セキュリティに関する情報

Envoy がアイドル状態の時にクラッシュし、バックオフ間隔内で試行がタイムアウトするたびにリクエストが発生します。

必要な対策

マネージド Anthos Service Mesh を実行している場合は、何もする必要はありません。システムは数日以内に自動的に更新されます。

クラスタ内 Anthos Service Mesh を実行している場合は、クラスタを次のパッチ適用済みバージョンのいずれかにアップグレードする必要があります。

• 1.20.3-asm.4
• 1.19.7-asm.3
• 1.18.7-asm.4
• 1.17.8-asm.20

Anthos Service Mesh v1.17 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正は 1.17 にバックポートされていますが、1.18 以降にアップグレードする必要があります。

高

CVE-2024-23322

URI テンプレート マッチャーが正規表現を使用して構成されている場合に、CPU 使用率が過剰になります。

必要な対策

マネージド Anthos Service Mesh を実行している場合は、何もする必要はありません。システムは数日以内に自動的に更新されます。

クラスタ内 Anthos Service Mesh を実行している場合は、クラスタを次のパッチ適用済みバージョンのいずれかにアップグレードする必要があります。

• 1.20.3-asm.4
• 1.19.7-asm.3
• 1.18.7-asm.4
• 1.17.8-asm.20

Anthos Service Mesh v1.17 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正は 1.17 にバックポートされていますが、1.18 以降にアップグレードする必要があります。

中

CVE-2024-23323

プロキシ プロトコル フィルタで無効な UTF-8 メタデータが設定されている場合は、外部認証がバイパスされる可能性があります。

必要な対策

マネージド Anthos Service Mesh を実行している場合は、何もする必要はありません。システムは数日以内に自動的に更新されます。

クラスタ内 Anthos Service Mesh を実行している場合は、クラスタを次のパッチ適用済みバージョンのいずれかにアップグレードする必要があります。

• 1.20.3-asm.4
• 1.19.7-asm.3
• 1.18.7-asm.4
• 1.17.8-asm.20

Anthos Service Mesh v1.17 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正は 1.17 にバックポートされていますが、1.18 以降にアップグレードする必要があります。

高

CVE-2024-23324

OS でサポートされていないアドレスタイプを使用すると Envoy がクラッシュする。

必要な対策

マネージド Anthos Service Mesh を実行している場合は、何もする必要はありません。システムは数日以内に自動的に更新されます。

クラスタ内 Anthos Service Mesh を実行している場合は、クラスタを次のパッチ適用済みバージョンのいずれかにアップグレードする必要があります。

• 1.20.3-asm.4
• 1.19.7-asm.3
• 1.18.7-asm.4
• 1.17.8-asm.20

Anthos Service Mesh v1.17 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正は 1.17 にバックポートされていますが、1.18 以降にアップグレードする必要があります。

高

CVE-2024-23325

コマンドタイプが LOCAL の場合、プロキシ プロトコルでクラッシュが発生します。

必要な対策

マネージド Anthos Service Mesh を実行している場合は、何もする必要はありません。システムは数日以内に自動的に更新されます。

クラスタ内 Anthos Service Mesh を実行している場合は、クラスタを次のパッチ適用済みバージョンのいずれかにアップグレードする必要があります。

• 1.20.3-asm.4
• 1.19.7-asm.3
• 1.18.7-asm.4
• 1.17.8-asm.20

Anthos Service Mesh v1.17 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正は 1.17 にバックポートされていますが、1.18 以降にアップグレードする必要があります。

高

CVE-2024-23327

HTTP/2 プロトコルを使用している場合、データプレーンがサービス拒否攻撃の影響を受ける可能性があります。

必要な対策

1.18.4、1.17.7、1.16.7 より前の Anthos Service Mesh パッチ バージョンを使用している場合、クラスタはこの問題の影響を受けます。

クラスタを次のいずれかのパッチ バージョンにアップグレードします。

• 1.18.4-asm.0
• 1.17.7-asm.0
• 1.16.7-asm.10

マネージド Anthos Service Mesh を実行している場合、システムは数日以内に自動的に更新されます。

Anthos Service Mesh v1.15 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。v1.16 以降にアップグレードする必要があります。

高

CVE-2023-44487

悪意のあるクライアントが、特定のシナリオで永続的な認証情報を使用して認証情報を作成することが可能です。たとえば、HMAC ペイロードのホストと有効期限の組み合わせが、OAuth2 フィルタの HMAC チェックで常に有効になる可能性があります。

必要な対策

以下より前の Anthos Service Mesh パッチ バージョンを使用している場合、クラスタはこの問題の影響を受けます。

• 1.17.4
• 1.16.6
• 1.15.7

クラスタを次のパッチ バージョンのいずれかにアップグレードします。

• 1.17.5-asm.0
• 1.16.7-asm.0
• 1.15.7-asm.23

マネージド Anthos Service Mesh を実行している場合、システムは数日以内に自動的に更新されます。

Anthos Service Mesh 1.14 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。ASM 1.15 以降にアップグレードする必要があります。

高

CVE-2023-35941

リスナーのグローバル スコープを使用する gRPC アクセスロガーにより、リスナーがドレインされたときに use-after-free クラッシュが発生する可能性があります。これは、同じ gRPC アクセスログ構成の LDS 更新によってトリガーされる可能性があります。

必要な対策

以下より前の Anthos Service Mesh パッチ バージョンを使用している場合、クラスタはこの問題の影響を受けます。

• 1.17.4
• 1.16.6
• 1.15.7

クラスタを次のパッチ バージョンのいずれかにアップグレードします。

• 1.17.5-asm.0
• 1.16.7-asm.0
• 1.15.7-asm.23

マネージド Anthos Service Mesh を実行している場合、システムは数日以内に自動的に更新されます。

Anthos Service Mesh 1.14 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。ASM 1.15 以降にアップグレードする必要があります。

中

CVE-2023-35942

origin ヘッダーが request_headers_to_remove: origin で削除されるように構成されている場合、CORS フィルタがセグメンテーション違反になり Envoy がクラッシュします。

必要な対策

以下より前の Anthos Service Mesh パッチ バージョンを使用している場合、クラスタはこの問題の影響を受けます。

• 1.17.4
• 1.16.6
• 1.15.7

クラスタを次のパッチ バージョンのいずれかにアップグレードします。

• 1.17.5-asm.0
• 1.16.7-asm.0
• 1.15.7-asm.23

マネージド Anthos Service Mesh を実行している場合、システムは数日以内に自動的に更新されます。

Anthos Service Mesh 1.14 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。ASM 1.15 以降にアップグレードする必要があります。

中

CVE-2023-35943

攻撃者が混合スキームのリクエストを送信して、Envoy の一部のスキーム チェックをバイパスできます。たとえば、混合スキームの HTTP を含むリクエストが OAuth2 フィルタに送信された場合、HTTP の完全一致チェックに失敗し、スキームが HTTPS であるとリモート エンドポイントに通知されるため、HTTP リクエストに固有の OAuth2 チェックがバイパスされる可能性があります。

必要な対策

以下より前の Anthos Service Mesh パッチ バージョンを使用している場合、クラスタはこの問題の影響を受けます。

• 1.17.4
• 1.16.6
• 1.15.7

クラスタを次のパッチ バージョンのいずれかにアップグレードします。

• 1.17.5-asm.0
• 1.16.7-asm.0
• 1.15.7-asm.23

マネージド Anthos Service Mesh を実行している場合、システムは数日以内に自動的に更新されます。

Anthos Service Mesh 1.14 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。ASM 1.15 以降にアップグレードする必要があります。

高

CVE-2023-35944

信頼できないアップストリーム サービスから特別に細工されたレスポンスが返され、メモリが枯渇してサービス拒否が発生する可能性があります。これは、Envoy の HTTP/2 コーデックが原因です。アップストリーム サーバーから RST_STREAM を受信した直後に GOAWAY フレームを受信すると、ヘッダーマップとブックキーピング構造のメモリリークが発生する可能性があります。

必要な対策

以下より前の Anthos Service Mesh パッチ バージョンを使用している場合、クラスタはこの問題の影響を受けます。

• 1.17.4
• 1.16.6
• 1.15.7

クラスタを次のパッチ バージョンのいずれかにアップグレードします。

• 1.17.4-asm.2
• 1.16.6-asm.3
• 1.15.7-asm.21

マネージド Anthos Service Mesh を実行している場合、システムは数日以内に自動的に更新されます。

Anthos Service Mesh 1.14 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。ASM 1.15 以降にアップグレードする必要があります。

高

CVE-2023-35945

Envoy が OAuth フィルタを有効にして公開された状態で実行されている場合、悪意のある行為者が Envoy をクラッシュさせてサービス拒否攻撃を引き起こすリクエストを作成できます。

必要な対策

Anthos Service Mesh のパッチ バージョンが以下より前のものを使用している場合、クラスタが影響を受けます。

• 1.16.4
• 1.15.7
• 1.14.6

クラスタを次のパッチ バージョンのいずれかにアップグレードします。

• 1.16.4-asm.2
• 1.15.7-asm.1
• 1.14.6-asm.11

Anthos Service Mesh v1.13 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。Anthos Service Mesh 1.14 以降にアップグレードする必要があります。

中

CVE-2023-27496

攻撃者は、この脆弱性を利用して ext_authz の使用時に認証チェックをバイパスできます。

必要な対策

Anthos Service Mesh のパッチ バージョンが以下より前のものを使用している場合、クラスタが影響を受けます。

• 1.16.4
• 1.15.7
• 1.14.6

クラスタを次のパッチ バージョンのいずれかにアップグレードします。

• 1.16.4-asm.2
• 1.15.7-asm.1
• 1.14.6-asm.11

Anthos Service Mesh v1.13 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。Anthos Service Mesh 1.14 以降にアップグレードする必要があります。

中

CVE-2023-27488

また、Envoy の構成には、リクエストからの入力を使用して生成されたリクエスト ヘッダー（ピア証明書 SAN）を追加するオプションも含める必要があります。

必要な対策

Anthos Service Mesh のパッチ バージョンが以下より前のものを使用している場合、クラスタが影響を受けます。

• 1.16.4
• 1.15.7
• 1.14.6

クラスタを次のパッチ バージョンのいずれかにアップグレードします。

• 1.16.4-asm.2
• 1.15.7-asm.1
• 1.14.6-asm.11

Anthos Service Mesh v1.13 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。Anthos Service Mesh 1.14 以降にアップグレードする必要があります。

高

CVE-2023-27493

攻撃者が、Lua フィルタを有効にしているルートにサイズの大きなリクエスト本文を送信して、クラッシュを引き起こす可能性があります。

必要な対策

Anthos Service Mesh のパッチ バージョンが以下より前のものを使用している場合、クラスタが影響を受けます。

• 1.16.4
• 1.15.7
• 1.14.6

クラスタを次のパッチ バージョンのいずれかにアップグレードします。

• 1.16.4-asm.2
• 1.15.7-asm.1
• 1.14.6-asm.11

Anthos Service Mesh v1.13 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。Anthos Service Mesh 1.14 以降にアップグレードする必要があります。

中

CVE-2023-27492

攻撃者が、特別に細工された HTTP/2 または HTTP/3 リクエストを送信して、HTTP/1 アップストリーム サービスで解析エラーを誘発させる可能性があります。

必要な対策

Anthos Service Mesh のパッチ バージョンが以下より前のものを使用している場合、クラスタが影響を受けます。

• 1.16.4
• 1.15.7
• 1.14.6

クラスタを次のパッチ バージョンのいずれかにアップグレードします。

• 1.16.4-asm.2
• 1.15.7-asm.1
• 1.14.6-asm.11

Anthos Service Mesh v1.13 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。Anthos Service Mesh 1.14 以降にアップグレードする必要があります。

中

CVE-2023-27491

ヘッダー「x-envoy-original-path」は内部ヘッダーである必要がありますが、信頼できないクライアントから送信された場合、Envoy はリクエスト処理の開始時にこのヘッダーをリクエストから削除しません。

必要な対策

Anthos Service Mesh のパッチ バージョンが以下より前のものを使用している場合、クラスタが影響を受けます。

• 1.16.4
• 1.15.7
• 1.14.6

クラスタを次のパッチ バージョンのいずれかにアップグレードします。

• 1.16.4-asm.2
• 1.15.7-asm.1
• 1.14.6-asm.11

Anthos Service Mesh v1.13 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。Anthos Service Mesh 1.14 以降にアップグレードする必要があります。

高

CVE-2023-27487

Istio コントロール プレーン istiod はリクエスト処理中のエラーに対して脆弱で、悪意のある攻撃者が特別に細工されたメッセージを送信し、クラスタの検証 Webhook の公開時にコントロール プレーンがクラッシュする可能性があります。このエンドポイントは TLS ポート 15017 経由で提供されますが、攻撃者からの認証は必要ありません。

必要な対策

1.14.4、1.13.8、1.12.9 より前の Anthos Service Mesh パッチ バージョンを使用している場合、クラスタはこの問題の影響を受けます。

スタンドアロンの Anthos Service Mesh を実行している場合は、クラスタを次のパッチ適用済みバージョンのいずれかにアップグレードしてください。

• Anthos Service Mesh 1.14 を使用している場合は、v1.14.4-asm.2 にアップグレードします
• Anthos Service Mesh 1.13 を使用している場合は、v1.13.8-asm.4 にアップグレードします
• Anthos Service Mesh 1.12 を使用している場合は、v1.12.9-asm.3 にアップグレードします

マネージド Anthos Service Mesh を実行している場合、システムは数日以内に自動的に更新されます。

Anthos Service Mesh v1.11 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。Anthos Service Mesh 1.12 以降にアップグレードする必要があります。

高

CVE-2022-39278

メタデータ交換と統計拡張機能が有効になっている場合、Istio データプレーンがメモリに安全にアクセスできない可能性があります。

必要な対策

1.13.4-asm.4、1.12.7-asm.2、または 1.11.8-asm.4 より前の Anthos Service Mesh パッチ バージョンを使用している場合、クラスタが影響を受けます。

クラスタを次のパッチ バージョンのいずれかにアップグレードします。

• 1.13.4-asm.4
• 1.12.7-asm.2
• 1.11.8-asm.4

Anthos Service Mesh v1.10 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。Anthos Service Mesh 1.11 以降にアップグレードする必要があります。詳細については、以前のバージョンからのアップグレード（GKE）または以前のバージョンからのアップグレード（オンプレミス）をご覧ください。

高

CVE-2022-31045

攻撃者から圧縮率の高い小さなペイロード（ZIP 爆弾攻撃）を受信し、データが中間バッファの上限を超えることがあります。

必要な対策

1.13.4-asm.4、1.12.7-asm.2、または 1.11.8-asm.4 より前の Anthos Service Mesh パッチ バージョンを使用している場合、クラスタが影響を受けます。

Anthos Service Mesh は Envoy フィルタをサポートしていませんが、圧縮解除フィルタを使用すると影響を受ける可能性があります。

クラスタを次のパッチ バージョンのいずれかにアップグレードします。

• 1.13.4-asm.4
• 1.12.7-asm.2
• 1.11.8-asm.4

Anthos Service Mesh v1.10 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。Anthos Service Mesh 1.11 以降にアップグレードする必要があります。詳細については、以前のバージョンからのアップグレード（GKE）または以前のバージョンからのアップグレード（オンプレミス）をご覧ください。

独自の Envoy を管理しているユーザーは、Envoy リリース 1.22.1 を使用する必要があります。独自の Envoy を管理する Envoy ユーザーは、GitHub などのソースからバイナリをビルドしてデプロイします。

マネージド Envoy（Google Cloud が Envoy バイナリを提供）を実行しているユーザーが行う必要がある操作はありません。Cloud プロダクトは 1.22.1 に切り替わります。

高

CVE-2022-29225

GrpcHealthCheckerImpl での null ポインタの逆参照の可能性。

必要な対策

1.13.4-asm.4、1.12.7-asm.2、または 1.11.8-asm.4 より前の Anthos Service Mesh パッチ バージョンを使用している場合、クラスタが影響を受けます。

クラスタを次のパッチ バージョンのいずれかにアップグレードします。

• 1.13.4-asm.4
• 1.12.7-asm.2
• 1.11.8-asm.4

Anthos Service Mesh v1.10 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。Anthos Service Mesh 1.11 以降にアップグレードする必要があります。詳細については、以前のバージョンからのアップグレード（GKE）または以前のバージョンからのアップグレード（オンプレミス）をご覧ください。

独自の Envoy を管理しているユーザーは、Envoy リリース 1.22.1 を使用する必要があります。独自の Envoy を管理する Envoy ユーザーは、GitHub などのソースからバイナリをビルドしてデプロイします。

マネージド Envoy（Google Cloud が Envoy バイナリを提供）を実行しているユーザーが行う必要がある操作はありません。Cloud プロダクトは 1.22.1 に切り替わります。

中

CVE-2021-29224

OAuth フィルタで簡単なバイパスが可能になります。

必要な対策

1.13.4-asm.4、1.12.7-asm.2、または 1.11.8-asm.4 より前の Anthos Service Mesh パッチ バージョンを使用している場合、クラスタが影響を受けます。

Anthos Service Mesh では Envoy フィルタはサポートされていませんが、OAuth フィルタを使用すると影響を受ける可能性があります。

クラスタを次のパッチ バージョンのいずれかにアップグレードします。

• 1.13.4-asm.4
• 1.12.7-asm.2
• 1.11.8-asm.4

Anthos Service Mesh v1.10 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。Anthos Service Mesh 1.11 以降にアップグレードする必要があります。詳細については、以前のバージョンからのアップグレード（GKE）または以前のバージョンからのアップグレード（オンプレミス）をご覧ください。

独自の Envoy を管理している Envoy ユーザーも OAuth フィルタを使用して、Envoy リリース 1.22.1 を使用していることを確認する必要があります。独自の Envoy を管理する Envoy ユーザーは、GitHub などのソースからバイナリをビルドしてデプロイします。

マネージド Envoy（Google Cloud が Envoy バイナリを提供）を実行しているユーザーが行う必要がある操作はありません。Cloud プロダクトは 1.22.1 に切り替わります。

重大

CVE-2021-29226

OAuth フィルタでメモリが破損するか（以前のバージョン）、ASSERT() がトリガーされます（最近のバージョン）。

必要な対策

1.13.4-asm.4、1.12.7-asm.2、または 1.11.8-asm.4 より前の Anthos Service Mesh パッチ バージョンを使用している場合、クラスタが影響を受けます。

Anthos Service Mesh では Envoy フィルタはサポートされていませんが、OAuth フィルタを使用すると影響を受ける可能性があります。

クラスタを次のパッチ バージョンのいずれかにアップグレードします。

• 1.13.4-asm.4
• 1.12.7-asm.2
• 1.11.8-asm.4

Anthos Service Mesh v1.10 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。Anthos Service Mesh 1.11 以降にアップグレードする必要があります。

独自の Envoy を管理している Envoy ユーザーも OAuth フィルタを使用して、Envoy リリース 1.22.1 を使用していることを確認する必要があります。独自の Envoy を管理する Envoy ユーザーは、GitHub などのソースからバイナリをビルドしてデプロイします。

マネージド Envoy（Google Cloud が Envoy バイナリを提供）を実行しているユーザーが行う必要がある操作はありません。Cloud プロダクトは 1.22.1 に切り替わります。

高

CVE-2022-29228

本文またはトレーラーを含むリクエストに対して内部リダイレクトがクラッシュします。

必要な対策

1.13.4-asm.4、1.12.7-asm.2、または 1.11.8-asm.4 より前の Anthos Service Mesh パッチ バージョンを使用している場合、クラスタが影響を受けます。

クラスタを次のパッチ バージョンのいずれかにアップグレードします。

• 1.13.4-asm.4
• 1.12.7-asm.2
• 1.11.8-asm.4

Anthos Service Mesh v1.10 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。Anthos Service Mesh 1.11 以降にアップグレードする必要があります。詳細については、以前のバージョンからのアップグレード（GKE）または以前のバージョンからのアップグレード（オンプレミス）をご覧ください。

独自の Envoy を管理しているユーザーは、Envoy リリース 1.22.1 を使用する必要があります。独自の Envoy を管理する Envoy ユーザーは、GitHub などのソースからバイナリをビルドしてデプロイします。

マネージド Envoy（Google Cloud が Envoy バイナリを提供）を実行しているユーザーが行う必要がある操作はありません。Cloud プロダクトは 1.22.1 に切り替わります。

高

CVE-2022-29227

Istio コントロール プレーン（istiod）はリクエスト処理中のエラーに対して脆弱で、悪意のある攻撃者が特別に細工されたメッセージを送信すると、クラスタの検証 Webhook が公開されたときにコントロール プレーンがクラッシュします。このエンドポイントは TLS ポート 15017 経由で提供されますが、攻撃者からの認証は必要ありません。

必要な対策

すべての Anthos Service Mesh バージョンがこの CVE の影響を受けます。

注: マネージド コントロール プレーンを使用している場合、この脆弱性はすでに修正されており、影響を受けません。

クラスタを次のパッチ バージョンのいずれかにアップグレードします。

• 1.12.5-asm.0
• 1.11.8-asm.0
• 1.10.6-asm.2

Anthos Service Mesh v1.9 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。Anthos Service Mesh 1.10 以降にアップグレードする必要があります。

高

CVE-2022-24726

Istio は、特別に細工された authorization ヘッダーを含むリクエストを受信するとクラッシュします。

必要な対策

次の両方の条件に該当する場合、クラスタはこの問題の影響を受けます。

• 1.12.4-asm.1、1.11.7-asm.1、1.10.6-asm.1.より前の Anthos Service Mesh パッチ バージョンを使用している。

注: マネージド コントロール プレーンを使用している場合、この脆弱性はすでに修正されており、影響を受けません。

クラスタを次のパッチ バージョンのいずれかにアップグレードします。

• 1.12.4-asm.1
• 1.11.7-asm.1
• 1.10.6-asm.1

Anthos Service Mesh v1.9 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。Anthos Service Mesh 1.10 以降にアップグレードする必要があります。

高

CVE-2022-23635

JWT フィルタ safe_regex の一致を使用すると null ポインタ逆参照が発生する可能性があります。

必要な対策

次の両方の条件に該当する場合、クラスタはこの問題の影響を受けます。

• 1.12.4-asm.1、1.11.7-asm.1、1.10.6-asm.1.より前の Anthos Service Mesh パッチ バージョンを使用している。
• Anthos Service Mesh は Envoy フィルタをサポートしていませんが、JWT フィルタ正規表現を使用すると影響を受ける可能性があります。

クラスタを次のパッチ バージョンのいずれかにアップグレードします。

• 1.12.4-asm.1
• 1.11.7-asm.1
• 1.10.6-asm.1

Anthos Service Mesh v1.9 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。Anthos Service Mesh 1.10 以降にアップグレードする必要があります。

中

CVE-2021-43824

レスポンス フィルタによってレスポンス データが増加し、ダウンストリーム バッファの上限を超えると、Use-after-free が実行される可能性があります。

必要な対策

次の両方の条件に該当する場合、クラスタはこの問題の影響を受けます。

• 1.12.4-asm.1、1.11.7-asm.1、1.10.6-asm.1.より前の Anthos Service Mesh パッチ バージョンを使用している。
• Anthos Service Mesh は Envoy フィルタをサポートしていませんが、圧縮解除フィルタを使用すると影響を受ける可能性があります。

クラスタを次のパッチ バージョンのいずれかにアップグレードします。

• 1.12.4-asm.1
• 1.11.7-asm.1
• 1.10.6-asm.1

Anthos Service Mesh v1.9 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。Anthos Service Mesh 1.10 以降にアップグレードする必要があります。

中

CVE-2021-43825

アップストリーム接続の確立中にダウンストリームが切断されると、TCP over HTTP トンネリングで Use-after-free が実行される可能性があります。

必要な対策

次の両方の条件に該当する場合、クラスタはこの問題の影響を受けます。

• 1.12.4-asm.1、1.11.7-asm.1、1.10.6-asm.1.より前の Anthos Service Mesh パッチ バージョンを使用している。
• Anthos Service Mesh は Envoy フィルタをサポートしていませんが、トンネリング フィルタを使用すると影響を受ける可能性があります。

クラスタを次のパッチ バージョンのいずれかにアップグレードします。

• 1.12.4-asm.1
• 1.11.7-asm.1
• 1.10.6-asm.1

Anthos Service Mesh v1.9 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。Anthos Service Mesh 1.10 以降にアップグレードする必要があります。

中

CVE-2021-43826

構成処理が適切でないため、検証設定の変更後に再検証が行われず、mTLS セッションが再利用される可能性があります。

必要な対策

次の両方の条件に該当する場合、クラスタはこの問題の影響を受けます。

• 1.12.4-asm.1、1.11.7-asm.1、1.10.6-asm.1.より前の Anthos Service Mesh パッチ バージョンを使用している。
• mTLS を使用するすべての Anthos Service Mesh サービスが、この CVE の影響を受けます。

クラスタを次のパッチ バージョンのいずれかにアップグレードします。

• 1.12.4-asm.1
• 1.11.7-asm.1
• 1.10.6-asm.1

Anthos Service Mesh v1.9 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。Anthos Service Mesh 1.10 以降にアップグレードする必要があります。

高

CVE-2022-21654

ダイレクト レスポンス エントリを含むルートへの内部リダイレクトの処理が正しく行われません。

必要な対策

次の両方の条件に該当する場合、クラスタはこの問題の影響を受けます。

• 1.12.4-asm.1、1.11.7-asm.1、1.10.6-asm.1.より前の Anthos Service Mesh パッチ バージョンを使用している。
• Anthos Service Mesh は Envoy フィルタをサポートしていませんが、ダイレクト レスポンス フィルタを使用すると影響を受ける可能性があります。

クラスタを次のパッチ バージョンのいずれかにアップグレードします。

• 1.12.4-asm.1
• 1.11.7-asm.1
• 1.10.6-asm.1

Anthos Service Mesh v1.9 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。Anthos Service Mesh 1.10 以降にアップグレードする必要があります。

高

CVE-2022-21655

クラスタ ディスカバリ サービスを介してクラスタが削除されると、スタックが枯渇します。

必要な対策

次の両方の条件に該当する場合、クラスタはこの問題の影響を受けます。

• 1.12.4-asm.1 または 1.11.7-asm.1 より前の Anthos Service Mesh パッチ バージョンを使用している。

クラスタを次のパッチ バージョンのいずれかにアップグレードします。

• 1.12.4-asm.1
• 1.11.7-asm.1

Anthos Service Mesh v1.9 以前を使用している場合、ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。Anthos Service Mesh 1.10 以降にアップグレードする必要があります。

中

CVE-2022-23606

Istio にリモートから悪用可能な脆弱性が存在します。HTTP リクエストの URI パスにフラグメント（URI の最後の # 文字で始まるセクション）があると、Istio の URI パスベースの認可ポリシーが回避される可能性があります。

たとえば、Istio 認可ポリシーでは、URI パス /user/profile に送信されたリクエストを拒否します。脆弱性のあるバージョンでは、URI パス /user/profile#section1 を含むリクエストが拒否ポリシーを回避し、（正規化された URI パス /user/profile%23section1 を使用して）バックエンドにルーティングされるため、セキュリティ インシデントが発生します。

この修正は、CVE-2021-32779 に関連する Envoy での修正に依存しています。

必要な対策

次の両方の条件に該当する場合、クラスタはこの問題の影響を受けます。

• 1.7.8-asm.10、1.8.6-asm.8、1.9.8-asm.1、1.10.4-asm.6 より前の Anthos Service Mesh パッチ バージョンを使用している。
• DENY actions と operation.paths または ALLOW actions と operation.notPaths の認可ポリシーを使用している。

クラスタを次のパッチ バージョンのいずれかにアップグレードします。

• 1.10.4-asm.6
• 1.9.8-asm.1
• 1.8.6-asm.8
• 1.7.8-asm.10

新しいバージョンでは、認可とルーティングの前にリクエストの URI のフラグメント部分が削除されます。これにより、フラグメント部分のない URI に基づく認可ポリシーが、URI にフラグメントが存在するリクエストによってバイパスされることがなくなります。

この新しい動作をオプトアウトした場合、URI のフラグメント セクションは保持されます。オプトアウトするには、次のようにインストールを構成します。

apiVersion: install.istio.io/v1alpha1
kind: IstioOperator
metadata:
  name: opt-out-fragment-cve-fix
  namespace: istio-system
spec:
  meshConfig:
    defaultConfig:
      proxyMetadata:
        HTTP_STRIP_FRAGMENT_FROM_PATH_UNSAFE_IF_DISABLED: "false"

注: この動作をオプトアウトすると、クラスタはこの CVE に対して脆弱になります。

高

CVE-2021-39156

Istio にリモートから悪用可能な脆弱性が存在します。hosts または notHosts に基づくルールを使用している場合、HTTP リクエストが Istio 認可ポリシーを回避する可能性があります。

脆弱性のあるバージョンでは、Istio 認可ポリシーが大文字と小文字を区別する方法で HTTP Host または :authority ヘッダーを比較しますが、これは RFC 4343 に準拠していません。たとえば、ユーザーがホスト secret.com でリクエストを拒否する認可ポリシーを設定していても、攻撃者はホスト名 Secret.com でリクエストを送信することで、このポリシーをバイパスできます。ルーティング フローにより secret.com のバックエンドにトラフィックがルーティングされ、セキュリティ インシデントが発生します。

必要な対策

次の両方の条件に該当する場合、クラスタはこの問題の影響を受けます。

• 1.7.8-asm.10、1.8.6-asm.8、1.9.8-asm.1、1.10.4-asm.6 より前の Anthos Service Mesh パッチ バージョンを使用している。
• operation.hosts に基づく DENY actions または operation.notHosts に基づく ALLOW actions の認可ポリシーを使用している。

クラスタを次のパッチ バージョンのいずれかにアップグレードします。

• 1.10.4-asm.6
• 1.9.8-asm.1
• 1.8.6-asm.8
• 1.7.8-asm.10

この緩和策により、大文字と小文字を区別せずに HTTP Host または :authority のヘッダーと認可ポリシーの hosts または notHosts の仕様が比較されます。

高

CVE-2021-39155

Envoy にリモートから悪用可能な脆弱性が存在します。ext_authz 拡張機能が使用されている場合、複数のヘッダー値を持つ HTTP リクエストに対して不完全な認可ポリシー チェックが行われる可能性があります。リクエスト ヘッダーに複数の値が含まれている場合、外部認可サーバーは指定されたヘッダーの最後の値のみを認識します。

必要な対策

次の両方の条件に該当する場合、クラスタはこの問題の影響を受けます。

• 1.7.8-asm.10、1.8.6-asm.8、1.9.8-asm.1、1.10.4-asm.6 より前の Anthos Service Mesh パッチ バージョンを使用している。
• 外部認証機能を使用している。

クラスタを次のパッチ バージョンのいずれかにアップグレードします。

• 1.10.4-asm.6
• 1.9.8-asm.1
• 1.8.6-asm.8
• 1.7.8-asm.10

高

CVE-2021-32777

Envoy にリモートから悪用可能な脆弱性が存在します。Envoy の decompressor、json-transcoder、grpc-web 拡張機能、またはリクエスト本文とレスポンス本文のサイズを変更して拡大する独自の拡張機能はこの問題の影響を受けます。Envoy の拡張機能で本文のサイズを変更し、内部バッファサイズより大きくすると、Envoy が割り当て解除されたメモリにアクセスし、異常終了する可能性があります。

必要な対策

次の両方の条件に該当する場合、クラスタはこの問題の影響を受けます。

• 1.7.8-asm.10、1.8.6-asm.8、1.9.8-asm.1、1.10.4-asm.6 より前の Anthos Service Mesh パッチ バージョンを使用している。
• EnvoyFilters を使用している。

クラスタを次のパッチ バージョンのいずれかにアップグレードします。

• 1.10.4-asm.6
• 1.9.8-asm.1
• 1.8.6-asm.8
• 1.7.8-asm.10

高

CVE-2021-32781

Envoy にリモートから悪用可能な脆弱性が存在します。Envoy クライアントが多数の HTTP/2 リクエストを開いてリセットすると、CPU が過剰に消費される可能性があります。

必要な対策

クラスタが影響を受けるのは、1.7.8-asm.10、1.8.6-asm.8、1.9.8-asm.1、1.10.4-asm.6 より前の Anthos Service Mesh パッチ バージョンを使用している場合です。

クラスタを次のパッチ バージョンのいずれかにアップグレードします。

• 1.10.4-asm.6
• 1.9.8-asm.1

注: Anthos Service Mesh 1.8 以前を使用している場合は、この脆弱性を軽減するために Anthos Service Mesh 1.9 以降の最新のパッチ バージョンにアップグレードしてください。

高

CVE-2021-32778

Envoy にリモートから悪用可能な脆弱性が存在します。信頼できないアップストリーム サービスから GOAWAY フレームに続いて、SETTINGS_MAX_CONCURRENT_STREAMS パラメータが 0 に設定された SETTINGS フレームが送信され、Envoy が異常終了する可能性があります。

必要な対策

1.10.4-asm.6 より前のパッチ バージョンの Anthos Service Mesh 1.10 を使用している場合、クラスタはこの問題の影響を受けます。

クラスタを次のパッチ バージョンにアップグレードします。

• 1.10.4-asm.6

高

CVE-2021-32780

Istio セキュア Gateway または DestinationRule を使用するワークロードは、TLS 秘密鍵と証明書を credentialName 経由で読み込みます。Istio 1.8 以降では、Secret は istiod から読み取られ、XDS 経由でゲートウェイとワークロードに渡されます。

通常、ゲートウェイまたはワークロードのデプロイは、その Namespace 内の Secret に保存された TLS 証明書と秘密鍵にのみアクセスできます。ただし、istiod のバグにより、Istio XDS API へのアクセスが承認されたクライアントは、istiod にキャッシュ保存された TLS 証明書と秘密鍵を取得できます。このセキュリティの脆弱性は、Anthos Service Mesh 1.8 と 1.9 のマイナー リリースにのみ影響します。

必要な対策

次のすべての条件に該当する場合、クラスタが影響を受けます。

• 1.9.6-asm.1 より前の 1.9.x バージョンまたは 1.8.6-asm.4 より前の 1.8.x を使用している。
• credentialName フィールドを指定して Gateways または DestinationRules を定義している。
• istiod フラグ PILOT_ENABLE_XDS_CACHE=false を指定していない。

クラスタを次のいずれかのパッチ適用済みバージョンにアップグレードします。

• 1.9.6-asm.1
• 1.6.14-asm.2

高

CVE-2021-34824

Istio には、ゲートウェイが AUTO_PASSTHROUGH ルーティング構成で構成されている場合に、リモートから悪用できる脆弱性が存在します。この脆弱性により、外部クライアントが認証チェックを回避し、クラスタ内の想定されていないサービスにアクセスされる可能性があります。

必要な対策

この脆弱性は、AUTO_PASSTHROUGH のゲートウェイ タイプを利用している場合のみ影響を受けます。通常、このゲートウェイ タイプは、マルチネットワーク、マルチクラスタ デプロイでのみ使用されます。

次のコマンドを使用して、クラスタ内のゲートウェイすべての TLS モードを検出します。

kubectl get gateways.networking.istio.io -A -o \
  "custom-columns=NAMESPACE:.metadata.namespace, \
  NAME:.metadata.name,TLS_MODE:.spec.servers[*].tls.mode"

出力に AUTO_PASSTHROUGH ゲートウェイが表示された場合、影響を受ける可能性があります。

クラスタを最新の Anthos Service Mesh バージョンに更新します。

• 1.9.5-asm.2
• 1.8.6-asm.3
• 1.7.8-asm.8

* 注: Anthos Service Mesh マネージド コントロール プレーン（1.9.x バージョンでのみ使用可能）のロールアウトは数日中に完了します。

高

CVE-2021-31921

Istio には、パスベースの認証ルールが使用されている場合に、リモートから悪用できる脆弱性が含まれています。この脆弱性により、複数のスラッシュやエスケープされたスラッシュ文字（%2F または %5C）を含む HTTP リクエストパスが、Istio 認可ポリシーを迂回できる可能性があります。

Istio クラスタ管理者がパス "/admin" でリクエストを拒否する認可 DENY ポリシーを定義している場合、URL パス "//admin" に送信されたリクエストは、認可ポリシーによって拒否されません。

RFC 3986 に従い、複数のスラッシュを含むパス "//admin" は、技術的には "/admin" とは異なるパスとして扱われる必要があります。ただし、バックエンド サービスの中には、複数のスラッシュを単一のスラッシュに結合して URL パスを正規化することを選択するものもあります。これにより、認可ポリシー（"//admin" が "/admin" と一致しない）が回避され、ユーザーはバックエンドのパス "/admin" でリソースにアクセスできるようになります。

必要な対策

「ALLOW アクション + notPaths フィールド」または「DENY アクション + paths フィールド」のパターンを使用する認可ポリシーがある場合、クラスタはこの脆弱性の影響を受けます。こうしたパターンは、想定していないポリシーの迂回に対して脆弱であるため、可能な限り速やかにアップグレードを行い、セキュリティの問題を修正する必要があります。

「DENY アクション + paths フィールド」パターンを使用する脆弱なポリシーの例を次に示します。

apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: deny-path-admin
spec:
  action: DENY
  rules:
  - to:
    - operation:
        paths: ["/admin"]

「ALLOW アクション + notPaths フィールド」パターンを使用する脆弱なポリシーの例を次に示します。

apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: allow-path-not-admin
spec:
  action: ALLOW
  rules:
  - to:
    - operation:
        notPaths: ["/admin"]

次の場合、クラスタはこの脆弱性の影響を受けません。

• 認可ポリシーがない。
• 認可ポリシーで paths や notPaths フィールドを定義していない。
• 認可ポリシーで、「ALLOW アクション + paths フィールド」または「DENY アクション + notPaths フィールド」のパターンを使用している。これらのパターンでは、ポリシーの迂回ではなく、想定していない拒否だけを引き起こす可能性があります。

このような場合は、アップグレードは任意です。

クラスタを、サポートされている最新の Anthos Service Mesh バージョン* に更新します。これらのバージョンでは、標準化されたさらに多くのオプションを使用したシステム内の Envoy プロキシの構成がサポートされています。

• 1.9.5-asm.2
• 1.8.6-asm.3
• 1.7.8-asm.8

* 注: Anthos Service Mesh マネージド コントロール プレーン（1.9.x バージョンでのみ使用可能）のロールアウトは数日中に完了します。

Istio セキュリティのベスト プラクティス ガイドに従って、認可ポリシーを構成します。

高

CVE-2021-31920

最近、Envoy と Istio のプロジェクトは攻撃者が Envoy をクラッシュさせ、そのクラスタの一部をオフラインおよび到達不能にするおそれがあるいくつかの新しいセキュリティ上の脆弱性（CVE-2021-28682、CVE-2021-28683、CVE-2021-29258）を発表しました。

これは、Anthos Service Mesh などの配信サービスに影響します。

必要な対策

これらの脆弱性を修正するには、Anthos Service Mesh バンドルを次のパッチ適用済みバージョンのいずれかにアップグレードしてください。

• 1.9.3-asm.2
• 1.8.5-asm.2
• 1.7.8-asm.1
• 1.6.14-asm.2

詳細については、Anthos Service Mesh リリースノートをご覧ください。

高

CVE-2021-28682
CVE-2021-28683
CVE-2021-29258