Bollettini sulla sicurezza

Envoy si arresta in modo anomalo quando è inattivo e le richieste per ogni tentativo di timeout si verificano entro l'intervallo di backoff.

Che cosa devo fare?

Se esegui Anthos Service Mesh gestito, non è richiesta alcuna azione. Il tuo sistema verrà aggiornato automaticamente nei prossimi giorni.

Se esegui Anthos Service Mesh nel cluster, devi eseguire l'upgrade del cluster a una delle seguenti versioni con patch:

• 1.20.3-asm.4
• 1.19.7-asm.3
• 1.18.7-asm.4
• 1.17.8-asm.20

Se utilizzi Anthos Service Mesh v1.17 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Sebbene sia stato eseguito il backporting di queste correzioni per CVE alla versione 1.17, ti consigliamo di eseguire l'upgrade alla versione 1.18 o successiva.

Alta

CVE-2024-23322

Utilizzo eccessivo della CPU quando il matcher del modello URI è configurato utilizzando un'espressione regolare.

Che cosa devo fare?

Se esegui Anthos Service Mesh gestito, non è richiesta alcuna azione. Il tuo sistema verrà aggiornato automaticamente nei prossimi giorni.

Se esegui Anthos Service Mesh nel cluster, devi eseguire l'upgrade del cluster a una delle seguenti versioni con patch:

• 1.20.3-asm.4
• 1.19.7-asm.3
• 1.18.7-asm.4
• 1.17.8-asm.20

Se utilizzi Anthos Service Mesh v1.17 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Sebbene sia stato eseguito il backporting di queste correzioni per CVE alla versione 1.17, ti consigliamo di eseguire l'upgrade alla versione 1.18 o successiva.

Medio

CVE-2024-23323

L'autorizzazione esterna può essere bypassata quando il filtro del protocollo proxy imposta metadati UTF-8 non validi.

Che cosa devo fare?

Se esegui Anthos Service Mesh gestito, non è richiesta alcuna azione. Il tuo sistema verrà aggiornato automaticamente nei prossimi giorni.

Se esegui Anthos Service Mesh nel cluster, devi eseguire l'upgrade del cluster a una delle seguenti versioni con patch:

• 1.20.3-asm.4
• 1.19.7-asm.3
• 1.18.7-asm.4
• 1.17.8-asm.20

Se utilizzi Anthos Service Mesh v1.17 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Sebbene sia stato eseguito il backporting di queste correzioni per CVE alla versione 1.17, ti consigliamo di eseguire l'upgrade alla versione 1.18 o successiva.

Alta

CVE-2024-23324

Envoy si arresta in modo anomalo quando viene utilizzato un tipo di indirizzo non supportato dal sistema operativo.

Che cosa devo fare?

Se esegui Anthos Service Mesh gestito, non è richiesta alcuna azione. Il tuo sistema verrà aggiornato automaticamente nei prossimi giorni.

Se esegui Anthos Service Mesh nel cluster, devi eseguire l'upgrade del cluster a una delle seguenti versioni con patch:

• 1.20.3-asm.4
• 1.19.7-asm.3
• 1.18.7-asm.4
• 1.17.8-asm.20

Se utilizzi Anthos Service Mesh v1.17 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Sebbene sia stato eseguito il backporting di queste correzioni per CVE alla versione 1.17, ti consigliamo di eseguire l'upgrade alla versione 1.18 o successiva.

Alta

CVE-2024-23325

Arresto anomalo nel protocollo proxy quando il tipo di comando è LOCAL.

Che cosa devo fare?

Se esegui Anthos Service Mesh gestito, non è richiesta alcuna azione. Il tuo sistema verrà aggiornato automaticamente nei prossimi giorni.

Se esegui Anthos Service Mesh nel cluster, devi eseguire l'upgrade del cluster a una delle seguenti versioni con patch:

• 1.20.3-asm.4
• 1.19.7-asm.3
• 1.18.7-asm.4
• 1.17.8-asm.20

Se utilizzi Anthos Service Mesh v1.17 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Sebbene sia stato eseguito il backporting di queste correzioni per CVE alla versione 1.17, ti consigliamo di eseguire l'upgrade alla versione 1.18 o successiva.

Alta

CVE-2024-23327

Un attacco denial of service può colpire il piano dati quando si utilizza il protocollo HTTP/2.

Che cosa devo fare?

Il cluster è interessato se utilizza versioni della patch di Anthos Service Mesh precedenti a 1.18.4, 1.17.7 o 1.16.7.

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

• 1.18.4-asm.0
• 1.17.7-asm.0
• 1.16.7-asm.10

Se esegui Anthos Service Mesh gestito, il tuo sistema verrà aggiornato automaticamente entro alcuni giorni.

Se utilizzi Anthos Service Mesh v1.15 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Non è stato eseguito il backport di queste correzioni CVE. Devi eseguire l'upgrade alla versione 1.16 o successiva.

Alta

CVE-2023-44487

Un client malintenzionato è in grado di costruire le credenziali con validità permanente in alcuni scenari specifici. Ad esempio, la combinazione di host e data di scadenza nel payload HMAC può essere sempre valida nel controllo HMAC del filtro OAuth2.

Che cosa devo fare?

Il cluster è interessato se utilizza versioni patch di Anthos Service Mesh precedenti a

• 1.17.4
• 1.16.6
• 1.15.7

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

• 1.17.5-asm.0
• 1.16.7-asm.0
• 1.15.7-asm.23

Se esegui Anthos Service Mesh gestito, il sistema verrà aggiornato automaticamente entro i prossimi giorni.

Se utilizzi Anthos Service Mesh 1.14 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Non è stato eseguito il backport di queste correzioni CVE. Devi eseguire l'upgrade ad ASM 1.15 o versioni successive.

Alta

CVE-2023-35941

I logger di accesso gRPC che utilizzano l'ambito globale del listener possono causare un arresto anomalo use-after-free quando il listener viene svuotato. Ciò può essere attivato da un aggiornamento LDS con la stessa configurazione del log degli accessi gRPC.

Che cosa devo fare?

Il cluster è interessato se utilizza versioni patch di Anthos Service Mesh precedenti a

• 1.17.4
• 1.16.6
• 1.15.7

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

• 1.17.5-asm.0
• 1.16.7-asm.0
• 1.15.7-asm.23

Se esegui Anthos Service Mesh gestito, il sistema verrà aggiornato automaticamente entro i prossimi giorni.

Se utilizzi Anthos Service Mesh 1.14 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Non è stato eseguito il backport di queste correzioni CVE. Devi eseguire l'upgrade ad ASM 1.15 o versioni successive.

Medio

CVE-2023-35942

Se l'intestazione origin è configurata per essere rimossa con request_headers_to_remove: origin, il filtro CORS eseguirà il segfault e causerà l'arresto anomalo di Envoy.

Che cosa devo fare?

Il cluster è interessato se utilizza versioni patch di Anthos Service Mesh precedenti a

• 1.17.4
• 1.16.6
• 1.15.7

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

• 1.17.5-asm.0
• 1.16.7-asm.0
• 1.15.7-asm.23

Se esegui Anthos Service Mesh gestito, il sistema verrà aggiornato automaticamente entro i prossimi giorni.

Se utilizzi Anthos Service Mesh 1.14 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Non è stato eseguito il backport di queste correzioni CVE. Devi eseguire l'upgrade ad ASM 1.15 o versioni successive.

Medio

CVE-2023-35943

Gli aggressori possono inviare richieste di schema miste per bypassare alcuni controlli di schema in Envoy. Ad esempio, se una richiesta con schema misto htTp viene inviata al filtro OAuth2, non supererà i controlli di corrispondenza esatta per http e comunicherà all'endpoint remoto che lo schema è https, bypassando potenzialmente i controlli OAuth2 specifici per le richieste HTTP.

Che cosa devo fare?

Il cluster è interessato se utilizza versioni patch di Anthos Service Mesh precedenti a

• 1.17.4
• 1.16.6
• 1.15.7

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

• 1.17.5-asm.0
• 1.16.7-asm.0
• 1.15.7-asm.23

Se esegui Anthos Service Mesh gestito, il sistema verrà aggiornato automaticamente entro i prossimi giorni.

Se utilizzi Anthos Service Mesh 1.14 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Non è stato eseguito il backport di queste correzioni CVE. Devi eseguire l'upgrade ad ASM 1.15 o versioni successive.

Alta

CVE-2023-35944

Una risposta creata appositamente da un servizio upstream non attendibile può causare un Denial of Service mediante esaurimento della memoria. Ciò è causato dal codec HTTP/2 di Envoy che potrebbe divulgare una mappa di intestazione e strutture di contabilità alla ricezione di RST_STREAM immediatamente seguito dai frame GOAWAY da un server upstream.

Che cosa devo fare?

Il cluster è interessato se utilizza versioni patch di Anthos Service Mesh precedenti a

• 1.17.4
• 1.16.6
• 1.15.7

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

• 1.17.4-asm.2
• 1.16.6-asm.3
• 1.15.7-asm.21

Se esegui Anthos Service Mesh gestito, il sistema verrà aggiornato automaticamente entro i prossimi giorni.

Se utilizzi Anthos Service Mesh 1.14 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Non è stato eseguito il backport di queste correzioni CVE. Devi eseguire l'upgrade ad ASM 1.15 o versioni successive.

Alta

CVE-2023-35945

Se Envoy è in esecuzione con il filtro OAuth attivo, un utente malintenzionato potrebbe creare una richiesta che causerebbe denial of service provocando l'arresto anomalo di Envoy.

Che cosa devo fare?

I cluster sono interessati se utilizzano versioni patch di Anthos Service Mesh precedenti a:

• 1.16.4
• 1.15.7
• 1.14.6

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

• 1.16.4-asm.2
• 1.15.7-asm.1
• 1.14.6-asm.11

Se utilizzi Anthos Service Mesh v1.13 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Non è stato eseguito il backport di queste correzioni CVE. Devi eseguire l'upgrade ad Anthos Service Mesh 1.14 o versioni successive.

Medio

CVE-2023-27496

L’utente malintenzionato può utilizzare questa vulnerabilità per bypassare i controlli di autenticazione quando viene utilizzato ext_authz.

Che cosa devo fare?

I cluster sono interessati se utilizzano versioni patch di Anthos Service Mesh precedenti a:

• 1.16.4
• 1.15.7
• 1.14.6

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

• 1.16.4-asm.2
• 1.15.7-asm.1
• 1.14.6-asm.11

Se utilizzi Anthos Service Mesh v1.13 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Non è stato eseguito il backport di queste correzioni CVE. Devi eseguire l'upgrade ad Anthos Service Mesh} 1.14 o versioni successive.

Medio

CVE-2023-27488

La configurazione Envoy deve includere anche un'opzione per aggiungere intestazioni delle richieste generate utilizzando gli input della richiesta, ovvero la SAN del certificato peer.

Che cosa devo fare?

I cluster sono interessati se utilizzano versioni patch di Anthos Service Mesh precedenti a:

• 1.16.4
• 1.15.7
• 1.14.6

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

• 1.16.4-asm.2
• 1.15.7-asm.1
• 1.14.6-asm.11

Se utilizzi Anthos Service Mesh v1.13 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Non è stato eseguito il backport di queste correzioni CVE. Devi eseguire l'upgrade ad Anthos Service Mesh 1.14 o versioni successive.

Alta

CVE-2023-27493

Gli aggressori possono inviare corpi di richieste di grandi dimensioni per route che hanno il filtro Lua abilitato e attivano arresti anomali.

Che cosa devo fare?

I cluster sono interessati se utilizzano versioni patch di Anthos Service Mesh precedenti a:

• 1.16.4
• 1.15.7
• 1.14.6

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

• 1.16.4-asm.2
• 1.15.7-asm.1
• 1.14.6-asm.11

Se utilizzi Anthos Service Mesh v1.13 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Non è stato eseguito il backport di queste correzioni CVE. Devi eseguire l'upgrade ad Anthos Service Mesh 1.14 o versioni successive.

Medio

CVE-2023-27492

Gli aggressori possono inviare richieste HTTP/2 o HTTP/3 appositamente create per attivare errori di analisi sul servizio upstream HTTP/1.

Che cosa devo fare?

I cluster sono interessati se utilizzano versioni patch di Anthos Service Mesh precedenti a:

• 1.16.4
• 1.15.7
• 1.14.6

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

• 1.16.4-asm.2
• 1.15.7-asm.1
• 1.14.6-asm.11

Se utilizzi Anthos Service Mesh v1.13 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Non è stato eseguito il backport di queste correzioni CVE. Devi eseguire l'upgrade ad Anthos Service Mesh 1.14 o versioni successive.

Medio

CVE-2023-27491

L'intestazione x-envoy-original-path deve essere un'intestazione interna, ma Envoy non rimuove questa intestazione dalla richiesta all'inizio dell'elaborazione della richiesta quando viene inviata da un client non attendibile.

Che cosa devo fare?

I cluster sono interessati se utilizzano versioni patch di Anthos Service Mesh precedenti a:

• 1.16.4
• 1.15.7
• 1.14.6

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

• 1.16.4-asm.2
• 1.15.7-asm.1
• 1.14.6-asm.11

Se utilizzi Anthos Service Mesh v1.13 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Non è stato eseguito il backport di queste correzioni CVE. Devi eseguire l'upgrade ad Anthos Service Mesh 1.14 o versioni successive.

Alta

CVE-2023-27487

Il piano di controllo Istio istiod è vulnerabile a un errore di elaborazione delle richieste, consentendo a un utente malintenzionato di inviare un messaggio creato appositamente per causare l'arresto anomalo del piano di controllo quando il webhook di convalida per un cluster viene esposto pubblicamente. Questo endpoint viene gestito tramite la porta TLS 15017, ma non richiede alcuna autenticazione da parte dell'utente malintenzionato.

Che cosa devo fare?

Il cluster è interessato se utilizza versioni della patch di Anthos Service Mesh precedenti a 1.14.4, 1.13.8 o 1.12.9.

Se esegui Anthos Service Mesh autonomo, esegui l'upgrade del cluster a una delle seguenti versioni con patch:

• Se utilizzi Anthos Service Mesh 1.14, esegui l'upgrade alla versione 1.14.4-asm.2
• Se utilizzi Anthos Service Mesh 1.13, esegui l'upgrade alla versione 1.13.8-asm.4
• Se utilizzi Anthos Service Mesh 1.12, esegui l'upgrade alla versione 1.12.9-asm.3

Se esegui Anthos Service Mesh gestito, il tuo sistema verrà aggiornato automaticamente entro i prossimi giorni.

Se utilizzi Anthos Service Mesh v1.11 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Non è stato eseguito il backport di queste correzioni CVE. Devi eseguire l'upgrade ad Anthos Service Mesh 1.12 o versioni successive.

Alta

CVE-2022-39278

Il piano dati Istio può potenzialmente accedere alla memoria in modo non sicuro quando sono abilitate le estensioni Metadata Exchange e Stats.

Che cosa devo fare?

Il cluster è interessato se utilizza versioni della patch di Anthos Service Mesh precedenti a 1.13.4-asm.4, 1.12.7-asm.2 o 1.11.8-asm.4.

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

• 1.13.4-asm.4
• 1.12.7-asm.2
• 1.11.8-asm.4

Se utilizzi Anthos Service Mesh 1.10 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Non è stato eseguito il backport di queste correzioni CVE. Devi eseguire l'upgrade ad Anthos Service Mesh 1.11 o versioni successive. Per saperne di più, consulta Eseguire l'upgrade da versioni precedenti (GKE o Eseguire l'upgrade da versioni precedenti (on-premise)).

Alta

CVE-2022-31045

I dati possono superare i limiti intermedi di buffer se un aggressore malintenzionato passa un piccolo payload altamente compresso (noto anche come attacco con zip bomba).

Che cosa devo fare?

Il cluster è interessato se utilizza versioni della patch di Anthos Service Mesh precedenti a 1.13.4-asm.4, 1.12.7-asm.2 o 1.11.8-asm.4.

Sebbene Anthos Service Mesh non supporti i filtri Envoy, l'uso di un filtro di decompressione potrebbe avere conseguenze.

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

• 1.13.4-asm.4
• 1.12.7-asm.2
• 1.11.8-asm.4

Se utilizzi Anthos Service Mesh 1.10 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Non è stato eseguito il backport di queste correzioni CVE. Devi eseguire l'upgrade ad Anthos Service Mesh 1.11 o versioni successive. Per saperne di più, consulta Eseguire l'upgrade da versioni precedenti (GKE o Eseguire l'upgrade da versioni precedenti (on-premise)).

Gli utenti di Envoy che gestiscono i propri Envoy devono assicurarsi che utilizzino la versione 1.22.1 di Envoy. Gli utenti di Envoy che gestiscono i propri Envoy creano i binari da un'origine come GitHub e ne eseguono il deployment.

Gli utenti che eseguono Envoy gestiti (Google Cloud fornisce i file binari di Envoy) non devono intraprendere alcuna azione, per i quali i prodotti cloud passeranno alla versione 1.22.1.

Alta

CVE-2022-29225

Potenziale deriferimento del puntatore null in GrpcHealthCheckerImpl.

Che cosa devo fare?

Il cluster è interessato se utilizza versioni della patch di Anthos Service Mesh precedenti a 1.13.4-asm.4, 1.12.7-asm.2 o 1.11.8-asm.4.

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

• 1.13.4-asm.4
• 1.12.7-asm.2
• 1.11.8-asm.4

Se utilizzi Anthos Service Mesh 1.10 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Non è stato eseguito il backport di queste correzioni CVE. Devi eseguire l'upgrade ad Anthos Service Mesh 1.11 o versioni successive. Per saperne di più, consulta Eseguire l'upgrade da versioni precedenti (GKE o Eseguire l'upgrade da versioni precedenti (on-premise)).

Gli utenti di Envoy che gestiscono i propri Envoy devono assicurarsi che utilizzino la versione 1.22.1 di Envoy. Gli utenti di Envoy che gestiscono i propri Envoy creano i binari da un'origine come GitHub e ne eseguono il deployment.

Gli utenti che eseguono Envoy gestiti (Google Cloud fornisce i file binari di Envoy) non devono intraprendere alcuna azione, per i quali i prodotti cloud passeranno alla versione 1.22.1.

Medio

CVE-2021-29224

Il filtro OAuth consente un'esclusione banale.

Che cosa devo fare?

Il cluster è interessato se utilizza versioni della patch di Anthos Service Mesh precedenti a 1.13.4-asm.4, 1.12.7-asm.2 o 1.11.8-asm.4.

Sebbene Anthos Service Mesh non supporti i filtri Envoy, l'utilizzo di un filtro OAuth potrebbe interessarti.

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

• 1.13.4-asm.4
• 1.12.7-asm.2
• 1.11.8-asm.4

Se utilizzi Anthos Service Mesh 1.10 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Non è stato eseguito il backport di queste correzioni CVE. Devi eseguire l'upgrade ad Anthos Service Mesh 1.11 o versioni successive. Per saperne di più, consulta Eseguire l'upgrade da versioni precedenti (GKE o Eseguire l'upgrade da versioni precedenti (on-premise)).

Anche gli utenti Envoy che gestiscono i propri Envoy utilizzano il filtro OAuth devono assicurarsi che utilizzino la release 1.22.1 di Envoy. Gli utenti di Envoy che gestiscono i propri Envoy creano i programmi binari da un'origine come GitHub e ne eseguono il deployment.

Gli utenti che eseguono Envoy gestiti (Google Cloud fornisce i file binari di Envoy) non devono intraprendere alcuna azione, per i quali i prodotti cloud passeranno alla versione 1.22.1.

Critico

CVE-2021-29226

Il filtro OAuth può danneggiare la memoria (versioni precedenti) o attivare ASSERT() (versioni successive).

Che cosa devo fare?

Il cluster è interessato se utilizza versioni della patch di Anthos Service Mesh precedenti a 1.13.4-asm.4, 1.12.7-asm.2 o 1.11.8-asm.4.

Sebbene Anthos Service Mesh non supporti i filtri Envoy, l'utilizzo di un filtro OAuth potrebbe interessarti.

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

• 1.13.4-asm.4
• 1.12.7-asm.2
• 1.11.8-asm.4

Se utilizzi Anthos Service Mesh 1.10 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Non è stato eseguito il backport di queste correzioni CVE. Devi eseguire l'upgrade ad Anthos Service Mesh 1.11 o versioni successive.

Anche gli utenti Envoy che gestiscono i propri Envoy utilizzano il filtro OAuth devono assicurarsi che utilizzino la release 1.22.1 di Envoy. Gli utenti di Envoy che gestiscono i propri Envoy creano i programmi binari da un'origine come GitHub e ne eseguono il deployment.

Gli utenti che eseguono Envoy gestiti (Google Cloud fornisce i file binari di Envoy) non devono intraprendere alcuna azione, per i quali i prodotti cloud passeranno alla versione 1.22.1.

Alta

CVE-2022-29228

I reindirizzamenti interni si arrestano in modo anomalo per le richieste con corpo o trailer.

Che cosa devo fare?

Il cluster è interessato se utilizza versioni della patch di Anthos Service Mesh precedenti a 1.13.4-asm.4, 1.12.7-asm.2 o 1.11.8-asm.4.

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

• 1.13.4-asm.4
• 1.12.7-asm.2
• 1.11.8-asm.4

Se utilizzi Anthos Service Mesh 1.10 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Non è stato eseguito il backport di queste correzioni CVE. Devi eseguire l'upgrade ad Anthos Service Mesh 1.11 o versioni successive. Per saperne di più, consulta Eseguire l'upgrade da versioni precedenti (GKE o Eseguire l'upgrade da versioni precedenti (on-premise)).

Gli utenti di Envoy che gestiscono i propri Envoy devono assicurarsi che utilizzino la versione 1.22.1 di Envoy. Gli utenti di Envoy che gestiscono i propri Envoy creano i binari da un'origine come GitHub e ne eseguono il deployment.

Gli utenti che eseguono Envoy gestiti (Google Cloud fornisce i file binari di Envoy) non devono intraprendere alcuna azione, per i quali i prodotti cloud passeranno alla versione 1.22.1.

Alta

CVE-2022-29227

Il piano di controllo Istio, istiod, è vulnerabile a un errore di elaborazione delle richieste, consentendo a un utente malintenzionato di inviare un messaggio creato appositamente, causando l'arresto anomalo del piano di controllo quando il webhook di convalida per un cluster viene esposto pubblicamente. Questo endpoint viene gestito tramite la porta TLS 15017, ma non richiede alcuna autenticazione da parte dell'utente malintenzionato.

Che cosa devo fare?

Tutte le versioni di Anthos Service Mesh sono interessate da questa CVE.

Nota: se utilizzi il piano di controllo gestito, questa vulnerabilità è già stata corretta e il tuo account non è interessato.

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

• 1.12.5-asm.0
• 1.11.8-asm.0
• 1.10.6-asm.2

Se utilizzi Anthos Service Mesh v1.9 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Non è stato eseguito il backport di queste correzioni CVE. Devi eseguire l'upgrade ad Anthos Service Mesh 1.10 o versioni successive.

Alta

CVE-2022-24726

Istio si arresta in modo anomalo alla ricezione delle richieste con un'intestazione authorization creata appositamente.

Che cosa devo fare?

Il cluster è interessato se si verificano entrambe le seguenti condizioni:

• Utilizza versioni delle patch di Anthos Service Mesh precedenti a 1.12.4-asm.1, 1.11.7-asm.1 o 1.10.6-asm.1.

Nota: se utilizzi il piano di controllo gestito, questa vulnerabilità è già stata corretta e il tuo account non è interessato.

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

• 1.12.4-asm.1
• 1.11.7-asm.1
• 1.10.6-asm.1

Se utilizzi Anthos Service Mesh v1.9 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Non è stato eseguito il backport di queste correzioni CVE. Devi eseguire l'upgrade ad Anthos Service Mesh 1.10 o versioni successive.

Alta

CVE-2022-23635

Potenziale deriferimento del puntatore nullo quando si utilizza la corrispondenza del filtro JWT safe_regex.

Che cosa devo fare?

Il cluster è interessato se si verificano entrambe le seguenti condizioni:

• Utilizza versioni delle patch di Anthos Service Mesh precedenti a 1.12.4-asm.1, 1.11.7-asm.1 o 1.10.6-asm.1.
• Sebbene Anthos Service Mesh non supporti i filtri Envoy, l'utilizzo dell'espressione regolare del filtro JWT potrebbe interessarti.

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

• 1.12.4-asm.1
• 1.11.7-asm.1
• 1.10.6-asm.1

Se utilizzi Anthos Service Mesh v1.9 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Non è stato eseguito il backport di queste correzioni CVE. Devi eseguire l'upgrade ad Anthos Service Mesh 1.10 o versioni successive.

Medio

CVE-2021-43824

Da utilizzare dopo la pubblicazione quando i filtri di risposta aumentano i dati di risposta e l'aumento di dati supera i limiti di buffer downstream.

Che cosa devo fare?

Il cluster è interessato se si verificano entrambe le seguenti condizioni:

• Utilizza versioni delle patch di Anthos Service Mesh precedenti a 1.12.4-asm.1, 1.11.7-asm.1 o 1.10.6-asm.1.
• Sebbene Anthos Service Mesh non supporti i filtri Envoy, l'utilizzo di un filtro di decompressione potrebbe interessarti.

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

• 1.12.4-asm.1
• 1.11.7-asm.1
• 1.10.6-asm.1

Se utilizzi Anthos Service Mesh v1.9 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Non è stato eseguito il backport di queste correzioni CVE. Devi eseguire l'upgrade ad Anthos Service Mesh 1.10 o versioni successive.

Medio

CVE-2021-43825

Use-after-free durante il tunneling di TCP su HTTP, se il downstream si disconnette durante la connessione a monte.

Che cosa devo fare?

Il cluster è interessato se si verificano entrambe le seguenti condizioni:

• Utilizza versioni delle patch di Anthos Service Mesh precedenti a 1.12.4-asm.1, 1.11.7-asm.1 o 1.10.6-asm.1.
• Sebbene Anthos Service Mesh non supporti i filtri Envoy, l'utilizzo di un filtro di tunneling potrebbe avere delle conseguenze.

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

• 1.12.4-asm.1
• 1.11.7-asm.1
• 1.10.6-asm.1

Se utilizzi Anthos Service Mesh v1.9 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Non è stato eseguito il backport di queste correzioni CVE. Devi eseguire l'upgrade ad Anthos Service Mesh 1.10 o versioni successive.

Medio

CVE-2021-43826

Una gestione errata della configurazione consente il riutilizzo della sessione mTLS senza riconvalida dopo la modifica delle impostazioni di convalida.

Che cosa devo fare?

Il cluster è interessato se si verificano entrambe le seguenti condizioni:

• Utilizza versioni delle patch di Anthos Service Mesh precedenti a 1.12.4-asm.1, 1.11.7-asm.1 o 1.10.6-asm.1.
• Tutti i servizi Anthos Service Mesh che utilizzano mTLS sono interessati da questo CVE.

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

• 1.12.4-asm.1
• 1.11.7-asm.1
• 1.10.6-asm.1

Se utilizzi Anthos Service Mesh v1.9 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Non è stato eseguito il backport di queste correzioni CVE. Devi eseguire l'upgrade ad Anthos Service Mesh 1.10 o versioni successive.

Alta

CVE-2022-21654

Gestione errata dei reindirizzamenti interni a route con una voce di risposta diretta.

Che cosa devo fare?

Il cluster è interessato se si verificano entrambe le seguenti condizioni:

• Utilizza versioni delle patch di Anthos Service Mesh precedenti a 1.12.4-asm.1, 1.11.7-asm.1 o 1.10.6-asm.1.
• Sebbene Anthos Service Mesh non supporti i filtri Envoy, l'utilizzo di un filtro a risposta diretta potrebbe interessarti.

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

• 1.12.4-asm.1
• 1.11.7-asm.1
• 1.10.6-asm.1

Se utilizzi Anthos Service Mesh v1.9 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Non è stato eseguito il backport di queste correzioni CVE. Devi eseguire l'upgrade ad Anthos Service Mesh 1.10 o versioni successive.

Alta

CVE-2022-21655

Esaurimento dello stack quando un cluster viene eliminato tramite Cluster Discovery Service.

Che cosa devo fare?

Il cluster è interessato se si verificano entrambe le seguenti condizioni:

• Utilizza versioni delle patch di Anthos Service Mesh precedenti a 1.12.4-asm.1 o 1.11.7-asm.1.

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

• 1.12.4-asm.1
• 1.11.7-asm.1

Se utilizzi Anthos Service Mesh v1.9 o versioni precedenti, la release ha raggiunto la fine del ciclo di vita e non è più supportata. Non è stato eseguito il backport di queste correzioni CVE. Devi eseguire l'upgrade ad Anthos Service Mesh 1.10 o versioni successive.

Medio

CVE-2022-23606

Istio contiene una vulnerabilità sfruttabile da remoto in cui una richiesta HTTP con un frammento (una sezione alla fine di un URI che inizia con un carattere #) nel percorso dell'URI potrebbe bypassare i criteri di autorizzazione basati sul percorso dell'URI di Istio.

Ad esempio, un criterio di autorizzazione Istio denies le richieste inviate al percorso dell'URI /user/profile. Nelle versioni vulnerabili, una richiesta con il percorso URI /user/profile#section1 ignora il criterio di negazione e instrada al backend (con il percorso URI normalizzato /user/profile%23section1), causando un incidente di sicurezza.

Questa correzione dipende da una correzione in Envoy, associata a CVE-2021-32779.

Che cosa devo fare?

Il cluster è interessato se si verificano entrambe le seguenti condizioni:

• Utilizza versioni delle patch di Anthos Service Mesh precedenti a 1.7.8-asm.10, 1.8.6-asm.8, 1.9.8-asm.1 e 1.10.4-asm.6.
• Utilizza i criteri di autorizzazione con DENY actions e operation.paths oppure ALLOW actions e operation.notPaths.

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

• 1.10.4-asm.6
• 1.9.8-asm.1
• 1.8.6-asm.8
• 1.7.8-asm.10

Con le nuove versioni, la parte frammento dell'URI della richiesta viene rimossa prima dell'autorizzazione e del routing. Questo impedisce a una richiesta con un frammento nel suo URI di bypassare i criteri di autorizzazione basati sull'URI senza la parte del frammento.

Se disattivi questo nuovo comportamento, la sezione fragment nell'URI viene mantenuta. Per disattivare questa opzione, puoi configurare l'installazione come segue:

apiVersion: install.istio.io/v1alpha1
kind: IstioOperator
metadata:
  name: opt-out-fragment-cve-fix
  namespace: istio-system
spec:
  meshConfig:
    defaultConfig:
      proxyMetadata:
        HTTP_STRIP_FRAGMENT_FROM_PATH_UNSAFE_IF_DISABLED: "false"

Nota: se disattivi questo comportamento, il cluster vulnerabile a questo CVE.

Alta

CVE-2021-39156

Istio contiene una vulnerabilità sfruttabile da remoto in cui una richiesta HTTP potrebbe bypassare un criterio di autorizzazione Istio quando vengono utilizzate regole basate su hosts o notHosts.

Nelle versioni vulnerabili, il criterio di autorizzazione Istio confronta le intestazioni HTTP Host o :authority in modo sensibile alle maiuscole, il che non è coerente con RFC 4343. Ad esempio, l'utente potrebbe avere un criterio di autorizzazione che rifiuta le richieste con l'host secret.com, ma l'utente malintenzionato può aggirarlo inviando la richiesta al nome host Secret.com. Il flusso di routing instrada il traffico al backend per secret.com, causando un incidente di sicurezza.

Che cosa devo fare?

Il cluster è interessato se si verificano entrambe le seguenti condizioni:

• Utilizza versioni delle patch di Anthos Service Mesh precedenti a 1.7.8-asm.10, 1.8.6-asm.8, 1.9.8-asm.1 e 1.10.4-asm.6.
• Utilizza i criteri di autorizzazione con DENY actions in base a operation.hosts o ALLOW actions in base a operation.notHosts.

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

• 1.10.4-asm.6
• 1.9.8-asm.1
• 1.8.6-asm.8
• 1.7.8-asm.10

Questa mitigazione assicura che le intestazioni HTTP Host o :authority vengano valutate in base alle specifiche hosts o notHosts nei criteri di autorizzazione, senza distinzione tra maiuscole e minuscole.

Alta

CVE-2021-39155

Envoy contiene una vulnerabilità sfruttabile in remoto che una richiesta HTTP con più intestazioni di valore potrebbe eseguire un controllo incompleto dei criteri di autorizzazione quando viene utilizzata l'estensione ext_authz. Quando l'intestazione di una richiesta contiene più valori, il server di autorizzazione esterno visualizza solo l'ultimo valore dell'intestazione specificata.

Che cosa devo fare?

Il cluster è interessato se si verificano entrambe le seguenti condizioni:

• Utilizza versioni delle patch di Anthos Service Mesh precedenti a 1.7.8-asm.10, 1.8.6-asm.8, 1.9.8-asm.1 e 1.10.4-asm.6.
• che utilizza la funzionalità di autorizzazione esterna.

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

• 1.10.4-asm.6
• 1.9.8-asm.1
• 1.8.6-asm.8
• 1.7.8-asm.10

Alta

CVE-2021-32777

Envoy contiene una vulnerabilità sfruttabile in remoto che interessa le estensioni decompressor, json-transcoder o grpc-web di Envoy o le estensioni proprietarie che modificano e aumentano le dimensioni del corpo delle richieste o delle risposte. La modifica e l'aumento delle dimensioni del corpo in un'estensione di Envoy oltre le dimensioni del buffer interno potrebbero portare Envoy ad accedere alla memoria occupata e a arrestarsi in modo anomalo.

Che cosa devo fare?

Il cluster è interessato se si verificano entrambe le seguenti condizioni:

• Utilizza versioni delle patch di Anthos Service Mesh precedenti a 1.7.8-asm.10, 1.8.6-asm.8, 1.9.8-asm.1 e 1.10.4-asm.6.
• Utilizza EnvoyFilters.

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

• 1.10.4-asm.6
• 1.9.8-asm.1
• 1.8.6-asm.8
• 1.7.8-asm.10

Alta

CVE-2021-32781

Envoy contiene una vulnerabilità sfruttabile in remoto per cui un client Envoy che apre e quindi reimposta un numero elevato di richieste HTTP/2 potrebbe portare a un consumo eccessivo di CPU.

Che cosa devo fare?

Il cluster è interessato se utilizza versioni della patch di Anthos Service Mesh precedenti a 1.7.8-asm.10, 1.8.6-asm.8, 1.9.8-asm.1 e 1.10.4-asm.6.

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

• 1.10.4-asm.6
• 1.9.8-asm.1

Nota: se utilizzi Anthos Service Mesh 1.8 o versioni precedenti, esegui l'upgrade alle versioni più recenti della patch di Anthos Service Mesh 1.9 e versioni successive per mitigare questa vulnerabilità.

Alta

CVE-2021-32778

Envoy contiene una vulnerabilità sfruttabile in remoto per cui un servizio upstream non attendibile potrebbe causare l'arresto anomalo di Envoy inviando il frame GOAWAY seguito dal frame SETTINGS con il parametro SETTINGS_MAX_CONCURRENT_STREAMS impostato su 0.

Che cosa devo fare?

Il cluster è interessato se utilizza Anthos Service Mesh 1.10 con una versione della patch precedente a 1.10.4-asm.6.

Esegui l'upgrade del cluster alla versione patch seguente:

• 1.10.4-asm.6

Alta

CVE-2021-32780

I carichi di lavoro sicuri Gateway o Istio che utilizzano DestinationRule possono caricare chiavi private e certificati TLS dai secret di Kubernetes tramite la configurazione credentialName. A partire da Istio 1.8, i secret vengono letti da istiod e trasmessi a gateway e carichi di lavoro tramite XDS.

Normalmente, un gateway o un deployment di un carico di lavoro è in grado di accedere solo ai certificati TLS e alle chiavi private archiviate nel secret all'interno del relativo spazio dei nomi. Tuttavia, un bug in istiod consente a un client autorizzato ad accedere all'API Istio XDS per recuperare qualsiasi certificato TLS e chiavi private memorizzate nella cache in istiod. Questa vulnerabilità di sicurezza influisce solo sulle release secondarie 1.8 e 1.9 di Anthos Service Mesh.

Che cosa devo fare?

Il cluster è interessato se TUTTE le seguenti condizioni sono vere:

• Sta utilizzando una versione 1.9.x precedente alla 1.9.6-asm.1 o una versione 1.8.x precedente alla versione 1.8.6-asm.4.
• Ha definito Gateways o DestinationRules con il campo credentialName specificato.
• Non specifica il flag istiod PILOT_ENABLE_XDS_CACHE=false.

Esegui l'upgrade del cluster a una delle seguenti versioni con patch:

• 1.9.6-asm.1
• 1.8.6-asm.4

Alta

CVE-2021-34824

Istio contiene una vulnerabilità sfruttabile da remoto in cui un client esterno può accedere a servizi imprevisti nel cluster, ignorando i controlli di autorizzazione, quando un gateway è configurato con una configurazione di routing AUTO_PASSTHROUGH.

Che cosa devo fare?

Questa vulnerabilità influisce solo sull'utilizzo del tipo di gateway AUTO_PASSTHROUGH, che viene generalmente utilizzato solo nei deployment multi-rete e multi-cluster.

Rileva la modalità TLS di tutti i gateway nel cluster con il seguente comando:

kubectl get gateways.networking.istio.io -A -o \
  "custom-columns=NAMESPACE:.metadata.namespace, \
  NAME:.metadata.name,TLS_MODE:.spec.servers[*].tls.mode"

Se l'output mostra AUTO_PASSTHROUGH gateway, questo potrebbe essere interessato.

Aggiorna i cluster alle versioni più recenti di Anthos Service Mesh:

• 1.9.5-asm.2
• 1.8.6-asm.3
• 1.7.8-asm.8

* Nota: l'implementazione del piano di controllo gestito di Anthos Service Mesh (disponibile solo nelle versioni 1.9.x) verrà completata nei prossimi giorni.

Alta

CVE-2021-31921

Istio contiene una vulnerabilità sfruttabile da remoto in cui un percorso di richiesta HTTP con più barre o caratteri barra di escape (%2F o %5C) potrebbe potenzialmente bypassare un criterio di autorizzazione Istio quando vengono utilizzate regole di autorizzazione basate sul percorso.

In uno scenario in cui un amministratore del cluster Istio definisce un criterio DENY di autorizzazione per rifiutare la richiesta al percorso "/admin", una richiesta inviata al percorso dell'URL "//admin" NON verrà rifiutata dal criterio di autorizzazione.

In base al documento RFC 3986, il percorso "//admin" con più barre deve tecnicamente essere considerato come un percorso diverso da "/admin". Tuttavia, alcuni servizi di backend scelgono di normalizzare i percorsi degli URL unendo più barre in un'unica barra. Ciò può comportare il bypass del criterio di autorizzazione ("//admin" non corrisponde a "/admin") e un utente può accedere alla risorsa nel percorso "/admin" nel backend.

Che cosa devo fare?

Il cluster è interessato da questa vulnerabilità se hai criteri di autorizzazione che utilizzano pattern "ALLOW azione + notPaths" o "DENY azione + percorsi campo". Questi pattern sono vulnerabili ad bypass inaspettati dei criteri, pertanto ti consigliamo di eseguire l'upgrade per risolvere il problema di sicurezza il prima possibile.

Di seguito è riportato un esempio di criterio vulnerabile che utilizza il pattern "campo azione + percorsi DENY":

apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: deny-path-admin
spec:
  action: DENY
  rules:
  - to:
    - operation:
        paths: ["/admin"]

Di seguito è riportato un altro esempio di criterio vulnerabile che utilizza il pattern "ALLOW action + notPaths":

apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: allow-path-not-admin
spec:
  action: ALLOW
  rules:
  - to:
    - operation:
        notPaths: ["/admin"]

Il cluster non è interessato da questa vulnerabilità se:

• Non hai criteri di autorizzazione.
• I tuoi criteri di autorizzazione non definiscono i campi paths o notPaths.
• I criteri di autorizzazione utilizzano pattern "ALLOW azione + percorsi" o "DENY azione + campo notPaths". Questi pattern potrebbero causare solo un rifiuto imprevisto anziché il bypass dei criteri.

In questi casi l'upgrade è facoltativo.

Aggiorna i cluster alle ultime versioni supportate di Anthos Service Mesh*. Queste versioni supportano la configurazione dei proxy Envoy nel sistema con più opzioni di normalizzazione:

• 1.9.5-asm.2
• 1.8.6-asm.3
• 1.7.8-asm.8

* Nota: l'implementazione del piano di controllo gestito di Anthos Service Mesh (disponibile solo nelle versioni 1.9.x) verrà completata nei prossimi giorni.

Segui la guida alle best practice per la sicurezza di Istio per configurare i tuoi criteri di autorizzazione.

Alta

CVE-2021-31920

I progetti Envoy e Istio hanno recentemente annunciato diverse nuove vulnerabilità di sicurezza (CVE-2021-28682, CVE-2021-28683 e CVE-2021-29258), che potrebbero consentire a un utente malintenzionato di causare l'arresto anomalo di Envoy e rendere potenzialmente irraggiungibili e offline parti del cluster.

Questo influisce su servizi distribuiti come Anthos Service Mesh.

Che cosa devo fare?

Per correggere queste vulnerabilità, esegui l'upgrade del bundle Anthos Service Mesh a una delle seguenti versioni con patch:

• 1.9.3-asm.2
• 1.8.5-asm.2
• 1.7.8-asm.1
• 1.6.14-asm.2

Per ulteriori informazioni, consulta le note di rilascio di Anthos Service Mesh.

Alta

CVE-2021-28682
CVE-2021-28683
CVE-2021-29258