Bulletins de sécurité
Utilisez ce flux XML pour vous abonner aux bulletins de sécurité pour Anthos Service Mesh.
Cette page répertorie les bulletins de sécurité pour Anthos Service Mesh.
GCP-2024-023
Date de publication:24/04/2024
Description | Niveau de gravité | Remarques |
---|---|---|
HTTP/2: épuisement de la mémoire en raison d'un débordement de frames de CONTINUATION. Que dois-je faire ?Vérifiez si vos clusters sont affectés.Toutes les versions d'Anthos Service Mesh sont affectées par cette faille CVE. AtténuationSi vous exécutez Anthos Service Mesh géré, aucune action n'est requise. Votre système sera automatiquement mis à jour dans les jours à venir. Si vous exécutez Anthos Service Mesh dans le cluster, vous devez mettre à niveau votre cluster vers l'une des versions corrigées suivantes:
Si vous utilisez Anthos Service Mesh v1.17 ou une version antérieure, votre version a atteint sa fin de vie et n'est plus compatible. Ces correctifs CVE n'ont pas été rétroportés. Vous devez passer à Anthos Service Mesh v1.18 ou version ultérieure. |
Élevée |
Description | Niveau de gravité | Remarques |
---|---|---|
HTTP/2: épuisement du processeur en raison d'une saturation de la trame CONTINUATION Que dois-je faire ?Vérifiez si vos clusters sont affectés.Toutes les versions d'Anthos Service Mesh sont affectées par cette faille CVE. AtténuationSi vous exécutez Anthos Service Mesh géré, aucune action n'est requise. Votre système sera automatiquement mis à jour dans les jours à venir. Si vous exécutez Anthos Service Mesh dans le cluster, vous devez mettre à niveau votre cluster vers l'une des versions corrigées suivantes:
Si vous utilisez Anthos Service Mesh v1.17 ou une version antérieure, votre version a atteint sa fin de vie et n'est plus compatible. Ces correctifs CVE n'ont pas été rétroportés. Vous devez passer à Anthos Service Mesh 1.18 ou version ultérieure. |
Moyenne |
Description | Niveau de gravité | Remarques |
---|---|---|
Fermeture anormale lors de l'utilisation de Que dois-je faire ?Vérifiez si vos clusters sont affectés.Toutes les versions d'Anthos Service Mesh sont affectées par cette faille CVE. AtténuationSi vous exécutez Anthos Service Mesh géré, aucune action n'est requise. Votre système sera automatiquement mis à jour dans les jours à venir. Si vous exécutez Anthos Service Mesh dans le cluster, vous devez mettre à niveau votre cluster vers l'une des versions corrigées suivantes:
Si vous utilisez Anthos Service Mesh v1.17 ou une version antérieure, votre version a atteint sa fin de vie et n'est plus compatible. Ces correctifs CVE n'ont pas été rétroportés. Vous devez passer à Anthos Service Mesh 1.18 ou version ultérieure. |
Élevée |
Description | Niveau de gravité | Remarques |
---|---|---|
Les trames HTTP/2 CONTINUATION peuvent être utilisées pour les attaques DoS. Que dois-je faire ?Vérifiez si vos clusters sont affectés.Toutes les versions d'Anthos Service Mesh sont affectées par cette faille CVE. AtténuationSi vous exécutez Anthos Service Mesh géré, aucune action n'est requise. Votre système sera automatiquement mis à jour dans les jours à venir. Si vous exécutez Anthos Service Mesh dans le cluster, vous devez mettre à niveau votre cluster vers l'une des versions corrigées suivantes:
Si vous utilisez Anthos Service Mesh v1.17 ou une version antérieure, votre version a atteint sa fin de vie et n'est plus compatible. Ces correctifs CVE n'ont pas été rétroportés. Vous devez passer à la version 1.18 ou ultérieure. |
Non fourni |
GCP-2024-007
Date de publication:08/02/2024
Description | Niveau de gravité | Remarques |
---|---|---|
Envoy plante lorsqu'il est inactif et que le délai avant expiration des requêtes par essai se produit dans l'intervalle d'intervalle entre les tentatives. Que dois-je faire ?Si vous exécutez Anthos Service Mesh géré, aucune action n'est requise. Votre système sera automatiquement mis à jour dans les jours à venir. Si vous exécutez Anthos Service Mesh dans le cluster, vous devez mettre à niveau votre cluster vers l'une des versions corrigées suivantes:
Si vous utilisez Anthos Service Mesh v1.17 ou une version antérieure, votre version a atteint sa fin de vie et n'est plus compatible. Bien que ces correctifs CVE aient été rétroportés vers la version 1.17, vous devez effectuer une mise à niveau vers la version 1.18 ou une version ultérieure. |
Élevée |
Description | Niveau de gravité | Remarques |
---|---|---|
Utilisation excessive du processeur lorsque l'outil de mise en correspondance des modèles d'URI est configuré à l'aide d'une expression régulière. Que dois-je faire ?Si vous exécutez Anthos Service Mesh géré, aucune action n'est requise. Votre système sera automatiquement mis à jour dans les jours à venir. Si vous exécutez Anthos Service Mesh dans le cluster, vous devez mettre à niveau votre cluster vers l'une des versions corrigées suivantes:
Si vous utilisez Anthos Service Mesh v1.17 ou une version antérieure, votre version a atteint sa fin de vie et n'est plus compatible. Bien que ces correctifs CVE aient été rétroportés vers la version 1.17, vous devez effectuer une mise à niveau vers la version 1.18 ou une version ultérieure. |
Moyenne |
Description | Niveau de gravité | Remarques |
---|---|---|
L'autorisation externe peut être contournée lorsque le filtre de protocole proxy définit des métadonnées UTF-8 non valides. Que dois-je faire ?Si vous exécutez Anthos Service Mesh géré, aucune action n'est requise. Votre système sera automatiquement mis à jour dans les jours à venir. Si vous exécutez Anthos Service Mesh dans le cluster, vous devez mettre à niveau votre cluster vers l'une des versions corrigées suivantes:
Si vous utilisez Anthos Service Mesh v1.17 ou une version antérieure, votre version a atteint sa fin de vie et n'est plus compatible. Bien que ces correctifs CVE aient été rétroportés vers la version 1.17, vous devez effectuer une mise à niveau vers la version 1.18 ou une version ultérieure. |
Élevée |
Description | Niveau de gravité | Remarques |
---|---|---|
Envoy plante lorsqu'il utilise un type d'adresse non compatible avec le système d'exploitation. Que dois-je faire ?Si vous exécutez Anthos Service Mesh géré, aucune action n'est requise. Votre système sera automatiquement mis à jour dans les jours à venir. Si vous exécutez Anthos Service Mesh dans le cluster, vous devez mettre à niveau votre cluster vers l'une des versions corrigées suivantes:
Si vous utilisez Anthos Service Mesh v1.17 ou une version antérieure, votre version a atteint sa fin de vie et n'est plus compatible. Bien que ces correctifs CVE aient été rétroportés vers la version 1.17, vous devez effectuer une mise à niveau vers la version 1.18 ou une version ultérieure. |
Élevée |
Description | Niveau de gravité | Remarques |
---|---|---|
Plantage du protocole de proxy lorsque le type de commande est Que dois-je faire ?Si vous exécutez Anthos Service Mesh géré, aucune action n'est requise. Votre système sera automatiquement mis à jour dans les jours à venir. Si vous exécutez Anthos Service Mesh dans le cluster, vous devez mettre à niveau votre cluster vers l'une des versions corrigées suivantes:
Si vous utilisez Anthos Service Mesh v1.17 ou une version antérieure, votre version a atteint sa fin de vie et n'est plus compatible. Bien que ces correctifs CVE aient été rétroportés vers la version 1.17, vous devez effectuer une mise à niveau vers la version 1.18 ou une version ultérieure. |
Élevée |
GCP-2023-031
Date de publication:10/10/2023
Description | Niveau de gravité | Remarques |
---|---|---|
Une attaque par déni de service peut affecter le plan de données en cas d'utilisation du protocole HTTP/2. Que dois-je faire ?Vérifiez si vos clusters sont affectés.Votre cluster est affecté s'il utilise des versions du correctif Anthos Service Mesh antérieures à la version 1.18.4, 1.17.7 ou 1.16.7. AtténuationMettez à niveau votre cluster vers l'une des versions corrigées suivantes :
Si vous exécutez Anthos Service Mesh géré, votre système sera automatiquement mis à jour dans les prochains jours. Si vous utilisez Anthos Service Mesh v1.15 ou une version antérieure, votre version a atteint sa fin de vie et n'est plus compatible. Ces correctifs CVE n'ont pas été rétroportés. Vous devez passer à la version 1.16 ou ultérieure. |
Élevée |
GCP-2023-021
Updated:2023-07-26
Date de publication: 25/07/2022Description | Niveau de gravité | Remarques |
---|---|---|
Un client malveillant est capable de créer des identifiants avec une validité permanente dans certains scénarios spécifiques. Par exemple, la combinaison de l'hôte et du délai d'expiration dans la charge utile HMAC peut toujours être valide lors de la vérification HMAC du filtre OAuth2. Que dois-je faire ?Vérifiez si vos clusters sont affectés.Votre cluster est affecté s'il utilise des versions du correctif Anthos Service Mesh antérieures à
Mettez à niveau votre cluster vers l'une des versions corrigées suivantes :
Si vous exécutez Anthos Service Mesh géré, votre système sera automatiquement mis à jour dans les prochains jours. Si vous utilisez Anthos Service Mesh 1.14 ou une version antérieure, votre version a atteint sa fin de vie et n'est plus compatible. Ces correctifs CVE n'ont pas été rétroportés. Vous devez passer à ASM 1.15 ou version ultérieure. |
Élevée |
Description | Niveau de gravité | Remarques |
---|---|---|
Les enregistreurs d'accès gRPC utilisant le champ d'application global de l'écouteur peuvent entraîner un plantage après utilisation après libération lorsque l'écouteur est drainé. Cela peut être déclenché par une mise à jour LDS avec la même configuration de journal d'accès gRPC. Que dois-je faire ?Vérifiez si vos clusters sont affectés.Votre cluster est affecté s'il utilise des versions du correctif Anthos Service Mesh antérieures à
Mettez à niveau votre cluster vers l'une des versions corrigées suivantes :
Si vous exécutez Anthos Service Mesh géré, votre système sera automatiquement mis à jour dans les prochains jours. Si vous utilisez Anthos Service Mesh 1.14 ou une version antérieure, votre version a atteint sa fin de vie et n'est plus compatible. Ces correctifs CVE n'ont pas été rétroportés. Vous devez passer à ASM 1.15 ou version ultérieure. |
Moyenne |
Description | Niveau de gravité | Remarques |
---|---|---|
Si l'en-tête Que dois-je faire ?Vérifiez si vos clusters sont affectés.Votre cluster est affecté s'il utilise des versions du correctif Anthos Service Mesh antérieures à
Mettez à niveau votre cluster vers l'une des versions corrigées suivantes :
Si vous exécutez Anthos Service Mesh géré, votre système sera automatiquement mis à jour dans les prochains jours. Si vous utilisez Anthos Service Mesh 1.14 ou une version antérieure, votre version a atteint sa fin de vie et n'est plus compatible. Ces correctifs CVE n'ont pas été rétroportés. Vous devez passer à ASM 1.15 ou version ultérieure. |
Moyenne |
Description | Niveau de gravité | Remarques |
---|---|---|
Les pirates informatiques peuvent envoyer des requêtes de schémas mixtes pour contourner certaines vérifications de schéma dans Envoy. Par exemple, si une requête avec un schéma mixte htTp est envoyée au filtre OAuth2, les vérifications de correspondance exacte pour http échouent et le point de terminaison distant indique au point de terminaison distant que le schéma est https, ce qui peut contourner les vérifications OAuth2 spécifiques aux requêtes HTTP. Que dois-je faire ?Vérifiez si vos clusters sont affectés.Votre cluster est affecté s'il utilise des versions du correctif Anthos Service Mesh antérieures à
Mettez à niveau votre cluster vers l'une des versions corrigées suivantes :
Si vous exécutez Anthos Service Mesh géré, votre système sera automatiquement mis à jour dans les prochains jours. Si vous utilisez Anthos Service Mesh 1.14 ou une version antérieure, votre version a atteint sa fin de vie et n'est plus compatible. Ces correctifs CVE n'ont pas été rétroportés. Vous devez passer à ASM 1.15 ou version ultérieure. |
Élevée |
GCP-2023-019
Description | Niveau de gravité | Remarques |
---|---|---|
Une réponse spécifiquement conçue à partir d'un service en amont non approuvé peut entraîner un refus de service en raison de l'épuisement de la mémoire. Cela est dû au codec HTTP/2 d'Envoy, qui peut entraîner une fuite d'un mappage d'en-tête et des structures de comptabilité à la réception de RST_STREAM, immédiatement suivie par les trames GOAWAY d'un serveur en amont. Que dois-je faire ?Vérifiez si vos clusters sont affectés.Votre cluster est affecté s'il utilise des versions du correctif Anthos Service Mesh antérieures à
Mettez à niveau votre cluster vers l'une des versions corrigées suivantes :
Si vous exécutez Anthos Service Mesh géré, votre système sera automatiquement mis à jour dans les prochains jours. Si vous utilisez Anthos Service Mesh 1.14 ou une version antérieure, votre version a atteint sa fin de vie et n'est plus compatible. Ces correctifs CVE n'ont pas été rétroportés. Vous devez passer à ASM 1.15 ou version ultérieure. |
Élevée |
GCP-2023-002
Description | Niveau de gravité | Remarques |
---|---|---|
Si Envoy est en cours d'exécution avec le filtre OAuth activé, un individu malveillant peut construire une requête, ce qui entraînerait un déni de service en faisant planter Envoy. Que dois-je faire ?Vérifiez si vos clusters sont affectés.Vos clusters sont affectés s'ils utilisent des versions du correctif Anthos Service Mesh antérieures à:
Mettez à niveau votre cluster vers l'une des versions corrigées suivantes :
Si vous utilisez Anthos Service Mesh v1.13 ou une version antérieure, votre version a atteint sa fin de vie et n'est plus compatible. Ces correctifs CVE n'ont pas été rétroportés. Vous devez passer à Anthos Service Mesh 1.14 ou version ultérieure. |
Moyenne |
Description | Niveau de gravité | Remarques |
---|---|---|
Le pirate informatique peut exploiter cette faille pour contourner les vérifications d'authentification lorsque ext_authz est utilisé. Que dois-je faire ?Vérifiez si vos clusters sont affectés.Vos clusters sont affectés s'ils utilisent des versions du correctif Anthos Service Mesh antérieures à:
Mettez à niveau votre cluster vers l'une des versions corrigées suivantes :
Si vous utilisez Anthos Service Mesh v1.13 ou une version antérieure, votre version a atteint sa fin de vie et n'est plus compatible. Ces correctifs CVE n'ont pas été rétroportés. Vous devez passer à Anthos Service Mesh} 1.14 ou version ultérieure. |
Moyenne |
Description | Niveau de gravité | Remarques |
---|---|---|
La configuration Envoy doit également inclure une option permettant d'ajouter des en-têtes de requête générés à l'aide des entrées de la requête, c'est-à-dire le SAN du certificat pair. Que dois-je faire ?Vérifiez si vos clusters sont affectés.Vos clusters sont affectés s'ils utilisent des versions du correctif Anthos Service Mesh antérieures à:
Mettez à niveau votre cluster vers l'une des versions corrigées suivantes :
Si vous utilisez Anthos Service Mesh v1.13 ou une version antérieure, votre version a atteint sa fin de vie et n'est plus compatible. Ces correctifs CVE n'ont pas été rétroportés. Vous devez passer à Anthos Service Mesh 1.14 ou version ultérieure. |
Élevée |
Description | Niveau de gravité | Remarques |
---|---|---|
Les pirates informatiques peuvent envoyer des corps de requêtes volumineux pour les routes dont le filtre Lua est activé et qui déclenchent des plantages. Que dois-je faire ?Vérifiez si vos clusters sont affectés.Vos clusters sont affectés s'ils utilisent des versions du correctif Anthos Service Mesh antérieures à:
Mettez à niveau votre cluster vers l'une des versions corrigées suivantes :
Si vous utilisez Anthos Service Mesh v1.13 ou une version antérieure, votre version a atteint sa fin de vie et n'est plus compatible. Ces correctifs CVE n'ont pas été rétroportés. Vous devez passer à Anthos Service Mesh 1.14 ou version ultérieure. |
Moyenne |
Description | Niveau de gravité | Remarques |
---|---|---|
Les pirates informatiques peuvent envoyer des requêtes HTTP/2 ou HTTP/3 spécialement conçues pour déclencher des erreurs d'analyse sur le service HTTP/1 en amont. Que dois-je faire ?Vérifiez si vos clusters sont affectés.Vos clusters sont affectés s'ils utilisent des versions du correctif Anthos Service Mesh antérieures à:
Mettez à niveau votre cluster vers l'une des versions corrigées suivantes :
Si vous utilisez Anthos Service Mesh v1.13 ou une version antérieure, votre version a atteint sa fin de vie et n'est plus compatible. Ces correctifs CVE n'ont pas été rétroportés. Vous devez passer à Anthos Service Mesh 1.14 ou version ultérieure. |
Moyenne |
Description | Niveau de gravité | Remarques |
---|---|---|
L'en-tête x-envoy-original-path doit être un en-tête interne, mais Envoy ne le supprime pas de la requête au début du traitement de celle-ci lorsqu'elle est envoyée par un client non approuvé. Que dois-je faire ?Vérifiez si vos clusters sont affectés.Vos clusters sont affectés s'ils utilisent des versions du correctif Anthos Service Mesh antérieures à:
Mettez à niveau votre cluster vers l'une des versions corrigées suivantes :
Si vous utilisez Anthos Service Mesh v1.13 ou une version antérieure, votre version a atteint sa fin de vie et n'est plus compatible. Ces correctifs CVE n'ont pas été rétroportés. Vous devez passer à Anthos Service Mesh 1.14 ou version ultérieure. |
Élevée |
GCP-2022-020
Date de publication : 05/10/2022Date de mise à jour : 12/10/2022
Mise à jour du 12/10/2022 : Lien mis à jour vers la description de la faille CVE et ajout d'informations sur les mises à jour automatiques de la solution Anthos Service Mesh gérée.
Description | Niveau de gravité | Remarques |
---|---|---|
Le plan de contrôle Istio Que dois-je faire ?Vérifiez si vos clusters sont affectés.Votre cluster est affecté s'il utilise des versions de correctif d'Anthos Service Mesh antérieures à 1.14.4, 1.13.8 ou 1.12.9. AtténuationSi vous exécutez Anthos Service Mesh autonome, mettez à niveau votre cluster vers l'une des versions corrigées suivantes :
Si vous exécutez Anthos Service Mesh géré, votre système sera automatiquement mis à jour dans les prochains jours. Si vous utilisez Anthos Service Mesh v1.11 ou une version antérieure, votre version est arrivée en fin de vie et n'est plus prise en charge. Ces correctifs CVE n'ont pas été rétroportés. Vous devez effectuer une mise à niveau vers Anthos Service Mesh 1.12 ou une version ultérieure. |
Élevée |
GCP-2022-015
Date de publication : 09/06/2022Dernière mise à jour : 10/06/2022
Mise à jour du 10/06/2022 : mise à jour des versions de correctif pour Anthos Service Mesh.
Description | Niveau de gravité | Remarques |
---|---|---|
Le plan de données Istio peut potentiellement accéder à la mémoire de manière non sécurisée lorsque les extensions Metadata Exchange et Stats sont activées. Que dois-je faire ?Vérifiez si vos clusters sont affectés.Votre cluster est affecté s'il utilise des versions de correctif d'Anthos Service Mesh antérieures à 1.13.4-asm.4, 1.12.7-asm.2 ou 1.11.8-asm.4. Atténuation des risques liés à Anthos Service MeshMettez à niveau votre cluster vers l'une des versions corrigées suivantes :
Si vous utilisez Anthos Service Mesh v1.10 ou une version antérieure, votre version est arrivée en fin de vie et n'est plus prise en charge. Ces correctifs CVE n'ont pas été rétroportés. Vous devez effectuer une mise à niveau vers Anthos Service Mesh 1.11 ou une version ultérieure. Pour en savoir plus, consultez les pages Mettre à niveau à partir de versions antérieures (GKE) ou Mettre à niveau à partir de versions antérieures (sur site). |
Élevée |
Description | Niveau de gravité | Remarques |
---|---|---|
Les données peuvent dépasser les limites des tampons intermédiaires si un pirate informatique transmet une petite charge utile présentant un taux de compression élevé (on parle également d'attaque de type "bombe zip"). Que dois-je faire ?Vérifiez si vos clusters sont affectés.Votre cluster est affecté s'il utilise des versions de correctif d'Anthos Service Mesh antérieures à 1.13.4-asm.4, 1.12.7-asm.2 ou 1.11.8-asm.4. Bien qu'Anthos Service Mesh ne soit pas compatible avec les filtres Envoy, vous pourriez être affecté si vous utilisez un filtre de décompression. Atténuation des risques liés à Anthos Service MeshMettez à niveau votre cluster vers l'une des versions corrigées suivantes :
Si vous utilisez Anthos Service Mesh v1.10 ou une version antérieure, votre version est arrivée en fin de vie et n'est plus prise en charge. Ces correctifs CVE n'ont pas été rétroportés. Vous devez effectuer une mise à niveau vers Anthos Service Mesh 1.11 ou une version ultérieure. Pour en savoir plus, consultez les pages Mettre à niveau à partir de versions antérieures (GKE) ou Mettre à niveau à partir de versions antérieures (sur site). Atténuation des risques liés à EnvoyLes utilisateurs d'Envoy qui gèrent leurs propres Envoy doivent s'assurer qu'ils utilisent la version 1.22.1 d'Envoy. Les utilisateurs d'Envoy qui gèrent leurs propres Envoy doivent créer les binaires à partir d'une source telle que GitHub et les déployer. Aucune action n'est requise de la part des utilisateurs qui exécutent des Envoy gérés (Google Cloud fournit les binaires Envoy), pour lesquels les produits cloud basculeront vers la version 1.22.1. |
Élevée |
Description | Niveau de gravité | Remarques |
---|---|---|
Déréférencement possible du pointeur nul dans Que dois-je faire ?Vérifiez si vos clusters sont affectés.Votre cluster est affecté s'il utilise des versions de correctif d'Anthos Service Mesh antérieures à 1.13.4-asm.4, 1.12.7-asm.2 ou 1.11.8-asm.4. Atténuation des risques liés à Anthos Service MeshMettez à niveau votre cluster vers l'une des versions corrigées suivantes :
Si vous utilisez Anthos Service Mesh v1.10 ou une version antérieure, votre version est arrivée en fin de vie et n'est plus prise en charge. Ces correctifs CVE n'ont pas été rétroportés. Vous devez effectuer une mise à niveau vers Anthos Service Mesh 1.11 ou une version ultérieure. Pour en savoir plus, consultez les pages Mettre à niveau à partir de versions antérieures (GKE) ou Mettre à niveau à partir de versions antérieures (sur site). Atténuation des risques liés à EnvoyLes utilisateurs d'Envoy qui gèrent leurs propres Envoy doivent s'assurer qu'ils utilisent la version 1.22.1 d'Envoy. Les utilisateurs d'Envoy qui gèrent leurs propres Envoy doivent créer les binaires à partir d'une source telle que GitHub et les déployer. Aucune action n'est requise de la part des utilisateurs qui exécutent des Envoy gérés (Google Cloud fournit les binaires Envoy), pour lesquels les produits cloud basculeront vers la version 1.22.1. |
Moyenne |
Description | Niveau de gravité | Remarques |
---|---|---|
Un filtre OAuth permet de contourner simplement la protection assurée pour Envoy. Que dois-je faire ?Vérifiez si vos clusters sont affectés.Votre cluster est affecté s'il utilise des versions de correctif d'Anthos Service Mesh antérieures à 1.13.4-asm.4, 1.12.7-asm.2 ou 1.11.8-asm.4. Bien qu'Anthos Service Mesh ne soit pas compatible avec les filtres Envoy, vous pouvez être affecté si vous utilisez un filtre OAuth. Atténuation des risques liés à Anthos Service MeshMettez à niveau votre cluster vers l'une des versions corrigées suivantes :
Si vous utilisez Anthos Service Mesh v1.10 ou une version antérieure, votre version est arrivée en fin de vie et n'est plus prise en charge. Ces correctifs CVE n'ont pas été rétroportés. Vous devez effectuer une mise à niveau vers Anthos Service Mesh 1.11 ou une version ultérieure. Pour en savoir plus, consultez les pages Mettre à niveau à partir de versions antérieures (GKE) ou Mettre à niveau à partir de versions antérieures (sur site). Atténuation des risques liés à EnvoyLes utilisateurs d'Envoy qui gèrent leurs propres Envoy et utilisent également un filtre OAuth doivent s'assurer qu'ils utilisent la version 1.22.1 d'Envoy. Les utilisateurs d'Envoy qui gèrent leurs propres Envoy doivent créer les binaires à partir d'une source telle que GitHub et les déployer. Aucune action n'est requise de la part des utilisateurs qui exécutent des Envoy gérés (Google Cloud fournit les binaires Envoy), pour lesquels les produits cloud basculeront vers la version 1.22.1. |
Critique |
Description | Niveau de gravité | Remarques |
---|---|---|
Un filtre OAuth peut corrompre la mémoire (pour les versions antérieures) ou déclencher une fonction ASSERT() (pour les versions ultérieures). Que dois-je faire ?Vérifiez si vos clusters sont affectés.Votre cluster est affecté s'il utilise des versions de correctif d'Anthos Service Mesh antérieures à 1.13.4-asm.4, 1.12.7-asm.2 ou 1.11.8-asm.4. Bien qu'Anthos Service Mesh ne soit pas compatible avec les filtres Envoy, vous pouvez être affecté si vous utilisez un filtre OAuth. Atténuation des risques liés à Anthos Service MeshMettez à niveau votre cluster vers l'une des versions corrigées suivantes :
Si vous utilisez Anthos Service Mesh v1.10 ou une version antérieure, votre version est arrivée en fin de vie et n'est plus prise en charge. Ces correctifs CVE n'ont pas été rétroportés. Vous devez effectuer une mise à niveau vers Anthos Service Mesh 1.11 ou une version ultérieure. Atténuation des risques liés à EnvoyLes utilisateurs d'Envoy qui gèrent leurs propres Envoy et utilisent également un filtre OAuth doivent s'assurer qu'ils utilisent la version 1.22.1 d'Envoy. Les utilisateurs d'Envoy qui gèrent leurs propres Envoy doivent créer les binaires à partir d'une source telle que GitHub et les déployer. Aucune action n'est requise de la part des utilisateurs qui exécutent des Envoy gérés (Google Cloud fournit les binaires Envoy), pour lesquels les produits cloud basculeront vers la version 1.22.1. |
Élevée |
Description | Niveau de gravité | Remarques |
---|---|---|
Les redirections internes plantent dans le cas de requêtes contenant un corps ou des en-têtes trailer. Que dois-je faire ?Vérifiez si vos clusters sont affectés.Votre cluster est affecté s'il utilise des versions de correctif d'Anthos Service Mesh antérieures à 1.13.4-asm.4, 1.12.7-asm.2 ou 1.11.8-asm.4. Atténuation des risques liés à Anthos Service MeshMettez à niveau votre cluster vers l'une des versions corrigées suivantes :
Si vous utilisez Anthos Service Mesh v1.10 ou une version antérieure, votre version est arrivée en fin de vie et n'est plus prise en charge. Ces correctifs CVE n'ont pas été rétroportés. Vous devez effectuer une mise à niveau vers Anthos Service Mesh 1.11 ou une version ultérieure. Pour en savoir plus, consultez les pages Mettre à niveau à partir de versions antérieures (GKE) ou Mettre à niveau à partir de versions antérieures (sur site). Atténuation des risques liés à EnvoyLes utilisateurs d'Envoy qui gèrent leurs propres Envoy doivent s'assurer qu'ils utilisent la version 1.22.1 d'Envoy. Les utilisateurs d'Envoy qui gèrent leurs propres Envoy doivent créer les binaires à partir d'une source telle que GitHub et les déployer. Aucune action n'est requise de la part des utilisateurs qui exécutent des Envoy gérés (Google Cloud fournit les binaires Envoy), pour lesquels les produits cloud basculeront vers la version 1.22.1. |
Élevée |
GCP-2022-010
Date de publication: 10-03-2022Dernière mise à jour: 16-03-2022
Description | Niveau de gravité | Remarques |
---|---|---|
Le plan de contrôle Istio, istiod, est vulnérable aux erreurs de traitement des requêtes, ce qui permet à un pirate informatique d'envoyer un message conçu à des fins malveillantes, qui va entraîner le plantage du plan de contrôle lorsque le webhook de validation d'un cluster est exposé publiquement. Ce point de terminaison est desservi via le port TLS 15017, mais ne nécessite aucune authentification de la part du pirate. Que dois-je faire ?Vérifiez si vos clusters sont affectés.Toutes les versions d'Anthos Service Mesh sont affectées par cette faille CVE. Remarque : Si vous utilisez le plan de contrôle géré, cette faille a déjà été corrigée et vous n'êtes pas affecté. AtténuationMettez à niveau votre cluster vers l'une des versions corrigées suivantes :
Si vous utilisez Anthos Service Mesh v1.9 ou une version antérieure, votre version est arrivée en fin de vie et n'est plus prise en charge. Ces correctifs CVE n'ont pas été rétroportés. Vous devez effectuer une mise à niveau vers Anthos Service Mesh 1.10 ou une version ultérieure. |
Élevée |
GCP-2022-007
Date de publication: 22/02/2022Description | Niveau de gravité | Remarques |
---|---|---|
Istiod plante en cas de réception de requêtes avec un en-tête Que dois-je faire ?Vérifiez si vos clusters sont affectés.Votre cluster est affecté si les deux conditions suivantes sont remplies :
Remarque : Si vous utilisez le plan de contrôle géré, cette faille a déjà été corrigée et vous n'êtes pas affecté. AtténuationMettez à niveau votre cluster vers l'une des versions corrigées suivantes :
Si vous utilisez Anthos Service Mesh v1.9 ou une version antérieure, votre version est arrivée en fin de vie et n'est plus prise en charge. Ces correctifs CVE n'ont pas été rétroportés. Vous devez effectuer une mise à niveau vers Anthos Service Mesh 1.10 ou une version ultérieure. |
Élevée |
Description | Niveau de gravité | Remarques |
---|---|---|
Déréférencement possible de pointeur NULL lorsque vous utilisez la correspondance Que dois-je faire ?Vérifiez si vos clusters sont affectés.Votre cluster est affecté si les deux conditions suivantes sont remplies :
Mettez à niveau votre cluster vers l'une des versions corrigées suivantes :
Si vous utilisez Anthos Service Mesh v1.9 ou une version antérieure, votre version est arrivée en fin de vie et n'est plus prise en charge. Ces correctifs CVE n'ont pas été rétroportés. Vous devez effectuer une mise à niveau vers Anthos Service Mesh 1.10 ou une version ultérieure. |
Moyenne |
Description | Niveau de gravité | Remarques |
---|---|---|
Vulnérabilité de type "use-after-free" lorsque les filtres de réponse augmentent les données de réponse, et que les données accrues dépassent les limites de mémoire tampon en aval. Que dois-je faire ?Vérifiez si vos clusters sont affectés.Votre cluster est affecté si les deux conditions suivantes sont remplies :
Mettez à niveau votre cluster vers l'une des versions corrigées suivantes :
Si vous utilisez Anthos Service Mesh v1.9 ou une version antérieure, votre version est arrivée en fin de vie et n'est plus prise en charge. Ces correctifs CVE n'ont pas été rétroportés. Vous devez effectuer une mise à niveau vers Anthos Service Mesh 1.10 ou une version ultérieure. |
Moyenne |
Description | Niveau de gravité | Remarques |
---|---|---|
Vulnérabilité de type "use-after-free" lors de la tunnelisation TCP sur HTTP, en cas de déconnexion en aval lors de l'établissement de la connexion en amont. Que dois-je faire ?Vérifiez si vos clusters sont affectés.Votre cluster est affecté si les deux conditions suivantes sont remplies :
Mettez à niveau votre cluster vers l'une des versions corrigées suivantes :
Si vous utilisez Anthos Service Mesh v1.9 ou une version antérieure, votre version est arrivée en fin de vie et n'est plus prise en charge. Ces correctifs CVE n'ont pas été rétroportés. Vous devez effectuer une mise à niveau vers Anthos Service Mesh 1.10 ou une version ultérieure. |
Moyenne |
Description | Niveau de gravité | Remarques |
---|---|---|
Traitement de configuration incorrect autorisant la réutilisation des sessions mTLS sans revalidation après la modification des paramètres de validation. Que dois-je faire ?Vérifiez si vos clusters sont affectés.Votre cluster est affecté si les deux conditions suivantes sont remplies :
Mettez à niveau votre cluster vers l'une des versions corrigées suivantes :
Si vous utilisez Anthos Service Mesh v1.9 ou une version antérieure, votre version est arrivée en fin de vie et n'est plus prise en charge. Ces correctifs CVE n'ont pas été rétroportés. Vous devez effectuer une mise à niveau vers Anthos Service Mesh 1.10 ou une version ultérieure. |
Élevée |
Description | Niveau de gravité | Remarques |
---|---|---|
Traitement incorrect des redirections internes vers les routes avec une entrée de réponse directe. Que dois-je faire ?Vérifiez si vos clusters sont affectés.Votre cluster est affecté si les deux conditions suivantes sont remplies :
Mettez à niveau votre cluster vers l'une des versions corrigées suivantes :
Si vous utilisez Anthos Service Mesh v1.9 ou une version antérieure, votre version est arrivée en fin de vie et n'est plus prise en charge. Ces correctifs CVE n'ont pas été rétroportés. Vous devez effectuer une mise à niveau vers Anthos Service Mesh 1.10 ou une version ultérieure. |
Élevée |
Description | Niveau de gravité | Remarques |
---|---|---|
Épuisement de la pile lorsqu'un cluster est supprimé via le service de détection de clusters. Que dois-je faire ?Vérifiez si vos clusters sont affectés.Votre cluster est affecté si les deux conditions suivantes sont remplies :
Mettez à niveau votre cluster vers l'une des versions corrigées suivantes :
Si vous utilisez Anthos Service Mesh v1.9 ou une version antérieure, votre version est arrivée en fin de vie et n'est plus prise en charge. Ces correctifs CVE n'ont pas été rétroportés. Vous devez effectuer une mise à niveau vers Anthos Service Mesh 1.10 ou une version ultérieure. |
Moyenne |
GCP-2021-016
Date de publication: 24/08/2021Description | Niveau de gravité | Remarques |
---|---|---|
Istio contient une faille exploitable à distance. Une requête HTTP comportant un fragment (une section à la fin d'un URI commençant par un caractère
Par exemple, une règle d'autorisation Istio denies les requêtes envoyées au chemin d'URI Ce correctif dépend d'un correctif Envoy, associé à CVE-2021-32779. Que dois-je faire ?Vérifiez si vos clusters sont affectés.Votre cluster est affecté si les deux conditions suivantes sont remplies :
Mettez à niveau votre cluster vers l'une des versions corrigées suivantes :
Avec les nouvelles versions, la section du fragment de l'URI de la requête est supprimée avant l'autorisation et le routage. Cela empêche une requête comportant un fragment dans son URI de contourner les règles d'autorisation basées sur l'URI sans la partie fragment. DésactiverSi vous désactivez ce nouveau comportement, la section du fragment de l'URI est conservée. Pour désactiver, configurez votre installation comme suit : apiVersion: install.istio.io/v1alpha1 kind: IstioOperator metadata: name: opt-out-fragment-cve-fix namespace: istio-system spec: meshConfig: defaultConfig: proxyMetadata: HTTP_STRIP_FRAGMENT_FROM_PATH_UNSAFE_IF_DISABLED: "false" Remarque : La désactivation de ce comportement rend votre cluster vulnérable à cette CVE. |
Élevée |
Description | Niveau de gravité | Remarques |
---|---|---|
Istio contient une faille exploitable à distance dans laquelle une requête HTTP peut potentiellement contourner une règle d'autorisation Istio lors de l'utilisation de règles basées sur
Dans les versions vulnérables, la règle d'autorisation Istio compare les en-têtes HTTP Que dois-je faire ?Vérifiez si vos clusters sont affectés.Votre cluster est affecté si les deux conditions suivantes sont remplies :
Mettez à niveau votre cluster vers l'une des versions corrigées suivantes :
Cette mesure d'atténuation permet de s'assurer que les en-têtes HTTP |
Élevée |
Description | Niveau de gravité | Remarques |
---|---|---|
Envoy contient une faille exploitable à distance. Une requête HTTP contenant plusieurs en-têtes de valeurs pourrait effectuer une vérification incomplète des règles d'autorisation lorsque l'extension Que dois-je faire ?Vérifiez si vos clusters sont affectés.Votre cluster est affecté si les deux conditions suivantes sont remplies :
Mettez à niveau votre cluster vers l'une des versions corrigées suivantes :
|
Élevée |
Description | Niveau de gravité | Remarques |
---|---|---|
Envoy contient une faille exploitable à distance qui affecte les extensions Que dois-je faire ?Vérifiez si vos clusters sont affectés.Votre cluster est affecté si les deux conditions suivantes sont remplies :
Mettez à niveau votre cluster vers l'une des versions corrigées suivantes :
|
Élevée |
Description | Niveau de gravité | Remarques |
---|---|---|
Envoy présente une faille à exploiter à distance. Un client Envoy qui ouvre, puis réinitialise un grand nombre de requêtes HTTP/2 peut entraîner une consommation excessive du processeur. Que dois-je faire ?Vérifiez si vos clusters sont affectés.Votre cluster est affecté s'il utilise des versions de correctif Anthos Service Mesh antérieures aux versions 1.7.8-asm.10, 1.8.6-asm.8, 1.9.8-asm.1 et 1.10.4-asm.6. AtténuationMettez à niveau votre cluster vers l'une des versions corrigées suivantes :
Remarque : Si vous utilisez Anthos Service Mesh 1.8 ou version antérieure, veuillez effectuer une mise à niveau vers les dernières versions de correctif d'Anthos Service Mesh 1.9 et versions ultérieures pour atténuer cette faille. |
Élevée |
Description | Niveau de gravité | Remarques |
---|---|---|
Envoy contient une faille exploitable à distance. Un service en amont non approuvé peut entraîner l'arrêt anormal d'Envoy en envoyant le frame Que dois-je faire ?Vérifiez si vos clusters sont affectés.Votre cluster est affecté s'il utilise Anthos Service Mesh 1.10 avec une version de correctif antérieure à la version 1.10.4-asm.6. AtténuationMettez à niveau votre cluster vers la version de correctif suivante :
|
Élevée |
GCP-2021-012
Date de publication: 24/06/2021Description | Niveau de gravité | Remarques |
---|---|---|
La passerelle (
Normalement, un déploiement de passerelle ou de charge de travail ne peut accéder qu'aux certificats TLS et aux clés privées stockées dans le secret au sein de son espace de noms. Cependant, un bug dans Que dois-je faire ?Vérifiez si vos clusters sont affectés.Votre cluster est affecté si TOUTES les conditions suivantes sont remplies :
Mettez à niveau votre cluster vers l'une des versions corrigées suivantes :
Si une mise à niveau n'est pas possible, vous pouvez atténuer cette faille en désactivant la mise en cache istiod .
Vous pouvez désactiver la mise en cache en définissant la variable d'environnement istiod sur PILOT_ENABLE_XDS_CACHE=false . Les performances du système et de istiod peuvent être affectées, car cela désactive la mise en cache XDS.
|
Élevée |
GCP-2021-008
Date de publication: 17/05/2021Description | Niveau de gravité | Remarques |
---|---|---|
Istio souffre d'une faille utilisable à distance. Un client externe peut accéder à des services inattendus du cluster, en contournant les vérifications d'autorisation, lorsqu'une passerelle est configurée avec la configuration de routage AUTO_PASSTHROUGH. Que dois-je faire ?Vérifiez si vos clusters sont affectés.Cette faille n'affecte que l'utilisation du type de passerelle AUTO_PASSTHROUGH, qui n'est généralement utilisée que dans les déploiements multiréseaux et multiclusters. Détectez le mode TLS de toutes les passerelles du cluster à l'aide de la commande suivante : kubectl get gateways.networking.istio.io -A -o \ "custom-columns=NAMESPACE:.metadata.namespace, \ NAME:.metadata.name,TLS_MODE:.spec.servers[*].tls.mode" Si le résultat affiche des passerelles AUTO_PASSTHROUGH, il se peut que vous soyez affecté par ce problème. AtténuationMettez à jour vos clusters vers les dernières versions d'Anthos Service Mesh :
* Remarque : Le déploiement du plan de contrôle géré d'Anthos Service Mesh (disponible uniquement dans les versions 1.9.x) sera terminé dans les prochains jours. |
Élevé |
GCP-2021-007
Date de publication: 17/05/2021Description | Niveau de gravité | Remarques |
---|---|---|
Istio souffre d'une faille utilisable à distance. Un chemin de requête HTTP avec plusieurs barres obliques ou barres obliques échappées (%2F ou %5C) est susceptible de contourner une règle d'autorisation Istio lorsque des règles d'autorisation basées sur le chemin sont utilisées.
Dans un scénario où un administrateur de cluster Istio définit une règle d'autorisation DENY pour refuser la requête avec le chemin
Selon le document RFC 3986, le chemin d'accès Que dois-je faire ?Vérifiez si vos clusters sont affectés.Votre cluster est affecté par cette faille si vous utilisez les règles d'autorisation aux formats suivants : "action ALLOW + champ notPaths" ou "action DENY action + champ paths". Ces formats étant susceptibles d'entraîner des contournements inattendus de règles, vous devez effectuer une mise à niveau pour résoudre le problème de sécurité au plus vite. Voici un exemple de règle vulnérable qui utilise le format "action DENY + champ paths" : apiVersion: security.istio.io/v1beta1 kind: AuthorizationPolicy metadata: name: deny-path-admin spec: action: DENY rules: - to: - operation: paths: ["/admin"] Voici un autre exemple de règle vulnérable qui utilise le format "action ALLOW + champ notPaths" : apiVersion: security.istio.io/v1beta1 kind: AuthorizationPolicy metadata: name: allow-path-not-admin spec: action: ALLOW rules: - to: - operation: notPaths: ["/admin"] Votre cluster n'est pas affecté par cette faille si :
La mise à niveau est facultative dans ces cas. Mettez à jour vos clusters vers les dernières versions d'Anthos Service Mesh compatibles*. Ces versions permettent de configurer les proxys Envoy dans le système avec des options de normalisation supplémentaires :
* Remarque : Le déploiement du plan de contrôle géré d'Anthos Service Mesh (disponible uniquement dans les versions 1.9.x) sera terminé dans les prochains jours. Suivez le guide des bonnes pratiques de sécurité d'Istio pour configurer vos règles d'autorisation. |
Élevée |
GCP-2021-004
Date de publication: 06/05/2021Description | Niveau de gravité | Remarques |
---|---|---|
Les projets Envoy et Istio ont récemment annoncé plusieurs nouvelles failles de sécurité (CVE-2021-28682, CVE-2021-28683 et CVE-2021-29258) qui pourraient permettre à un pirate informatique de planter Envoy et de rendre potentiellement accessibles certaines parties du cluster hors ligne et inaccessibles. Ceci a un impact sur les services fournis tels qu'Anthos Service Mesh. Que dois-je faire ?Pour corriger ces failles, mettez à niveau votre groupe Anthos Service Mesh vers l'une des versions corrigées suivantes :
Pour en savoir plus, consultez les notes de version d'Anthos Service Mesh. |
Élevée |