보안 게시판
이 XML 피드를 사용하여 Anthos Service Mesh 보안 게시판을 구독합니다.
이 페이지에는 Anthos Service Mesh에 대한 보안 게시판이 나열되어 있습니다.
GCP-2024-023
게시: 2024년 4월 24일
설명 | 심각도 | 참고 |
---|---|---|
HTTP/2: CONTINUATION 프레임 플러드로 인한 메모리 소진 어떻게 해야 하나요?클러스터가 영향을 받는지 확인합니다.모든 Anthos Service Mesh 버전이 이 CVE의 영향을 받습니다. 해결 방법관리형 Anthos Service Mesh를 실행하는 경우 조치가 필요하지 않습니다. 며칠 내에 시스템이 자동으로 업데이트됩니다. 클러스터 내 Anthos Service Mesh를 실행하는 경우 클러스터를 다음 패치 버전 중 하나로 업그레이드해야 합니다.
Anthos Service Mesh v1.17 이하를 사용하는 경우 버전이 지원 종료되어 더 이상 지원되지 않습니다. 이러한 CVE 수정사항은 백포트되지 않았습니다. Anthos Service Mesh v1.18 이상으로 업그레이드해야 합니다. |
높음 |
설명 | 심각도 | 참고 |
---|---|---|
HTTP/2: CONTINUATION 프레임 플러드로 인한 CPU 소진 어떻게 해야 하나요?클러스터가 영향을 받는지 확인합니다.모든 Anthos Service Mesh 버전이 이 CVE의 영향을 받습니다. 해결 방법관리형 Anthos Service Mesh를 실행하는 경우 조치가 필요하지 않습니다. 며칠 내에 시스템이 자동으로 업데이트됩니다. 클러스터 내 Anthos Service Mesh를 실행하는 경우 클러스터를 다음 패치 버전 중 하나로 업그레이드해야 합니다.
Anthos Service Mesh v1.17 이하를 사용하는 경우 버전이 지원 종료되어 더 이상 지원되지 않습니다. 이러한 CVE 수정사항은 백포트되지 않았습니다. Anthos Service Mesh 1.18 이상으로 업그레이드해야 합니다. |
보통 |
설명 | 심각도 | 참고 |
---|---|---|
':authority' 헤더와 함께 어떻게 해야 하나요?클러스터가 영향을 받는지 확인합니다.모든 Anthos Service Mesh 버전이 이 CVE의 영향을 받습니다. 해결 방법관리형 Anthos Service Mesh를 실행하는 경우 조치가 필요하지 않습니다. 며칠 내에 시스템이 자동으로 업데이트됩니다. 클러스터 내 Anthos Service Mesh를 실행하는 경우 클러스터를 다음 패치 버전 중 하나로 업그레이드해야 합니다.
Anthos Service Mesh v1.17 이하를 사용하는 경우 버전이 지원 종료되어 더 이상 지원되지 않습니다. 이러한 CVE 수정사항은 백포트되지 않았습니다. Anthos Service Mesh 1.18 이상으로 업그레이드해야 합니다. |
높음 |
설명 | 심각도 | 참고 |
---|---|---|
DoS 공격에 HTTP/2 CONTINUATION 프레임을 활용할 수 있음 어떻게 해야 하나요?클러스터가 영향을 받는지 확인합니다.모든 Anthos Service Mesh 버전이 이 CVE의 영향을 받습니다. 해결 방법관리형 Anthos Service Mesh를 실행하는 경우 조치가 필요하지 않습니다. 며칠 내에 시스템이 자동으로 업데이트됩니다. 클러스터 내 Anthos Service Mesh를 실행하는 경우 클러스터를 다음 패치 버전 중 하나로 업그레이드해야 합니다.
Anthos Service Mesh v1.17 이하를 사용하는 경우 버전이 지원 종료되어 더 이상 지원되지 않습니다. 이러한 CVE 수정사항은 백포트되지 않았습니다. 버전 v1.18 이상으로 업그레이드해야 합니다. |
입력한 값 없음 |
GCP-2024-007
게시: 2024년 2월 8일
설명 | 심각도 | 참고 |
---|---|---|
백오프 간격 내에 시도 제한 시간당 유휴 및 요청이 발생하면 Envoy가 충돌합니다. 어떻게 해야 하나요?관리형 Anthos Service Mesh를 실행하는 경우 조치가 필요하지 않습니다. 며칠 내에 시스템이 자동으로 업데이트됩니다. 클러스터 내 Anthos Service Mesh를 실행하는 경우 클러스터를 다음 패치 버전 중 하나로 업그레이드해야 합니다.
Anthos Service Mesh v1.17 이하를 사용하는 경우 버전이 지원 종료되어 더 이상 지원되지 않습니다. 이러한 CVE 수정이 1.17로 백포팅되었지만 1.18 이상으로 업그레이드해야 합니다. |
높음 |
설명 | 심각도 | 참고 |
---|---|---|
URI 템플릿 일치자가 정규식을 사용하여 구성된 경우 CPU 사용량이 과도합니다. 어떻게 해야 하나요?관리형 Anthos Service Mesh를 실행하는 경우 조치가 필요하지 않습니다. 며칠 내에 시스템이 자동으로 업데이트됩니다. 클러스터 내 Anthos Service Mesh를 실행하는 경우 클러스터를 다음 패치 버전 중 하나로 업그레이드해야 합니다.
Anthos Service Mesh v1.17 이하를 사용하는 경우 버전이 지원 종료되어 더 이상 지원되지 않습니다. 이러한 CVE 수정이 1.17로 백포팅되었지만 1.18 이상으로 업그레이드해야 합니다. |
보통 |
설명 | 심각도 | 참고 |
---|---|---|
프록시 프로토콜 필터가 잘못된 UTF-8 메타데이터를 설정할 때 외부 승인을 우회할 수 있습니다. 어떻게 해야 하나요?관리형 Anthos Service Mesh를 실행하는 경우 조치가 필요하지 않습니다. 며칠 내에 시스템이 자동으로 업데이트됩니다. 클러스터 내 Anthos Service Mesh를 실행하는 경우 클러스터를 다음 패치 버전 중 하나로 업그레이드해야 합니다.
Anthos Service Mesh v1.17 이하를 사용하는 경우 버전이 지원 종료되어 더 이상 지원되지 않습니다. 이러한 CVE 수정이 1.17로 백포팅되었지만 1.18 이상으로 업그레이드해야 합니다. |
높음 |
설명 | 심각도 | 참고 |
---|---|---|
OS에서 지원되지 않는 주소 유형을 사용할 때 Envoy가 충돌합니다. 어떻게 해야 하나요?관리형 Anthos Service Mesh를 실행하는 경우 조치가 필요하지 않습니다. 며칠 내에 시스템이 자동으로 업데이트됩니다. 클러스터 내 Anthos Service Mesh를 실행하는 경우 클러스터를 다음 패치 버전 중 하나로 업그레이드해야 합니다.
Anthos Service Mesh v1.17 이하를 사용하는 경우 버전이 지원 종료되어 더 이상 지원되지 않습니다. 이러한 CVE 수정이 1.17로 백포팅되었지만 1.18 이상으로 업그레이드해야 합니다. |
높음 |
설명 | 심각도 | 참고 |
---|---|---|
명령어 유형이 어떻게 해야 하나요?관리형 Anthos Service Mesh를 실행하는 경우 조치가 필요하지 않습니다. 며칠 내에 시스템이 자동으로 업데이트됩니다. 클러스터 내 Anthos Service Mesh를 실행하는 경우 클러스터를 다음 패치 버전 중 하나로 업그레이드해야 합니다.
Anthos Service Mesh v1.17 이하를 사용하는 경우 버전이 지원 종료되어 더 이상 지원되지 않습니다. 이러한 CVE 수정이 1.17로 백포팅되었지만 1.18 이상으로 업그레이드해야 합니다. |
높음 |
GCP-2023-031
게시: 2023년 10월 10일
설명 | 심각도 | 참고 |
---|---|---|
DoS 공격이 HTTP/2 프로토콜을 사용할 때 데이터 영역에 영향을 줄 수 있습니다. 어떻게 해야 하나요?클러스터가 영향을 받는지 확인합니다.1.18.4, 1.17.7 또는 1.16.7 이전의 Anthos Service Mesh 패치 버전을 사용하는 경우에 클러스터가 영향을 받습니다. 위험 완화클러스터를 다음 패치 버전 중 하나로 업그레이드하세요.
관리형 Anthos Service Mesh를 실행하는 경우 시스템이 며칠 내에 자동으로 업데이트됩니다. Anthos Service Mesh v1.15 이하를 사용하는 경우 버전이 지원 종료되어 더 이상 지원되지 않습니다. 이러한 CVE 수정사항은 백포트되지 않았습니다. v1.16 이상으로 업그레이드해야 합니다. |
높음 |
GCP-2023-021
업데이트:: 2023년 7월 26일
게시: 2022년 7월 25일설명 | 심각도 | 참고 |
---|---|---|
일부 특정 시나리오에서 악의적인 클라이언트가 영구적으로 유효한 사용자 인증 정보를 생성할 수 있습니다. 예를 들어 HMAC 페이로드의 호스트 및 만료 시간 조합은 항상 OAuth2 필터의 HMAC 검사에서 유효할 수 있습니다. 어떻게 해야 하나요?클러스터가 영향을 받는지 확인합니다.이전 버전의 Anthos Service Mesh 패치를 사용하면 클러스터가 영향을 받습니다.
클러스터를 다음 패치 버전 중 하나로 업그레이드하세요.
관리형 Anthos Service Mesh를 실행하는 경우 시스템이 며칠 내에 자동으로 업데이트됩니다. Anthos Service Mesh 1.14 이하를 사용하는 경우 출시 버전이 지원 종료되어 더 이상 지원되지 않습니다. 이러한 CVE 수정사항은 백포트되지 않았습니다. ASM 1.15 이상으로 업그레이드해야 합니다. |
높음 |
설명 | 심각도 | 참고 |
---|---|---|
리스너의 전역 범위를 사용하여 gRPC 액세스 로거는 리스너가 드레이닝될 때 use-after-free 비정상 종료를 일으킬 수 있습니다. 이 경우 동일한 gRPC 액세스 로그 구성을 사용하는 LDS 업데이트에 의해 트리거될 수 있습니다. 어떻게 해야 하나요?클러스터가 영향을 받는지 확인합니다.이전 버전의 Anthos Service Mesh 패치를 사용하면 클러스터가 영향을 받습니다.
클러스터를 다음 패치 버전 중 하나로 업그레이드하세요.
관리형 Anthos Service Mesh를 실행하는 경우 시스템이 며칠 내에 자동으로 업데이트됩니다. Anthos Service Mesh 1.14 이하를 사용하는 경우 출시 버전이 지원 종료되어 더 이상 지원되지 않습니다. 이러한 CVE 수정사항은 백포트되지 않았습니다. ASM 1.15 이상으로 업그레이드해야 합니다. |
보통 |
설명 | 심각도 | 참고 |
---|---|---|
만약 어떻게 해야 하나요?클러스터가 영향을 받는지 확인합니다.이전 버전의 Anthos Service Mesh 패치를 사용하면 클러스터가 영향을 받습니다.
클러스터를 다음 패치 버전 중 하나로 업그레이드하세요.
관리형 Anthos Service Mesh를 실행하는 경우 시스템이 며칠 내에 자동으로 업데이트됩니다. Anthos Service Mesh 1.14 이하를 사용하는 경우 출시 버전이 지원 종료되어 더 이상 지원되지 않습니다. 이러한 CVE 수정사항은 백포트되지 않았습니다. ASM 1.15 이상으로 업그레이드해야 합니다. |
보통 |
설명 | 심각도 | 참고 |
---|---|---|
공격자는 혼합 스키마 요청을 전송하여 Envoy에서 일부 스키마 검사를 우회할 수 있습니다. 예를 들어 혼합 스킴 htTp가 있는 요청이 OAuth2 필터로 전송되면 htTp의 일치검색 검사가 실패하고 스킴이 https임을 원격 엔드포인트에 알리므로 HTTP 요청과 관련된 OAuth2 검사가 우회될 수 있습니다. 어떻게 해야 하나요?클러스터가 영향을 받는지 확인합니다.이전 버전의 Anthos Service Mesh 패치를 사용하면 클러스터가 영향을 받습니다.
클러스터를 다음 패치 버전 중 하나로 업그레이드하세요.
관리형 Anthos Service Mesh를 실행하는 경우 시스템이 며칠 내에 자동으로 업데이트됩니다. Anthos Service Mesh 1.14 이하를 사용하는 경우 출시 버전이 지원 종료되어 더 이상 지원되지 않습니다. 이러한 CVE 수정사항은 백포트되지 않았습니다. ASM 1.15 이상으로 업그레이드해야 합니다. |
높음 |
GCP-2023-019
설명 | 심각도 | 참고 |
---|---|---|
신뢰할 수 없는 업스트림 서비스에서 특별히 제작된 응답에서 메모리 소진을 통한 서비스 거부를 유발할 수 있습니다. 이 문제는 업스트림 서버에서 RST_STREAM 수신 즉시 GOAWAY 프레임이 따라오는 헤더 맵과 부기 구조를 유출할 수 있는 Envoy의 HTTP/2 코덱으로 인해 발생합니다. 어떻게 해야 하나요?클러스터가 영향을 받는지 확인합니다.이전 버전의 Anthos Service Mesh 패치를 사용하면 클러스터가 영향을 받습니다.
클러스터를 다음 패치 버전 중 하나로 업그레이드하세요.
관리형 Anthos Service Mesh를 실행하는 경우 시스템이 며칠 내에 자동으로 업데이트됩니다. Anthos Service Mesh 1.14 이하를 사용하는 경우 출시 버전이 지원 종료되어 더 이상 지원되지 않습니다. 이러한 CVE 수정사항은 백포트되지 않았습니다. ASM 1.15 이상으로 업그레이드해야 합니다. |
높음 |
GCP-2023-002
설명 | 심각도 | 참고 |
---|---|---|
Envoy에서 활성화된 OAuth 필터가 노출된 상태로 실행 중인 경우 악의적인 행위자가 Envoy를 비정상 종료하여 서비스 거부를 유발할 수 있는 요청을 생성할 수 있습니다. 어떻게 해야 하나요?클러스터가 영향을 받는지 확인합니다.다음 이전의 Anthos Service Mesh 패치 버전을 사용하는 경우 클러스터가 영향을 받습니다.
클러스터를 다음 패치 버전 중 하나로 업그레이드하세요.
Anthos Service Mesh v1.13 이하를 사용하는 경우 출시 버전이 지원 종료되어 더 이상 지원되지 않습니다. 이러한 CVE 수정사항은 백포트되지 않았습니다. Anthos Service Mesh 1.14 이상으로 업그레이드해야 합니다. |
보통 |
설명 | 심각도 | 참고 |
---|---|---|
공격자는 이 취약점을 이용하여 ext_authz가 사용될 때 인증 검사를 우회할 수 있습니다. 어떻게 해야 하나요?클러스터가 영향을 받는지 확인합니다.다음 이전의 Anthos Service Mesh 패치 버전을 사용하는 경우 클러스터가 영향을 받습니다.
클러스터를 다음 패치 버전 중 하나로 업그레이드하세요.
Anthos Service Mesh v1.13 이하를 사용하는 경우 출시 버전이 지원 종료되어 더 이상 지원되지 않습니다. 이러한 CVE 수정사항은 백포트되지 않았습니다. Anthos Service Mesh} 1.14 이상으로 업그레이드해야 합니다. |
보통 |
설명 | 심각도 | 참고 |
---|---|---|
Envoy 구성에는 피어 인증서 SAN인 요청의 입력을 사용하여 생성된 요청 헤더를 추가하는 옵션도 포함해야 합니다. 어떻게 해야 하나요?클러스터가 영향을 받는지 확인합니다.다음 이전의 Anthos Service Mesh 패치 버전을 사용하는 경우 클러스터가 영향을 받습니다.
클러스터를 다음 패치 버전 중 하나로 업그레이드하세요.
Anthos Service Mesh v1.13 이하를 사용하는 경우 출시 버전이 지원 종료되어 더 이상 지원되지 않습니다. 이러한 CVE 수정사항은 백포트되지 않았습니다. Anthos Service Mesh 1.14 이상으로 업그레이드해야 합니다. |
높음 |
설명 | 심각도 | 참고 |
---|---|---|
공격자는 Lua 필터가 사용 설정된 경로에 대해 대규모 요청 본문을 전송하고 비정상 종료를 트리거할 수 있습니다. 어떻게 해야 하나요?클러스터가 영향을 받는지 확인합니다.다음 이전의 Anthos Service Mesh 패치 버전을 사용하는 경우 클러스터가 영향을 받습니다.
클러스터를 다음 패치 버전 중 하나로 업그레이드하세요.
Anthos Service Mesh v1.13 이하를 사용하는 경우 출시 버전이 지원 종료되어 더 이상 지원되지 않습니다. 이러한 CVE 수정사항은 백포트되지 않았습니다. Anthos Service Mesh 1.14 이상으로 업그레이드해야 합니다. |
보통 |
설명 | 심각도 | 참고 |
---|---|---|
공격자는 HTTP/1 업스트림 서비스에서 파싱 오류를 트리거하도록 특별히 제작된 HTTP/2 또는 HTTP/3 요청을 보낼 수 있습니다. 어떻게 해야 하나요?클러스터가 영향을 받는지 확인합니다.다음 이전의 Anthos Service Mesh 패치 버전을 사용하는 경우 클러스터가 영향을 받습니다.
클러스터를 다음 패치 버전 중 하나로 업그레이드하세요.
Anthos Service Mesh v1.13 이하를 사용하는 경우 출시 버전이 지원 종료되어 더 이상 지원되지 않습니다. 이러한 CVE 수정사항은 백포트되지 않았습니다. Anthos Service Mesh 1.14 이상으로 업그레이드해야 합니다. |
보통 |
설명 | 심각도 | 참고 |
---|---|---|
x-envoy-original-path 헤더는 내부 헤더여야 하지만, Envoy는 신뢰할 수 없는 클라이언트에서 보낸 요청 처리 시작 시 요청에서 이 헤더를 삭제하지 않습니다. 어떻게 해야 하나요?클러스터가 영향을 받는지 확인합니다.다음 이전의 Anthos Service Mesh 패치 버전을 사용하는 경우 클러스터가 영향을 받습니다.
클러스터를 다음 패치 버전 중 하나로 업그레이드하세요.
Anthos Service Mesh v1.13 이하를 사용하는 경우 출시 버전이 지원 종료되어 더 이상 지원되지 않습니다. 이러한 CVE 수정사항은 백포트되지 않았습니다. Anthos Service Mesh 1.14 이상으로 업그레이드해야 합니다. |
높음 |
GCP-2022-020
게시: 2022년 10월 5일업데이트: 2022년 10월 12일
2022년 10월 12일 업데이트: CVE 설명 링크가 업데이트되고 관리형 Anthos Service Mesh의 자동 업데이트에 대한 정보가 추가되었습니다.
설명 | 심각도 | 참고 |
---|---|---|
Istio 제어 영역 어떻게 해야 하나요?클러스터가 영향을 받는지 확인합니다.1.14.4, 1.13.8 또는 1.12.9 이전의 Anthos Service Mesh 패치 버전을 사용하는 경우에 클러스터가 영향을 받습니다. 해결 방법독립형 Anthos Service Mesh를 실행하는 경우 클러스터를 다음 패치 버전 중 하나로 업그레이드합니다.
관리형 Anthos Service Mesh를 실행하는 경우 시스템이 며칠 내에 자동으로 업데이트됩니다. Anthos Service Mesh v1.11 이하를 사용하는 경우 출시 버전이 지원 종료되어 더 이상 지원되지 않습니다. 이러한 CVE 수정사항은 백포트되지 않았습니다. Anthos Service Mesh 1.12 이상으로 업그레이드해야 합니다. |
높음 |
GCP-2022-015
게시: 2022년 6월 9일업데이트: 2022년 6월 10일
2022년 6월 10일 업데이트: Anthos Service Mesh의 패치 버전이 업데이트되었습니다.
설명 | 심각도 | 참고 |
---|---|---|
메타데이터 교환 및 통계 확장 프로그램이 사용 설정되면 Istio 데이터 영역이 안전하지 않은 방식으로 메모리에 액세스할 수 있습니다. 어떻게 해야 하나요?클러스터가 영향을 받는지 확인합니다.1.13.4-asm.4, 1.12.7-asm.2 또는 1.11.8-asm.4 이전의 Anthos Service Mesh 패치 버전을 사용하면 클러스터가 영향을 받습니다. Anthos Service Mesh 완화클러스터를 다음 패치 버전 중 하나로 업그레이드하세요.
Anthos Service Mesh v1.10 이하를 사용하는 경우 출시 버전이 지원 종료되어 더 이상 지원되지 않습니다. 이러한 CVE 수정사항은 백포트되지 않았습니다. Anthos Service Mesh 1.11 이상으로 업그레이드해야 합니다. 자세한 내용은 이전 버전에서 업그레이드(GKE) 또는 이전 버전에서 업그레이드(온프레미스)를 참조하세요. |
높음 |
설명 | 심각도 | 참고 |
---|---|---|
악의적인 공격자가 고도로 압축된 작은 페이로드(zip 폭탄 공격이라고도 함)를 전달하면 데이터가 중간 버퍼 한도를 초과할 수 있습니다. 어떻게 해야 하나요?클러스터가 영향을 받는지 확인합니다.1.13.4-asm.4, 1.12.7-asm.2 또는 1.11.8-asm.4 이전의 Anthos Service Mesh 패치 버전을 사용하면 클러스터가 영향을 받습니다. Anthos Service Mesh는 Envoy 필터를 지원하지 않지만 압축 해제 필터를 사용하는 경우 영향을 받을 수 있습니다. Anthos Service Mesh 완화클러스터를 다음 패치 버전 중 하나로 업그레이드하세요.
Anthos Service Mesh v1.10 이하를 사용하는 경우 출시 버전이 지원 종료되어 더 이상 지원되지 않습니다. 이러한 CVE 수정사항은 백포트되지 않았습니다. Anthos Service Mesh 1.11 이상으로 업그레이드해야 합니다. 자세한 내용은 이전 버전에서 업그레이드(GKE) 또는 이전 버전에서 업그레이드(온프레미스)를 참조하세요. Envoy 완화자체 Envoy를 관리하는 Envoy 사용자는 Envoy 출시 버전 1.22.1을 사용해야 합니다. 자체 Envoy를 관리하는 Envoy 사용자는 GitHub와 같은 소스에서 바이너리를 빌드하여 배포합니다. Cloud 제품이 1.22.1로 전환되는 관리형 Envoy(Google Cloud에서 Envoy 바이너리 제공)를 실행하는 사용자가 취해야 할 조치는 없습니다. |
높음 |
설명 | 심각도 | 참고 |
---|---|---|
어떻게 해야 하나요?클러스터가 영향을 받는지 확인합니다.1.13.4-asm.4, 1.12.7-asm.2 또는 1.11.8-asm.4 이전의 Anthos Service Mesh 패치 버전을 사용하면 클러스터가 영향을 받습니다. Anthos Service Mesh 완화클러스터를 다음 패치 버전 중 하나로 업그레이드하세요.
Anthos Service Mesh v1.10 이하를 사용하는 경우 출시 버전이 지원 종료되어 더 이상 지원되지 않습니다. 이러한 CVE 수정사항은 백포트되지 않았습니다. Anthos Service Mesh 1.11 이상으로 업그레이드해야 합니다. 자세한 내용은 이전 버전에서 업그레이드(GKE) 또는 이전 버전에서 업그레이드(온프레미스)를 참조하세요. Envoy 완화자체 Envoy를 관리하는 Envoy 사용자는 Envoy 출시 버전 1.22.1을 사용해야 합니다. 자체 Envoy를 관리하는 Envoy 사용자는 GitHub와 같은 소스에서 바이너리를 빌드하여 배포합니다. Cloud 제품이 1.22.1로 전환되는 관리형 Envoy(Google Cloud에서 Envoy 바이너리 제공)를 실행하는 사용자가 취해야 할 조치는 없습니다. |
보통 |
설명 | 심각도 | 참고 |
---|---|---|
OAuth 필터로 간단한 우회가 허용됩니다. 어떻게 해야 하나요?클러스터가 영향을 받는지 확인합니다.1.13.4-asm.4, 1.12.7-asm.2 또는 1.11.8-asm.4 이전의 Anthos Service Mesh 패치 버전을 사용하면 클러스터가 영향을 받습니다. Anthos Service Mesh는 Envoy 필터를 지원하지 않지만 OAuth 필터를 사용하는 경우 영향을 받을 수 있습니다. Anthos Service Mesh 완화클러스터를 다음 패치 버전 중 하나로 업그레이드하세요.
Anthos Service Mesh v1.10 이하를 사용하는 경우 출시 버전이 지원 종료되어 더 이상 지원되지 않습니다. 이러한 CVE 수정사항은 백포트되지 않았습니다. Anthos Service Mesh 1.11 이상으로 업그레이드해야 합니다. 자세한 내용은 이전 버전에서 업그레이드(GKE) 또는 이전 버전에서 업그레이드(온프레미스)를 참조하세요. Envoy 완화자체 Envoy를 관리하는 Envoy 사용자는 OAuth 필터를 사용하여 Envoy 출시 버전 1.22.1을 사용하는지 확인해야 합니다. 자체 Envoy를 관리하는 Envoy 사용자는 GitHub와 같은 소스에서 바이너리를 빌드하여 배포합니다. Cloud 제품이 1.22.1로 전환되는 관리형 Envoy(Google Cloud에서 Envoy 바이너리 제공)를 실행하는 사용자가 취해야 할 조치는 없습니다. |
중요 |
설명 | 심각도 | 참고 |
---|---|---|
OAuth 필터는 메모리를 손상시키거나(이전 버전) ASSERT()를 트리거할 수 있습니다(이후 버전). 어떻게 해야 하나요?클러스터가 영향을 받는지 확인합니다.1.13.4-asm.4, 1.12.7-asm.2 또는 1.11.8-asm.4 이전의 Anthos Service Mesh 패치 버전을 사용하면 클러스터가 영향을 받습니다. Anthos Service Mesh는 Envoy 필터를 지원하지 않지만 OAuth 필터를 사용하는 경우 영향을 받을 수 있습니다. Anthos Service Mesh 완화클러스터를 다음 패치 버전 중 하나로 업그레이드하세요.
Anthos Service Mesh v1.10 이하를 사용하는 경우 출시 버전이 지원 종료되어 더 이상 지원되지 않습니다. 이러한 CVE 수정사항은 백포트되지 않았습니다. Anthos Service Mesh 1.11 이상으로 업그레이드해야 합니다. Envoy 완화자체 Envoy를 관리하는 Envoy 사용자는 OAuth 필터를 사용하여 Envoy 출시 버전 1.22.1을 사용하는지 확인해야 합니다. 자체 Envoy를 관리하는 Envoy 사용자는 GitHub와 같은 소스에서 바이너리를 빌드하여 배포합니다. Cloud 제품이 1.22.1로 전환되는 관리형 Envoy(Google Cloud에서 Envoy 바이너리 제공)를 실행하는 사용자가 취해야 할 조치는 없습니다. |
높음 |
설명 | 심각도 | 참고 |
---|---|---|
본문 또는 트레일러 요청에 대한 내부 리디렉션 장애입니다. 어떻게 해야 하나요?클러스터가 영향을 받는지 확인합니다.1.13.4-asm.4, 1.12.7-asm.2 또는 1.11.8-asm.4 이전의 Anthos Service Mesh 패치 버전을 사용하면 클러스터가 영향을 받습니다. Anthos Service Mesh 완화클러스터를 다음 패치 버전 중 하나로 업그레이드하세요.
Anthos Service Mesh v1.10 이하를 사용하는 경우 출시 버전이 지원 종료되어 더 이상 지원되지 않습니다. 이러한 CVE 수정사항은 백포트되지 않았습니다. Anthos Service Mesh 1.11 이상으로 업그레이드해야 합니다. 자세한 내용은 이전 버전에서 업그레이드(GKE) 또는 이전 버전에서 업그레이드(온프레미스)를 참조하세요. Envoy 완화자체 Envoy를 관리하는 Envoy 사용자는 Envoy 출시 버전 1.22.1을 사용해야 합니다. 자체 Envoy를 관리하는 Envoy 사용자는 GitHub와 같은 소스에서 바이너리를 빌드하여 배포합니다. Cloud 제품이 1.22.1로 전환되는 관리형 Envoy(Google Cloud에서 Envoy 바이너리 제공)를 실행하는 사용자가 취해야 할 조치는 없습니다. |
높음 |
GCP-2022-010
게시: 2022년 3월 10일업데이트: 2022년 3월 16일
설명 | 심각도 | 참고 |
---|---|---|
Istio 제어 영역인 istiod는 요청 처리 오류에 취약하므로 클러스터의 검증 웹훅이 공개적으로 노출될 때 악의적인 공격자가 특수하게 조작된 메시지를 보내 제어 영역에서 충돌이 발생할 수 있습니다. 이 엔드포인트는 TLS 포트 15017을 통해 제공되지만 공격자의 인증이 필요하지 않습니다. 어떻게 해야 하나요?클러스터가 영향을 받는지 확인합니다.모든 Anthos Service Mesh 버전이 이 CVE의 영향을 받습니다. 참고: 관리형 제어 영역을 사용하는 경우 이 취약점은 이미 해결되었으며 영향을 받지 않습니다. 위험 완화클러스터를 다음 패치 버전 중 하나로 업그레이드하세요.
Anthos Service Mesh v1.9 이하를 사용하는 경우 출시 버전이 지원 종료되어 더 이상 지원되지 않습니다. 이러한 CVE 수정사항은 백포트되지 않았습니다. Anthos Service Mesh 1.10 이상으로 업그레이드해야 합니다. |
높음 |
GCP-2022-007
게시: 2022년 2월 22일설명 | 심각도 | 참고 |
---|---|---|
특별히 제작된 어떻게 해야 하나요?클러스터가 영향을 받는지 확인합니다.다음 두 가지에 모두 해당하는 경우 클러스터가 영향을 받습니다.
참고: 관리형 제어 영역을 사용하는 경우 이 취약점은 이미 해결되었으며 영향을 받지 않습니다. 위험 완화클러스터를 다음 패치 버전 중 하나로 업그레이드하세요.
Anthos Service Mesh v1.9 이하를 사용하는 경우 출시 버전이 지원 종료되어 더 이상 지원되지 않습니다. 이러한 CVE 수정사항은 백포트되지 않았습니다. Anthos Service Mesh 1.10 이상으로 업그레이드해야 합니다. |
높음 |
설명 | 심각도 | 참고 |
---|---|---|
JWT 필터 어떻게 해야 하나요?클러스터가 영향을 받는지 확인합니다.다음 두 가지에 모두 해당하는 경우 클러스터가 영향을 받습니다.
클러스터를 다음 패치 버전 중 하나로 업그레이드하세요.
Anthos Service Mesh v1.9 이하를 사용하는 경우 출시 버전이 지원 종료되어 더 이상 지원되지 않습니다. 이러한 CVE 수정사항은 백포트되지 않았습니다. Anthos Service Mesh 1.10 이상으로 업그레이드해야 합니다. |
보통 |
설명 | 심각도 | 참고 |
---|---|---|
응답 필터가 응답 데이터를 늘리고 증가된 데이터가 다운스트림 버퍼 한도를 초과할 때 Use-after-free 발생 어떻게 해야 하나요?클러스터가 영향을 받는지 확인합니다.다음 두 가지에 모두 해당하는 경우 클러스터가 영향을 받습니다.
클러스터를 다음 패치 버전 중 하나로 업그레이드하세요.
Anthos Service Mesh v1.9 이하를 사용하는 경우 출시 버전이 지원 종료되어 더 이상 지원되지 않습니다. 이러한 CVE 수정사항은 백포트되지 않았습니다. Anthos Service Mesh 1.10 이상으로 업그레이드해야 합니다. |
보통 |
설명 | 심각도 | 참고 |
---|---|---|
HTTP를 통해 TCP를 터널링할 때 Use-after-free 발생(업스트림 연결 설정 중에 다운스트림 연결이 끊어지는 경우) 어떻게 해야 하나요?클러스터가 영향을 받는지 확인합니다.다음 두 가지에 모두 해당하는 경우 클러스터가 영향을 받습니다.
클러스터를 다음 패치 버전 중 하나로 업그레이드하세요.
Anthos Service Mesh v1.9 이하를 사용하는 경우 출시 버전이 지원 종료되어 더 이상 지원되지 않습니다. 이러한 CVE 수정사항은 백포트되지 않았습니다. Anthos Service Mesh 1.10 이상으로 업그레이드해야 합니다. |
보통 |
설명 | 심각도 | 참고 |
---|---|---|
잘못된 구성 처리로 검증 설정이 변경된 후 재검증 없이 mTLS 세션 재사용이 허용됨 어떻게 해야 하나요?클러스터가 영향을 받는지 확인합니다.다음 두 가지에 모두 해당하는 경우 클러스터가 영향을 받습니다.
클러스터를 다음 패치 버전 중 하나로 업그레이드하세요.
Anthos Service Mesh v1.9 이하를 사용하는 경우 출시 버전이 지원 종료되어 더 이상 지원되지 않습니다. 이러한 CVE 수정사항은 백포트되지 않았습니다. Anthos Service Mesh 1.10 이상으로 업그레이드해야 합니다. |
높음 |
설명 | 심각도 | 참고 |
---|---|---|
직접 응답 항목이 있는 경로에 대한 내부 리디렉션을 잘못 처리 어떻게 해야 하나요?클러스터가 영향을 받는지 확인합니다.다음 두 가지에 모두 해당하는 경우 클러스터가 영향을 받습니다.
클러스터를 다음 패치 버전 중 하나로 업그레이드하세요.
Anthos Service Mesh v1.9 이하를 사용하는 경우 출시 버전이 지원 종료되어 더 이상 지원되지 않습니다. 이러한 CVE 수정사항은 백포트되지 않았습니다. Anthos Service Mesh 1.10 이상으로 업그레이드해야 합니다. |
높음 |
설명 | 심각도 | 참고 |
---|---|---|
클러스터 검색 서비스를 통해 클러스터가 삭제될 때 스택 소진 어떻게 해야 하나요?클러스터가 영향을 받는지 확인합니다.다음 두 가지에 모두 해당하는 경우 클러스터가 영향을 받습니다.
클러스터를 다음 패치 버전 중 하나로 업그레이드하세요.
Anthos Service Mesh v1.9 이하를 사용하는 경우 출시 버전이 지원 종료되어 더 이상 지원되지 않습니다. 이러한 CVE 수정사항은 백포트되지 않았습니다. Anthos Service Mesh 1.10 이상으로 업그레이드해야 합니다. |
보통 |
GCP-2021-016
게시: 2021-08-24설명 | 심각도 | 참고 |
---|---|---|
Istio에는 URI 경로에 프래그먼트(URI의 끝부분에 있는
예를 들어 Istio 승인 정책은 URI 경로 이 수정사항은 CVE-2021-32779와 관련된 Envoy 수정사항에 따라 다릅니다. 어떻게 해야 하나요?클러스터가 영향을 받는지 확인합니다.다음 두 가지에 모두 해당하는 경우 클러스터가 영향을 받습니다.
클러스터를 다음 패치 버전 중 하나로 업그레이드하세요.
새 버전에서는 승인 및 라우팅 전에 요청 URI의 프래그먼트 부분이 삭제됩니다. 그러면 URI에 프래그먼트가 있는 요청이 프래그먼트 부분이 없는 URI에 기반한 승인 정책을 우회하는 것을 막을 수 있습니다. 선택 해제이 새로운 동작을 선택 해제하면 URI의 프래그먼트 섹션이 유지됩니다. 선택 해제하려면 다음과 같이 설치를 구성하면 됩니다. apiVersion: install.istio.io/v1alpha1 kind: IstioOperator metadata: name: opt-out-fragment-cve-fix namespace: istio-system spec: meshConfig: defaultConfig: proxyMetadata: HTTP_STRIP_FRAGMENT_FROM_PATH_UNSAFE_IF_DISABLED: "false" 참고: 이 동작을 선택 해제하면 클러스터가 이 CVE에 취약해집니다. |
높음 |
설명 | 심각도 | 참고 |
---|---|---|
Istio에는
취약 버전에서는 Istio 승인 정책이 대소문자를 구분하는 방식으로 HTTP 어떻게 해야 하나요?클러스터가 영향을 받는지 확인합니다.다음 두 가지에 모두 해당하는 경우 클러스터가 영향을 받습니다.
클러스터를 다음 패치 버전 중 하나로 업그레이드하세요.
그러면 HTTP |
높음 |
설명 | 심각도 | 참고 |
---|---|---|
Envoy에는 어떻게 해야 하나요?클러스터가 영향을 받는지 확인합니다.다음 두 가지에 모두 해당하는 경우 클러스터가 영향을 받습니다.
클러스터를 다음 패치 버전 중 하나로 업그레이드하세요.
|
높음 |
설명 | 심각도 | 참고 |
---|---|---|
Envoy에는 요청 또는 응답 본문의 크기를 수정하고 늘리는 Envoy의 어떻게 해야 하나요?클러스터가 영향을 받는지 확인합니다.다음 두 가지에 모두 해당하는 경우 클러스터가 영향을 받습니다.
클러스터를 다음 패치 버전 중 하나로 업그레이드하세요.
|
높음 |
설명 | 심각도 | 참고 |
---|---|---|
Envoy에는 Envoy 클라이언트를 연 후에 많은 수의 HTTP/2 요청을 재설정하면 CPU를 과도하게 소비할 수 있는 원격으로 악용 가능한 취약점이 있습니다. 어떻게 해야 하나요?클러스터가 영향을 받는지 확인합니다.1.7.8-asm.10, 1.8.6-asm.8, 1.9.8-asm.1, 1.10.4-asm.6 이전의 Anthos Service Mesh 패치 버전을 사용하는 경우 클러스터가 영향을 받습니다. 마이그레이션클러스터를 다음 패치 버전 중 하나로 업그레이드하세요.
참고: Anthos Service Mesh 1.8 이하를 사용하는 경우 Anthos Service Mesh 1.9 이상의 최신 패치 버전으로 업그레이드하여 이 취약점을 완화하세요. |
높음 |
설명 | 심각도 | 참고 |
---|---|---|
Envoy에는 신뢰할 수 없는 업스트림 서비스에서 어떻게 해야 하나요?클러스터가 영향을 받는지 확인합니다.1.10.4-asm.6 이전의 패치 버전과 Anthos Service Mesh 1.10을 사용하는 경우 클러스터가 영향을 받습니다. 마이그레이션클러스터를 다음 패치 버전으로 업그레이드합니다.
|
높음 |
GCP-2021-012
게시: 2021-06-24설명 | 심각도 | 참고 |
---|---|---|
Istio 보안
일반적으로 게이트웨이 또는 워크로드 배포는 네임스페이스 내 보안 비밀에 저장된 TLS 인증서 및 비공개 키에만 액세스할 수 있습니다. 하지만 어떻게 해야 하나요?클러스터가 영향을 받는지 확인합니다.다음 조건에 모두 해당하는 경우 클러스터가 영향을 받습니다.
클러스터를 다음 패치 버전 중 하나로 업그레이드하세요.
업그레이드할 수 없으면 istiod 캐싱을 사용 중지하여 이 취약점을 완화할 수 있습니다.
istiod 환경 변수를 PILOT_ENABLE_XDS_CACHE=false 로 설정하여 캐싱을 사용 중지할 수 있습니다. XDS 캐싱이 사용 중지되기 때문에 시스템 및 istiod 성능에 영향을 줄 수 있습니다.
|
높음 |
GCP-2021-008
게시: 2021년 5월 17일설명 | 심각도 | 참고 |
---|---|---|
Istio에는 게이트웨이가 AUTO_PASSTHROUGH 라우팅 구성으로 구성된 경우 외부 클라이언트가 승인 검사를 우회하여 클러스터의 예상치 못한 서비스에 액세스할 수 있는 원격으로 악용 가능한 취약점이 포함되어 있습니다. 어떻게 해야 하나요?클러스터가 영향을 받는지 확인합니다.이 취약점은 일반적으로 다중 네트워크, 멀티 클러스터 배포에서만 사용되는 AUTO_PASSTHROUGH 게이트웨이 유형의 사용에만 영향을 미칩니다. 다음 명령어를 사용하여 클러스터에 있는 모든 게이트웨이의 TLS 모드를 감지합니다. kubectl get gateways.networking.istio.io -A -o \ "custom-columns=NAMESPACE:.metadata.namespace, \ NAME:.metadata.name,TLS_MODE:.spec.servers[*].tls.mode" 출력에 AUTO_PASSTHROUGH 게이트웨이가 표시되면 영향을 받을 수 있습니다. 마이그레이션클러스터를 최신 Anthos Service Mesh 버전으로 업데이트합니다.
* 참고: Anthos Service Mesh 관리 제어 영역(1.9.x 버전에서만 사용 가능) 출시는 며칠 이내에 완료될 예정입니다. |
높음 |
GCP-2021-007
게시: 2021년 5월 17일설명 | 심각도 | 참고 |
---|---|---|
Istio에는 슬래시 또는 이스케이프된 슬래시 문자(%2F 또는 %5C)가 여러 개 있는 HTTP 요청 경로가 경로 기반 승인 규칙을 사용할 때 Istio 승인 정책을 우회할 수 있는 원격으로 악용 가능한 취약점이 포함되어 있습니다.
Istio 클러스터 관리자가
RFC 3986에 따라 슬래시가 여러 개인 어떻게 해야 하나요?클러스터가 영향을 받는지 확인합니다.'ALLOW action + notPaths field' 또는 'DENY action + paths field' 패턴을 사용하는 승인 정책이 있는 경우 클러스터가 이 취약점의 영향을 받습니다. 이러한 패턴은 예상치 못한 정책 우회에 취약하므로 업그레이드하여 최대한 빨리 보안 문제를 해결해야 합니다. 다음은 'DENY action + paths field' 패턴을 사용하는 취약한 정책의 예시입니다. apiVersion: security.istio.io/v1beta1 kind: AuthorizationPolicy metadata: name: deny-path-admin spec: action: DENY rules: - to: - operation: paths: ["/admin"] 다음은 'ALLOW action + notPaths field' 패턴을 사용하는 또 다른 취약한 정책의 예시입니다. apiVersion: security.istio.io/v1beta1 kind: AuthorizationPolicy metadata: name: allow-path-not-admin spec: action: ALLOW rules: - to: - operation: notPaths: ["/admin"] 다음과 같은 경우 클러스터는 이 취약점의 영향을 받지 않습니다.
이러한 경우 업그레이드는 선택사항입니다. 클러스터를 지원되는 최신 Anthos Service Mesh 버전*으로 업데이트합니다. 이러한 버전은 더 많은 정규화 옵션을 사용하여 시스템에서 Envoy 프록시 구성을 지원합니다.
* 참고: Anthos Service Mesh 관리 제어 영역(1.9.x 버전에서만 사용 가능) 출시는 며칠 이내에 완료될 예정입니다. Istio 보안 권장사항 가이드에 따라 승인 정책을 구성합니다. |
높음 |
GCP-2021-004
게시: 2021년 5월 6일설명 | 심각도 | 참고 |
---|---|---|
Envoy 및 Istio 프로젝트는 최근 공격자가 Envoy를 다운시킬 수 있고 잠재적으로 클러스터 일부를 오프라인으로 전환하여 연결할 수 없도록 만들 수 있는 몇 가지 새로운 보안 취약점(CVE-2021-28682, CVE-2021-28683, CVE-2021-29258)이 있다고 발표했습니다. 이는 Anthos Service Mesh와 같은 제공되는 서비스에 영향을 줍니다. 어떻게 해야 하나요?이러한 취약점을 해결하려면 Anthos Service Mesh 번들을 다음 패치 버전 중 하나로 업그레이드하세요.
자세한 내용은 Anthos Service Mesh 출시 노트를 참조하세요. |
높음 |