Versione 1.14

Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Bollettini sulla sicurezza

Utilizza questo feed XML per iscriverti ai bollettini di sicurezza di Anthos Service Mesh. Iscriviti

Questa pagina elenca i bollettini sulla sicurezza per Anthos Service Mesh.

GCP-2022-015

Data di pubblicazione: 09-06-2022
Aggiornamento: 10-06-2022
Aggiornamento 10-06-2022: versioni aggiornate della patch per Anthos Service Mesh.
Descrizione Gravità Note

Il piano dati Istio può accedere potenzialmente alla memoria in modo non sicuro quando sono attivate le estensioni Scambio metadati e Statistiche.

Che cosa devo fare?

Controlla se i tuoi cluster sono interessati

Il cluster è interessato se utilizza versioni delle patch di Anthos Service Mesh precedenti a 1.13.4-asm.4, 1.12.7-asm.2 o 1.11.8-asm.4.

Attenuazione di Anthos Service Mesh

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.13.4-asm.4
  • 1.12.7-asm.2
  • 1.11.8-asm.4

Se utilizzi Anthos Service Mesh 1.10 o versioni precedenti, la release è terminata e non è più supportata. Queste correzioni CVE non sono state supportate. Devi eseguire l'upgrade ad Anthos Service Mesh 1.11 o versioni successive. Per maggiori informazioni, consulta la pagina Eseguire l'upgrade dalle versioni precedenti (GKE) o Eseguire l'upgrade dalle versioni precedenti (on-premise).

Alte

CVE-2022-31045

Descrizione Gravità Note

I dati possono superare i limiti di buffer intermedi se un utente malintenzionato supera un piccolo payload altamente compresso (noto anche come attacco con bomba zip).

Che cosa devo fare?

Controlla se i tuoi cluster sono interessati

Il cluster è interessato se utilizza versioni delle patch di Anthos Service Mesh precedenti a 1.13.4-asm.4, 1.12.7-asm.2 o 1.11.8-asm.4.

Sebbene Anthos Service Mesh non supporti i filtri Envoy, potresti essere interessato se utilizzi un filtro di decompressione.

Attenuazione di Anthos Service Mesh

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.13.4-asm.4
  • 1.12.7-asm.2
  • 1.11.8-asm.4

Se utilizzi Anthos Service Mesh 1.10 o versioni precedenti, la release è terminata e non è più supportata. Queste correzioni CVE non sono state supportate. Devi eseguire l'upgrade ad Anthos Service Mesh 1.11 o versioni successive. Per maggiori informazioni, consulta la pagina Eseguire l'upgrade dalle versioni precedenti (GKE) o Eseguire l'upgrade dalle versioni precedenti (on-premise).

Attenuazione del inviato

Gli utenti di Envoy che gestiscono i propri Envoy devono assicurarsi di utilizzare la versione 1.22.1 di Envoy. Gli utenti di Envoy che gestiscono i propri Envoy creano programmi binari da una fonte come GitHub e ne eseguono il deployment.

Non deve essere intrapresa alcuna azione dagli utenti che eseguono Envoy gestiti (Google Cloud fornisce i programmi binari di Envoy), per i quali i prodotti cloud passeranno alla versione 1.22.1.

Alte

CVE-2022-29225

Descrizione Gravità Note

Possibile denominazione del puntatore null in GrpcHealthCheckerImpl.

Che cosa devo fare?

Controlla se i tuoi cluster sono interessati

Il cluster è interessato se utilizza versioni delle patch di Anthos Service Mesh precedenti a 1.13.4-asm.4, 1.12.7-asm.2 o 1.11.8-asm.4.

Attenuazione di Anthos Service Mesh

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.13.4-asm.4
  • 1.12.7-asm.2
  • 1.11.8-asm.4

Se utilizzi Anthos Service Mesh 1.10 o versioni precedenti, la release è terminata e non è più supportata. Queste correzioni CVE non sono state supportate. Devi eseguire l'upgrade ad Anthos Service Mesh 1.11 o versioni successive. Per maggiori informazioni, consulta la pagina Eseguire l'upgrade dalle versioni precedenti (GKE) o Eseguire l'upgrade dalle versioni precedenti (on-premise).

Attenuazione del inviato

Gli utenti di Envoy che gestiscono i propri Envoy devono assicurarsi di utilizzare la versione 1.22.1 di Envoy. Gli utenti di Envoy che gestiscono i propri Envoy creano programmi binari da una fonte come GitHub e ne eseguono il deployment.

Non deve essere intrapresa alcuna azione dagli utenti che eseguono Envoy gestiti (Google Cloud fornisce i programmi binari di Envoy), per i quali i prodotti cloud passeranno alla versione 1.22.1.

Medie

CVE-2021-29224

Descrizione Gravità Note

Il filtro OAuth consente l'esclusione banale.

Che cosa devo fare?

Controlla se i tuoi cluster sono interessati

Il cluster è interessato se utilizza versioni delle patch di Anthos Service Mesh precedenti a 1.13.4-asm.4, 1.12.7-asm.2 o 1.11.8-asm.4.

Sebbene Anthos Service Mesh non supporti i filtri Envoy, potresti essere interessato se utilizzi un filtro OAuth.

Attenuazione di Anthos Service Mesh

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.13.4-asm.4
  • 1.12.7-asm.2
  • 1.11.8-asm.4

Se utilizzi Anthos Service Mesh 1.10 o versioni precedenti, la release è terminata e non è più supportata. Queste correzioni CVE non sono state supportate. Devi eseguire l'upgrade ad Anthos Service Mesh 1.11 o versioni successive. Per maggiori informazioni, consulta la pagina Eseguire l'upgrade dalle versioni precedenti (GKE) o Eseguire l'upgrade dalle versioni precedenti (on-premise).

Attenuazione del inviato

Gli utenti di Envoy che gestiscono i propri Envoy utilizzano anche il filtro OAuth devono assicurarsi di utilizzare la versione 1.22.1 di Envoy. Gli utenti di Envoy che gestiscono i propri Envoy creano programmi binari da una fonte come GitHub e ne eseguono il deployment.

Non deve essere intrapresa alcuna azione dagli utenti che eseguono Envoy gestiti (Google Cloud fornisce i programmi binari di Envoy), per i quali i prodotti cloud passeranno alla versione 1.22.1.

Critico

CVE-2021-29226

Descrizione Gravità Note

Il filtro OAuth può danneggiare la memoria (versioni precedenti) o attivare un ASSERT() (versioni successive).

Che cosa devo fare?

Controlla se i tuoi cluster sono interessati

Il cluster è interessato se utilizza versioni delle patch di Anthos Service Mesh precedenti a 1.13.4-asm.4, 1.12.7-asm.2 o 1.11.8-asm.4.

Sebbene Anthos Service Mesh non supporti i filtri Envoy, potresti essere interessato se utilizzi un filtro OAuth.

Attenuazione di Anthos Service Mesh

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.13.4-asm.4
  • 1.12.7-asm.2
  • 1.11.8-asm.4

Se utilizzi Anthos Service Mesh 1.10 o versioni precedenti, la release è terminata e non è più supportata. Queste correzioni CVE non sono state supportate. Devi eseguire l'upgrade ad Anthos Service Mesh 1.11 o versioni successive.

Attenuazione del inviato

Gli utenti di Envoy che gestiscono i propri Envoy utilizzano anche il filtro OAuth devono assicurarsi di utilizzare la versione 1.22.1 di Envoy. Gli utenti di Envoy che gestiscono i propri Envoy creano programmi binari da una fonte come GitHub e ne eseguono il deployment.

Non deve essere intrapresa alcuna azione dagli utenti che eseguono Envoy gestiti (Google Cloud fornisce i programmi binari di Envoy), per i quali i prodotti cloud passeranno alla versione 1.22.1.

Alte

CVE-2022-29228

Descrizione Gravità Note

Gli reindirizzamenti interni si arrestano in modo anomalo per le richieste con body o trailer.

Che cosa devo fare?

Controlla se i tuoi cluster sono interessati

Il cluster è interessato se utilizza versioni delle patch di Anthos Service Mesh precedenti a 1.13.4-asm.4, 1.12.7-asm.2 o 1.11.8-asm.4.

Attenuazione di Anthos Service Mesh

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.13.4-asm.4
  • 1.12.7-asm.2
  • 1.11.8-asm.4

Se utilizzi Anthos Service Mesh 1.10 o versioni precedenti, la release è terminata e non è più supportata. Queste correzioni CVE non sono state supportate. Devi eseguire l'upgrade ad Anthos Service Mesh 1.11 o versioni successive. Per maggiori informazioni, consulta la pagina Eseguire l'upgrade dalle versioni precedenti (GKE) o Eseguire l'upgrade dalle versioni precedenti (on-premise).

Attenuazione del inviato

Gli utenti di Envoy che gestiscono i propri Envoy devono assicurarsi di utilizzare la versione 1.22.1 di Envoy. Gli utenti di Envoy che gestiscono i propri Envoy creano programmi binari da una fonte come GitHub e ne eseguono il deployment.

Non deve essere intrapresa alcuna azione dagli utenti che eseguono Envoy gestiti (Google Cloud fornisce i programmi binari di Envoy), per i quali i prodotti cloud passeranno alla versione 1.22.1.

Alte

CVE-2022-29227

GCP-2022-010

Pubblicato il 10-03-2022
Ultimo aggiornamento: 16-03-2022
Descrizione Gravità Note

Il piano di controllo Istio, istiod, è vulnerabile a un errore di elaborazione delle richieste, consentendo a un utente malintenzionato che invia un messaggio appositamente creato, che causa l'arresto anomalo del piano di controllo quando il webhook di convalida per un cluster viene esposto pubblicamente. Questo endpoint viene gestito sulla porta TLS 15017, ma non richiede alcuna autenticazione da parte dell'utente malintenzionato.

Che cosa devo fare?

Controlla se i tuoi cluster sono interessati

Tutte le versioni di Anthos Service Mesh sono interessate da questo CVE.

Nota: se utilizzi il piano di controllo gestito, questa vulnerabilità è già stata risolta e non sei interessato.

Attenuazione

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.12.5-asm.0
  • 1.11.8-asm.0
  • 1.10.6-asm.2

Se utilizzi Anthos Service Mesh 1.9 o versioni precedenti, la tua release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state supportate. Devi eseguire l'upgrade ad Anthos Service Mesh 1.10 o versioni successive.

Alte

CVE-2022-24726

GCP-2022-007

Pubblicato il 22/02/2022
Descrizione Gravità Note

Arresti anomali designati al momento della ricezione di richieste con un'intestazione authorization appositamente creata.

Che cosa devo fare?

Controlla se i tuoi cluster sono interessati

Il cluster è interessato se si verificano entrambe le seguenti condizioni:

  • Utilizza le versioni patch di Anthos Service Mesh precedenti a 1.12.4-asm.1, 1.11.7-asm.1, o 1.10.6-asm.1.

Nota: se utilizzi il piano di controllo gestito, questa vulnerabilità è già stata risolta e non sei interessato.

Attenuazione

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.12.4-asm.1
  • 1.11.7-asm.1
  • 1.10.6-asm.1

Se utilizzi Anthos Service Mesh 1.9 o versioni precedenti, la tua release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state supportate. Devi eseguire l'upgrade ad Anthos Service Mesh 1.10 o versioni successive.

Alte

CVE-2022-23635

Descrizione Gravità Note

Potenziale delusione del puntatore quando si utilizza la corrispondenza del filtro JWT safe_regex.

Che cosa devo fare?

Controlla se i tuoi cluster sono interessati

Il cluster è interessato se si verificano entrambe le seguenti condizioni:

  • Utilizza le versioni patch di Anthos Service Mesh precedenti a 1.12.4-asm.1, 1.11.7-asm.1, o 1.10.6-asm.1.
  • Sebbene Anthos Service Mesh non supporti i filtri Envoy, potresti essere interessato se utilizzi l'espressione regolare del filtro JWT.
Attenuazione

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.12.4-asm.1
  • 1.11.7-asm.1
  • 1.10.6-asm.1

Se utilizzi Anthos Service Mesh 1.9 o versioni precedenti, la tua release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state supportate. Devi eseguire l'upgrade ad Anthos Service Mesh 1.10 o versioni successive.

Medie

CVE-2021-43824

Descrizione Gravità Note

Senza uso quando i filtri di risposta aumentano i dati di risposta e l'aumento dei dati supera i limiti del buffer downstream.

Che cosa devo fare?

Controlla se i tuoi cluster sono interessati

Il cluster è interessato se si verificano entrambe le seguenti condizioni:

  • Utilizza le versioni patch di Anthos Service Mesh precedenti a 1.12.4-asm.1, 1.11.7-asm.1, o 1.10.6-asm.1.
  • Sebbene Anthos Service Mesh non supporti i filtri Envoy, potresti essere interessato se utilizzi un filtro di decompressione.
Attenuazione

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.12.4-asm.1
  • 1.11.7-asm.1
  • 1.10.6-asm.1

Se utilizzi Anthos Service Mesh 1.9 o versioni precedenti, la tua release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state supportate. Devi eseguire l'upgrade ad Anthos Service Mesh 1.10 o versioni successive.

Medie

CVE-2021-43825

Descrizione Gravità Note

Senza utilizzo durante il tunneling TCP su HTTP, in caso di disconnessione durante lo downstream durante la connessione.

Che cosa devo fare?

Controlla se i tuoi cluster sono interessati

Il cluster è interessato se si verificano entrambe le seguenti condizioni:

  • Utilizza le versioni patch di Anthos Service Mesh precedenti a 1.12.4-asm.1, 1.11.7-asm.1, o 1.10.6-asm.1.
  • Sebbene Anthos Service Mesh non supporti i filtri Envoy, potresti essere interessato se utilizzi un filtro di tunneling.
Attenuazione

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.12.4-asm.1
  • 1.11.7-asm.1
  • 1.10.6-asm.1

Se utilizzi Anthos Service Mesh 1.9 o versioni precedenti, la tua release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state supportate. Devi eseguire l'upgrade ad Anthos Service Mesh 1.10 o versioni successive.

Medie

CVE-2021-43826

Descrizione Gravità Note

Una gestione errata della configurazione consente il riutilizzo della sessione mTLS senza riconvalida dopo la modifica delle impostazioni.

Che cosa devo fare?

Controlla se i tuoi cluster sono interessati

Il cluster è interessato se si verificano entrambe le seguenti condizioni:

  • Utilizza le versioni patch di Anthos Service Mesh precedenti a 1.12.4-asm.1, 1.11.7-asm.1, o 1.10.6-asm.1.
  • Tutti i servizi Anthos Service Mesh che utilizzano mTLS sono interessati da questo CVE.
Attenuazione

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.12.4-asm.1
  • 1.11.7-asm.1
  • 1.10.6-asm.1

Se utilizzi Anthos Service Mesh 1.9 o versioni precedenti, la tua release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state supportate. Devi eseguire l'upgrade ad Anthos Service Mesh 1.10 o versioni successive.

Alte

CVE-2022-21654

Descrizione Gravità Note

Gestione errata dei reindirizzamenti interni a route con una voce di risposta diretta.

Che cosa devo fare?

Controlla se i tuoi cluster sono interessati

Il cluster è interessato se si verificano entrambe le seguenti condizioni:

  • Utilizza le versioni patch di Anthos Service Mesh precedenti a 1.12.4-asm.1, 1.11.7-asm.1, o 1.10.6-asm.1.
  • Sebbene Anthos Service Mesh non supporti i filtri Envoy, potresti essere interessato se utilizzi un filtro di risposta diretta.
Attenuazione

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.12.4-asm.1
  • 1.11.7-asm.1
  • 1.10.6-asm.1

Se utilizzi Anthos Service Mesh 1.9 o versioni precedenti, la tua release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state supportate. Devi eseguire l'upgrade ad Anthos Service Mesh 1.10 o versioni successive.

Alte

CVE-2022-21655

Descrizione Gravità Note

Esaurimento dello stack quando un cluster viene eliminato tramite Cluster Discovery Service.

Che cosa devo fare?

Controlla se i tuoi cluster sono interessati

Il cluster è interessato se si verificano entrambe le seguenti condizioni:

  • Utilizza le versioni patch di Anthos Service Mesh precedenti a 1.12.4-asm.1 o 1.11.7-asm.1.
Attenuazione

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.12.4-asm.1
  • 1.11.7-asm.1

Se utilizzi Anthos Service Mesh 1.9 o versioni precedenti, la tua release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state supportate. Devi eseguire l'upgrade ad Anthos Service Mesh 1.10 o versioni successive.

Medie

CVE-2022-23606

GCP-2021-016

Pubblicato il 24/08/2021
Descrizione Gravità Note

Istio contiene una vulnerabilità sfruttabile da remoto per cui una richiesta HTTP con un frammento (una sezione alla fine di un URI che inizia con un carattere #) nel percorso dell'URI potrebbe bypassare i criteri di autorizzazione basati su percorso URI di Istio.

Ad esempio, un criterio di autorizzazione Istio nega le richieste inviate al percorso URI /user/profile. Nelle versioni vulnerabili, una richiesta con il percorso URI /user/profile#section1 bypassa il criterio di negazione e rimanda al backend (con il percorso URI normalizzato /user/profile%23section1), che causa un incidente di sicurezza.

Questa correzione dipende da una correzione in Envoy, associata a CVE-2021-32779.

Che cosa devo fare?

Controlla se i tuoi cluster sono interessati

Il cluster è interessato se si verificano entrambe le seguenti condizioni:

Attenuazione

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.10.4-asm.6
  • 1.9.8-asm.1
  • 1.8.6-asm.8
  • 1.7.8-asm.10

Con le nuove versioni, la parte dell'URI della richiesta viene rimossa prima dell'autorizzazione e del routing. Ciò impedisce a una richiesta con un frammento nel suo URI di ignorare i criteri di autorizzazione basati sull'URI senza la parte del frammento.

Disattiva

Se disattivi questo nuovo comportamento, la sezione di frammenti nell'URI viene mantenuta. Per disattivare questa opzione, puoi configurare l'installazione come segue:


apiVersion: install.istio.io/v1alpha1
kind: IstioOperator
metadata:
  name: opt-out-fragment-cve-fix
  namespace: istio-system
spec:
  meshConfig:
    defaultConfig:
      proxyMetadata:
        HTTP_STRIP_FRAGMENT_FROM_PATH_UNSAFE_IF_DISABLED: "false"

Nota: la disattivazione di questo comportamento rende il cluster vulnerabile a questo CVE.

Alte

CVE-2021-39156

Descrizione Gravità Note

Istio contiene una vulnerabilità sfruttabile da remoto per cui una richiesta HTTP potrebbe potenzialmente ignorare un criterio di autorizzazione di Istio quando utilizzi regole basate su hosts o notHosts.

Nelle versioni vulnerabili, il criterio di autorizzazione Istio confronta le intestazioni HTTP Host o :authority in modo sensibile alle maiuscole, in modo non coerente con le RFC 4343. Ad esempio, un utente potrebbe avere un criterio di autorizzazione che rifiuta le richieste con l'host secret.com, ma l'utente malintenzionato può ignorare la richiesta inviando il nome host al nome Secret.com. Il flusso di routing instrada il traffico al backend per secret.com, causando un incidente di sicurezza.

Che cosa devo fare?

Controlla se i tuoi cluster sono interessati

Il cluster è interessato se si verificano entrambe le seguenti condizioni:

Attenuazione

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.10.4-asm.6
  • 1.9.8-asm.1
  • 1.8.6-asm.8
  • 1.7.8-asm.10

Questa mitigazione assicura che le intestazioni HTTP Host o :authority vengano valutate in base alle specifiche hosts o notHosts nei criteri di autorizzazione senza distinzione tra maiuscole e minuscole.

Alte

CVE-2021-39155

Descrizione Gravità Note

Envoy contiene una vulnerabilità sfruttabile da remoto che una richiesta HTTP con più intestazioni di valore potrebbe effettuare un controllo incompleto del criterio di autorizzazione quando viene utilizzata l'estensione ext_authz. Quando un'intestazione della richiesta contiene più valori, il server di autorizzazione esterno vedrà solo l'ultimo valore dell'intestazione.

Che cosa devo fare?

Controlla se i tuoi cluster sono interessati

Il cluster è interessato se si verificano entrambe le seguenti condizioni:

  • Utilizza le versioni patch di Anthos Service Mesh precedenti a 1.7.8-asm.10, 1.8.6-asm.8, 1.9.8-asm.1 e 1.10.4-asm.6.
  • Utilizza la funzionalità Autorizzazione esterna.
Attenuazione

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.10.4-asm.6
  • 1.9.8-asm.1
  • 1.8.6-asm.8
  • 1.7.8-asm.10

Alte

CVE-2021-32777

Descrizione Gravità Note

Envoy contiene una vulnerabilità sfruttabile da remoto che interessa le estensioni decompressor, json-transcoder o grpc-web di Envoy o le estensioni di proprietà che modificano e aumentano le dimensioni dei corpi delle richieste o di risposta. La modifica e l'aumento delle dimensioni del corpo nell'estensione di Envoy oltre le dimensioni del buffer interno potrebbero portare l'accesso di Envoy alla memoria delle destinazioni e l'interruzione anomala.

Che cosa devo fare?

Controlla se i tuoi cluster sono interessati

Il cluster è interessato se si verificano entrambe le seguenti condizioni:

  • Utilizza le versioni patch di Anthos Service Mesh precedenti a 1.7.8-asm.10, 1.8.6-asm.8, 1.9.8-asm.1 e 1.10.4-asm.6.
  • Utilizzo di EnvoyFilters.
Attenuazione

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.10.4-asm.6
  • 1.9.8-asm.1
  • 1.8.6-asm.8
  • 1.7.8-asm.10

Alte

CVE-2021-32781

Descrizione Gravità Note

Envoy contiene una vulnerabilità sfruttabile da remoto, per cui un client Envoy apre e reimposta un numero elevato di richieste HTTP/2 potrebbe comportare un consumo eccessivo della CPU.

Che cosa devo fare?

Controlla se i tuoi cluster sono interessati

Il cluster è interessato se utilizza versioni delle patch di Anthos Service Mesh precedenti a 1.7.8-asm.10, 1.8.6-asm.8, 1.9.8-asm.1 e 1.10.4-asm.6.

Attenuazione

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.10.4-asm.6
  • 1.9.8-asm.1

Nota: se utilizzi Anthos Service Mesh 1.8 o versioni precedenti, esegui l'upgrade alle versioni più recenti della patch di Anthos Service Mesh 1.9 e versioni successive per mitigare questa vulnerabilità.

Alte

CVE-2021-32778

Descrizione Gravità Note

Envoy contiene una vulnerabilità sfruttabile da remoto per cui un servizio upstream non attendibile potrebbe terminare in modo anomalo inviando il frame GOAWAY seguito dal frame SETTINGS con il parametro SETTINGS_MAX_CONCURRENT_STREAMS impostato su 0.

Che cosa devo fare?

Controlla se i tuoi cluster sono interessati

Il cluster è interessato se utilizza Anthos Service Mesh 1.10 con una versione patch precedente a 1.10.4-asm.6.

Attenuazione

Esegui l'upgrade del cluster alla versione patch seguente:

  • 1.10.4-asm.6

Alte

CVE-2021-32780

GCP-2021-012

Pubblicato il 24/06/2021
Descrizione Gravità Note

I carichi di lavoro protetti da IstioGateway o che utilizzano l'DestinationRule possono caricare chiavi private e certificati TLS dai secret di Kubernetes tramite la configurazione credentialName. A partire da Istio 1.8 e versioni successive, i secret vengono letti da istiod e trasmessi a gateway e carichi di lavoro tramite XDS.

Normalmente, un deployment di gateway o carichi di lavoro è in grado di accedere solo ai certificati TLS e alle chiavi private archiviate nel secret all'interno del suo spazio dei nomi. Tuttavia, un bug in istiod consente a un client autorizzato ad accedere all'API Istio XDS di recuperare qualsiasi certificato TLS e chiavi private memorizzate nella cache in istiod. Questa vulnerabilità della sicurezza influisce solo sulle release secondarie di 1,8 e 1,9 di Anthos Service Mesh.

Che cosa devo fare?

Controlla se i tuoi cluster sono interessati

Il cluster è interessato se si verificano TUTTE le condizioni seguenti:

  • Utilizza una versione 1.9.x precedente a 1.9.6-asm.1 o una versione 1.8.x precedente a 1.8.6-asm.4.
  • È stato definito Gateways o DestinationRules con il campo credentialName specificato.
  • Non specifica il flag istiod PILOT_ENABLE_XDS_CACHE=false.
Attenuazione

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.9.6-asm.1
  • 1.8.6-asm.4

Se non è possibile eseguire un upgrade, puoi mitigare questa vulnerabilità disattivando la memorizzazione nella cache di istiod. Puoi disattivare la memorizzazione nella cache impostando la variabile di ambiente istiod su PILOT_ENABLE_XDS_CACHE=false. Le prestazioni del sistema e di istiod potrebbero essere interessate perché questa operazione disabilita la memorizzazione nella cache XDS.

Alte

CVE-2021-34824

GCP-2021-008

Pubblicato il 17-05-2021
Descrizione Gravità Note

Istio contiene una vulnerabilità sfruttabile da remoto per cui un client esterno può accedere ai servizi imprevisti nel cluster, bypassando i controlli di autorizzazione, quando un gateway è configurato con la configurazione del routing AUTO_PASSThrough.

Che cosa devo fare?

Controlla se i tuoi cluster sono interessati

Questa vulnerabilità interessa solo l'utilizzo del tipo di gateway AUTO_PASSThrough, che in genere viene utilizzato solo nei deployment multirete e multicluster.

Rileva la modalità TLS di tutti i gateway nel cluster con il comando seguente:


kubectl get gateways.networking.istio.io -A -o \
  "custom-columns=NAMESPACE:.metadata.namespace, \
  NAME:.metadata.name,TLS_MODE:.spec.servers[*].tls.mode"

Se l'output mostra qualsiasi gateway AUTO_PASSThrough, questo potrebbe risentirne.

Attenuazione

Aggiorna i cluster alle versioni più recenti di Anthos Service Mesh:

  • 1.9.5-asm.2
  • 1.8.6-asm.3
  • 1.7.8-asm.8

* Nota: l'implementazione del piano di controllo gestito di Anthos Service (disponibile solo nelle versioni 1.9.x) verrà completata nei prossimi giorni.

Alte

CVE-2021-31921

GCP-2021-007

Pubblicato il 17-05-2021
Descrizione Gravità Note

Istio contiene una vulnerabilità sfruttabile da remoto in cui un percorso di richiesta HTTP con più barre o caratteri di escape (%2F o %5C) potrebbe potenzialmente ignorare un criterio di autorizzazione Istio quando vengono utilizzate le regole di autorizzazione basate sul percorso.

In uno scenario in cui un amministratore del cluster Istio definisce un criterio di autorizzazione DENY per rifiutare la richiesta nel percorso "/admin", una richiesta inviata al percorso dell'URL "//admin" NON verrà rifiutata dal criterio di autorizzazione.

Secondo RFC 3986, il percorso "//admin" con più barre deve tecnicamente essere considerato come un percorso diverso da "/admin". Tuttavia, alcuni servizi di backend scelgono di normalizzare i percorsi degli URL unendo più barre in una singola barra. Ciò può comportare l'override del criterio di autorizzazione ("//admin" non corrisponde a "/admin") e un utente può accedere alla risorsa nel percorso "/admin" nel backend.

Che cosa devo fare?

Controlla se i tuoi cluster sono interessati

Il tuo cluster è interessato da questa vulnerabilità se hai criteri di autorizzazione che utilizzano i campi "Azione ALLOW + campo notPath" o "Azione DENY + campo percorsi". Questi pattern sono vulnerabili a bypass dei criteri imprevisti e devi eseguire l'upgrade per risolvere il problema di sicurezza il prima possibile.

Di seguito è riportato un esempio di norma vulnerabile che utilizza il pattern "Azione DENY + percorso":


apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: deny-path-admin
spec:
  action: DENY
  rules:
  - to:
    - operation:
        paths: ["/admin"]

Di seguito è riportato un altro esempio di criterio vulnerabile che utilizza il campo "azione ALLOW + campo notPaths":


apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: allow-path-not-admin
spec:
  action: ALLOW
  rules:
  - to:
    - operation:
        notPaths: ["/admin"]

Questa vulnerabilità non influisce sul cluster se:

  • Non disponi di criteri di autorizzazione.
  • I criteri di autorizzazione non definiscono i campi paths o notPaths.
  • I criteri di autorizzazione utilizzano "Azione ALLOW + campo percorsi" o "Azione DENY + campo notPaths". Questi pattern potrebbero causare solo rifiuti imprevisti invece di elusione dei criteri.
  • L'upgrade è facoltativo in questi casi.

Attenuazione

Aggiorna i tuoi cluster alle versioni di Anthos Service Mesh più recenti*. Queste versioni supportano la configurazione dei proxy Envoy nel sistema con più opzioni di normalizzazione:

  • 1.9.5-asm.2
  • 1.8.6-asm.3
  • 1.7.8-asm.8

* Nota: l'implementazione del piano di controllo gestito di Anthos Service (disponibile solo nelle versioni 1.9.x) verrà completata nei prossimi giorni.

Segui la guida alle best practice per la sicurezza di Istio per configurare i criteri di autorizzazione.

Alte

CVE-2021-31920

GCP-2021-004

Pubblicato il 06/05/2021
Descrizione Gravità Note

I progetti Envoy e Istio hanno recentemente annunciato diverse nuove vulnerabilità di sicurezza (CVE-2021-28682, CVE-2021-28683 e CVE-2021-29258), che potrebbero consentire a un utente malintenzionato di causare l'arresto anomalo di Envoy e potenzialmente visualizzare parti del cluster offline e non raggiungibili.

Questo influisce sui servizi pubblicati, come Anthos Service Mesh.

Che cosa devo fare?

Per risolvere queste vulnerabilità, esegui l'upgrade del bundle Anthos Service Mesh a una delle seguenti versioni con patch:

  • 1.9.3-asm.2
  • 1.8.5-asm.2
  • 1.7.8-asm.1
  • 1.6.14-asm.2

Per maggiori informazioni, consulta le note di rilascio di Anthos Service Mesh.

Alte

CVE-2021-28682
CVE-2021-28683
CVE-2021-29258