安全公告

当处于空闲状态且每次尝试的请求数在退避间隔内发生时，Envoy 会崩溃。

该怎么做？

如果您运行的是代管式 Anthos Service Mesh，则无需执行任何操作。您的系统将在未来几天内自动更新。

如果您在集群内运行 Anthos Service Mesh，则必须将集群升级到以下修补后的版本之一：

• 1.20.3-asm.4
• 1.19.7-asm.3
• 1.18.7-asm.4
• 1.17.8-asm.20

如果您使用的是 Anthos Service Mesh v1.17 或更早版本，您的版本已终止服务，不再受支持。虽然这些 CVE 修复已向后移植到 1.17，但您应该升级到 1.18 或更高版本。

高

CVE-2024-23322

使用正则表达式配置 URI 模板匹配器时，CPU 使用率过高。

该怎么做？

如果您运行的是代管式 Anthos Service Mesh，则无需执行任何操作。您的系统将在未来几天内自动更新。

如果您在集群内运行 Anthos Service Mesh，则必须将集群升级到以下修补后的版本之一：

• 1.20.3-asm.4
• 1.19.7-asm.3
• 1.18.7-asm.4
• 1.17.8-asm.20

如果您使用的是 Anthos Service Mesh v1.17 或更早版本，您的版本已终止服务，不再受支持。虽然这些 CVE 修复已向后移植到 1.17，但您应该升级到 1.18 或更高版本。

中

CVE-2024-23323

当代理协议过滤器设置无效的 UTF-8 元数据时，可以绕过外部授权。

该怎么做？

如果您运行的是代管式 Anthos Service Mesh，则无需执行任何操作。您的系统将在未来几天内自动更新。

如果您在集群内运行 Anthos Service Mesh，则必须将集群升级到以下修补后的版本之一：

• 1.20.3-asm.4
• 1.19.7-asm.3
• 1.18.7-asm.4
• 1.17.8-asm.20

如果您使用的是 Anthos Service Mesh v1.17 或更早版本，您的版本已终止服务，不再受支持。虽然这些 CVE 修复已向后移植到 1.17，但您应该升级到 1.18 或更高版本。

高

CVE-2024-23324

使用操作系统不支持的地址类型时，Envoy 发生崩溃。

该怎么做？

如果您运行的是代管式 Anthos Service Mesh，则无需执行任何操作。您的系统将在未来几天内自动更新。

如果您在集群内运行 Anthos Service Mesh，则必须将集群升级到以下修补后的版本之一：

• 1.20.3-asm.4
• 1.19.7-asm.3
• 1.18.7-asm.4
• 1.17.8-asm.20

如果您使用的是 Anthos Service Mesh v1.17 或更早版本，您的版本已终止服务，不再受支持。虽然这些 CVE 修复已向后移植到 1.17，但您应该升级到 1.18 或更高版本。

高

CVE-2024-23325

命令类型为 LOCAL 时代理协议中发生崩溃。

该怎么做？

如果您运行的是代管式 Anthos Service Mesh，则无需执行任何操作。您的系统将在未来几天内自动更新。

如果您在集群内运行 Anthos Service Mesh，则必须将集群升级到以下修补后的版本之一：

• 1.20.3-asm.4
• 1.19.7-asm.3
• 1.18.7-asm.4
• 1.17.8-asm.20

如果您使用的是 Anthos Service Mesh v1.17 或更早版本，您的版本已终止服务，不再受支持。虽然这些 CVE 修复已向后移植到 1.17，但您应该升级到 1.18 或更高版本。

高

CVE-2024-23327

使用 HTTP/2 协议时，拒绝服务攻击可能会影响数据平面。

该怎么做？

如果您的集群使用 1.18.4、1.17.7 或 1.16.7 之前的 Anthos Service Mesh 补丁版本，则会受到上述影响。

将集群升级到以下某个修补后的版本：

• 1.18.4-asm.0
• 1.17.7-asm.0
• 1.16.7-asm.10

如果您运行的是代管式 Anthos Service Mesh，您的系统将在接下来的几天内自动更新。

如果您使用的是 Anthos Service Mesh v1.15 或更低版本，则您的版本已达到服务终止期限，不再受支持。这些 CVE 修复尚未反向移植。您应该升级到 v1.16 或更高版本。

高

CVE-2023-44487

在某些特定场景中，恶意客户端能够构建永久有效的凭据。例如，HMAC 载荷中主机和到期时间的组合在 OAuth2 过滤器的 HMAC 检查中可以始终有效。

该怎么做？

如果集群使用以下版本之前的 Anthos Service Mesh 补丁版本，则会受到影响

• 1.17.4
• 1.16.6
• 1.15.7

将集群升级到以下某个修补后的版本：

• 1.17.5-asm.0
• 1.16.7-asm.0
• 1.15.7-asm.23

如果您运行的是代管式 Anthos Service Mesh，您的系统将在未来几天内自动更新。

如果您使用的是 Anthos Service Mesh 1.14 或更低版本，则您的版本已达到服务终止期限，不再受支持。这些 CVE 修复尚未反向移植。您应该升级到 ASM 1.15 或更高版本。

高

CVE-2023-35941

当监听器排空时，使用监听器的全局范围的 gRPC 访问日志记录器可能导致 use-after-free 崩溃。这可由具有相同 gRPC 访问日志配置的 LDS 更新触发。

该怎么做？

如果集群使用以下版本之前的 Anthos Service Mesh 补丁版本，则会受到影响

• 1.17.4
• 1.16.6
• 1.15.7

将集群升级到以下某个修补后的版本：

• 1.17.5-asm.0
• 1.16.7-asm.0
• 1.15.7-asm.23

如果您运行的是代管式 Anthos Service Mesh，您的系统将在未来几天内自动更新。

如果您使用的是 Anthos Service Mesh 1.14 或更低版本，则您的版本已达到服务终止期限，不再受支持。这些 CVE 修复尚未反向移植。您应该升级到 ASM 1.15 或更高版本。

中

CVE-2023-35942

如果 origin 标头配置为通过 request_headers_to_remove: origin 移除，CORS 过滤器将发生段错误并使 Envoy 崩溃。

该怎么做？

如果集群使用以下版本之前的 Anthos Service Mesh 补丁版本，则会受到影响

• 1.17.4
• 1.16.6
• 1.15.7

将集群升级到以下某个修补后的版本：

• 1.17.5-asm.0
• 1.16.7-asm.0
• 1.15.7-asm.23

如果您运行的是代管式 Anthos Service Mesh，您的系统将在未来几天内自动更新。

如果您使用的是 Anthos Service Mesh 1.14 或更低版本，则您的版本已达到服务终止期限，不再受支持。这些 CVE 修复尚未反向移植。您应该升级到 ASM 1.15 或更高版本。

中

CVE-2023-35943

攻击者可以发送具有大小写混合的传输协议的请求，以绕过 Envoy 中的某些传输协议检查。例如，如果向 OAuth2 过滤器发送具有大小写混合的传输协议 htTp 的请求，它将无法通过 http 的完全匹配检查，并通知远程端点传输协议为 https，从而可能绕过专门针对 HTTP 请求的 OAuth2 检查。

该怎么做？

如果集群使用以下版本之前的 Anthos Service Mesh 补丁版本，则会受到影响

• 1.17.4
• 1.16.6
• 1.15.7

将集群升级到以下某个修补后的版本：

• 1.17.5-asm.0
• 1.16.7-asm.0
• 1.15.7-asm.23

如果您运行的是代管式 Anthos Service Mesh，您的系统将在未来几天内自动更新。

如果您使用的是 Anthos Service Mesh 1.14 或更低版本，则您的版本已达到服务终止期限，不再受支持。这些 CVE 修复尚未反向移植。您应该升级到 ASM 1.15 或更高版本。

高

CVE-2023-35944

来自不受信任的上行服务的专门设计的响应可能会通过耗尽内存引发拒绝服务攻击。造成此问题的原因是 Envoy 的 HTTP/2 编解码器在从上行服务器收到 RST_STREAM 之后立即收到 GOAWAY 帧时可能泄露标头映射和簿记结构。

该怎么做？

如果集群使用以下版本之前的 Anthos Service Mesh 补丁版本，则会受到影响

• 1.17.4
• 1.16.6
• 1.15.7

将集群升级到以下某个修补后的版本：

• 1.17.4-asm.2
• 1.16.6-asm.3
• 1.15.7-asm.21

如果您运行的是代管式 Anthos Service Mesh，您的系统将在未来几天内自动更新。

如果您使用的是 Anthos Service Mesh 1.14 或更低版本，则您的版本已达到服务终止期限，不再受支持。这些 CVE 修复尚未反向移植。您应该升级到 ASM 1.15 或更高版本。

高

CVE-2023-35945

如果 Envoy 在启用 OAuth 过滤器的情况下运行，恶意行为体可能会构造请求，通过使 Envoy 崩溃而形成拒绝服务攻击。

该怎么做？

如果您的集群使用的 Anthos Service Mesh 补丁版本早于以下版本，则会受到影响：

• 1.16.4
• 1.15.7
• 1.14.6

将集群升级到以下某个修补后的版本：

• 1.16.4-asm.2
• 1.15.7-asm.1
• 1.14.6-asm.11

如果您使用的是 Anthos Service Mesh v1.13 或更低版本，则您的版本已达到服务终止期限，不再受支持。这些 CVE 修复尚未反向移植。您应该升级到 Anthos Service Mesh 1.14 或更高版本。

中

CVE-2023-27496

使用 ext_authz 时，攻击者可以利用此漏洞绕过身份验证检查。

该怎么做？

如果您的集群使用的 Anthos Service Mesh 补丁版本早于以下版本，则会受到影响：

• 1.16.4
• 1.15.7
• 1.14.6

将集群升级到以下某个修补后的版本：

• 1.16.4-asm.2
• 1.15.7-asm.1
• 1.14.6-asm.11

如果您使用的是 Anthos Service Mesh v1.13 或更低版本，则您的版本已达到服务终止期限，不再受支持。这些 CVE 修复尚未反向移植。您应该升级到 Anthos Service Mesh 1.14 或更高版本。

中等

CVE-2023-27488

Envoy 配置还必须包含一个选项，用于添加使用请求中的输入生成的请求标头，例如对等证书 SAN。

该怎么做？

如果您的集群使用的 Anthos Service Mesh 补丁版本早于以下版本，则会受到影响：

• 1.16.4
• 1.15.7
• 1.14.6

将集群升级到以下某个修补后的版本：

• 1.16.4-asm.2
• 1.15.7-asm.1
• 1.14.6-asm.11

如果您使用的是 Anthos Service Mesh v1.13 或更低版本，则您的版本已达到服务终止期限，不再受支持。这些 CVE 修复尚未反向移植。您应该升级到 Anthos Service Mesh 1.14 或更高版本。

高

CVE-2023-27493

攻击者可能针对启用 Lua 过滤器的路由发送大型请求正文并触发崩溃。

该怎么做？

如果您的集群使用的 Anthos Service Mesh 补丁版本早于以下版本，则会受到影响：

• 1.16.4
• 1.15.7
• 1.14.6

将集群升级到以下某个修补后的版本：

• 1.16.4-asm.2
• 1.15.7-asm.1
• 1.14.6-asm.11

如果您使用的是 Anthos Service Mesh v1.13 或更低版本，则您的版本已达到服务终止期限，不再受支持。这些 CVE 修复尚未反向移植。您应该升级到 Anthos Service Mesh 1.14 或更高版本。

中等

CVE-2023-27492

攻击者可能发送特别设计的 HTTP/2 或 HTTP/3 请求，从而触发 HTTP/1 上游服务的解析错误。

该怎么做？

如果您的集群使用的 Anthos Service Mesh 补丁版本早于以下版本，则会受到影响：

• 1.16.4
• 1.15.7
• 1.14.6

将集群升级到以下某个修补后的版本：

• 1.16.4-asm.2
• 1.15.7-asm.1
• 1.14.6-asm.11

如果您使用的是 Anthos Service Mesh v1.13 或更低版本，则您的版本已达到服务终止期限，不再受支持。这些 CVE 修复尚未反向移植。您应该升级到 Anthos Service Mesh 1.14 或更高版本。

中

CVE-2023-27491

标头 x-envoy-original-path 应该是内部标头，但当请求从不受信任的客户端发出时，Envoy 不会在请求处理开始时从请求中移除此标头。

该怎么做？

如果您的集群使用的 Anthos Service Mesh 补丁版本早于以下版本，则会受到影响：

• 1.16.4
• 1.15.7
• 1.14.6

将集群升级到以下某个修补后的版本：

• 1.16.4-asm.2
• 1.15.7-asm.1
• 1.14.6-asm.11

如果您使用的是 Anthos Service Mesh v1.13 或更低版本，则您的版本已达到服务终止期限，不再受支持。这些 CVE 修复尚未反向移植。您应该升级到 Anthos Service Mesh 1.14 或更高版本。

高

CVE-2023-27487

Istio 控制平面 istiod 容易出现请求处理错误，从而允许恶意攻击者发送特别设计的消息，当集群的验证 webhook 公开提供时，会导致控制平面崩溃。此端点通过 TLS 端口 15017 提供，但不需要攻击者进行任何身份验证。

该怎么做？

如果您的集群使用 1.14.4、1.13.8 或 1.12.9 之前的 Anthos Service Mesh 补丁版本，则会受到上述影响。

如果您运行的是独立 Anthos Service Mesh，请将集群升级到以下经过修补的版本之一：

• 如果您使用的是 Anthos Service Mesh 1.14，请升级到 v1.14.4-asm.2
• 如果您使用的是 Anthos Service Mesh 1.13，请升级到 v1.13.8-asm.4
• 如果您使用的是 Anthos Service Mesh 1.12，请升级到 v1.12.9-asm.3

如果您运行的是代管式 Anthos Service Mesh，您的系统将在未来几天内自动更新。

如果您使用的是 Anthos Service Mesh v1.11 或更低版本，则您的版本已达到服务终止期限，不再受支持。这些 CVE 修复尚未反向移植。您应该升级到 Anthos Service Mesh 1.12 或更高版本。

高

CVE-2022-39278

启用元数据交换和统计扩展程序后，Istio 数据平面可能会以不安全的方式访问内存。

该怎么做？

如果您的集群使用低于 1.13.4-asm.4、1.12.7-asm.2 或 1.11.8-asm.4 的 Anthos Service Mesh 补丁版本，则会受到影响。

将集群升级到以下某个修补后的版本：

• 1.13.4-asm.4
• 1.12.7-asm.2
• 1.11.8-asm.4

如果您使用的是 Anthos Service Mesh v1.10 或更低版本，则您的版本已达到服务终止期限，不再受支持。这些 CVE 修复尚未反向移植。您应该升级到 Anthos Service Mesh 1.11 或更高版本。如需了解详情，请参阅从早期版本升级 (GKE) 或从早期版本升级（本地）。

高

CVE-2022-31045

如果恶意攻击者传递了高度压缩的小型载荷（也称为 zip 炸弹攻击），则数据可能会超过中间缓冲区限制。

该怎么做？

如果您的集群使用低于 1.13.4-asm.4、1.12.7-asm.2 或 1.11.8-asm.4 的 Anthos Service Mesh 补丁版本，则会受到影响。

尽管 Anthos Service Mesh 不支持 Envoy 过滤条件，但如果您使用解压缩过滤条件，则可能会受到影响。

将集群升级到以下某个修补后的版本：

• 1.13.4-asm.4
• 1.12.7-asm.2
• 1.11.8-asm.4

如果您使用的是 Anthos Service Mesh v1.10 或更低版本，则您的版本已达到服务终止期限，不再受支持。这些 CVE 修复尚未反向移植。您应该升级到 Anthos Service Mesh 1.11 或更高版本。如需了解详情，请参阅从早期版本升级 (GKE) 或从早期版本升级（本地）。

管理自己的 Envoy 的 Envoy 用户应确保使用 Envoy 1.22.1 版。管理自己的 Envoy 的 Envoy 用户从 GitHub 等来源构建二进制文件并进行部署。

运行代管式 Envoy 的用户无需执行任何操作（Google Cloud 提供 Envoy 二进制文件），Cloud 产品将改用 1.22.1 版。

高

CVE-2022-29225

GrpcHealthCheckerImpl 中可能存在 null 指针解引用。

该怎么做？

如果您的集群使用低于 1.13.4-asm.4、1.12.7-asm.2 或 1.11.8-asm.4 的 Anthos Service Mesh 补丁版本，则会受到影响。

将集群升级到以下某个修补后的版本：

• 1.13.4-asm.4
• 1.12.7-asm.2
• 1.11.8-asm.4

如果您使用的是 Anthos Service Mesh v1.10 或更低版本，则您的版本已达到服务终止期限，不再受支持。这些 CVE 修复尚未反向移植。您应该升级到 Anthos Service Mesh 1.11 或更高版本。如需了解详情，请参阅从早期版本升级 (GKE) 或从早期版本升级（本地）。

管理自己的 Envoy 的 Envoy 用户应确保使用 Envoy 1.22.1 版。管理自己的 Envoy 的 Envoy 用户从 GitHub 等来源构建二进制文件并进行部署。

运行代管式 Envoy 的用户无需执行任何操作（Google Cloud 提供 Envoy 二进制文件），Cloud 产品将改用 1.22.1 版。

中

CVE-2021-29224

OAuth 过滤条件允许普通绕过。

该怎么做？

如果您的集群使用低于 1.13.4-asm.4、1.12.7-asm.2 或 1.11.8-asm.4 的 Anthos Service Mesh 补丁版本，则会受到影响。

尽管 Anthos Service Mesh 不支持 Envoy 过滤条件，但如果您使用 OAuth 过滤条件，则可能会受影响。

将集群升级到以下某个修补后的版本：

• 1.13.4-asm.4
• 1.12.7-asm.2
• 1.11.8-asm.4

如果您使用的是 Anthos Service Mesh v1.10 或更低版本，则您的版本已达到服务终止期限，不再受支持。这些 CVE 修复尚未反向移植。您应该升级到 Anthos Service Mesh 1.11 或更高版本。如需了解详情，请参阅从早期版本升级 (GKE) 或从早期版本升级（本地）。

管理自己的 Envoy 的 Envoy 用户也使用 OAuth 过滤条件，应确保使用 Envoy 1.22.1 版。管理自己的 Envoy 的 Envoy 用户从 GitHub 等来源构建二进制文件并进行部署。

运行代管式 Envoy 的用户无需执行任何操作（Google Cloud 提供 Envoy 二进制文件），Cloud 产品将改用 1.22.1 版。

严重

CVE-2021-29226

OAuth 过滤条件可能会损坏内存（较低版本）或触发 ASSERT()（更高版本）。

该怎么做？

如果您的集群使用低于 1.13.4-asm.4、1.12.7-asm.2 或 1.11.8-asm.4 的 Anthos Service Mesh 补丁版本，则会受到影响。

尽管 Anthos Service Mesh 不支持 Envoy 过滤条件，但如果您使用 OAuth 过滤条件，则可能会受影响。

将集群升级到以下某个修补后的版本：

• 1.13.4-asm.4
• 1.12.7-asm.2
• 1.11.8-asm.4

如果您使用的是 Anthos Service Mesh v1.10 或更低版本，则您的版本已达到服务终止期限，不再受支持。这些 CVE 修复尚未反向移植。您应该升级到 Anthos Service Mesh 1.11 或更高版本。

管理自己的 Envoy 的 Envoy 用户也使用 OAuth 过滤条件，应确保使用 Envoy 1.22.1 版。管理自己的 Envoy 的 Envoy 用户从 GitHub 等来源构建二进制文件并进行部署。

运行代管式 Envoy 的用户无需执行任何操作（Google Cloud 提供 Envoy 二进制文件），Cloud 产品将改用 1.22.1 版。

高

CVE-2022-29228

包含正文或尾部的请求的内部重定向会崩溃。

该怎么做？

如果您的集群使用低于 1.13.4-asm.4、1.12.7-asm.2 或 1.11.8-asm.4 的 Anthos Service Mesh 补丁版本，则会受到影响。

将集群升级到以下某个修补后的版本：

• 1.13.4-asm.4
• 1.12.7-asm.2
• 1.11.8-asm.4

如果您使用的是 Anthos Service Mesh v1.10 或更低版本，则您的版本已达到服务终止期限，不再受支持。这些 CVE 修复尚未反向移植。您应该升级到 Anthos Service Mesh 1.11 或更高版本。如需了解详情，请参阅从早期版本升级 (GKE) 或从早期版本升级（本地）。

管理自己的 Envoy 的 Envoy 用户应确保使用 Envoy 1.22.1 版。管理自己的 Envoy 的 Envoy 用户从 GitHub 等来源构建二进制文件并进行部署。

运行代管式 Envoy 的用户无需执行任何操作（Google Cloud 提供 Envoy 二进制文件），Cloud 产品将改用 1.22.1 版。

高

CVE-2022-29227

Istio 控制层面 (istiod) 容易出现请求处理错误，从而允许恶意攻击者发送特别设计的消息，当用于验证集群的网络钩子公开提供时，会导致控制层面崩溃。此端点通过 TLS 端口 15017 提供，但不需要攻击者进行任何身份验证。

该怎么做？

所有 Anthos Service Mesh 版本都会受到此 CVE 的影响。

注意：如果您使用的是代管式控制平面，则此漏洞已修复，您不会受到影响。

将集群升级到以下某个修补后的版本：

• 1.12.5-asm.0
• 1.11.8-asm.0
• 1.10.6-asm.2

如果您使用的是 Anthos Service Mesh v1.9 或更低版本，则您的版本已达到服务终止期限，不再受支持。这些 CVE 修复尚未反向移植。您应该升级到 Anthos Service Mesh 1.10 或更高版本。

高

CVE-2022-24726

收到包含特别设计的 authorization 标头的请求时，Istiod 会崩溃。

该怎么做？

如果同时满足以下两个条件，则您的集群会受到影响：

• 它使用 1.12.4-asm.1、1.11.7-asm.1 或 1.10.6-asm.1 之前的 Anthos Service Mesh 补丁程序版本。

注意：如果您使用的是代管式控制平面，则此漏洞已修复，您不会受到影响。

将集群升级到以下某个修补后的版本：

• 1.12.4-asm.1
• 1.11.7-asm.1
• 1.10.6-asm.1

如果您使用的是 Anthos Service Mesh v1.9 或更低版本，则您的版本已达到服务终止期限，不再受支持。这些 CVE 修复尚未反向移植。您应该升级到 Anthos Service Mesh 1.10 或更高版本。

高

CVE-2022-23635

使用 JWT 过滤条件 safe_regex 的匹配项时，可能存在 null 指针解引用。

该怎么做？

如果同时满足以下两个条件，则您的集群会受到影响：

• 它使用 1.12.4-asm.1、1.11.7-asm.1 或 1.10.6-asm.1 之前的 Anthos Service Mesh 补丁程序版本。
• 尽管 Anthos Service Mesh 不支持 Envoy 过滤条件，但如果您使用 JWT 过滤条件正则表达式，则可能会受到影响。

将集群升级到以下某个修补后的版本：

• 1.12.4-asm.1
• 1.11.7-asm.1
• 1.10.6-asm.1

如果您使用的是 Anthos Service Mesh v1.9 或更低版本，则您的版本已达到服务终止期限，不再受支持。这些 CVE 修复尚未反向移植。您应该升级到 Anthos Service Mesh 1.10 或更高版本。

中

CVE-2021-43824

如果响应过滤条件增加响应数据且增加的数据超出下游缓冲区限制，则会发生“释放后使用”。

该怎么做？

如果同时满足以下两个条件，则您的集群会受到影响：

• 它使用 1.12.4-asm.1、1.11.7-asm.1 或 1.10.6-asm.1 之前的 Anthos Service Mesh 补丁程序版本。
• 尽管 Anthos Service Mesh 不支持 Envoy 过滤条件，但如果您使用解压缩式过滤条件，则可能会受到影响。

将集群升级到以下某个修补后的版本：

• 1.12.4-asm.1
• 1.11.7-asm.1
• 1.10.6-asm.1

如果您使用的是 Anthos Service Mesh v1.9 或更低版本，则您的版本已达到服务终止期限，不再受支持。这些 CVE 修复尚未反向移植。您应该升级到 Anthos Service Mesh 1.10 或更高版本。

中

CVE-2021-43825

通过 HTTP 建立 TCP 隧道时，如果在上游建立连接期间下游断开连接，则会发生“释放后使用”。

该怎么做？

如果同时满足以下两个条件，则您的集群会受到影响：

• 它使用 1.12.4-asm.1、1.11.7-asm.1 或 1.10.6-asm.1 之前的 Anthos Service Mesh 补丁程序版本。
• 尽管 Anthos Service Mesh 不支持 Envoy 过滤条件，但如果您使用隧道建立过滤条件，则可能会受到影响。

将集群升级到以下某个修补后的版本：

• 1.12.4-asm.1
• 1.11.7-asm.1
• 1.10.6-asm.1

如果您使用的是 Anthos Service Mesh v1.9 或更低版本，则您的版本已达到服务终止期限，不再受支持。这些 CVE 修复尚未反向移植。您应该升级到 Anthos Service Mesh 1.10 或更高版本。

中

CVE-2021-43826

由于配置处理不恰当，导致在验证设置发生更改后无需重新验证便可重新使用 mTLS 会话。

该怎么做？

如果同时满足以下两个条件，则您的集群会受到影响：

• 它使用 1.12.4-asm.1、1.11.7-asm.1 或 1.10.6-asm.1 之前的 Anthos Service Mesh 补丁程序版本。
• 所有使用 mTLS 的 Anthos Service Mesh 服务都会受到此 CVE 的影响。

将集群升级到以下某个修补后的版本：

• 1.12.4-asm.1
• 1.11.7-asm.1
• 1.10.6-asm.1

如果您使用的是 Anthos Service Mesh v1.9 或更低版本，则您的版本已达到服务终止期限，不再受支持。这些 CVE 修复尚未反向移植。您应该升级到 Anthos Service Mesh 1.10 或更高版本。

高

CVE-2022-21654

对具有直接响应条目的路由的内部重定向处理错误。

该怎么做？

如果同时满足以下两个条件，则您的集群会受到影响：

• 它使用 1.12.4-asm.1、1.11.7-asm.1 或 1.10.6-asm.1 之前的 Anthos Service Mesh 补丁程序版本。
• 尽管 Anthos Service Mesh 不支持 Envoy 过滤条件，但如果您使用直接响应过滤条件，则可能会受到影响。

将集群升级到以下某个修补后的版本：

• 1.12.4-asm.1
• 1.11.7-asm.1
• 1.10.6-asm.1

如果您使用的是 Anthos Service Mesh v1.9 或更低版本，则您的版本已达到服务终止期限，不再受支持。这些 CVE 修复尚未反向移植。您应该升级到 Anthos Service Mesh 1.10 或更高版本。

高

CVE-2022-21655

通过集群发现服务删除集群时堆栈耗尽。

该怎么做？

如果同时满足以下两个条件，则您的集群会受到影响：

• 它使用 1.12.4-asm.1 或 1.11.7-asm.1 之前的 Anthos Service Mesh 补丁程序版本。

将集群升级到以下某个修补后的版本：

• 1.12.4-asm.1
• 1.11.7-asm.1

如果您使用的是 Anthos Service Mesh v1.9 或更低版本，则您的版本已达到服务终止期限，不再受支持。这些 CVE 修复尚未反向移植。您应该升级到 Anthos Service Mesh 1.10 或更高版本。

中

CVE-2022-23606

Istio 包含一个远程利用漏洞，在该漏洞中，URI 路径中带有片段（URI 末尾以 # 字符开头的部分）的 HTTP 请求可以绕过 Istio 的 URI 路径授权政策。

例如，Istio 授权政策会拒绝发送到 URI 路径 /user/profile 的请求。denies在易受攻击的版本中，URI 路径为 /user/profile#section1 的请求会绕过拒绝政策并路由到后端（规范化 URI 路径 /user/profile%23section1），从而导致安全突发事件。

此修复依赖于 Envoy 中的修复，该修复与 CVE-2021-32779 相关联。

该怎么做？

如果同时满足以下两个条件，则您的集群会受到影响：

• 它使用 1.7.8-asm.10、1.8.6-asm.8、1.9.8-asm.1 和 1.10.4-asm.6 之前的 Anthos Service Mesh 补丁程序版本。
• 它使用具有 DENY actions 和 operation.paths 或 ALLOW actions 和 operation.notPaths 的授权政策。

将集群升级到以下某个修补后的版本：

• 1.10.4-asm.6
• 1.9.8-asm.1
• 1.8.6-asm.8
• 1.7.8-asm.10

对于新版本，请求的 URI 的片段部分会在授权和路由之前移除。这样可以防止在其 URI 中包含 Fragment 的请求绕过基于 URI 且没有 Fragment 部分的授权政策。

如果您选择停用这种新行为，则 URI 中的片段部分会被保留。如需选择停用，您可以按如下方式配置安装：

apiVersion: install.istio.io/v1alpha1
kind: IstioOperator
metadata:
  name: opt-out-fragment-cve-fix
  namespace: istio-system
spec:
  meshConfig:
    defaultConfig:
      proxyMetadata:
        HTTP_STRIP_FRAGMENT_FROM_PATH_UNSAFE_IF_DISABLED: "false"

注意：如果选择停用此行为，您的集群将容易受到此 CVE 的影响。

高

CVE-2021-39156

Istio 包含的一个远程漏洞，在使用基于 hosts 或 notHosts 的规则时，HTTP 请求可能会绕过 Istio 授权政策。

在易受攻击的版本中，Istio 授权政策以区分大小写的方式比较 HTTP Host 或 :authority 标头，这与 RFC 4343 不一致。例如，用户可能拥有拒绝主机 secret.com 的请求的授权政策，但攻击者可以通过主机名 Secret.com 发送请求来绕过此政策。路由流程将流量路由到 secret.com 的后端，这会导致安全突发事件。

该怎么做？

如果同时满足以下两个条件，则您的集群会受到影响：

• 它使用 1.7.8-asm.10、1.8.6-asm.8、1.9.8-asm.1 和 1.10.4-asm.6 之前的 Anthos Service Mesh 补丁程序版本。
• 请求使用基于 operation.hosts 的 DENY actions 或基于 operation.notHosts 的 ALLOW actions 的授权政策。

将集群升级到以下某个修补后的版本：

• 1.10.4-asm.6
• 1.9.8-asm.1
• 1.8.6-asm.8
• 1.7.8-asm.10

此缓解措施可确保 HTTP Host 或 :authority 标头根据授权政策中的 hosts 或 notHosts 规范（不区分大小写）进行评估。

高

CVE-2021-39155

Envoy 包含一个远程漏洞，当使用 ext_authz 扩展程序时，具有多个值标头的 HTTP 请求可能会执行不完整的授权政策检查。如果请求标头包含多个值，则外部授权服务器将仅看到给定标头的最后一个值。

该怎么做？

如果同时满足以下两个条件，则您的集群会受到影响：

• 它使用 1.7.8-asm.10、1.8.6-asm.8、1.9.8-asm.1 和 1.10.4-asm.6 之前的 Anthos Service Mesh 补丁程序版本。
• 它使用外部授权功能。

将集群升级到以下某个修补后的版本：

• 1.10.4-asm.6
• 1.9.8-asm.1
• 1.8.6-asm.8
• 1.7.8-asm.10

高

CVE-2021-32777

Envoy 包含一个远程漏洞，该漏洞会影响 Envoy 的 decompressor、json-transcoder 或 grpc-web 扩展程序或专有扩展程序，从而修改或增加请求或响应正文的大小。如果修改和增加 Envoy 扩展中正文超出内部缓冲区大小，可能会导致 Envoy 访问取消分配的内存并异常终止。

该怎么做？

如果同时满足以下两个条件，则您的集群会受到影响：

• 它使用 1.7.8-asm.10、1.8.6-asm.8、1.9.8-asm.1 和 1.10.4-asm.6 之前的 Anthos Service Mesh 补丁程序版本。
• 它使用 EnvoyFilters。

将集群升级到以下某个修补后的版本：

• 1.10.4-asm.6
• 1.9.8-asm.1
• 1.8.6-asm.8
• 1.7.8-asm.10

高

CVE-2021-32781

Envoy 包含一个远程漏洞，利用该漏洞，Envoy 客户端会打开然后重置大量 HTTP/2 请求，可能会导致 CPU 消耗过度。

该怎么做？

如果您的集群使用 1.7.8-asm.10、1.8.6-asm.8、1.9.8-asm.1 和 1.10.4-asm.6 之前的 Anthos Service Mesh 补丁程序版本，则会受到影响。

将集群升级到以下某个修补后的版本：

• 1.10.4-asm.6
• 1.9.8-asm.1

注意：如果您使用的是 Anthos Service Mesh 1.8 或更早版本，请升级到 Anthos Service Mesh 1.9 及更高版本的最新补丁程序版本，以缓解此漏洞。

高

CVE-2021-32778

Envoy 包含一个远程漏洞，在该漏洞中，不受信任的上游服务可能会导致 Envoy 异常终止，方法是发送 GOAWAY 帧，后跟 SETTINGS 帧，并将 SETTINGS_MAX_CONCURRENT_STREAMS 参数设置为 0。

该怎么做？

如果您的集群使用 1.10.4-asm.6 之前的 Anthos Service Mesh 1.10 补丁程序版本，则会受到影响。

将集群升级到以下补丁程序版本：

• 1.10.4-asm.6

高

CVE-2021-32780

Istio 安全 Gateway 或使用 DestinationRule 的工作负载可以通过 credentialName 配置从 Kubernetes Secret 加载 TLS 私钥和证书。从 Istio 1.8 及更高版本开始，Secret 从 istiod 读取并通过 XDS 传送到网关和工作负载。

通常，网关或工作负载部署只能访问存储在其命名空间内 Secret 中的 TLS 证书和私钥。但是，istiod 中的错误允许有权访问 Istio XDS API 的客户端检索 istiod 中缓存的所有 TLS 证书和私钥。此安全漏洞仅影响 Anthos Service Mesh 1.8 和 1.9 次要版本。

该怎么做？

如果满足以下所有条件，则您的集群会受到影响：

• 我们使用 1.9.6-asm.1 之前的 1.9.x 版本或 1.8.6-asm.4 之前的 1.8.x。
• 它定义了已指定 credentialName 字段的 Gateways 或 DestinationRules。
• 它未指定 istiod 标志 PILOT_ENABLE_XDS_CACHE=false。

将集群升级到以下某个修补后的版本：

• 1.9.6-asm.1
• 1.8.6-asm.4

高

CVE-2021-34824

如果网关配置了 AUTO_PASSTHROUG 路由配置，则 Istio 包含一个远程可利用的漏洞，攻击者可以利用该漏洞访问集群中的意外服务。

该怎么做？

此漏洞仅影响 AUTO_PASSTHROUGH 网关类型（通常仅在多网络、多集群部署中使用）。

使用以下命令检测集群中所有网关的 TLS 模式：

kubectl get gateways.networking.istio.io -A -o \
  "custom-columns=NAMESPACE:.metadata.namespace, \
  NAME:.metadata.name,TLS_MODE:.spec.servers[*].tls.mode"

如果输出显示任何 AUTO_PASSTHROUGH 网关，则说明您可能受到了影响。

将集群更新到最新版 Anthos Service Mesh 版本：

• 1.9.5-asm.2
• 1.8.6-asm.3
• 1.7.8-asm.8

* 注意：Anthos Service Mesh 代管式控制平面（仅在 1.9.x 版本中提供）的发布将在未来几天内完成。

高

CVE-2021-31921

Istio 包含一个可远程利用的漏洞，在使用基于路径的授权规则时，如果 HTTP 请求包含多个斜杠或转义的斜杠字符（%2F 或 %5C），该请求可以绕过 Istio 授权政策。

如果 Istio 集群管理员定义了授权 DENY 政策来拒绝路径 "/admin" 的请求，则授权政策不会拒绝发送到网址路径 "//admin" 的请求。

根据 RFC 3986 标准，带有多个斜杠的路径 "//admin" 应被视为不同于 "/admin" 的不同路径。但是，某些后端服务选择通过将多个斜杠合并到一个斜杠来标准化网址路径。这可能会绕过授权政策 ("//admin" 与 "/admin" 不匹配)，用户可以访问后端中 "/admin" 路径的资源。

该怎么做？

如果您的集群使用“ALLOW 操作 + notPaths 字段”或“DENY 操作 + paths 字段”模式，您的集群会受到此漏洞的影响。这些模式容易受到意外政策绕过攻击，您应该尽快升级以解决安全问题。

下面是一个使用“DENY 操作 + paths 字段”的易受攻击的政策示例：

apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: deny-path-admin
spec:
  action: DENY
  rules:
  - to:
    - operation:
        paths: ["/admin"]

以下是使用“ALLOW 操作 + notPaths 字段”格式的易受攻击的政策示例：

apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: allow-path-not-admin
spec:
  action: ALLOW
  rules:
  - to:
    - operation:
        notPaths: ["/admin"]

在以下情况下，您的集群不受此漏洞的影响：

• 您没有授权政策。
• 您的授权政策未定义 paths 或 notPaths 字段。
• 您的授权政策使用“ALLOW 操作 + paths 字段”或“DENY 操作 + notPaths 字段”模式。这些模式只能导致意外拒绝，而不是绕过政策。

对于这些情况，可选择升级。

将集群更新到最新版 Anthos Service Mesh 版本*。以下版本支持在系统中配置具有更多标准化选项的 Envoy 代理：

• 1.9.5-asm.2
• 1.8.6-asm.3
• 1.7.8-asm.8

* 注意：Anthos Service Mesh 代管式控制平面（仅在 1.9.x 版本中提供）的发布将在未来几天内完成。

按照 Istio 安全最佳做法指南配置您的授权政策。

高

CVE-2021-31920

Envoy 和 Istio 项目最近公布了几个新的安全漏洞（CVE-2021-28682、CVE-2021-28683 和 CVE-2021-29258），攻击者可能会利用这些漏洞导致 Envoy 崩溃，并可能使集群的某些部分脱机且无法访问。

这会影响已交付的服务，例如 Anthos Service Mesh。

该怎么做？

如需修复这些漏洞，请将您的 Anthos Service Mesh 软件包升级到以下某个修补版本：

• 1.9.3-asm.2
• 1.8.5-asm.2
• 1.7.8-asm.1
• 1.6.14-asm.2

如需了解详情，请参阅 Anthos Service Mesh 版本说明。

高

CVE-2021-28682
CVE-2021-28683
CVE-2021-29258