Bollettini sulla sicurezza

Utilizza questo feed XML per iscriverti ai bollettini sulla sicurezza di Anthos Service Mesh. Iscriviti

In questa pagina sono elencati i bollettini sulla sicurezza per Anthos Service Mesh.

GCP-2024-023

Pubblicato: 24/04/2024

Descrizione Gravità Note

HTTP/2: esaurimento della memoria a causa del flood di CONTINUATION del frame.

Che cosa devo fare?

Verifica se i cluster sono interessati

Tutte le versioni di Anthos Service Mesh sono interessate da questo CVE.

Mitigazione

Se esegui Anthos Service Mesh gestito, non è richiesta alcuna azione. Il sistema verrà aggiornato automaticamente nei prossimi giorni.

Se esegui Anthos Service Mesh nel cluster, devi eseguire l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.20.6-asm.0
  • 1.19.10-asm.0
  • 1.18.7-asm.21

Se utilizzi Anthos Service Mesh 1.17 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state sottoposte a backport. Dovresti eseguire l'upgrade ad Anthos Service Mesh v1.18 o versioni successive.

Alta

CVE-2024-27919

Descrizione Gravità Note

HTTP/2: esaurimento della CPU a causa dell'inondazione CONTINUATION del frame

Che cosa devo fare?

Verifica se i cluster sono interessati

Tutte le versioni di Anthos Service Mesh sono interessate da questo CVE.

Mitigazione

Se esegui Anthos Service Mesh gestito, non è richiesta alcuna azione. Il sistema verrà aggiornato automaticamente nei prossimi giorni.

Se esegui Anthos Service Mesh nel cluster, devi eseguire l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.20.6-asm.0
  • 1.19.10-asm.0
  • 1.18.7-asm.21

Se utilizzi Anthos Service Mesh 1.17 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state sottoposte a backport. Dovresti eseguire l'upgrade ad Anthos Service Mesh 1.18 o versioni successive.

Medio

CVE-2024-30255

Descrizione Gravità Note

Chiusura anomala quando si utilizza auto_sni con intestazione ":authority" più lunga di 255 caratteri.

Che cosa devo fare?

Verifica se i cluster sono interessati

Tutte le versioni di Anthos Service Mesh sono interessate da questo CVE.

Mitigazione

Se esegui Anthos Service Mesh gestito, non è richiesta alcuna azione. Il sistema verrà aggiornato automaticamente nei prossimi giorni.

Se esegui Anthos Service Mesh nel cluster, devi eseguire l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.20.6-asm.0
  • 1.19.10-asm.0
  • 1.18.7-asm.21

Se utilizzi Anthos Service Mesh v1.17 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state sottoposte a backport. Dovresti eseguire l'upgrade ad Anthos Service Mesh 1.18 o versioni successive.

Alta

CVE-2024-32475

Descrizione Gravità Note

Per gli attacchi DoS possono essere utilizzati i frame di CONTINUAZIONE HTTP/2.

Che cosa devo fare?

Verifica se i cluster sono interessati

Tutte le versioni di Anthos Service Mesh sono interessate da questo CVE.

Mitigazione

Se esegui Anthos Service Mesh gestito, non è richiesta alcuna azione. Il sistema verrà aggiornato automaticamente nei prossimi giorni.

Se esegui Anthos Service Mesh nel cluster, devi eseguire l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.20.6-asm.0
  • 1.19.10-asm.0
  • 1.18.7-asm.21

Se utilizzi Anthos Service Mesh 1.17 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state sottoposte a backport. Dovresti eseguire l'upgrade alla versione v1.18 o successiva.

Non fornito

CVE-2023-45288

GCP-2024-007

Pubblicato: 8/02/2024

Descrizione Gravità Note

Envoy si arresta in modo anomalo quando inattivo e il timeout delle richieste per tentativo si verifica entro l'intervallo di backoff.

Che cosa devo fare?

Se esegui Anthos Service Mesh gestito, non è richiesta alcuna azione. Il sistema verrà aggiornato automaticamente nei prossimi giorni.

Se esegui Anthos Service Mesh nel cluster, devi eseguire l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.20.3-asm.4
  • 1.19.7-asm.3
  • 1.18.7-asm.4
  • 1.17.8-asm.20

Se utilizzi Anthos Service Mesh v1.17 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Anche se è stato eseguito il backporting di queste correzioni CVE alla versione 1.17, devi eseguire l'upgrade alla versione 1.18 o successiva.

Alta

CVE-2024-23322

Descrizione Gravità Note

Utilizzo eccessivo della CPU quando il matcher del modello URI viene configurato utilizzando un'espressione regolare.

Che cosa devo fare?

Se esegui Anthos Service Mesh gestito, non è richiesta alcuna azione. Il sistema verrà aggiornato automaticamente nei prossimi giorni.

Se esegui Anthos Service Mesh nel cluster, devi eseguire l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.20.3-asm.4
  • 1.19.7-asm.3
  • 1.18.7-asm.4
  • 1.17.8-asm.20

Se utilizzi Anthos Service Mesh v1.17 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Anche se è stato eseguito il backporting di queste correzioni CVE alla versione 1.17, devi eseguire l'upgrade alla versione 1.18 o successiva.

Medio

CVE-2024-23323

Descrizione Gravità Note

L'autorizzazione esterna può essere ignorata quando il filtro del protocollo proxy imposta metadati UTF-8 non validi.

Che cosa devo fare?

Se esegui Anthos Service Mesh gestito, non è richiesta alcuna azione. Il sistema verrà aggiornato automaticamente nei prossimi giorni.

Se esegui Anthos Service Mesh nel cluster, devi eseguire l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.20.3-asm.4
  • 1.19.7-asm.3
  • 1.18.7-asm.4
  • 1.17.8-asm.20

Se utilizzi Anthos Service Mesh v1.17 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Anche se è stato eseguito il backporting di queste correzioni CVE alla versione 1.17, devi eseguire l'upgrade alla versione 1.18 o successiva.

Alta

CVE-2024-23324

Descrizione Gravità Note

Envoy si arresta in modo anomalo quando viene utilizzato un tipo di indirizzo non supportato dal sistema operativo.

Che cosa devo fare?

Se esegui Anthos Service Mesh gestito, non è richiesta alcuna azione. Il sistema verrà aggiornato automaticamente nei prossimi giorni.

Se esegui Anthos Service Mesh nel cluster, devi eseguire l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.20.3-asm.4
  • 1.19.7-asm.3
  • 1.18.7-asm.4
  • 1.17.8-asm.20

Se utilizzi Anthos Service Mesh v1.17 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Anche se è stato eseguito il backporting di queste correzioni CVE alla versione 1.17, devi eseguire l'upgrade alla versione 1.18 o successiva.

Alta

CVE-2024-23325

Descrizione Gravità Note

Arresto anomalo nel protocollo proxy quando il tipo di comando è LOCAL.

Che cosa devo fare?

Se esegui Anthos Service Mesh gestito, non è richiesta alcuna azione. Il sistema verrà aggiornato automaticamente nei prossimi giorni.

Se esegui Anthos Service Mesh nel cluster, devi eseguire l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.20.3-asm.4
  • 1.19.7-asm.3
  • 1.18.7-asm.4
  • 1.17.8-asm.20

Se utilizzi Anthos Service Mesh v1.17 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Anche se è stato eseguito il backporting di queste correzioni CVE alla versione 1.17, devi eseguire l'upgrade alla versione 1.18 o successiva.

Alta

CVE-2024-23327

GCP-2023-031

Pubblicato: 10/10/2023

Descrizione Gravità Note

Un attacco denial of service può interessare il piano dati quando si utilizza il protocollo HTTP/2.

Che cosa devo fare?

Verifica se i cluster sono interessati

Il cluster è interessato se utilizza Anthos Service Mesh versioni patch precedenti a 1.18.4, 1.17.7 o 1.16.7.

Mitigazione

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.18.4-asm.0
  • 1.17.7-asm.0
  • 1.16.7-asm.10

Se esegui Anthos Service Mesh gestito, il sistema verrà aggiornato automaticamente nei prossimi giorni.

Se utilizzi Anthos Service Mesh 1.15 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state sottoposte a backport. Devi eseguire l'upgrade alla versione 1.16 o successiva.

Alta

CVE-2023-44487

GCP-2023-021

Updated:2023-07-26

Pubblicato: 25/07/2022
Descrizione Gravità Note

Un client dannoso è in grado di costruire credenziali con validità permanente in alcuni scenari specifici. Ad esempio, la combinazione di host e ora di scadenza nel payload HMAC può essere sempre valida nel controllo HMAC del filtro OAuth2.

Che cosa devo fare?

Verifica se i cluster sono interessati

Il cluster è interessato se utilizza versioni patch di Anthos Service Mesh precedenti al

  • 1.17.4
  • 1.16.6
  • 1.15.7
Mitigazione

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.17.5-asm.0
  • 1.16.7-asm.0
  • 1.15.7-asm.23

Se esegui Anthos Service Mesh gestito, il sistema verrà aggiornato automaticamente nei prossimi giorni.

Se utilizzi Anthos Service Mesh 1.14 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state sottoposte a backport. Devi eseguire l'upgrade ad ASM 1.15 o versioni successive.

Alta

CVE-2023-35941

Descrizione Gravità Note

I logger di accesso gRPC che utilizzano l'ambito globale del listener possono causare un arresto anomalo use-after-free quando il listener viene svuotato. Questo può essere attivato da un aggiornamento LDS con la stessa configurazione del log di accesso gRPC.

Che cosa devo fare?

Verifica se i cluster sono interessati

Il cluster è interessato se utilizza versioni patch di Anthos Service Mesh precedenti al

  • 1.17.4
  • 1.16.6
  • 1.15.7
Mitigazione

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.17.5-asm.0
  • 1.16.7-asm.0
  • 1.15.7-asm.23

Se esegui Anthos Service Mesh gestito, il sistema verrà aggiornato automaticamente nei prossimi giorni.

Se utilizzi Anthos Service Mesh 1.14 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state sottoposte a backport. Devi eseguire l'upgrade ad ASM 1.15 o versioni successive.

Medio

CVE-2023-35942

Descrizione Gravità Note

Se l'intestazione origin è configurata per essere rimossa con request_headers_to_remove: origin, il filtro CORS segfault e si arresta in modo anomalo su Envoy.

Che cosa devo fare?

Verifica se i cluster sono interessati

Il cluster è interessato se utilizza versioni patch di Anthos Service Mesh precedenti al

  • 1.17.4
  • 1.16.6
  • 1.15.7
Mitigazione

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.17.5-asm.0
  • 1.16.7-asm.0
  • 1.15.7-asm.23

Se esegui Anthos Service Mesh gestito, il sistema verrà aggiornato automaticamente nei prossimi giorni.

Se utilizzi Anthos Service Mesh 1.14 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state sottoposte a backport. Devi eseguire l'upgrade ad ASM 1.15 o versioni successive.

Medio

CVE-2023-35943

Descrizione Gravità Note

Gli aggressori possono inviare richieste di schemi misti per aggirare alcuni controlli dello schema in Envoy. Ad esempio, se una richiesta con htTp con schema misto viene inviata al filtro OAuth2, non supererà i controlli della corrispondenza esatta per http e comunicherà all'endpoint remoto che lo schema è https, bypassando potenzialmente i controlli OAuth2 specifici per le richieste HTTP.

Che cosa devo fare?

Verifica se i cluster sono interessati

Il cluster è interessato se utilizza versioni patch di Anthos Service Mesh precedenti al

  • 1.17.4
  • 1.16.6
  • 1.15.7
Mitigazione

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.17.5-asm.0
  • 1.16.7-asm.0
  • 1.15.7-asm.23

Se esegui Anthos Service Mesh gestito, il sistema verrà aggiornato automaticamente nei prossimi giorni.

Se utilizzi Anthos Service Mesh 1.14 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state sottoposte a backport. Devi eseguire l'upgrade ad ASM 1.15 o versioni successive.

Alta

CVE-2023-35944

GCP-2023-019

Descrizione Gravità Note

Una risposta creata appositamente da un servizio upstream non attendibile può causare un denial of service attraverso l'esaurimento della memoria. Questo è causato dal codec HTTP/2 di Envoy che potrebbe far trapelare una mappa di intestazione e strutture di contabilità alla ricezione di RST_STREAM immediatamente seguito dai frame GOAWAY da un server upstream.

Che cosa devo fare?

Verifica se i cluster sono interessati

Il cluster è interessato se utilizza versioni patch di Anthos Service Mesh precedenti al

  • 1.17.4
  • 1.16.6
  • 1.15.7
Mitigazione

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.17.4-asm.2
  • 1.16.6-asm.3
  • 1.15.7-asm.21

Se esegui Anthos Service Mesh gestito, il sistema verrà aggiornato automaticamente nei prossimi giorni.

Se utilizzi Anthos Service Mesh 1.14 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state sottoposte a backport. Devi eseguire l'upgrade ad ASM 1.15 o versioni successive.

Alta

CVE-2023-35945

GCP-2023-002

Descrizione Gravità Note

Se Envoy è in esecuzione con il filtro OAuth attivato esposto, un utente malintenzionato potrebbe creare una richiesta che potrebbe causare denial of service con l'arresto anomalo di Envoy.

Che cosa devo fare?

Verifica se i cluster sono interessati

I cluster sono interessati se utilizzano versioni patch di Anthos Service Mesh precedenti a:

  • 1.16.4
  • 1.15.7
  • 1.14.6
Mitigazione

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.16.4-asm.2
  • 1.15.7-asm.1
  • 1.14.6-asm.11

Se utilizzi Anthos Service Mesh 1.13 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state sottoposte a backport. Dovresti eseguire l'upgrade ad Anthos Service Mesh 1.14 o versioni successive.

Medio

CVE-2023-27496

Descrizione Gravità Note

L'utente malintenzionato può utilizzare questa vulnerabilità per bypassare i controlli di autenticazione quando viene utilizzato ext_authz.

Che cosa devo fare?

Verifica se i cluster sono interessati

I cluster sono interessati se utilizzano versioni patch di Anthos Service Mesh precedenti a:

  • 1.16.4
  • 1.15.7
  • 1.14.6
Mitigazione

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.16.4-asm.2
  • 1.15.7-asm.1
  • 1.14.6-asm.11

Se utilizzi Anthos Service Mesh 1.13 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state sottoposte a backport. Dovresti eseguire l'upgrade ad Anthos Service Mesh} 1.14 o versioni successive.

Medio

CVE-2023-27488

Descrizione Gravità Note

La configurazione di Envoy deve anche includere un'opzione per aggiungere intestazioni delle richieste che siano state generate utilizzando gli input della richiesta, ad esempio la SAN del certificato peer.

Che cosa devo fare?

Verifica se i cluster sono interessati

I cluster sono interessati se utilizzano versioni patch di Anthos Service Mesh precedenti a:

  • 1.16.4
  • 1.15.7
  • 1.14.6
Mitigazione

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.16.4-asm.2
  • 1.15.7-asm.1
  • 1.14.6-asm.11

Se utilizzi Anthos Service Mesh 1.13 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state sottoposte a backport. Dovresti eseguire l'upgrade ad Anthos Service Mesh 1.14 o versioni successive.

Alta

CVE-2023-27493

Descrizione Gravità Note

Gli aggressori possono inviare corpi di richieste di grandi dimensioni per le route in cui è attivato il filtro Lua e che causano arresti anomali.

Che cosa devo fare?

Verifica se i cluster sono interessati

I cluster sono interessati se utilizzano versioni patch di Anthos Service Mesh precedenti a:

  • 1.16.4
  • 1.15.7
  • 1.14.6
Mitigazione

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.16.4-asm.2
  • 1.15.7-asm.1
  • 1.14.6-asm.11

Se utilizzi Anthos Service Mesh 1.13 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state sottoposte a backport. Dovresti eseguire l'upgrade ad Anthos Service Mesh 1.14 o versioni successive.

Medio

CVE-2023-27492

Descrizione Gravità Note

Gli aggressori possono inviare richieste HTTP/2 o HTTP/3 appositamente realizzate per attivare errori di analisi sul servizio upstream HTTP/1.

Che cosa devo fare?

Verifica se i cluster sono interessati

I cluster sono interessati se utilizzano versioni patch di Anthos Service Mesh precedenti a:

  • 1.16.4
  • 1.15.7
  • 1.14.6
Mitigazione

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.16.4-asm.2
  • 1.15.7-asm.1
  • 1.14.6-asm.11

Se utilizzi Anthos Service Mesh 1.13 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state sottoposte a backport. Dovresti eseguire l'upgrade ad Anthos Service Mesh 1.14 o versioni successive.

Medio

CVE-2023-27491

Descrizione Gravità Note

L'intestazione x-envoy-original-path deve essere un'intestazione interna, ma Envoy non la rimuove dalla richiesta all'inizio dell'elaborazione della richiesta quando viene inviata da un client non attendibile.

Che cosa devo fare?

Verifica se i cluster sono interessati

I cluster sono interessati se utilizzano versioni patch di Anthos Service Mesh precedenti a:

  • 1.16.4
  • 1.15.7
  • 1.14.6
Mitigazione

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.16.4-asm.2
  • 1.15.7-asm.1
  • 1.14.6-asm.11

Se utilizzi Anthos Service Mesh 1.13 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state sottoposte a backport. Dovresti eseguire l'upgrade ad Anthos Service Mesh 1.14 o versioni successive.

Alta

CVE-2023-27487

GCP-2022-020

Pubblicato: 5/10/2022
Aggiornamento: 12/10/2022
Aggiornamento del 12/10/2022: è stato aggiornato il link alla descrizione CVE e sono state aggiunte informazioni sugli aggiornamenti automatici per Anthos Service Mesh gestito.
Descrizione Gravità Note

Il piano di controllo Istio istiod è vulnerabile a un errore di elaborazione delle richieste, consentendo a un utente malintenzionato che invia un messaggio creato appositamente, che determina l'arresto anomalo del piano di controllo quando il webhook di convalida per un cluster viene esposto pubblicamente. Questo endpoint viene gestito tramite la porta TLS 15017, ma non richiede alcuna autenticazione da parte dell'utente malintenzionato.

Che cosa devo fare?

Verifica se i cluster sono interessati

Il cluster è interessato se utilizza Anthos Service Mesh versioni patch precedenti a 1.14.4, 1.13.8 o 1.12.9.

Mitigazione

Se esegui Anthos Service Mesh autonomo, esegui l'upgrade del cluster a una delle seguenti versioni con patch:

  • Se utilizzi Anthos Service Mesh 1.14, esegui l'upgrade alla versione v1.14.4-asm.2
  • Se utilizzi Anthos Service Mesh 1.13, esegui l'upgrade alla versione v1.13.8-asm.4
  • Se utilizzi Anthos Service Mesh 1.12, esegui l'upgrade alla versione v1.12.9-asm.3

Se esegui Anthos Service Mesh gestito, il sistema verrà aggiornato automaticamente nei prossimi giorni.

Se utilizzi Anthos Service Mesh v1.11 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state sottoposte a backport. Dovresti eseguire l'upgrade ad Anthos Service Mesh 1.12 o versioni successive.

Alta

CVE-2022-39278

GCP-2022-015

Pubblicato: 09/06/2022
Aggiornamento: 10/06/2022
Aggiornamento del 10/06/2022: versioni patch aggiornate per Anthos Service Mesh.
Descrizione Gravità Note

Il piano dati Istio può accedere alla memoria in modo non sicuro quando le estensioni Statistiche e Scambio di metadati sono abilitate.

Che cosa devo fare?

Verifica se i cluster sono interessati

Il cluster è interessato se utilizza versioni patch di Anthos Service Mesh precedenti a 1.13.4-asm.4, 1.12.7-asm.2 o 1.11.8-asm.4.

Mitigazione del mesh di servizi Anthos

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.13.4-asm.4
  • 1.12.7-asm.2
  • 1.11.8-asm.4

Se utilizzi Anthos Service Mesh 1.10 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state sottoposte a backport. Dovresti eseguire l'upgrade ad Anthos Service Mesh 1.11 o versioni successive. Per ulteriori informazioni, consulta Upgrade da versioni precedenti (GKE) o Upgrade da versioni precedenti (on-premise).

Alta

CVE-2022-31045

Descrizione Gravità Note

I dati possono superare i limiti di buffer intermedi se un aggressore passa un piccolo payload altamente compresso (noto anche come attacco zip bomb).

Che cosa devo fare?

Verifica se i cluster sono interessati

Il cluster è interessato se utilizza versioni patch di Anthos Service Mesh precedenti a 1.13.4-asm.4, 1.12.7-asm.2 o 1.11.8-asm.4.

Sebbene Anthos Service Mesh non supporti i filtri Envoy, l'utilizzo di un filtro di decompressione potrebbe interessarti.

Mitigazione del mesh di servizi Anthos

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.13.4-asm.4
  • 1.12.7-asm.2
  • 1.11.8-asm.4

Se utilizzi Anthos Service Mesh 1.10 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state sottoposte a backport. Dovresti eseguire l'upgrade ad Anthos Service Mesh 1.11 o versioni successive. Per ulteriori informazioni, consulta Upgrade da versioni precedenti (GKE) o Upgrade da versioni precedenti (on-premise).

Mitigazione di Envoy

Gli utenti di Envoy che gestiscono i propri Envoy devono assicurarsi di utilizzare la release 1.22.1 di Envoy. Gli utenti Envoy che gestiscono i propri Envoy creano i file binari da un'origine come GitHub e ne eseguono il deployment.

Non è richiesta alcuna azione da parte degli utenti che eseguono Envoy gestiti (Google Cloud fornisce i file binari di Envoy), per i quali i prodotti cloud passeranno alla versione 1.22.1.

Alta

CVE-2022-29225

Descrizione Gravità Note

Potenziale dereferenza del puntatore nullo in GrpcHealthCheckerImpl.

Che cosa devo fare?

Verifica se i cluster sono interessati

Il cluster è interessato se utilizza versioni patch di Anthos Service Mesh precedenti a 1.13.4-asm.4, 1.12.7-asm.2 o 1.11.8-asm.4.

Mitigazione del mesh di servizi Anthos

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.13.4-asm.4
  • 1.12.7-asm.2
  • 1.11.8-asm.4

Se utilizzi Anthos Service Mesh 1.10 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state sottoposte a backport. Dovresti eseguire l'upgrade ad Anthos Service Mesh 1.11 o versioni successive. Per ulteriori informazioni, consulta Upgrade da versioni precedenti (GKE) o Upgrade da versioni precedenti (on-premise).

Mitigazione di Envoy

Gli utenti di Envoy che gestiscono i propri Envoy devono assicurarsi di utilizzare la release 1.22.1 di Envoy. Gli utenti Envoy che gestiscono i propri Envoy creano i file binari da un'origine come GitHub e ne eseguono il deployment.

Non è richiesta alcuna azione da parte degli utenti che eseguono Envoy gestiti (Google Cloud fornisce i file binari di Envoy), per i quali i prodotti cloud passeranno alla versione 1.22.1.

Medio

CVE-2021-29224

Descrizione Gravità Note

Il filtro OAuth consente di bypassare in modo semplice.

Che cosa devo fare?

Verifica se i cluster sono interessati

Il cluster è interessato se utilizza versioni patch di Anthos Service Mesh precedenti a 1.13.4-asm.4, 1.12.7-asm.2 o 1.11.8-asm.4.

Sebbene Anthos Service Mesh non supporti i filtri Envoy, l'utilizzo di un filtro OAuth potrebbe interessarti.

Mitigazione del mesh di servizi Anthos

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.13.4-asm.4
  • 1.12.7-asm.2
  • 1.11.8-asm.4

Se utilizzi Anthos Service Mesh 1.10 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state sottoposte a backport. Dovresti eseguire l'upgrade ad Anthos Service Mesh 1.11 o versioni successive. Per ulteriori informazioni, consulta Upgrade da versioni precedenti (GKE) o Upgrade da versioni precedenti (on-premise).

Mitigazione di Envoy

Anche gli utenti di Envoy che gestiscono i propri Envoy utilizzano il filtro OAuth, per assicurarsi di utilizzare la release 1.22.1 di Envoy. Gli utenti Envoy che gestiscono i propri Envoy creano i file binari da un'origine come GitHub e ne eseguono il deployment.

Non è richiesta alcuna azione da parte degli utenti che eseguono Envoy gestiti (Google Cloud fornisce i file binari di Envoy), per i quali i prodotti cloud passeranno alla versione 1.22.1.

Critico

CVE-2021-29226

Descrizione Gravità Note

Il filtro OAuth può danneggiare la memoria (versioni precedenti) o attivare una funzione ASSERT() (versioni successive).

Che cosa devo fare?

Verifica se i cluster sono interessati

Il cluster è interessato se utilizza versioni patch di Anthos Service Mesh precedenti a 1.13.4-asm.4, 1.12.7-asm.2 o 1.11.8-asm.4.

Sebbene Anthos Service Mesh non supporti i filtri Envoy, l'utilizzo di un filtro OAuth potrebbe interessarti.

Mitigazione del mesh di servizi Anthos

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.13.4-asm.4
  • 1.12.7-asm.2
  • 1.11.8-asm.4

Se utilizzi Anthos Service Mesh 1.10 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state sottoposte a backport. Dovresti eseguire l'upgrade ad Anthos Service Mesh 1.11 o versioni successive.

Mitigazione di Envoy

Anche gli utenti di Envoy che gestiscono i propri Envoy utilizzano il filtro OAuth, per assicurarsi di utilizzare la release 1.22.1 di Envoy. Gli utenti Envoy che gestiscono i propri Envoy creano i file binari da un'origine come GitHub e ne eseguono il deployment.

Non è richiesta alcuna azione da parte degli utenti che eseguono Envoy gestiti (Google Cloud fornisce i file binari di Envoy), per i quali i prodotti cloud passeranno alla versione 1.22.1.

Alta

CVE-2022-29228

Descrizione Gravità Note

I reindirizzamenti interni si arrestano in modo anomalo per le richieste con corpo o trailer.

Che cosa devo fare?

Verifica se i cluster sono interessati

Il cluster è interessato se utilizza versioni patch di Anthos Service Mesh precedenti a 1.13.4-asm.4, 1.12.7-asm.2 o 1.11.8-asm.4.

Mitigazione del mesh di servizi Anthos

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.13.4-asm.4
  • 1.12.7-asm.2
  • 1.11.8-asm.4

Se utilizzi Anthos Service Mesh 1.10 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state sottoposte a backport. Dovresti eseguire l'upgrade ad Anthos Service Mesh 1.11 o versioni successive. Per ulteriori informazioni, consulta Upgrade da versioni precedenti (GKE) o Upgrade da versioni precedenti (on-premise).

Mitigazione di Envoy

Gli utenti di Envoy che gestiscono i propri Envoy devono assicurarsi di utilizzare la release 1.22.1 di Envoy. Gli utenti Envoy che gestiscono i propri Envoy creano i file binari da un'origine come GitHub e ne eseguono il deployment.

Non è richiesta alcuna azione da parte degli utenti che eseguono Envoy gestiti (Google Cloud fornisce i file binari di Envoy), per i quali i prodotti cloud passeranno alla versione 1.22.1.

Alta

CVE-2022-29227

GCP-2022-010

Pubblicato il: 10/03/2022
Ultimo aggiornamento: 16/03/2022
Descrizione Gravità Note

Il piano di controllo Istio, istiod, è vulnerabile a un errore di elaborazione delle richieste, consentendo a un utente malintenzionato che invia un messaggio appositamente realizzato, causando un arresto anomalo del piano di controllo quando il webhook di convalida per un cluster viene esposto pubblicamente. Questo endpoint viene gestito tramite la porta TLS 15017, ma non richiede alcuna autenticazione da parte dell'utente malintenzionato.

Che cosa devo fare?

Verifica se i cluster sono interessati

Tutte le versioni di Anthos Service Mesh sono interessate da questo CVE.

Nota: se utilizzi il piano di controllo gestito, questa vulnerabilità è già stata corretta e non è interessata.

Mitigazione

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.12.5-asm.0
  • 1.11.8-asm.0
  • 1.10.6-asm.2

Se utilizzi Anthos Service Mesh 1.9 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state sottoposte a backport. Dovresti eseguire l'upgrade ad Anthos Service Mesh 1.10 o versioni successive.

Alta

CVE-2022-24726

GCP-2022-007

Pubblicato: 22/02/2022
Descrizione Gravità Note

Istiod si arresta in modo anomalo dopo aver ricevuto richieste con un'intestazione authorization creata appositamente.

Che cosa devo fare?

Verifica se i cluster sono interessati

Il cluster è interessato se si verificano entrambe le seguenti condizioni:

  • Utilizza le versioni patch di Anthos Service Mesh precedenti a 1.12.4-asm.1, 1.11.7-asm.1, o 1.10.6-asm.1.

Nota: se utilizzi il piano di controllo gestito, questa vulnerabilità è già stata corretta e non è interessata.

Mitigazione

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.12.4-asm.1
  • 1.11.7-asm.1
  • 1.10.6-asm.1

Se utilizzi Anthos Service Mesh 1.9 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state sottoposte a backport. Dovresti eseguire l'upgrade ad Anthos Service Mesh 1.10 o versioni successive.

Alta

CVE-2022-23635

Descrizione Gravità Note

Potenziale dereferenza del puntatore nullo quando si utilizza la corrispondenza del filtro JWT safe_regex.

Che cosa devo fare?

Verifica se i cluster sono interessati

Il cluster è interessato se si verificano entrambe le seguenti condizioni:

  • Utilizza le versioni patch di Anthos Service Mesh precedenti a 1.12.4-asm.1, 1.11.7-asm.1, o 1.10.6-asm.1.
  • Sebbene Anthos Service Mesh non supporti i filtri Envoy, l'utilizzo dell'espressione regolare di filtro JWT potrebbe interessarti.
Mitigazione

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.12.4-asm.1
  • 1.11.7-asm.1
  • 1.10.6-asm.1

Se utilizzi Anthos Service Mesh 1.9 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state sottoposte a backport. Dovresti eseguire l'upgrade ad Anthos Service Mesh 1.10 o versioni successive.

Medio

CVE-2021-43824

Descrizione Gravità Note

L'utilizzo dopo la modifica è gratuito quando i filtri di risposta aumentano i dati di risposta e un numero maggiore di dati supera i limiti di buffer downstream.

Che cosa devo fare?

Verifica se i cluster sono interessati

Il cluster è interessato se si verificano entrambe le seguenti condizioni:

  • Utilizza le versioni patch di Anthos Service Mesh precedenti a 1.12.4-asm.1, 1.11.7-asm.1, o 1.10.6-asm.1.
  • Sebbene Anthos Service Mesh non supporti i filtri Envoy, l'utilizzo di un filtro di decompressione potrebbe interessarti.
Mitigazione

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.12.4-asm.1
  • 1.11.7-asm.1
  • 1.10.6-asm.1

Se utilizzi Anthos Service Mesh 1.9 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state sottoposte a backport. Dovresti eseguire l'upgrade ad Anthos Service Mesh 1.10 o versioni successive.

Medio

CVE-2021-43825

Descrizione Gravità Note

Use-after-free quando si effettua il tunneling di TCP su HTTP, se il downstream si disconnette durante il collegamento a monte.

Che cosa devo fare?

Verifica se i cluster sono interessati

Il cluster è interessato se si verificano entrambe le seguenti condizioni:

  • Utilizza le versioni patch di Anthos Service Mesh precedenti a 1.12.4-asm.1, 1.11.7-asm.1, o 1.10.6-asm.1.
  • Sebbene Anthos Service Mesh non supporti i filtri Envoy, l'uso di un filtro di tunneling potrebbe interessarti.
Mitigazione

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.12.4-asm.1
  • 1.11.7-asm.1
  • 1.10.6-asm.1

Se utilizzi Anthos Service Mesh 1.9 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state sottoposte a backport. Dovresti eseguire l'upgrade ad Anthos Service Mesh 1.10 o versioni successive.

Medio

CVE-2021-43826

Descrizione Gravità Note

Una gestione errata della configurazione consente il riutilizzo della sessione mTLS senza riconvalida dopo la modifica delle impostazioni di convalida.

Che cosa devo fare?

Verifica se i cluster sono interessati

Il cluster è interessato se si verificano entrambe le seguenti condizioni:

  • Utilizza le versioni patch di Anthos Service Mesh precedenti a 1.12.4-asm.1, 1.11.7-asm.1, o 1.10.6-asm.1.
  • Tutti i servizi Anthos Service Mesh che utilizzano mTLS sono interessati da questo CVE.
Mitigazione

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.12.4-asm.1
  • 1.11.7-asm.1
  • 1.10.6-asm.1

Se utilizzi Anthos Service Mesh 1.9 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state sottoposte a backport. Dovresti eseguire l'upgrade ad Anthos Service Mesh 1.10 o versioni successive.

Alta

CVE-2022-21654

Descrizione Gravità Note

Gestione errata dei reindirizzamenti interni verso route con voce di risposta diretta.

Che cosa devo fare?

Verifica se i cluster sono interessati

Il cluster è interessato se si verificano entrambe le seguenti condizioni:

  • Utilizza le versioni patch di Anthos Service Mesh precedenti a 1.12.4-asm.1, 1.11.7-asm.1, o 1.10.6-asm.1.
  • Sebbene Anthos Service Mesh non supporti i filtri Envoy, l'utilizzo di un filtro di risposta diretta potrebbe interessarti.
Mitigazione

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.12.4-asm.1
  • 1.11.7-asm.1
  • 1.10.6-asm.1

Se utilizzi Anthos Service Mesh 1.9 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state sottoposte a backport. Dovresti eseguire l'upgrade ad Anthos Service Mesh 1.10 o versioni successive.

Alta

CVE-2022-21655

Descrizione Gravità Note

Esaurimento dello stack quando un cluster viene eliminato tramite Cluster Discovery Service.

Che cosa devo fare?

Verifica se i cluster sono interessati

Il cluster è interessato se si verificano entrambe le seguenti condizioni:

  • Utilizza le versioni patch di Anthos Service Mesh precedenti a 1.12.4-asm.1 o 1.11.7-asm.1.
Mitigazione

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.12.4-asm.1
  • 1.11.7-asm.1

Se utilizzi Anthos Service Mesh 1.9 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state sottoposte a backport. Dovresti eseguire l'upgrade ad Anthos Service Mesh 1.10 o versioni successive.

Medio

CVE-2022-23606

GCP-2021-016

Pubblicato: 24/08/2021
Descrizione Gravità Note

Istio contiene una vulnerabilità sfruttabile da remoto per cui una richiesta HTTP con un frammento (una sezione alla fine di un URI che inizia con un carattere #) nel percorso dell'URI potrebbe bypassare i criteri di autorizzazione basati su percorsi URI di Istio.

Ad esempio, un criterio di autorizzazione Istio denies le richieste inviate al percorso URI /user/profile. Nelle versioni vulnerabili, una richiesta con percorso dell'URI /user/profile#section1 ignora il criterio di negazione e instrada al backend (con il percorso dell'URI normalizzato /user/profile%23section1), causando un incidente di sicurezza.

Questa correzione dipende da una correzione in Envoy, associata a CVE-2021-32779.

Che cosa devo fare?

Verifica se i cluster sono interessati

Il cluster è interessato se si verificano entrambe le seguenti condizioni:

Mitigazione

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.10.4-asm.6
  • 1.9.8-asm.1
  • 1.8.6-asm.8
  • 1.7.8-asm.10

Con le nuove versioni, la parte parziale dell'URI della richiesta viene rimossa prima dell'autorizzazione e del routing. Questo impedisce a una richiesta con un frammento nell'URI di bypassare i criteri di autorizzazione basati sull'URI senza la parte del frammento.

Disattiva

Se disattivi questo nuovo comportamento, la sezione dei frammenti nell'URI viene mantenuta. Per disattivarla, puoi configurare l'installazione come segue:

apiVersion: install.istio.io/v1alpha1
kind: IstioOperator
metadata:
  name: opt-out-fragment-cve-fix
  namespace: istio-system
spec:
  meshConfig:
    defaultConfig:
      proxyMetadata:
        HTTP_STRIP_FRAGMENT_FROM_PATH_UNSAFE_IF_DISABLED: "false"

Nota: se disattivi questo comportamento, il cluster diventa vulnerabile a questo CVE.

Alta

CVE-2021-39156

Descrizione Gravità Note

Istio contiene una vulnerabilità sfruttabile da remoto per cui una richiesta HTTP potrebbe potenzialmente ignorare un criterio di autorizzazione Istio quando utilizzi regole basate su hosts o notHosts.

Nelle versioni vulnerabili, il criterio di autorizzazione Istio confronta le intestazioni HTTP Host o :authority facendo distinzione tra maiuscole e minuscole, il che non è coerente con RFC 4343. Ad esempio, l'utente potrebbe avere un criterio di autorizzazione che rifiuta le richieste con l'host secret.com, ma l'utente malintenzionato può aggirare questo problema inviando la richiesta al nome host Secret.com. Il flusso di routing instrada il traffico al backend per secret.com, causando un incidente di sicurezza.

Che cosa devo fare?

Verifica se i cluster sono interessati

Il cluster è interessato se si verificano entrambe le seguenti condizioni:

Mitigazione

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.10.4-asm.6
  • 1.9.8-asm.1
  • 1.8.6-asm.8
  • 1.7.8-asm.10

Questa mitigazione assicura che le intestazioni HTTP Host o :authority vengano valutate in base alle specifiche hosts o notHosts nei criteri di autorizzazione, senza distinzione tra maiuscole e minuscole.

Alta

CVE-2021-39155

Descrizione Gravità Note

Envoy contiene una vulnerabilità sfruttabile da remoto secondo cui una richiesta HTTP con più intestazioni di valore potrebbe eseguire un controllo incompleto dei criteri di autorizzazione quando viene utilizzata l'estensione ext_authz. Quando un'intestazione della richiesta contiene più valori, il server di autorizzazione esterno vedrà solo l'ultimo valore dell'intestazione specificata.

Che cosa devo fare?

Verifica se i cluster sono interessati

Il cluster è interessato se si verificano entrambe le seguenti condizioni:

  • Utilizza le versioni patch di Anthos Service Mesh precedenti a 1.7.8-asm.10, 1.8.6-asm.8, 1.9.8-asm.1 e 1.10.4-asm.6.
  • Utilizza la funzionalità Autorizzazione esterna.
Mitigazione

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.10.4-asm.6
  • 1.9.8-asm.1
  • 1.8.6-asm.8
  • 1.7.8-asm.10

Alta

CVE-2021-32777

Descrizione Gravità Note

Envoy contiene una vulnerabilità sfruttabile da remoto che influisce sulle estensioni decompressor, json-transcoder o grpc-web di Envoy o sulle estensioni proprietarie che modificano e aumentano le dimensioni dei corpi di richiesta o risposta. La modifica e l'aumento delle dimensioni del corpo nell'estensione di un Envoy oltre la dimensione del buffer interno potrebbe portare Envoy ad accedere alla memoria dealallocata e a terminarsi in modo anomalo.

Che cosa devo fare?

Verifica se i cluster sono interessati

Il cluster è interessato se si verificano entrambe le seguenti condizioni:

  • Utilizza le versioni patch di Anthos Service Mesh precedenti a 1.7.8-asm.10, 1.8.6-asm.8, 1.9.8-asm.1 e 1.10.4-asm.6.
  • Utilizza EnvoyFilters.
Mitigazione

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.10.4-asm.6
  • 1.9.8-asm.1
  • 1.8.6-asm.8
  • 1.7.8-asm.10

Alta

CVE-2021-32781

Descrizione Gravità Note

Envoy contiene una vulnerabilità sfruttabile da remoto per cui un client Envoy apre e quindi reimposta un numero elevato di richieste HTTP/2 potrebbe portare a un consumo eccessivo della CPU.

Che cosa devo fare?

Verifica se i cluster sono interessati

Il cluster è interessato se utilizza versioni patch di Anthos Service Mesh precedenti a 1.7.8-asm.10, 1.8.6-asm.8, 1.9.8-asm.1 e 1.10.4-asm.6.

Mitigazione

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.10.4-asm.6
  • 1.9.8-asm.1

Nota: se utilizzi Anthos Service Mesh 1.8 o versioni precedenti, esegui l'upgrade alla versione patch più recente di Anthos Service Mesh 1.9 e versioni successive per mitigare questa vulnerabilità.

Alta

CVE-2021-32778

Descrizione Gravità Note

Envoy contiene una vulnerabilità sfruttabile da remoto per cui un servizio upstream non attendibile potrebbe causare l'arresto anomalo di Envoy inviando il frame GOAWAY seguito dal frame SETTINGS con il parametro SETTINGS_MAX_CONCURRENT_STREAMS impostato su 0.

Che cosa devo fare?

Verifica se i cluster sono interessati

Il cluster è interessato se utilizza Anthos Service Mesh 1.10 con una versione di patch precedente alla 1.10.4-asm.6.

Mitigazione

Esegui l'upgrade del cluster alla seguente versione della patch:

  • 1.10.4-asm.6

Alta

CVE-2021-32780

GCP-2021-012

Pubblicato: 24/06/2021
Descrizione Gravità Note

Istio Secure Gateway o i carichi di lavoro che utilizzano DestinationRule possono caricare chiavi private e certificati TLS da secret Kubernetes tramite la configurazione credentialName. A partire da Istio 1.8, i secret vengono letti da istiod e trasmessi a gateway e carichi di lavoro tramite XDS.

Normalmente, un deployment di gateway o carico di lavoro è in grado di accedere solo ai certificati TLS e alle chiavi private archiviate nel secret all'interno del relativo spazio dei nomi. Tuttavia, un bug in istiod consente a un client autorizzato ad accedere all'API Istio XDS di recuperare qualsiasi certificato TLS e chiavi private memorizzati nella cache in istiod. Questa vulnerabilità di sicurezza interessa solo le release secondarie 1.8 e 1.9 di Anthos Service Mesh.

Che cosa devo fare?

Verifica se i cluster sono interessati

Il cluster è interessato se TUTTE le seguenti condizioni sono vere:

  • Sta usando una versione 1.9.x precedente alla 1.9.6-asm.1 o una 1.8.x precedente alla 1.8.6-asm.4.
  • Ha definito Gateways o DestinationRules con il campo credentialName specificato.
  • Non specifica il flag istiod PILOT_ENABLE_XDS_CACHE=false.
Mitigazione

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

  • 1.9.6-asm.1
  • 1.8.6-asm.4

Se non è possibile eseguire un upgrade, puoi mitigare questa vulnerabilità disattivando la memorizzazione nella cache di istiod. Puoi disabilitare la memorizzazione nella cache impostando la variabile di ambiente istiod su PILOT_ENABLE_XDS_CACHE=false. Le prestazioni di sistema e di istiod potrebbero risentirne perché questa operazione disattiva la memorizzazione nella cache di XDS.

Alta

CVE-2021-34824

GCP-2021-008

Pubblicato: 17/05/2021
Descrizione Gravità Note

Istio contiene una vulnerabilità sfruttabile da remoto per cui un client esterno può accedere a servizi imprevisti nel cluster, bypassando i controlli di autorizzazione, quando un gateway è configurato con la configurazione del routing AUTO_PASSTHROUGH.

Che cosa devo fare?

Verifica se i cluster sono interessati

Questa vulnerabilità influisce solo sull'utilizzo del tipo di gateway AUTO_PASSTHROUGH, che in genere viene utilizzato solo in deployment multi-cluster su più reti.

Rileva la modalità TLS di tutti i gateway nel cluster con il seguente comando:

kubectl get gateways.networking.istio.io -A -o \
  "custom-columns=NAMESPACE:.metadata.namespace, \
  NAME:.metadata.name,TLS_MODE:.spec.servers[*].tls.mode"

Se l'output mostra AUTO_PASSTHROUGH gateway, la tua situazione potrebbe essere interessata.

Mitigazione

Aggiorna i cluster alle versioni più recenti di Anthos Service Mesh:

  • 1.9.5-asm.2
  • 1.8.6-asm.3
  • 1.7.8-asm.8

* Nota: l'implementazione del piano di controllo gestito di Anthos Service Mesh (disponibile solo nelle versioni 1.9.x) verrà completata nei prossimi giorni.

Alta

CVE-2021-31921

GCP-2021-007

Pubblicato: 17/05/2021
Descrizione Gravità Note

Istio contiene una vulnerabilità sfruttabile da remoto per cui un percorso di richiesta HTTP contenente più barre o barre con caratteri di escape (%2F o %5C) potrebbe ignorare un criterio di autorizzazione Istio quando vengono utilizzate regole di autorizzazione basate su percorso.

In uno scenario in cui l'amministratore di un cluster Istio definisce un criterio di autorizzazione DENY per rifiutare la richiesta al percorso "/admin", una richiesta inviata al percorso dell'URL "//admin" NON verrà rifiutata dal criterio di autorizzazione.

Secondo la specifica RFC 3986, il percorso "//admin" con più barre deve essere tecnicamente considerato come un percorso diverso da "/admin". Tuttavia, alcuni servizi di backend scelgono di normalizzare i percorsi dell'URL unendo più barre in una singola barra. Ciò può comportare l'esclusione del criterio di autorizzazione ("//admin" non corrisponde a "/admin") e un utente può accedere alla risorsa nel percorso "/admin" nel backend.

Che cosa devo fare?

Verifica se i cluster sono interessati

Il cluster è interessato da questa vulnerabilità se hai criteri di autorizzazione che utilizzano pattern "azione CONSENTITA + campo notPath" o "azione DENY + campo percorsi". Questi pattern sono vulnerabili a bypass imprevisti dei criteri. Per risolvere il problema di sicurezza il prima possibile, devi eseguire l'upgrade.

Di seguito è riportato un esempio di criterio vulnerabile che utilizza il pattern "azione DENY + campo percorsi":

apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: deny-path-admin
spec:
  action: DENY
  rules:
  - to:
    - operation:
        paths: ["/admin"]

Di seguito è riportato un altro esempio di criterio vulnerabile che utilizza il pattern "campo ALLOW action + notPaths":

apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: allow-path-not-admin
spec:
  action: ALLOW
  rules:
  - to:
    - operation:
        notPaths: ["/admin"]

Il cluster non è interessato da questa vulnerabilità se:

  • Non hai criteri di autorizzazione.
  • I criteri di autorizzazione non definiscono i campi paths o notPaths.
  • I criteri di autorizzazione utilizzano i pattern "azione CONSENTI + campo percorsi" o "azione DENY + campo notPaths". Questi pattern possono causare solo un rifiuto imprevisto invece di bypass dei criteri.
  • In questi casi, l'upgrade è facoltativo.

Mitigazione

Aggiorna i tuoi cluster alle ultime versioni supportate di Anthos Service Mesh.* Queste versioni supportano la configurazione dei proxy Envoy nel sistema con più opzioni di normalizzazione:

  • 1.9.5-asm.2
  • 1.8.6-asm.3
  • 1.7.8-asm.8

* Nota: l'implementazione del piano di controllo gestito di Anthos Service Mesh (disponibile solo nelle versioni 1.9.x) verrà completata nei prossimi giorni.

Segui la guida alle best practice per la sicurezza di Istio per configurare i criteri di autorizzazione.

Alta

CVE-2021-31920

GCP-2021-004

Pubblicato: 6/05/2021
Descrizione Gravità Note

I progetti Envoy e Istio di recente hanno annunciato diverse nuove vulnerabilità di sicurezza (CVE-2021-28682, CVE-2021-28683 e CVE-2021-29258) che potrebbero consentire a un utente malintenzionato di arrestare Envoy e rendere potenzialmente alcune parti del cluster offline e non raggiungibili.

Ciò influisce sui servizi forniti come Anthos Service Mesh.

Che cosa devo fare?

Per correggere queste vulnerabilità, esegui l'upgrade del bundle Anthos Service Mesh a una delle seguenti versioni con patch:

  • 1.9.3-asm.2
  • 1.8.5-asm.2
  • 1.7.8-asm.1
  • 1.6.14-asm.2

Per maggiori informazioni, consulta le note di rilascio di Anthos Service Mesh.

Alta

CVE-2021-28682
CVE-2021-28683
CVE-2021-29258