-010
Fecha de publicación: 10/03/2022Última actualización: 16/03/2022
Descripción | Gravedad | Notas |
---|---|---|
El plano de control de Istio, istiod, es vulnerable a un error de procesamiento de solicitudes, lo que permite que un atacante malicioso envíe un mensaje creado especialmente a fin de que el plano de control falle cuando el webhook de validación para un clúster se expone públicamente. Este extremo se entrega a través del puerto TLS 15017, pero no requiere ninguna autenticación del atacante. ¿Qué debo hacer?Verifica si tus clústeres se ven afectadosTodas las versiones de Anthos Service Mesh se ven afectadas por esta CVE. Nota: Si usas el plano de control administrado, esta vulnerabilidad ya se corrigió y no te verás afectado. MitigaciónActualiza el clúster a una de las siguientes versiones de parche:
Si usas Anthos Service Mesh v1.9 o una versión anterior, debes saber que esa versión llegó al final del ciclo de vida y ya no es compatible. Estas correcciones de CVE no se portaron a versiones anteriores. Debes actualizar a Anthos Service Mesh 1.10 o una versión posterior. |
Alta |
GCP-2022-007
Fecha de publicación: 22 de febrero de 2022Descripción | Gravedad | Notas |
---|---|---|
Istiod falla cuando recibe solicitudes con un encabezado ¿Qué debo hacer?Verifica si tus clústeres se ven afectadosTu clúster se ve afectado si se cumplen las siguientes condiciones:
Nota: Si usas el plano de control administrado, esta vulnerabilidad ya se corrigió y no te verás afectado. MitigaciónActualiza el clúster a una de las siguientes versiones de parche:
Si usas Anthos Service Mesh v1.9 o una versión anterior, debes saber que esa versión llegó al final del ciclo de vida y ya no es compatible. Estas correcciones de CVE no se portaron a versiones anteriores. Debes actualizar a Anthos Service Mesh 1.10 o una versión posterior. |
Alta |
Descripción | Gravedad | Notas |
---|---|---|
Posible eliminación de referencia de puntero nulo cuando se usa la coincidencia del filtro ¿Qué debo hacer?Verifica si tus clústeres se ven afectadosTu clúster se ve afectado si se cumplen las siguientes condiciones:
Actualiza el clúster a una de las siguientes versiones de parche:
Si usas Anthos Service Mesh v1.9 o una versión anterior, debes saber que esa versión llegó al final del ciclo de vida y ya no es compatible. Estas correcciones de CVE no se portaron a versiones anteriores. Debes actualizar a Anthos Service Mesh 1.10 o una versión posterior. |
Media |
Descripción | Gravedad | Notas |
---|---|---|
Uso gratuito después de que los filtros de respuesta aumentan los datos de respuesta, y el aumento de los datos supera los límites de búfer descendente. ¿Qué debo hacer?Verifica si tus clústeres se ven afectadosTu clúster se ve afectado si se cumplen las siguientes condiciones:
Actualiza el clúster a una de las siguientes versiones de parche:
Si usas Anthos Service Mesh v1.9 o una versión anterior, debes saber que esa versión llegó al final del ciclo de vida y ya no es compatible. Estas correcciones de CVE no se portaron a versiones anteriores. Debes actualizar a Anthos Service Mesh 1.10 o una versión posterior. |
Media |
Descripción | Gravedad | Notas |
---|---|---|
Uso gratuito después de establecer una tunelización de TCP a HTTP, si la conexión descendente se desconecta durante el establecimiento de la conexión ascendente. ¿Qué debo hacer?Verifica si tus clústeres se ven afectadosTu clúster se ve afectado si se cumplen las siguientes condiciones:
Actualiza el clúster a una de las siguientes versiones de parche:
Si usas Anthos Service Mesh v1.9 o una versión anterior, debes saber que esa versión llegó al final del ciclo de vida y ya no es compatible. Estas correcciones de CVE no se portaron a versiones anteriores. Debes actualizar a Anthos Service Mesh 1.10 o una versión posterior. |
Media |
Descripción | Gravedad | Notas |
---|---|---|
Un control de configuración incorrecto permite la reutilización de la sesión de mTLS sin revalidación después de que haya cambiado la configuración de validación. ¿Qué debo hacer?Verifica si tus clústeres se ven afectadosTu clúster se ve afectado si se cumplen las siguientes condiciones:
Actualiza el clúster a una de las siguientes versiones de parche:
Si usas Anthos Service Mesh v1.9 o una versión anterior, debes saber que esa versión llegó al final del ciclo de vida y ya no es compatible. Estas correcciones de CVE no se portaron a versiones anteriores. Debes actualizar a Anthos Service Mesh 1.10 o una versión posterior. |
Alta |
Descripción | Gravedad | Notas |
---|---|---|
Control incorrecto de redireccionamientos internos a rutas con una entrada de respuesta directa. ¿Qué debo hacer?Verifica si tus clústeres se ven afectadosTu clúster se ve afectado si se cumplen las siguientes condiciones:
Actualiza el clúster a una de las siguientes versiones de parche:
Si usas Anthos Service Mesh v1.9 o una versión anterior, debes saber que esa versión llegó al final del ciclo de vida y ya no es compatible. Estas correcciones de CVE no se portaron a versiones anteriores. Debes actualizar a Anthos Service Mesh 1.10 o una versión posterior. |
Alta |
Descripción | Gravedad | Notas |
---|---|---|
Agotamiento de la pila cuando se borra un clúster mediante el servicio de descubrimiento de clústeres. ¿Qué debo hacer?Verifica si tus clústeres se ven afectadosTu clúster se ve afectado si se cumplen las siguientes condiciones:
Actualiza el clúster a una de las siguientes versiones de parche:
Si usas Anthos Service Mesh v1.9 o una versión anterior, debes saber que esa versión llegó al final del ciclo de vida y ya no es compatible. Estas correcciones de CVE no se portaron a versiones anteriores. Debes actualizar a Anthos Service Mesh 1.10 o una versión posterior. |
Media |
GCP-2021-016
Fecha de publicación: 24 de agosto de 2021Descripción | Gravedad | Notas |
---|---|---|
Istio contiene una vulnerabilidad que se puede usar a nivel remoto en la que una solicitud HTTP con un fragmento (una sección al final de un URI que comienza con un carácter
Por ejemplo, una política de autorización de Istio rechaza las solicitudes enviadas a la ruta del URI Esta corrección depende de una corrección en Envoy, que está asociada con CVE-2021-32779. ¿Qué debo hacer?Verifica si tus clústeres se ven afectadosTu clúster se ve afectado si se cumplen las siguientes condiciones:
Actualiza el clúster a una de las siguientes versiones de parche:
Con las versiones nuevas, la parte del fragmento del URI de la solicitud se quita antes de la autorización y el enrutamiento. Esto evita que una solicitud con un fragmento en su URI omita las políticas de autorización basadas en el URI sin la parte del fragmento. InhabilitarSi inhabilitas este comportamiento nuevo, se conserva la sección de fragmentos del URI. Para inhabilitarlo, puedes configurar la instalación de la siguiente manera: apiVersion: install.istio.io/v1alpha1 kind: IstioOperator metadata: name: opt-out-fragment-cve-fix namespace: istio-system spec: meshConfig: defaultConfig: proxyMetadata: HTTP_STRIP_FRAGMENT_FROM_PATH_UNSAFE_IF_DISABLED: "false" Nota: Si inhabilitas este comportamiento, tu clúster será vulnerable a esta CVE. |
Alta |
Descripción | Gravedad | Notas |
---|---|---|
Istio contiene una vulnerabilidad que se puede usar de forma remota, en la que una solicitud HTTP podría omitir una política de autorización de Istio cuando se usan reglas basadas en
En las versiones vulnerables, la política de autorización de Istio compara los encabezados HTTP ¿Qué debo hacer?Verifica si tus clústeres se ven afectadosTu clúster se ve afectado si se cumplen las siguientes condiciones:
Actualiza el clúster a una de las siguientes versiones de parche:
Esta mitigación garantiza que los encabezados HTTP |
Alta |
Descripción | Gravedad | Notas |
---|---|---|
Envoy contiene una vulnerabilidad que se puede usar de forma remota y que una solicitud HTTP con varios encabezados de valor puede realizar una verificación de política de autorización incompleta cuando se usa la extensión ¿Qué debo hacer?Verifica si tus clústeres se ven afectadosTu clúster se ve afectado si se cumplen las siguientes condiciones:
Actualiza el clúster a una de las siguientes versiones de parche:
|
Alto |
Descripción | Gravedad | Notas |
---|---|---|
Envoy contiene una vulnerabilidad que se puede usar de forma remota y afecta a las extensiones ¿Qué debo hacer?Verifica si tus clústeres se ven afectadosTu clúster se ve afectado si se cumplen las siguientes condiciones:
Actualiza el clúster a una de las siguientes versiones de parche:
|
Alta |
Descripción | Gravedad | Notas |
---|---|---|
Envoy contiene una vulnerabilidad que se puede aprovechar de forma remota, en la que un cliente de Envoy que abre y, luego, restablece una gran cantidad de solicitudes HTTP/2 puede generar un consumo excesivo de CPU. ¿Qué debo hacer?Verifica si tus clústeres se ven afectadosTu clúster se ve afectado si usa versiones de parche de Anthos Service Mesh anteriores a 1.7.8-asm.10, 1.8.6-asm.8, 1.9.8-asm.1 y 1.10.4-asm.6. MitigaciónActualiza el clúster a una de las siguientes versiones de parche:
Nota: Si usas Anthos Service Mesh 1.8 o una versión anterior, actualiza a las versiones de parche más recientes de Anthos Service Mesh 1.9 y versiones posteriores para mitigar esta vulnerabilidad. |
Alta |
Descripción | Gravedad | Notas |
---|---|---|
Envoy contiene una vulnerabilidad que se puede aprovechar de forma remota, en la que un servicio ascendente no confiable podría provocar que Envoy finalice de forma anormal mediante el envío del marco ¿Qué debo hacer?Verifica si tus clústeres se ven afectadosTu clúster se ve afectado si usa Anthos Service Mesh 1.10 con una versión de parche anterior a la 1.10.4-asm.6. MitigaciónActualiza tu clúster a la siguiente versión de parche:
|
Alta |
GCP-2021-012
Fecha de publicación: 24 de junio de 2021Descripción | Gravedad | Notas |
---|---|---|
La
Por lo general, una implementación de carga de trabajo o puerta de enlace solo puede acceder a certificados y claves privadas TLS almacenados en el secreto de su espacio de nombres. Sin embargo, un error en ¿Qué debo hacer?Verifica si tus clústeres se ven afectadosTu clúster se ve afectado si se cumplen TODAS las condiciones que se indican a continuación:
Actualiza el clúster a una de las siguientes versiones de parche:
Si no es posible actualizar, puedes mitigar esta vulnerabilidad inhabilitando el almacenamiento en caché istiod .
Para inhabilitar el almacenamiento en caché, configura la variable de entorno istiod como PILOT_ENABLE_XDS_CACHE=false . El rendimiento del sistema y de istiod puede verse afectado porque esta acción inhabilita el almacenamiento en caché de XDS.
|
Alta |
GCP-2021-008
Fecha de publicación: 17 de mayo de 2021Descripción | Gravedad | Notas |
---|---|---|
Istio contiene una vulnerabilidad que se puede aprovechar de forma remota, en la que un cliente externo puede acceder a servicios inesperados en el clúster y, así, omitir las verificaciones de autorización cuando una puerta de enlace se configura con la configuración de enrutamiento AUTO_PASSTHROUGH. ¿Qué debo hacer?Verifica si tus clústeres se ven afectadosEsta vulnerabilidad solo afecta el uso del tipo de puerta de enlace AUTO_PASSTHROUGH, que suele usarse solo en implementaciones de varias redes y varios clústeres. Usa el siguiente comando para detectar el modo TLS de todas las puertas de enlace del clúster: kubectl get gateways.networking.istio.io -A -o \ "custom-columns=NAMESPACE:.metadata.namespace, \ NAME:.metadata.name,TLS_MODE:.spec.servers[*].tls.mode" Si el resultado muestra alguna puerta de enlace AUTO_PASSTHROUGH, es posible que se vea afectado. MitigaciónActualiza tus clústeres a las versiones más recientes de Anthos Service Mesh:
* Nota: El lanzamiento del plano de control administrado de Anthos Service Mesh (disponible solo en las versiones 1.9.x) se completará en los próximos días. |
Alto |
GCP-2021-007
Fecha de publicación: 17 de mayo de 2021Descripción | Gravedad | Notas |
---|---|---|
Istio contiene una vulnerabilidad con capacidad de accesibilidad remota en la que una ruta de acceso de HTTP con múltiples barras o caracteres de barra con escape (%2F or %5C) podría omitir una política de autorización de Istio cuando se usan reglas de autorización basadas en la ruta.
En una situación en la que un administrador de clúster de Istio define una política de DENEGACIÓN de autorización para rechazar la solicitud a la ruta
Según el RFC 3986, la ruta ¿Qué debo hacer?Verifica si tus clústeres se ven afectadosEsta vulnerabilidad afecta a tu clúster si tienes políticas de autorización que usen patrones “ALLOW action + notPaths field” o “DENY action + paths field”. Estos patrones son vulnerables a omisiones de políticas inesperadas, y debes actualizar para solucionar el problema de seguridad lo antes posible. El siguiente es un ejemplo de una política vulnerable que usa el patrón "DENY action + paths field": apiVersion: security.istio.io/v1beta1 kind: AuthorizationPolicy metadata: name: deny-path-admin spec: action: DENY rules: - to: - operation: paths: ["/admin"] El siguiente es otro ejemplo de política vulnerable que usa el patrón "ALLOW action + notPaths field": apiVersion: security.istio.io/v1beta1 kind: AuthorizationPolicy metadata: name: allow-path-not-admin spec: action: ALLOW rules: - to: - operation: notPaths: ["/admin"] Esta vulnerabilidad no afecta a tu clúster si ocurre lo siguiente:
La actualización es opcional para estos casos. Actualiza tus clústeres a las versiones compatibles más recientes de Anthos Service Mesh*. Estas versiones admiten la configuración de los proxies de Envoy en el sistema con más opciones de normalización:
* Nota: El lanzamiento del plano de control administrado de Anthos Service Mesh (disponible solo en las versiones 1.9.x) se completará en los próximos días. Sigue la guía de prácticas recomendadas de seguridad de Istio para configurar tus políticas de autorización. |
Alta |
GCP-2021-004
Fecha de publicación: 6 de mayo de 2021Descripción | Gravedad | Notas |
---|---|---|
Recientemente, los proyectos de Envoy y Istio anunciaron varias vulnerabilidades de seguridad nuevas (CVE-2021-28682, CVE-2021-28683 y CVE-2021-29258), que podrían permitir que un atacante bloquee Envoy y, posiblemente, renderizar partes del clúster inaccesible y sin conexión Esto afecta los servicios entregados, como Anthos Service Mesh. ¿Qué debo hacer?Para solucionar estas vulnerabilidades, actualiza tu paquete de Anthos Service Mesh a una de las siguientes versiones de parche:
Para obtener más información, consulta las notas de la versión de Anthos Service Mesh. |
Alta |