Boletins de segurança

O Envoy falha quando o usuário está inativo, e o tempo limite das solicitações por tentativa ocorre dentro do intervalo de espera.

O que devo fazer?

Se você estiver executando o Anthos Service Mesh gerenciado, nenhuma ação será necessária. Seu sistema será atualizado automaticamente nos próximos dias.

Se você estiver executando o Anthos Service Mesh no cluster, faça upgrade do cluster para uma das seguintes versões com patch:

• 1.20.3-asm.4
• 1.19.7-asm.3
• 1.18.7-asm.4
• 1.17.8-asm.20

Se você estiver usando o Anthos Service Mesh v1.17 ou anterior, sua versão chegou ao fim da vida útil e não é mais compatível. Embora essas correções de CVE tenham passado por backport para a versão 1.17, é necessário fazer upgrade para a versão 1.18 ou posterior.

Alto

CVE-2024-23322

Uso excessivo da CPU quando a correspondência do modelo de URI está configurada usando regex.

O que devo fazer?

Se você estiver executando o Anthos Service Mesh gerenciado, nenhuma ação será necessária. Seu sistema será atualizado automaticamente nos próximos dias.

Se você estiver executando o Anthos Service Mesh no cluster, faça upgrade do cluster para uma das seguintes versões com patch:

• 1.20.3-asm.4
• 1.19.7-asm.3
• 1.18.7-asm.4
• 1.17.8-asm.20

Se você estiver usando o Anthos Service Mesh v1.17 ou anterior, sua versão chegou ao fim da vida útil e não é mais compatível. Embora essas correções de CVE tenham passado por backport para a versão 1.17, é necessário fazer upgrade para a versão 1.18 ou posterior.

Média

CVE-2024-23323

A autorização externa pode ser ignorada quando o filtro do protocolo do proxy define metadados UTF-8 inválidos.

O que devo fazer?

Se você estiver executando o Anthos Service Mesh gerenciado, nenhuma ação será necessária. Seu sistema será atualizado automaticamente nos próximos dias.

Se você estiver executando o Anthos Service Mesh no cluster, faça upgrade do cluster para uma das seguintes versões com patch:

• 1.20.3-asm.4
• 1.19.7-asm.3
• 1.18.7-asm.4
• 1.17.8-asm.20

Se você estiver usando o Anthos Service Mesh v1.17 ou anterior, sua versão chegou ao fim da vida útil e não é mais compatível. Embora essas correções de CVE tenham passado por backport para a versão 1.17, é necessário fazer upgrade para a versão 1.18 ou posterior.

Alto

CVE-2024-23324

O Envoy falha ao usar um tipo de endereço que não tem suporte no SO.

O que devo fazer?

Se você estiver executando o Anthos Service Mesh gerenciado, nenhuma ação será necessária. Seu sistema será atualizado automaticamente nos próximos dias.

Se você estiver executando o Anthos Service Mesh no cluster, faça upgrade do cluster para uma das seguintes versões com patch:

• 1.20.3-asm.4
• 1.19.7-asm.3
• 1.18.7-asm.4
• 1.17.8-asm.20

Se você estiver usando o Anthos Service Mesh v1.17 ou anterior, sua versão chegou ao fim da vida útil e não é mais compatível. Embora essas correções de CVE tenham passado por backport para a versão 1.17, é necessário fazer upgrade para a versão 1.18 ou posterior.

Alto

CVE-2024-23325

Falha no protocolo de proxy quando o tipo de comando é LOCAL.

O que devo fazer?

Se você estiver executando o Anthos Service Mesh gerenciado, nenhuma ação será necessária. Seu sistema será atualizado automaticamente nos próximos dias.

Se você estiver executando o Anthos Service Mesh no cluster, faça upgrade do cluster para uma das seguintes versões com patch:

• 1.20.3-asm.4
• 1.19.7-asm.3
• 1.18.7-asm.4
• 1.17.8-asm.20

Se você estiver usando o Anthos Service Mesh v1.17 ou anterior, sua versão chegou ao fim da vida útil e não é mais compatível. Embora essas correções de CVE tenham passado por backport para a versão 1.17, é necessário fazer upgrade para a versão 1.18 ou posterior.

Alto

CVE-2024-23327

Um ataque de negação de serviço pode afetar o plano de dados quando o protocolo HTTP/2 é usado.

O que devo fazer?

Seu cluster será afetado se usar as versões de patch do Anthos Service Mesh anteriores a 1.18.4, 1.17.7 ou 1.16.7.

Faça upgrade do cluster para uma das seguintes versões com patch:

• 1.18.4-asm.0
• 1.17.7-asm.0
• 1.16.7-asm.10

Se você estiver executando o Anthos Service Mesh gerenciado, seu sistema será atualizado automaticamente nos próximos dias.

Se você estiver usando o Anthos Service Mesh v1.15 ou versões anteriores, a versão atingiu o fim da vida útil e não será mais suportada. Essas correções de CVE não foram compatíveis com outras versões. É necessário fazer upgrade para a v1.16 ou posterior.

Alto

CVE-2023-44487

Um cliente mal-intencionado pode criar credenciais com validade permanente em alguns cenários específicos. Por exemplo, a combinação de host e prazo de validade no payload de HMAC pode sempre ser válida na verificação de HMAC do filtro OAuth2.

O que devo fazer?

Seu cluster será afetado se usar versões de patch do Anthos Service Mesh anteriores a

• 1.17.4
• 1.16.6
• 1.15.7

Faça upgrade do cluster para uma das seguintes versões com patch:

• 1.17.5-asm.0
• 1.16.7-asm.0
• 1.15.7-asm.23

Se você estiver executando o Anthos Service Mesh gerenciado, seu sistema será atualizado automaticamente nos próximos dias.

Se você estiver usando o Anthos Service Mesh v1.14 ou versões anteriores, a versão atingiu o fim da vida útil e não será mais suportada. Essas correções de CVE não foram compatíveis com outras versões. É necessário fazer upgrade para o ASM 1.15 ou superior.

Alta

CVE-2023-35941

Os registradores de acesso gRPC que usam o escopo global do listener podem causar uma falha após o uso quando o listener é drenado. Isso pode ser acionado por uma atualização do LDS com a mesma configuração de registro de acesso gRPC.

O que devo fazer?

Seu cluster será afetado se usar versões de patch do Anthos Service Mesh anteriores a

• 1.17.4
• 1.16.6
• 1.15.7

Faça upgrade do cluster para uma das seguintes versões com patch:

• 1.17.5-asm.0
• 1.16.7-asm.0
• 1.15.7-asm.23

Se você estiver executando o Anthos Service Mesh gerenciado, seu sistema será atualizado automaticamente nos próximos dias.

Se você estiver usando o Anthos Service Mesh v1.14 ou versões anteriores, a versão atingiu o fim da vida útil e não será mais suportada. Essas correções de CVE não foram compatíveis com outras versões. É necessário fazer upgrade para o ASM 1.15 ou superior.

Média

CVE-2023-35942

Se o cabeçalho origin estiver configurado para ser removido com request_headers_to_remove: origin, o filtro CORS vai falhar e gerar uma falha no Envoy.

O que devo fazer?

Seu cluster será afetado se usar versões de patch do Anthos Service Mesh anteriores a

• 1.17.4
• 1.16.6
• 1.15.7

Faça upgrade do cluster para uma das seguintes versões com patch:

• 1.17.5-asm.0
• 1.16.7-asm.0
• 1.15.7-asm.23

Se você estiver executando o Anthos Service Mesh gerenciado, seu sistema será atualizado automaticamente nos próximos dias.

Se você estiver usando o Anthos Service Mesh v1.14 ou versões anteriores, a versão atingiu o fim da vida útil e não será mais suportada. Essas correções de CVE não foram compatíveis com outras versões. É necessário fazer upgrade para o ASM 1.15 ou superior.

Média

CVE-2023-35943

Os invasores podem enviar solicitações de esquema misto para ignorar algumas verificações de esquema no Envoy. Por exemplo, se uma solicitação com esquema misto HTTP for enviada para o filtro OAuth2, ela falhará nas verificações de correspondência exata para http e informará ao ponto de extremidade remoto que o esquema é https, possivelmente ignorando verificações OAuth2 específicas para solicitações HTTP.

O que devo fazer?

Seu cluster será afetado se usar versões de patch do Anthos Service Mesh anteriores a

• 1.17.4
• 1.16.6
• 1.15.7

Faça upgrade do cluster para uma das seguintes versões com patch:

• 1.17.5-asm.0
• 1.16.7-asm.0
• 1.15.7-asm.23

Se você estiver executando o Anthos Service Mesh gerenciado, seu sistema será atualizado automaticamente nos próximos dias.

Se você estiver usando o Anthos Service Mesh v1.14 ou versões anteriores, a versão atingiu o fim da vida útil e não será mais suportada. Essas correções de CVE não foram compatíveis com outras versões. É necessário fazer upgrade para o ASM 1.15 ou superior.

Alto

CVE-2023-35944

Uma resposta criada especificamente a partir de um serviço upstream não confiável pode causar uma negação de serviço por meio do esgotamento da memória. Isso é causado pelo codec HTTP/2 do Envoy, que pode vazar um mapa de cabeçalho e estruturas de contabilidade ao receber RST_STREAM imediatamente seguido pelos frames GOAWAY de um servidor upstream.

O que devo fazer?

Seu cluster será afetado se usar versões de patch do Anthos Service Mesh anteriores a

• 1.17.4
• 1.16.6
• 1.15.7

Faça upgrade do cluster para uma das seguintes versões com patch:

• 1.17.4-asm.2
• 1.16.6-asm.3
• 1.15.7-asm.21

Se você estiver executando o Anthos Service Mesh gerenciado, seu sistema será atualizado automaticamente nos próximos dias.

Se você estiver usando o Anthos Service Mesh v1.14 ou versões anteriores, a versão atingiu o fim da vida útil e não será mais suportada. Essas correções de CVE não foram compatíveis com outras versões. É necessário fazer upgrade para o ASM 1.15 ou superior.

Alto

CVE-2023-35945

Se o Envoy estiver em execução com o filtro OAuth ativado exposto, um ator malicioso poderá criar uma solicitação que causaria negação de serviço ao causar uma falha no Envoy

O que fazer?

Seus clusters serão afetados se usarem versões de patch do Anthos Service Mesh anteriores a:

• 1.16.4
• 1.15.7
• 1.14.6

Faça upgrade do cluster para uma das seguintes versões com patch:

• 1.16.4-asm.2
• 1.15.7-asm.1
• 1.14.6-asm.11

Se você estiver usando o Anthos Service Mesh v1.13 ou versões anteriores, a versão atingiu o fim da vida útil e não será mais suportada. Essas correções de CVE não foram compatíveis com outras versões. Faça upgrade para o Anthos Service Mesh 1.14 ou mais recente.

Média

CVE-2023-27496

O invasor pode usar essa vulnerabilidade para ignorar verificações de autenticação quando ext_authz é usado.

O que devo fazer?

Seus clusters serão afetados se usarem versões de patch do Anthos Service Mesh anteriores a:

• 1.16.4
• 1.15.7
• 1.14.6

Faça upgrade do cluster para uma das seguintes versões com patch:

• 1.16.4-asm.2
• 1.15.7-asm.1
• 1.14.6-asm.11

Se você estiver usando o Anthos Service Mesh v1.13 ou versões anteriores, a versão atingiu o fim da vida útil e não será mais suportada. Essas correções de CVE não foram compatíveis com outras versões. Faça upgrade para o Anthos Service Mesh 1.14 ou mais recente.

Média

CVE-2023-27488

A configuração do Envoy também precisa incluir uma opção para adicionar cabeçalhos de solicitação gerados com entradas da solicitação, ou seja, o certificado de peering SAN.

O que devo fazer?

Seus clusters serão afetados se usarem versões de patch do Anthos Service Mesh anteriores a:

• 1.16.4
• 1.15.7
• 1.14.6

Faça upgrade do cluster para uma das seguintes versões com patch:

• 1.16.4-asm.2
• 1.15.7-asm.1
• 1.14.6-asm.11

Se você estiver usando o Anthos Service Mesh v1.13 ou versões anteriores, a versão atingiu o fim da vida útil e não será mais suportada. Essas correções de CVE não foram compatíveis com outras versões. Faça upgrade para o Anthos Service Mesh 1.14 ou mais recente.

Alto

CVE-2023-27493

Os invasores podem enviar corpos de solicitação grandes para rotas com o filtro Lua ativado e acionar falhas.

O que devo fazer?

Seus clusters serão afetados se usarem versões de patch do Anthos Service Mesh anteriores a:

• 1.16.4
• 1.15.7
• 1.14.6

Faça upgrade do cluster para uma das seguintes versões com patch:

• 1.16.4-asm.2
• 1.15.7-asm.1
• 1.14.6-asm.11

Se você estiver usando o Anthos Service Mesh v1.13 ou versões anteriores, a versão atingiu o fim da vida útil e não será mais suportada. Essas correções de CVE não foram compatíveis com outras versões. Faça upgrade para o Anthos Service Mesh 1.14 ou mais recente.

Média

CVE-2023-27492

Os invasores podem enviar solicitações HTTP/2 ou HTTP/3 especificamente criadas para acionar erros de análise no serviço upstream HTTP1.

O que fazer?

Seus clusters serão afetados se usarem versões de patch do Anthos Service Mesh anteriores a:

• 1.16.4
• 1.15.7
• 1.14.6

Faça upgrade do cluster para uma das seguintes versões com patch:

• 1.16.4-asm.2
• 1.15.7-asm.1
• 1.14.6-asm.11

Se você estiver usando o Anthos Service Mesh v1.13 ou versões anteriores, a versão atingiu o fim da vida útil e não será mais suportada. Essas correções de CVE não foram compatíveis com outras versões. Faça upgrade para o Anthos Service Mesh 1.14 ou mais recente.

Média

CVE-2023-27491

O cabeçalho x-envoy-original-path deve ser um cabeçalho interno, mas o Envoy não remove esse cabeçalho da solicitação no início do processamento da solicitação quando ele é enviado de um cliente não confiável.

O que fazer?

Seus clusters serão afetados se usarem versões de patch do Anthos Service Mesh anteriores a:

• 1.16.4
• 1.15.7
• 1.14.6

Faça upgrade do cluster para uma das seguintes versões com patch:

• 1.16.4-asm.2
• 1.15.7-asm.1
• 1.14.6-asm.11

Se você estiver usando o Anthos Service Mesh v1.13 ou versões anteriores, a versão atingiu o fim da vida útil e não será mais suportada. Essas correções de CVE não foram compatíveis com outras versões. Faça upgrade para o Anthos Service Mesh 1.14 ou mais recente.

Alto

CVE-2023-27487

O plano de controle do istiod é vulnerável a um erro de processamento de solicitação. Isso permite que um invasor mal-intencionado envie uma mensagem especialmente criada para que o plano de controle falhe quando o webhook de validação de um cluster for exposto publicamente. Esse endpoint é exibido na porta TLS 15017, mas não requer autenticação do invasor.

O que fazer?

Seu cluster será afetado se usar as versões de patch do Anthos Service Mesh anteriores a 1.14.4, 1.13.8 ou 1.12.9.

Se você estiver executando o Anthos Service Mesh autônomo, faça upgrade do cluster para uma das seguintes versões com patch:

• Se você estiver usando o Anthos Service Mesh 1.14, faça upgrade para a v1.14.4-asm.2
• Se você estiver usando o Anthos Service Mesh 1.13, faça upgrade para a v1.13.8-asm.4
• Se você estiver usando o Anthos Service Mesh 1.12, faça upgrade para a v1.12.9-asm.3

Se você estiver executando o Anthos Service Mesh gerenciado, o sistema será atualizado automaticamente nos próximos dias.

Se você estiver usando o Anthos Service Mesh v1.11 ou versões anteriores, a versão atingiu o fim da vida útil e não será mais suportada. Essas correções de CVE não foram compatíveis com outras versões. Faça upgrade para o Anthos Service Mesh 1.12 ou mais recente.

Alto

CVE-2022-39278

O plano de dados do Istio pode acessar a memória de forma não segura quando as extensões de troca de metadados e o Stats estiverem ativadas.

O que fazer?

O cluster será afetado se usar as versões de patch do Anthos Service Mesh anteriores à 1.13.4-asm.4, 1.12.7-asm.2 ou 1.11.8-asm.4.

Faça upgrade do cluster para uma das seguintes versões com patch:

• 1.13.4-asm.4
• 1.12.7-asm.2
• 1.11.8-asm.4

Se você estiver usando o Anthos Service Mesh v1.10 ou versões anteriores, a versão atingiu o fim da vida útil e não será mais suportada. Essas correções de CVE não foram compatíveis com outras versões. Faça upgrade para o Anthos Service Mesh 1.11 ou mais recente. Para mais informações, consulte Como fazer upgrade de versões anteriores (GKE) ou Como fazer upgrade de versões anteriores (no local).

Alto

CVE-2022-31045

Os dados poderão exceder os limites intermediários de buffer se um invasor enviar um payload pequeno e altamente compactado, também conhecido como ataque de bomba zip.

O que devo fazer?

O cluster será afetado se usar as versões de patch do Anthos Service Mesh anteriores à 1.13.4-asm.4, 1.12.7-asm.2 ou 1.11.8-asm.4.

O Anthos Service Mesh não suporta filtros do Envoy, mas é possível que haja impacto caso você use um filtro de descompactação.

Faça upgrade do cluster para uma das seguintes versões com patch:

• 1.13.4-asm.4
• 1.12.7-asm.2
• 1.11.8-asm.4

Se você estiver usando o Anthos Service Mesh v1.10 ou versões anteriores, a versão atingiu o fim da vida útil e não será mais suportada. Essas correções de CVE não foram compatíveis com outras versões. Faça upgrade para o Anthos Service Mesh 1.11 ou mais recente. Para mais informações, consulte Como fazer upgrade de versões anteriores (GKE) ou Como fazer upgrade de versões anteriores (no local).

Os usuários do Envoy que gerenciam os próprios Envoy precisam garantir o uso da versão 1.22.1. Os usuários do Envoy que gerenciam os próprios Envoys criam os binários de uma fonte como o GitHub e os implantam.

Não há ações a serem tomadas pelos usuários que executam o Envoy gerenciado (o Google Cloud fornece os binários do Envoy), cujo produto da nuvem mudará para 1.22.1.

Alto

CVE-2022-29225

Possível referência de ponteiro nulo em GrpcHealthCheckerImpl.

O que devo fazer?

O cluster será afetado se usar as versões de patch do Anthos Service Mesh anteriores à 1.13.4-asm.4, 1.12.7-asm.2 ou 1.11.8-asm.4.

Faça upgrade do cluster para uma das seguintes versões com patch:

• 1.13.4-asm.4
• 1.12.7-asm.2
• 1.11.8-asm.4

Se você estiver usando o Anthos Service Mesh v1.10 ou versões anteriores, a versão atingiu o fim da vida útil e não será mais suportada. Essas correções de CVE não foram compatíveis com outras versões. Faça upgrade para o Anthos Service Mesh 1.11 ou mais recente. Para mais informações, consulte Como fazer upgrade de versões anteriores (GKE) ou Como fazer upgrade de versões anteriores (no local).

Os usuários do Envoy que gerenciam os próprios Envoy precisam garantir o uso da versão 1.22.1. Os usuários do Envoy que gerenciam os próprios Envoys criam os binários de uma fonte como o GitHub e os implantam.

Não há ações a serem tomadas pelos usuários que executam o Envoy gerenciado (o Google Cloud fornece os binários do Envoy), cujo produto da nuvem mudará para 1.22.1.

Média

CVE-2021-29224

O filtro de OAuth permite ignorar itens triviais.

O que devo fazer?

O cluster será afetado se usar as versões de patch do Anthos Service Mesh anteriores à 1.13.4-asm.4, 1.12.7-asm.2 ou 1.11.8-asm.4.

O Anthos Service Mesh não é compatível com filtros do Envoy, mas isso poderá ser afetado se você usar um filtro OAuth.

Faça upgrade do cluster para uma das seguintes versões com patch:

• 1.13.4-asm.4
• 1.12.7-asm.2
• 1.11.8-asm.4

Se você estiver usando o Anthos Service Mesh v1.10 ou versões anteriores, a versão atingiu o fim da vida útil e não será mais suportada. Essas correções de CVE não foram compatíveis com outras versões. Faça upgrade para o Anthos Service Mesh 1.11 ou mais recente. Para mais informações, consulte Como fazer upgrade de versões anteriores (GKE) ou Como fazer upgrade de versões anteriores (no local).

Os usuários do Envoy que gerenciam o próprio Envoy também precisam usar o filtro OAuth para garantir que estão utilizando a versão 1.22.1 do Envoy. Os usuários do Envoy que gerenciam os próprios Envoys criam os binários de uma fonte como o GitHub e os implantam.

Não há ações a serem tomadas pelos usuários que executam o Envoy gerenciado (o Google Cloud fornece os binários do Envoy), cujo produto da nuvem mudará para 1.22.1.

Crítica

CVE-2021-29226

O filtro OAuth pode corromper a memória (versões anteriores) ou acionar um ASSERT() (versões posteriores).

O que devo fazer?

O cluster será afetado se usar as versões de patch do Anthos Service Mesh anteriores à 1.13.4-asm.4, 1.12.7-asm.2 ou 1.11.8-asm.4.

O Anthos Service Mesh não é compatível com filtros do Envoy, mas isso poderá ser afetado se você usar um filtro OAuth.

Faça upgrade do cluster para uma das seguintes versões com patch:

• 1.13.4-asm.4
• 1.12.7-asm.2
• 1.11.8-asm.4

Se você estiver usando o Anthos Service Mesh v1.10 ou versões anteriores, a versão atingiu o fim da vida útil e não será mais suportada. Essas correções de CVE não foram compatíveis com outras versões. Faça upgrade para o Anthos Service Mesh 1.11 ou mais recente.

Os usuários do Envoy que gerenciam o próprio Envoy também precisam usar o filtro OAuth para garantir que estão utilizando a versão 1.22.1 do Envoy. Os usuários do Envoy que gerenciam os próprios Envoys criam os binários de uma fonte como o GitHub e os implantam.

Não há ações a serem tomadas pelos usuários que executam o Envoy gerenciado (o Google Cloud fornece os binários do Envoy), cujo produto da nuvem mudará para 1.22.1.

Alto

CVE-2022-29228

Redirecionamentos internos falham em solicitações com corpo ou trailers.

O que devo fazer?

O cluster será afetado se usar as versões de patch do Anthos Service Mesh anteriores à 1.13.4-asm.4, 1.12.7-asm.2 ou 1.11.8-asm.4.

Faça upgrade do cluster para uma das seguintes versões com patch:

• 1.13.4-asm.4
• 1.12.7-asm.2
• 1.11.8-asm.4

Se você estiver usando o Anthos Service Mesh v1.10 ou versões anteriores, a versão atingiu o fim da vida útil e não será mais suportada. Essas correções de CVE não foram compatíveis com outras versões. Faça upgrade para o Anthos Service Mesh 1.11 ou mais recente. Para mais informações, consulte Como fazer upgrade de versões anteriores (GKE) ou Como fazer upgrade de versões anteriores (no local).

Os usuários do Envoy que gerenciam os próprios Envoy precisam garantir o uso da versão 1.22.1. Os usuários do Envoy que gerenciam os próprios Envoys criam os binários de uma fonte como o GitHub e os implantam.

Não há ações a serem tomadas pelos usuários que executam o Envoy gerenciado (o Google Cloud fornece os binários do Envoy), cujo produto da nuvem mudará para 1.22.1.

Alta

CVE-2022-29227

O plano de controle do Istio, istiod, é vulnerável a um erro de processamento de solicitação. Isso permite que um invasor mal-intencionado envie uma mensagem especialmente criada para que o plano de controle falhe quando o webhook de validação de um cluster for exposto publicamente. Esse endpoint é exibido na porta TLS 15017, mas não requer autenticação do invasor.

O que devo fazer?

Todas as versões do Anthos Service Mesh são afetadas por esta CVE.

Observação: se você estiver usando um plano de controle gerenciado, essa vulnerabilidade já terá sido corrigida e você não sofrerá nenhum impacto.

Faça upgrade do cluster para uma das seguintes versões com patch:

• 1.12.5-asm.0
• 1.11.8-asm.0
• 1.10.6-asm.2

Se você estiver usando o Anthos Service Mesh v1.9 ou versões anteriores, a versão atingiu o fim da vida útil e não será mais suportada. Essas correções de CVE não foram compatíveis com outras versões. Faça upgrade para o Anthos Service Mesh 1.10 ou mais recente.

Alto

CVE-2022-24726

O Istiod falha ao receber solicitações com um cabeçalho authorization especialmente elaborado.

O que devo fazer?

Seu cluster será afetado se as duas condições a seguir forem verdadeiras:

• Ele usa as versões de patch do Anthos Service Mesh anteriores a 1.12.4-asm.1, 1.11.7-asm.1 ou 1.10.6-asm.1.

Observação: se você estiver usando um plano de controle gerenciado, essa vulnerabilidade já terá sido corrigida e você não sofrerá nenhum impacto.

Faça upgrade do cluster para uma das seguintes versões com patch:

• 1.12.4-asm.1
• 1.11.7-asm.1
• 1.10.6-asm.1

Se você estiver usando o Anthos Service Mesh v1.9 ou versões anteriores, a versão atingiu o fim da vida útil e não será mais suportada. Essas correções de CVE não foram compatíveis com outras versões. Faça upgrade para o Anthos Service Mesh 1.10 ou mais recente.

Alto

CVE-2022-23635

Possível referência nula ao ponteiro usando a correspondência de filtro JWT safe_regex.

O que devo fazer?

Seu cluster será afetado se as duas condições a seguir forem verdadeiras:

• Ele usa as versões de patch do Anthos Service Mesh anteriores a 1.12.4-asm.1, 1.11.7-asm.1 ou 1.10.6-asm.1.
• O Anthos Service Mesh não suporta filtros do Envoy, mas é possível que você sofra impactos se usar o regex de filtro JWT.

Faça upgrade do cluster para uma das seguintes versões com patch:

• 1.12.4-asm.1
• 1.11.7-asm.1
• 1.10.6-asm.1

Se você estiver usando o Anthos Service Mesh v1.9 ou versões anteriores, a versão atingiu o fim da vida útil e não será mais suportada. Essas correções de CVE não foram compatíveis com outras versões. Faça upgrade para o Anthos Service Mesh 1.10 ou mais recente.

Média

CVE-2021-43824

Use após a liberação quando os filtros de resposta aumentarem os dados de resposta, e os dados maiores excederem os limites de buffer downstream.

O que devo fazer?

Seu cluster será afetado se as duas condições a seguir forem verdadeiras:

• Ele usa as versões de patch do Anthos Service Mesh anteriores a 1.12.4-asm.1, 1.11.7-asm.1 ou 1.10.6-asm.1.
• O Anthos Service Mesh não suporta filtros do Envoy, mas é possível que haja impacto caso você use um filtro de descompactação.

Faça upgrade do cluster para uma das seguintes versões com patch:

• 1.12.4-asm.1
• 1.11.7-asm.1
• 1.10.6-asm.1

Se você estiver usando o Anthos Service Mesh v1.9 ou versões anteriores, a versão atingiu o fim da vida útil e não será mais suportada. Essas correções de CVE não foram compatíveis com outras versões. Faça upgrade para o Anthos Service Mesh 1.10 ou mais recente.

Média

CVE-2021-43825

Use após a liberação durante o tunelamento de TCP em HTTP, se o downstream for desconectado durante o estabelecimento da conexão upstream.

O que devo fazer?

Seu cluster será afetado se as duas condições a seguir forem verdadeiras:

• Ele usa as versões de patch do Anthos Service Mesh anteriores a 1.12.4-asm.1, 1.11.7-asm.1 ou 1.10.6-asm.1.
• O Anthos Service Mesh não suporta filtros do Envoy, mas é possível que você sofra impactos se usar um filtro de tunelamento.

Faça upgrade do cluster para uma das seguintes versões com patch:

• 1.12.4-asm.1
• 1.11.7-asm.1
• 1.10.6-asm.1

Se você estiver usando o Anthos Service Mesh v1.9 ou versões anteriores, a versão atingiu o fim da vida útil e não será mais suportada. Essas correções de CVE não foram compatíveis com outras versões. Faça upgrade para o Anthos Service Mesh 1.10 ou mais recente.

Média

CVE-2021-43826

O gerenciamento incorreto de configurações permite a reutilização de uma sessão mTLS sem revalidação depois que as configurações de validação são alteradas.

O que devo fazer?

Seu cluster será afetado se as duas condições a seguir forem verdadeiras:

• Ele usa as versões de patch do Anthos Service Mesh anteriores a 1.12.4-asm.1, 1.11.7-asm.1 ou 1.10.6-asm.1.
• Todos os serviços do Anthos Service Mesh que usam mTLS são afetados por esta CVE.

Faça upgrade do cluster para uma das seguintes versões com patch:

• 1.12.4-asm.1
• 1.11.7-asm.1
• 1.10.6-asm.1

Se você estiver usando o Anthos Service Mesh v1.9 ou versões anteriores, a versão atingiu o fim da vida útil e não será mais suportada. Essas correções de CVE não foram compatíveis com outras versões. Faça upgrade para o Anthos Service Mesh 1.10 ou mais recente.

Alta

CVE-2022-21654

Processamento incorreto de redirecionamentos internos para rotas com uma entrada de resposta direta.

O que devo fazer?

Seu cluster será afetado se as duas condições a seguir forem verdadeiras:

• Ele usa as versões de patch do Anthos Service Mesh anteriores a 1.12.4-asm.1, 1.11.7-asm.1 ou 1.10.6-asm.1.
• O Anthos Service Mesh não suporta filtros do Envoy, mas é possível que haja impacto caso você use um filtro de resposta direta.

Faça upgrade do cluster para uma das seguintes versões com patch:

• 1.12.4-asm.1
• 1.11.7-asm.1
• 1.10.6-asm.1

Se você estiver usando o Anthos Service Mesh v1.9 ou versões anteriores, a versão atingiu o fim da vida útil e não será mais suportada. Essas correções de CVE não foram compatíveis com outras versões. Faça upgrade para o Anthos Service Mesh 1.10 ou mais recente.

Alto

CVE-2022-21655

Exaustão da pilha quando um cluster é excluído pelo serviço de descoberta de clusters.

O que devo fazer?

Seu cluster será afetado se as duas condições a seguir forem verdadeiras:

• Ele usa as versões de patch do Anthos Service Mesh anteriores à versão 1.12.4-asm.1 ou 1.11.7-asm.1.

Faça upgrade do cluster para uma das seguintes versões com patch:

• 1.12.4-asm.1
• 1.11.7-asm.1

Se você estiver usando o Anthos Service Mesh v1.9 ou versões anteriores, a versão atingiu o fim da vida útil e não será mais suportada. Essas correções de CVE não foram compatíveis com outras versões. Faça upgrade para o Anthos Service Mesh 1.10 ou mais recente.

Média

CVE-2022-23606

O Istio tem uma vulnerabilidade que pode ser explorada remotamente, em que uma solicitação HTTP com um fragmento (uma seção no final de um URI que começa com um caractere #) no caminho de URI pode ignorar a URI com base em caminho. políticas de autorização.

Por exemplo, uma política de autorização do Istio denies as solicitações enviadas ao caminho de URI /user/profile. Nas versões vulneráveis, uma solicitação com o caminho de URI /user/profile#section1 ignora a política de negação e encaminha para o back-end (com o caminho de URI normalizado /user/profile%23section1), o que leva a um incidente de segurança.

Essa correção depende de uma correção no Envoy, que está associada à CVE-2021-32779.

O que devo fazer?

Seu cluster será afetado se as duas condições a seguir forem verdadeiras:

• Ele usa as versões de patch do Anthos Service Mesh anteriores a 1.7.8-asm.10, 1.8.6-asm.8, 1.9.8-asm.1 e 1.10.4-asm.6.
• Ele usa políticas de autorização com DENY actions e operation.paths ou ALLOW actions e operation.notPaths.

Faça upgrade do cluster para uma das seguintes versões com patch:

• 1.10.4-asm.6
• 1.9.8-asm.1
• 1.8.6-asm.8
• 1.7.8-asm.10

Com as novas versões, a parte do fragmento do URI da solicitação é removida antes da autorização e do roteamento. Isso impede que uma solicitação com um fragmento no URI ignore políticas de autorização baseadas no URI sem a parte do fragmento.

Se você desativar esse novo comportamento, a seção de fragmento no URI será mantida. Para desativar, configure sua instalação da seguinte maneira:

apiVersion: install.istio.io/v1alpha1
kind: IstioOperator
metadata:
  name: opt-out-fragment-cve-fix
  namespace: istio-system
spec:
  meshConfig:
    defaultConfig:
      proxyMetadata:
        HTTP_STRIP_FRAGMENT_FROM_PATH_UNSAFE_IF_DISABLED: "false"

Observação: desativar esse comportamento torna seu cluster vulnerável a esse CVE.

Alto

CVE-2021-39156

O Istio tem uma vulnerabilidade que pode ser explorada remotamente, em que uma solicitação HTTP pode ignorar uma política de autorização do Istio ao usar regras baseadas em hosts ou notHosts.

Nas versões vulneráveis, a política de autorização do Istio compara os cabeçalhos Host ou :authority de HTTP com diferenciação de maiúsculas e minúsculas, o que é inconsistente com o RFC 4343. Por exemplo, o usuário pode ter uma política de autorização que rejeita solicitações com o host secret.com, mas o invasor pode ignorar isso enviando a solicitação no nome do host Secret.com. O fluxo de roteamento encaminha o tráfego para o back-end de secret.com, o que causa um incidente de segurança.

O que fazer?

Seu cluster será afetado se as duas condições a seguir forem verdadeiras:

• Ele usa as versões de patch do Anthos Service Mesh anteriores a 1.7.8-asm.10, 1.8.6-asm.8, 1.9.8-asm.1 e 1.10.4-asm.6.
• Ele usa políticas de autorização com DENY actions baseadas em operation.hosts ou ALLOW actions, baseadas em operation.notHosts.

Faça upgrade do cluster para uma das seguintes versões com patch:

• 1.10.4-asm.6
• 1.9.8-asm.1
• 1.8.6-asm.8
• 1.7.8-asm.10

Essa mitigação garante que os cabeçalhos HTTP Host ou :authority sejam avaliados em relação às especificações hosts ou notHosts nas políticas de autorização, sem diferenciar maiúsculas de minúsculas.

Alto

CVE-2021-39155

O Envoy contém uma vulnerabilidade que pode ser explorada remotamente e que uma solicitação HTTP com vários cabeçalhos de valor pode fazer uma verificação de política de autorização incompleta quando a extensão ext_authz é usada. Quando um cabeçalho de solicitação contém vários valores, o servidor de autorização externo verá apenas o último valor do cabeçalho fornecido.

O que devo fazer?

Seu cluster será afetado se as duas condições a seguir forem verdadeiras:

• Ele usa as versões de patch do Anthos Service Mesh anteriores a 1.7.8-asm.10, 1.8.6-asm.8, 1.9.8-asm.1 e 1.10.4-asm.6.
• Ele usa o recurso Autorização externa.

Faça upgrade do cluster para uma das seguintes versões com patch:

• 1.10.4-asm.6
• 1.9.8-asm.1
• 1.8.6-asm.8
• 1.7.8-asm.10

Alto

CVE-2021-32777

O Envoy contém uma vulnerabilidade que pode ser explorada remotamente e afeta as extensões decompressor, json-transcoder ou grpc-web do Envoy ou extensões proprietárias que modificam e aumentam o tamanho dos corpos de solicitação ou resposta. Modificar e aumentar o tamanho do corpo em uma extensão do Envoy além do tamanho do buffer interno pode levar o Envoy a acessar a memória desalocada e encerrar de forma anormal.

O que devo fazer?

Seu cluster será afetado se as duas condições a seguir forem verdadeiras:

• Ele usa as versões de patch do Anthos Service Mesh anteriores a 1.7.8-asm.10, 1.8.6-asm.8, 1.9.8-asm.1 e 1.10.4-asm.6.
• Ele usa EnvoyFilters.

Faça upgrade do cluster para uma das seguintes versões com patch:

• 1.10.4-asm.6
• 1.9.8-asm.1
• 1.8.6-asm.8
• 1.7.8-asm.10

Alto

CVE-2021-32781

O Envoy contém uma vulnerabilidade remotamente explorada, em que uma abertura de cliente do Envoy e, em seguida, redefinir um grande número de solicitações HTTP/2 pode levar ao consumo excessivo da CPU.

O que devo fazer?

O cluster será afetado se usar as versões de patch do Anthos Service Mesh anteriores a 1.7.8-asm.10, 1.8.6-asm.8, 1.9.8-asm.1 e 1.10.4-asm.6.

Faça upgrade do cluster para uma das seguintes versões com patch:

• 1.10.4-asm.6
• 1.9.8-asm.1

Observação: se você estiver usando o Anthos Service Mesh 1.8 ou anterior, faça upgrade para as versões de patch mais recentes do Anthos Service Mesh 1.9 e mais recentes para reduzir essa vulnerabilidade.

Alto

CVE-2021-32778

O Envoy contém uma vulnerabilidade que pode ser explorada remotamente, em que um serviço upstream não confiável pode fazer com que o Envoy seja encerrado de maneira anormal, enviando o frame GOAWAY seguido do frame SETTINGS com o parâmetro SETTINGS_MAX_CONCURRENT_STREAMS definido como 0.

O que devo fazer?

O cluster será afetado se usar o Anthos Service Mesh 1.10 com uma versão de patch anterior à 1.10.4-asm.6.

Faça upgrade do cluster para a seguinte versão de patch:

• 1.10.4-asm.6

Alto

CVE-2021-32780

O Gateway seguro do Istio ou as cargas de trabalho que usam DestinationRule podem carregar chaves privadas e certificados TLS de segredos do Kubernetes pela configuração credentialName. A partir do Istio 1.8, os secrets são lidos no istiod e transmitidos para gateways e cargas de trabalho pelo XDS.

Normalmente, uma implantação de gateway ou carga de trabalho só consegue acessar certificados TLS e chaves privadas armazenadas no secret dentro do namespace. No entanto, um bug em istiod permite que um cliente autorizado acesse a API Istio XDS e recupere qualquer certificado TLS e chaves privadas armazenadas em cache em istiod. Essa vulnerabilidade de segurança afeta apenas as versões secundárias 1.8 e 1.9 do Anthos Service Mesh.

O que devo fazer?

Seu cluster será afetado se TODAS as condições a seguir forem verdadeiras:

• Está usando uma versão 1.9.x anterior a 1.9.6-asm.1 ou uma 1.8.x anterior a 1.8.6-asm.4.
• Definiu Gateways ou DestinationRules com o campo credentialName especificado.
• Não especifica a sinalização PILOT_ENABLE_XDS_CACHE=false do istiod.

Faça upgrade do cluster para uma das seguintes versões com patch:

• 1.9.6-asm.1
• 1.8.6-asm.4

Alto

CVE-2021-34824

O Istio tem uma vulnerabilidade que pode ser explorada remotamente, em que um cliente externo pode acessar serviços inesperados no cluster, ignorando as verificações de autorização, quando um gateway está configurado com a configuração de roteamento AUTO_PASSTHROUGH.

O que devo fazer?

Essa vulnerabilidade afeta somente o uso do tipo de gateway AUTO_PASSTHROUGH, que normalmente é usado apenas em implantações de vários clusters e várias redes.

Detecte o modo TLS de todos os gateways no cluster com o seguinte comando:

kubectl get gateways.networking.istio.io -A -o \
  "custom-columns=NAMESPACE:.metadata.namespace, \
  NAME:.metadata.name,TLS_MODE:.spec.servers[*].tls.mode"

Se a saída mostrar quaisquer gateways AUTO_PASSTHROUGH, você poderá ser afetado.

Atualize seus clusters para as versões mais recentes do Anthos Service Mesh:

• 1.9.5-asm.2
• 1.8.6-asm.3
• 1.7.8-asm.8

* Observação: o lançamento do plano de controle gerenciado do Anthos Service Mesh (disponível apenas nas versões 1.9.x) será concluído nos próximos dias.

Alta

CVE-2021-31921

O Istio tem uma vulnerabilidade que pode ser explorada remotamente, em que um caminho de solicitação HTTP com várias barras ou caracteres de barra de escape (%2F ou %5C) tem a possibilidade de ignorar uma política de autorização do Istio quando regras de autorização baseadas em caminho forem usadas.

Em um cenário em que um administrador de cluster do Istio define uma política DENY de autorização para rejeitar a solicitação no caminho "/admin", uma solicitação enviada para o caminho do URL "//admin" NÃO será rejeitada pela política de autorização.

De acordo com a RFC 3986, o caminho "//admin" com várias barras precisa ser tecnicamente tratado como um caminho diferente do "/admin". No entanto, alguns serviços de back-end escolhem normalizar os caminhos do URL mesclando várias barras em uma única barra. Isso pode fazer com que a política de autorização ("//admin" não corresponde a "/admin") seja ignorada, e um usuário pode acessar o recurso no caminho "/admin" no back-end.

O que devo fazer?

Seu cluster será afetado por essa vulnerabilidade se você tiver políticas de autorização que usam os padrões "ALLOW action + notPaths field" ou "DENY action + paths field". Esses padrões são vulneráveis aos desvios inesperados da política, e você precisa fazer o upgrade para corrigir o problema de segurança o mais rápido possível.

O exemplo a seguir mostra uma política vulnerável que usa o padrão "DENY action + paths field":

apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: deny-path-admin
spec:
  action: DENY
  rules:
  - to:
    - operation:
        paths: ["/admin"]

Veja a seguir outro exemplo de política vulnerável que usa o padrão "ALLOW action + notPaths field":

apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: allow-path-not-admin
spec:
  action: ALLOW
  rules:
  - to:
    - operation:
        notPaths: ["/admin"]

O cluster não será afetado por essa vulnerabilidade nestas situações:

• Você não tem políticas de autorização.
• Suas políticas de autorização não definem campos paths ou notPaths.
• Suas políticas de autorização usam os padrões "ALLOW action + paths field" ou "DENY action + notPaths field". Esses padrões só podem causar rejeições inesperadas em vez de ignorar políticas.

Nesses casos, o upgrade é opcional.

Atualize seus clusters para as versões compatíveis mais recentes do Anthos Service Mesh*. Estas versões são compatíveis com a configuração dos proxies do Envoy no sistema com mais opções de normalização:

• 1.9.5-asm.2
• 1.8.6-asm.3
• 1.7.8-asm.8

* Observação: o lançamento do plano de controle gerenciado do Anthos Service Mesh (disponível apenas nas versões 1.9.x) será concluído nos próximos dias.

Siga o guia de práticas recomendadas de segurança do Istio para configurar políticas de autorização.

Alto

CVE-2021-31920

Recentemente, os projetos do Envoy e do Istio anunciaram várias vulnerabilidades de segurança (CVE-2021-28682, CVE-2021-28683 e CVE-2021-29258), que poderiam permitir que um invasor derrubasse o Envoy e possivelmente renderizasse partes do cluster off-line e inacessíveis.

Isso afeta serviços entregues, como o Anthos Service Mesh.

O que fazer?

Para corrigir essas vulnerabilidades, faça upgrade do pacote do Anthos Service Mesh para uma das seguintes versões com patch:

• 1.9.3-asm.2
• 1.8.5-asm.2
• 1.7.8-asm.1
• 1.6.14-asm.2

Para mais informações, consulte as notas da versão do Anthos Service Mesh.

Alto

CVE-2021-28682
CVE-2021-28683
CVE-2021-29258