Boletins de segurança
Use este feed XML para se inscrever nos boletins de segurança do Cloud Service Mesh.
Esta página lista os boletins de segurança do Cloud Service Mesh.
GCP-2024-052
Publicado:19/09/2024
Descrição | Gravidade | Observações |
---|---|---|
Falha do oghttp2 em OnBeginHeadersForStream. O que devo fazer?Veja se os clusters foram afetadosSomente os clusters que executam o Cloud Service Mesh v1.23 são afetados MitigaçãoA Cloud Service Mesh 1.23.2-asm.2 contém a correção para esse problema. Você não precisa fazer nada. |
Alta |
Descrição | Gravidade | Observações |
---|---|---|
Injeção de registro maliciosa por registros de acesso O que devo fazer?Veja se os clusters foram afetadosTodas as versões do Cloud Service Mesh são afetadas por esta CVE. MitigaçãoFaça upgrade do cluster para uma das seguintes versões com patch:
|
Médio |
Descrição | Gravidade | Observações |
---|---|---|
Possibilidade de manipular cabeçalhos "x-envoy" de fontes externas O que devo fazer?Veja se os clusters foram afetadosTodas as versões do Cloud Service Mesh são afetadas por esta CVE. MitigaçãoFaça upgrade do cluster para uma das seguintes versões com patch:
|
Médio |
Descrição | Gravidade | Observações |
---|---|---|
O filtro JWT falha no cache de rota clara com JWKs remotos. O que devo fazer?Veja se os clusters foram afetadosTodas as versões do Cloud Service Mesh são afetadas por esta CVE. MitigaçãoFaça upgrade do cluster para uma das seguintes versões com patch:
|
Médio |
Descrição | Gravidade | Observações |
---|---|---|
O Envoy falha para LocalReply no cliente assíncrono http. O que devo fazer?Veja se os clusters foram afetadosTodas as versões do Cloud Service Mesh são afetadas por esta CVE. MitigaçãoFaça upgrade do cluster para uma das seguintes versões com patch:
|
Médio |
GCP-2024-032
Publicado:24/06/2024
Descrição | Gravidade | Observações |
---|---|---|
O Envoy aceita incorretamente a resposta HTTP 200 para entrar no modo de upgrade. O que devo fazer?Veja se os clusters foram afetadosTodas as versões do Cloud Service Mesh são afetadas por esta CVE. MitigaçãoSe você estiver executando o Cloud Service Mesh gerenciado, o sistema será atualizado automaticamente nos próximos dias. Caso contrário, faça upgrade do cluster para uma das seguintes versões com patch:
|
Médio |
Descrição | Gravidade | Observações |
---|---|---|
Falha em EnvoyQuicServerStream::OnInitialHeadersComplete(). O que devo fazer?Veja se os clusters foram afetadosTodas as versões do Cloud Service Mesh são afetadas por esta CVE. MitigaçãoSe você estiver executando o Cloud Service Mesh gerenciado, o sistema será atualizado automaticamente nos próximos dias. Caso contrário, faça upgrade do cluster para uma das seguintes versões com patch:
|
Médio |
Descrição | Gravidade | Observações |
---|---|---|
Falhas em QuicheDataReader::PeekVarInt62Length(). O que devo fazer?Veja se os clusters foram afetadosTodas as versões do Cloud Service Mesh são afetadas por esta CVE. MitigaçãoSe você estiver executando o Cloud Service Mesh gerenciado, o sistema será atualizado automaticamente nos próximos dias. Caso contrário, faça upgrade do cluster para uma das seguintes versões com patch:
|
Médio |
Descrição | Gravidade | Observações |
---|---|---|
Loop infinito ao descompactar dados Brotli com entrada extra. O que devo fazer?Veja se os clusters foram afetadosTodas as versões do Cloud Service Mesh são afetadas por esta CVE. MitigaçãoSe você estiver executando o Cloud Service Mesh gerenciado, o sistema será atualizado automaticamente nos próximos dias. Caso contrário, faça upgrade do cluster para uma das seguintes versões com patch:
|
Alta |
Descrição | Gravidade | Observações |
---|---|---|
Falha (uso após a liberação) no EnvoyQuicServerStream. O que devo fazer?Veja se os clusters foram afetadosTodas as versões do Cloud Service Mesh são afetadas por esta CVE. MitigaçãoSe você estiver executando o Cloud Service Mesh gerenciado, o sistema será atualizado automaticamente nos próximos dias. Caso contrário, faça upgrade do cluster para uma das seguintes versões com patch:
|
Médio |
Descrição | Gravidade | Observações |
---|---|---|
Falha devido a uma exceção JSON nlohmann não detectada. O que devo fazer?Veja se os clusters foram afetadosTodas as versões do Cloud Service Mesh são afetadas por esta CVE. MitigaçãoSe você estiver executando o Cloud Service Mesh gerenciado, o sistema será atualizado automaticamente nos próximos dias. Caso contrário, faça upgrade do cluster para uma das seguintes versões com patch:
|
Alta |
Descrição | Gravidade | Observações |
---|---|---|
Vector de OOM do Envoy do cliente assíncrono HTTP com buffer de resposta ilimitado para resposta de espelho. O que devo fazer?Veja se os clusters foram afetadosTodas as versões do Cloud Service Mesh são afetadas por esta CVE. MitigaçãoSe você estiver executando o Cloud Service Mesh gerenciado, o sistema será atualizado automaticamente nos próximos dias. Caso contrário, faça upgrade do cluster para uma das seguintes versões com patch:
|
Médio |
GCP-2024-023
Publicado:24/04/2024
Descrição | Gravidade | Observações |
---|---|---|
HTTP/2: exaustão de memória devido a inundação de frames CONTINUATION. O que devo fazer?Veja se os clusters foram afetadosTodas as versões do Cloud Service Mesh são afetadas por esta CVE. MitigaçãoSe você estiver executando o Cloud Service Mesh gerenciado, não será necessário fazer nada. Seu sistema será atualizado automaticamente nos próximos dias. Se você estiver executando o Cloud Service Mesh no cluster, faça upgrade do cluster para uma das seguintes versões com patch:
Se você estiver usando o Cloud Service Mesh v1.17 ou versões anteriores, a versão atingiu o fim da vida útil e não será mais suportada. Essas correções de CVE não foram compatíveis com outras versões. Faça upgrade para a Cloud Service Mesh v1.18 ou mais recente. |
Alta |
Descrição | Gravidade | Observações |
---|---|---|
HTTP/2: esgotamento da CPU devido à inundação de frames CONTINUATION O que devo fazer?Veja se os clusters foram afetadosTodas as versões do Cloud Service Mesh são afetadas por esta CVE. MitigaçãoSe você estiver executando o Cloud Service Mesh gerenciado, não será necessário fazer nada. Seu sistema será atualizado automaticamente nos próximos dias. Se você estiver executando o Cloud Service Mesh no cluster, faça upgrade do cluster para uma das seguintes versões com patch:
Se você estiver usando o Cloud Service Mesh v1.17 ou versões anteriores, a versão atingiu o fim da vida útil e não será mais suportada. Essas correções de CVE não foram compatíveis com outras versões. Faça upgrade para o Cloud Service Mesh 1.18 ou mais recente. |
Médio |
Descrição | Gravidade | Observações |
---|---|---|
Encerramento anormal ao usar O que devo fazer?Veja se os clusters foram afetadosTodas as versões do Cloud Service Mesh são afetadas por esta CVE. MitigaçãoSe você estiver executando o Cloud Service Mesh gerenciado, não será necessário fazer nada. Seu sistema será atualizado automaticamente nos próximos dias. Se você estiver executando o Cloud Service Mesh no cluster, faça upgrade do cluster para uma das seguintes versões com patch:
Se você estiver usando o Cloud Service Mesh v1.17 ou versões anteriores, a versão atingiu o fim da vida útil e não será mais suportada. Essas correções de CVE não foram compatíveis com outras versões. Faça upgrade para o Cloud Service Mesh 1.18 ou mais recente. |
Alta |
Descrição | Gravidade | Observações |
---|---|---|
Os frames de CONTINUAÇÃO HTTP/2 podem ser usados para ataques DoS. O que devo fazer?Veja se os clusters foram afetadosTodas as versões do Cloud Service Mesh são afetadas por esta CVE. MitigaçãoSe você estiver executando o Cloud Service Mesh gerenciado, não será necessário fazer nada. Seu sistema será atualizado automaticamente nos próximos dias. Se você estiver executando o Cloud Service Mesh no cluster, faça upgrade do cluster para uma das seguintes versões com patch:
Se você estiver usando o Cloud Service Mesh v1.17 ou versões anteriores, a versão atingiu o fim da vida útil e não será mais suportada. Essas correções de CVE não foram compatíveis com outras versões. É necessário fazer upgrade para a versão v1.18 ou posterior. |
Não fornecido |
GCP-2024-007
Publicado:08/02/2024
Descrição | Gravidade | Observações |
---|---|---|
O Envoy falha quando o tempo limite de inatividade e de solicitações por tentativa ocorre dentro do intervalo de espera. O que devo fazer?Se você estiver executando o Cloud Service Mesh gerenciado, não será necessário fazer nada. Seu sistema será atualizado automaticamente nos próximos dias. Se você estiver executando o Cloud Service Mesh no cluster, faça upgrade do cluster para uma das seguintes versões com patch:
Se você estiver usando o Anthos Service Mesh v1.17 ou versões anteriores, a versão atingiu o fim da vida útil e não será mais suportada. Embora essas correções de CVE tenham sido enviadas de volta para a versão 1.17, faça upgrade para a versão 1.18 ou mais recente. |
Alta |
Descrição | Gravidade | Observações |
---|---|---|
Uso excessivo de CPU quando o comparador de modelos de URI é configurado usando regex. O que devo fazer?Se você estiver executando o Cloud Service Mesh gerenciado, não será necessário fazer nada. Seu sistema será atualizado automaticamente nos próximos dias. Se você estiver executando o Cloud Service Mesh no cluster, faça upgrade do cluster para uma das seguintes versões com patch:
Se você estiver usando o Anthos Service Mesh v1.17 ou versões anteriores, a versão atingiu o fim da vida útil e não será mais suportada. Embora essas correções de CVE tenham sido enviadas de volta para a versão 1.17, faça upgrade para a versão 1.18 ou mais recente. |
Médio |
Descrição | Gravidade | Observações |
---|---|---|
A autorização externa pode ser ignorada quando o filtro de protocolo de proxy define metadados UTF-8 inválidos. O que devo fazer?Se você estiver executando o Cloud Service Mesh gerenciado, não será necessário fazer nada. Seu sistema será atualizado automaticamente nos próximos dias. Se você estiver executando o Cloud Service Mesh no cluster, faça upgrade do cluster para uma das seguintes versões com patch:
Se você estiver usando o Anthos Service Mesh v1.17 ou versões anteriores, a versão atingiu o fim da vida útil e não será mais suportada. Embora essas correções de CVE tenham sido enviadas de volta para a versão 1.17, faça upgrade para a versão 1.18 ou mais recente. |
Alta |
Descrição | Gravidade | Observações |
---|---|---|
O Envoy falha ao usar um tipo de endereço que não tem suporte do SO. O que devo fazer?Se você estiver executando o Cloud Service Mesh gerenciado, não será necessário fazer nada. Seu sistema será atualizado automaticamente nos próximos dias. Se você estiver executando o Cloud Service Mesh no cluster, faça upgrade do cluster para uma das seguintes versões com patch:
Se você estiver usando o Anthos Service Mesh v1.17 ou versões anteriores, a versão atingiu o fim da vida útil e não será mais suportada. Embora essas correções de CVE tenham sido enviadas de volta para a versão 1.17, faça upgrade para a versão 1.18 ou mais recente. |
Alta |
Descrição | Gravidade | Observações |
---|---|---|
O protocolo de proxy falha quando o tipo de comando é O que devo fazer?Se você estiver executando o Cloud Service Mesh gerenciado, não será necessário fazer nada. Seu sistema será atualizado automaticamente nos próximos dias. Se você estiver executando o Cloud Service Mesh no cluster, faça upgrade do cluster para uma das seguintes versões com patch:
Se você estiver usando o Anthos Service Mesh v1.17 ou versões anteriores, a versão atingiu o fim da vida útil e não será mais suportada. Embora essas correções de CVE tenham sido enviadas de volta para a versão 1.17, faça upgrade para a versão 1.18 ou mais recente. |
Alta |
GCP-2023-031
Publicado: 2023-10-10
Descrição | Gravidade | Observações |
---|---|---|
Um ataque de negação de serviço pode afetar o plano de dados quando o protocolo HTTP/2 é usado. O que devo fazer?Veja se os clusters foram afetadosSeu cluster será afetado se usar as versões de patch do Cloud Service Mesh anteriores a 1.18.4, 1.17.7 ou 1.16.7. MitigaçãoFaça upgrade do cluster para uma das seguintes versões com patch:
Se você estiver executando o Cloud Service Mesh gerenciado, o sistema será atualizado automaticamente nos próximos dias. Se você estiver usando o Cloud Service Mesh v1.15 ou versões anteriores, a versão atingiu o fim da vida útil e não será mais suportada. Essas correções de CVE não foram compatíveis com outras versões. É necessário fazer upgrade para a v1.16 ou posterior. |
Alta |
GCP-2023-021
Atualizado: 2023-07-26
Publicado: 2022-07-25Descrição | Gravidade | Observações |
---|---|---|
Um cliente mal-intencionado pode criar credenciais com validade permanente em alguns cenários específicos. Por exemplo, a combinação de host e prazo de validade no payload de HMAC pode sempre ser válida na verificação de HMAC do filtro OAuth2. O que devo fazer?Veja se os clusters foram afetadosSeu cluster será afetado se usar versões de patch do Cloud Service Mesh anteriores a
Faça upgrade do cluster para uma das seguintes versões com patch:
Se você estiver executando o Cloud Service Mesh gerenciado, o sistema será atualizado automaticamente nos próximos dias. Se você estiver usando o Anthos Service Mesh v1.14 ou versões anteriores, a versão atingiu o fim da vida útil e não será mais suportada. Essas correções de CVE não foram compatíveis com outras versões. É necessário fazer upgrade para o ASM 1.15 ou superior. |
Alta |
Descrição | Gravidade | Observações |
---|---|---|
Os registradores de acesso gRPC que usam o escopo global do listener podem causar uma falha após o uso quando o listener é drenado. Isso pode ser acionado por uma atualização do LDS com a mesma configuração de registro de acesso gRPC. O que devo fazer?Veja se os clusters foram afetadosSeu cluster será afetado se usar versões de patch do Cloud Service Mesh anteriores a
Faça upgrade do cluster para uma das seguintes versões com patch:
Se você estiver executando o Cloud Service Mesh gerenciado, o sistema será atualizado automaticamente nos próximos dias. Se você estiver usando o Anthos Service Mesh v1.14 ou versões anteriores, a versão atingiu o fim da vida útil e não será mais suportada. Essas correções de CVE não foram compatíveis com outras versões. É necessário fazer upgrade para o ASM 1.15 ou superior. |
Médio |
Descrição | Gravidade | Observações |
---|---|---|
Se o cabeçalho O que devo fazer?Veja se os clusters foram afetadosSeu cluster será afetado se usar versões de patch do Cloud Service Mesh anteriores a
Faça upgrade do cluster para uma das seguintes versões com patch:
Se você estiver executando o Cloud Service Mesh gerenciado, o sistema será atualizado automaticamente nos próximos dias. Se você estiver usando o Anthos Service Mesh v1.14 ou versões anteriores, a versão atingiu o fim da vida útil e não será mais suportada. Essas correções de CVE não foram compatíveis com outras versões. É necessário fazer upgrade para o ASM 1.15 ou superior. |
Médio |
Descrição | Gravidade | Observações |
---|---|---|
Os invasores podem enviar solicitações de esquema misto para ignorar algumas verificações de esquema no Envoy. Por exemplo, se uma solicitação com esquema misto HTTP for enviada para o filtro OAuth2, ela falhará nas verificações de correspondência exata para http e informará ao ponto de extremidade remoto que o esquema é https, possivelmente ignorando verificações OAuth2 específicas para solicitações HTTP. O que devo fazer?Veja se os clusters foram afetadosSeu cluster será afetado se usar versões de patch do Cloud Service Mesh anteriores a
Faça upgrade do cluster para uma das seguintes versões com patch:
Se você estiver executando o Cloud Service Mesh gerenciado, o sistema será atualizado automaticamente nos próximos dias. Se você estiver usando o Anthos Service Mesh v1.14 ou versões anteriores, a versão atingiu o fim da vida útil e não será mais suportada. Essas correções de CVE não foram compatíveis com outras versões. É necessário fazer upgrade para o ASM 1.15 ou superior. |
Alta |
GCP-2023-019
Descrição | Gravidade | Observações |
---|---|---|
Uma resposta criada especificamente a partir de um serviço upstream não confiável pode causar uma negação de serviço por meio do esgotamento da memória. Isso é causado pelo codec HTTP/2 do Envoy, que pode vazar um mapa de cabeçalho e estruturas de contabilidade ao receber RST_STREAM imediatamente seguido pelos frames GOAWAY de um servidor upstream. O que devo fazer?Veja se os clusters foram afetadosSeu cluster será afetado se usar versões de patch do Cloud Service Mesh anteriores a
Faça upgrade do cluster para uma das seguintes versões com patch:
Se você estiver executando o Cloud Service Mesh gerenciado, o sistema será atualizado automaticamente nos próximos dias. Se você estiver usando o Anthos Service Mesh v1.14 ou versões anteriores, a versão atingiu o fim da vida útil e não será mais suportada. Essas correções de CVE não foram compatíveis com outras versões. É necessário fazer upgrade para o ASM 1.15 ou superior. |
Alta |
GCP-2023-002
Descrição | Gravidade | Observações |
---|---|---|
Se o Envoy estiver em execução com o filtro OAuth ativado exposto, um ator malicioso poderá criar uma solicitação que causaria negação de serviço ao causar uma falha no Envoy O que fazer?Veja se os clusters foram afetadosSeus clusters serão afetados se usarem versões de patch do Cloud Service Mesh anteriores a:
Faça upgrade do cluster para uma das seguintes versões com patch:
Se você estiver usando o Cloud Service Mesh v1.13 ou versões anteriores, a versão atingiu o fim da vida útil e não será mais suportada. Essas correções de CVE não foram compatíveis com outras versões. Faça upgrade para o Cloud Service Mesh 1.14 ou mais recente. |
Médio |
Descrição | Gravidade | Observações |
---|---|---|
O invasor pode usar essa vulnerabilidade para ignorar verificações de autenticação quando ext_authz é usado. O que fazer?Veja se os clusters foram afetadosSeus clusters serão afetados se usarem versões de patch do Cloud Service Mesh anteriores a:
Faça upgrade do cluster para uma das seguintes versões com patch:
Se você estiver usando o Cloud Service Mesh v1.13 ou versões anteriores, a versão atingiu o fim da vida útil e não será mais suportada. Essas correções de CVE não foram compatíveis com outras versões. Faça upgrade para o Cloud Service Mesh 1.14 ou mais recente. |
Médio |
Descrição | Gravidade | Observações |
---|---|---|
A configuração do Envoy também precisa incluir uma opção para adicionar cabeçalhos de solicitação gerados com entradas da solicitação, ou seja, o certificado de peering SAN. O que fazer?Veja se os clusters foram afetadosSeus clusters serão afetados se usarem versões de patch do Cloud Service Mesh anteriores a:
Faça upgrade do cluster para uma das seguintes versões com patch:
Se você estiver usando o Cloud Service Mesh v1.13 ou versões anteriores, a versão atingiu o fim da vida útil e não será mais suportada. Essas correções de CVE não foram compatíveis com outras versões. Faça upgrade para o Cloud Service Mesh 1.14 ou mais recente. |
Alta |
Descrição | Gravidade | Observações |
---|---|---|
Os invasores podem enviar corpos de solicitação grandes para rotas com o filtro Lua ativado e acionar falhas. O que fazer?Veja se os clusters foram afetadosSeus clusters serão afetados se usarem versões de patch do Cloud Service Mesh anteriores a:
Faça upgrade do cluster para uma das seguintes versões com patch:
Se você estiver usando o Cloud Service Mesh v1.13 ou versões anteriores, a versão atingiu o fim da vida útil e não será mais suportada. Essas correções de CVE não foram compatíveis com outras versões. Faça upgrade para o Cloud Service Mesh 1.14 ou mais recente. |
Médio |
Descrição | Gravidade | Observações |
---|---|---|
Os invasores podem enviar solicitações HTTP/2 ou HTTP/3 especificamente criadas para acionar erros de análise no serviço upstream HTTP1. O que fazer?Veja se os clusters foram afetadosSeus clusters serão afetados se usarem versões de patch do Cloud Service Mesh anteriores a:
Faça upgrade do cluster para uma das seguintes versões com patch:
Se você estiver usando o Cloud Service Mesh v1.13 ou versões anteriores, a versão atingiu o fim da vida útil e não será mais suportada. Essas correções de CVE não foram compatíveis com outras versões. Faça upgrade para o Cloud Service Mesh 1.14 ou mais recente. |
Médio |
Descrição | Gravidade | Observações |
---|---|---|
O cabeçalho x-envoy-original-path deve ser um cabeçalho interno, mas o Envoy não remove esse cabeçalho da solicitação no início do processamento da solicitação quando ele é enviado de um cliente não confiável. O que fazer?Veja se os clusters foram afetadosSeus clusters serão afetados se usarem versões de patch do Cloud Service Mesh anteriores a:
Faça upgrade do cluster para uma das seguintes versões com patch:
Se você estiver usando o Cloud Service Mesh v1.13 ou versões anteriores, a versão atingiu o fim da vida útil e não será mais suportada. Essas correções de CVE não foram compatíveis com outras versões. Faça upgrade para o Cloud Service Mesh 1.14 ou mais recente. |
Alta |
GCP-2022-020
Publicação: 05/10/2022Atualizado em 12/10/2022
Atualização de 12/10/2022: atualização do link para a descrição da CVE e adição de informações sobre atualizações automáticas do Cloud Service Mesh gerenciado.
Descrição | Gravidade | Observações |
---|---|---|
O plano de controle do O que fazer?Veja se os clusters foram afetadosSeu cluster será afetado se usar as versões de patch do Cloud Service Mesh anteriores a 1.14.4, 1.13.8 ou 1.12.9. MitigaçãoSe você estiver executando o Cloud Service Mesh autônomo, faça upgrade do cluster para uma das seguintes versões com patch:
Se você estiver executando o Cloud Service Mesh gerenciado, o sistema será atualizado automaticamente nos próximos dias. Se você estiver usando o Cloud Service Mesh v1.11 ou versões anteriores, a versão atingiu o fim da vida útil e não será mais suportada. Essas correções de CVE não foram compatíveis com outras versões. Faça upgrade para o Cloud Service Mesh 1.12 ou mais recente. |
Alta |
GCP
Publicação: 09/06/2022Atualizado em: 10/06/2022
Atualização de 10/06/2022:versões de patch atualizadas do Cloud Service Mesh.
Descrição | Gravidade | Observações |
---|---|---|
O plano de dados do Istio pode acessar a memória de forma não segura quando as extensões de troca de metadados e o Stats estiverem ativadas. O que fazer?Veja se os clusters foram afetadosO cluster será afetado se usar as versões de patch do Cloud Service Mesh anteriores a 1.13.4-asm.4, 1.12.7-asm.2 ou 1.11.8-asm.4. Mitigação do Cloud Service MeshFaça upgrade do cluster para uma das seguintes versões com patch:
Se você estiver usando o Cloud Service Mesh v1.10 ou versões anteriores, a versão atingiu o fim da vida útil e não será mais suportada. Essas correções de CVE não foram compatíveis com outras versões. Faça upgrade para o Cloud Service Mesh 1.11 ou mais recente. Para mais informações, consulte Como fazer upgrade de versões anteriores (GKE) ou Como fazer upgrade de versões anteriores (no local). |
Alta |
Descrição | Gravidade | Observações |
---|---|---|
Os dados poderão exceder os limites intermediários de buffer se um invasor enviar um payload pequeno e altamente compactado, também conhecido como ataque de bomba zip. O que fazer?Veja se os clusters foram afetadosO cluster será afetado se usar as versões de patch do Cloud Service Mesh anteriores a 1.13.4-asm.4, 1.12.7-asm.2 ou 1.11.8-asm.4. O Cloud Service Mesh não oferece suporte a filtros do Envoy, mas é possível que haja impacto se você usar um filtro de descompactação. Mitigação do Cloud Service MeshFaça upgrade do cluster para uma das seguintes versões com patch:
Se você estiver usando o Cloud Service Mesh v1.10 ou versões anteriores, a versão atingiu o fim da vida útil e não será mais suportada. Essas correções de CVE não foram compatíveis com outras versões. Faça upgrade para o Cloud Service Mesh 1.11 ou mais recente. Para mais informações, consulte Como fazer upgrade de versões anteriores (GKE) ou Como fazer upgrade de versões anteriores (no local). Mitigação de EnvoyOs usuários do Envoy que gerenciam os próprios Envoy precisam garantir o uso da versão 1.22.1. Os usuários do Envoy que gerenciam os próprios Envoys criam os binários de uma fonte como o GitHub e os implantam. Não há ações a serem tomadas pelos usuários que executam o Envoy gerenciado (o Google Cloud fornece os binários do Envoy), cujo produto da nuvem mudará para 1.22.1. |
Alta |
Descrição | Gravidade | Observações |
---|---|---|
Possível referência de ponteiro nulo em O que fazer?Veja se os clusters foram afetadosO cluster será afetado se usar as versões de patch do Cloud Service Mesh anteriores a 1.13.4-asm.4, 1.12.7-asm.2 ou 1.11.8-asm.4. Mitigação do Cloud Service MeshFaça upgrade do cluster para uma das seguintes versões com patch:
Se você estiver usando o Cloud Service Mesh v1.10 ou versões anteriores, a versão atingiu o fim da vida útil e não será mais suportada. Essas correções de CVE não foram compatíveis com outras versões. Faça upgrade para o Cloud Service Mesh 1.11 ou mais recente. Para mais informações, consulte Como fazer upgrade de versões anteriores (GKE) ou Como fazer upgrade de versões anteriores (no local). Mitigação de EnvoyOs usuários do Envoy que gerenciam os próprios Envoy precisam garantir o uso da versão 1.22.1. Os usuários do Envoy que gerenciam os próprios Envoys criam os binários de uma fonte como o GitHub e os implantam. Não há ações a serem tomadas pelos usuários que executam o Envoy gerenciado (o Google Cloud fornece os binários do Envoy), cujo produto da nuvem mudará para 1.22.1. |
Médio |
Descrição | Gravidade | Observações |
---|---|---|
O filtro de OAuth permite ignorar itens triviais. O que fazer?Veja se os clusters foram afetadosO cluster será afetado se usar as versões de patch do Cloud Service Mesh anteriores a 1.13.4-asm.4, 1.12.7-asm.2 ou 1.11.8-asm.4. O Cloud Service Mesh não é compatível com filtros do Envoy, mas isso poderá ser afetado se você usar um filtro OAuth. Mitigação do Cloud Service MeshFaça upgrade do cluster para uma das seguintes versões com patch:
Se você estiver usando o Cloud Service Mesh v1.10 ou versões anteriores, a versão atingiu o fim da vida útil e não será mais suportada. Essas correções de CVE não foram compatíveis com outras versões. Faça upgrade para o Cloud Service Mesh 1.11 ou mais recente. Para mais informações, consulte Como fazer upgrade de versões anteriores (GKE) ou Como fazer upgrade de versões anteriores (no local). Mitigação de EnvoyOs usuários do Envoy que gerenciam o próprio Envoy também precisam usar o filtro OAuth para garantir que estão utilizando a versão 1.22.1 do Envoy. Os usuários do Envoy que gerenciam os próprios Envoys criam os binários de uma fonte como o GitHub e os implantam. Não há ações a serem tomadas pelos usuários que executam o Envoy gerenciado (o Google Cloud fornece os binários do Envoy), cujo produto da nuvem mudará para 1.22.1. |
Crítico |
Descrição | Gravidade | Observações |
---|---|---|
O filtro OAuth pode corromper a memória (versões anteriores) ou acionar um ASSERT() (versões posteriores). O que fazer?Veja se os clusters foram afetadosO cluster será afetado se usar as versões de patch do Cloud Service Mesh anteriores a 1.13.4-asm.4, 1.12.7-asm.2 ou 1.11.8-asm.4. O Cloud Service Mesh não é compatível com filtros do Envoy, mas isso poderá ser afetado se você usar um filtro OAuth. Mitigação do Cloud Service MeshFaça upgrade do cluster para uma das seguintes versões com patch:
Se você estiver usando o Cloud Service Mesh v1.10 ou versões anteriores, a versão atingiu o fim da vida útil e não será mais suportada. Essas correções de CVE não foram compatíveis com outras versões. Faça upgrade para o Cloud Service Mesh 1.11 ou mais recente. Mitigação de EnvoyOs usuários do Envoy que gerenciam o próprio Envoy também precisam usar o filtro OAuth para garantir que estão utilizando a versão 1.22.1 do Envoy. Os usuários do Envoy que gerenciam os próprios Envoys criam os binários de uma fonte como o GitHub e os implantam. Não há ações a serem tomadas pelos usuários que executam o Envoy gerenciado (o Google Cloud fornece os binários do Envoy), cujo produto da nuvem mudará para 1.22.1. |
Alta |
Descrição | Gravidade | Observações |
---|---|---|
Redirecionamentos internos falham em solicitações com corpo ou trailers. O que fazer?Veja se os clusters foram afetadosO cluster será afetado se usar as versões de patch do Cloud Service Mesh anteriores a 1.13.4-asm.4, 1.12.7-asm.2 ou 1.11.8-asm.4. Mitigação do Cloud Service MeshFaça upgrade do cluster para uma das seguintes versões com patch:
Se você estiver usando o Cloud Service Mesh v1.10 ou versões anteriores, a versão atingiu o fim da vida útil e não será mais suportada. Essas correções de CVE não foram compatíveis com outras versões. Faça upgrade para o Cloud Service Mesh 1.11 ou mais recente. Para mais informações, consulte Como fazer upgrade de versões anteriores (GKE) ou Como fazer upgrade de versões anteriores (no local). Mitigação de EnvoyOs usuários do Envoy que gerenciam os próprios Envoy precisam garantir o uso da versão 1.22.1. Os usuários do Envoy que gerenciam os próprios Envoys criam os binários de uma fonte como o GitHub e os implantam. Não há ações a serem tomadas pelos usuários que executam o Envoy gerenciado (o Google Cloud fornece os binários do Envoy), cujo produto da nuvem mudará para 1.22.1. |
Alta |
GCP-2022-010
Publicação: 10/03/2022Atualizado em: 16/03/2022
Descrição | Gravidade | Observações |
---|---|---|
O plano de controle do Istio, istiod, é vulnerável a um erro de processamento de solicitação. Isso permite que um invasor mal-intencionado envie uma mensagem especialmente criada para que o plano de controle falhe quando o webhook de validação de um cluster for exposto publicamente. Esse endpoint é exibido na porta TLS 15017, mas não requer autenticação do invasor. O que fazer?Veja se os clusters foram afetadosTodas as versões do Cloud Service Mesh são afetadas por esta CVE. Observação: se você estiver usando um plano de controle gerenciado, essa vulnerabilidade já terá sido corrigida e você não sofrerá nenhum impacto. MitigaçãoFaça upgrade do cluster para uma das seguintes versões com patch:
Se você estiver usando o Cloud Service Mesh v1.9 ou versões anteriores, a versão atingiu o fim da vida útil e não será mais suportada. Essas correções de CVE não foram compatíveis com outras versões. Faça upgrade para o Cloud Service Mesh 1.10 ou mais recente. |
Alta |
GCP-2022-007
Publicado: 22-02-2022Descrição | Gravidade | Observações |
---|---|---|
O Istiod falha ao receber solicitações com um cabeçalho O que fazer?Veja se os clusters foram afetadosSeu cluster será afetado se as duas condições a seguir forem verdadeiras:
Observação: se você estiver usando um plano de controle gerenciado, essa vulnerabilidade já terá sido corrigida e você não sofrerá nenhum impacto. MitigaçãoFaça upgrade do cluster para uma das seguintes versões com patch:
Se você estiver usando o Cloud Service Mesh v1.9 ou versões anteriores, a versão atingiu o fim da vida útil e não será mais suportada. Essas correções de CVE não foram compatíveis com outras versões. Faça upgrade para o Cloud Service Mesh 1.10 ou mais recente. |
Alta |
Descrição | Gravidade | Observações |
---|---|---|
Possível referência nula ao ponteiro usando a correspondência de filtro JWT O que fazer?Veja se os clusters foram afetadosSeu cluster será afetado se as duas condições a seguir forem verdadeiras:
Faça upgrade do cluster para uma das seguintes versões com patch:
Se você estiver usando o Cloud Service Mesh v1.9 ou versões anteriores, a versão atingiu o fim da vida útil e não será mais suportada. Essas correções de CVE não foram compatíveis com outras versões. Faça upgrade para o Cloud Service Mesh 1.10 ou mais recente. |
Médio |
Descrição | Gravidade | Observações |
---|---|---|
Use após a liberação quando os filtros de resposta aumentarem os dados de resposta, e os dados maiores excederem os limites de buffer downstream. O que fazer?Veja se os clusters foram afetadosSeu cluster será afetado se as duas condições a seguir forem verdadeiras:
Faça upgrade do cluster para uma das seguintes versões com patch:
Se você estiver usando o Cloud Service Mesh v1.9 ou versões anteriores, a versão atingiu o fim da vida útil e não será mais suportada. Essas correções de CVE não foram compatíveis com outras versões. Faça upgrade para o Cloud Service Mesh 1.10 ou mais recente. |
Médio |
Descrição | Gravidade | Observações |
---|---|---|
Use após a liberação durante o tunelamento de TCP em HTTP, se o downstream for desconectado durante o estabelecimento da conexão upstream. O que fazer?Veja se os clusters foram afetadosSeu cluster será afetado se as duas condições a seguir forem verdadeiras:
Faça upgrade do cluster para uma das seguintes versões com patch:
Se você estiver usando o Cloud Service Mesh v1.9 ou versões anteriores, a versão atingiu o fim da vida útil e não será mais suportada. Essas correções de CVE não foram compatíveis com outras versões. Faça upgrade para o Cloud Service Mesh 1.10 ou mais recente. |
Médio |
Descrição | Gravidade | Observações |
---|---|---|
O gerenciamento incorreto de configurações permite a reutilização de uma sessão mTLS sem revalidação depois que as configurações de validação são alteradas. O que fazer?Veja se os clusters foram afetadosSeu cluster será afetado se as duas condições a seguir forem verdadeiras:
Faça upgrade do cluster para uma das seguintes versões com patch:
Se você estiver usando o Cloud Service Mesh v1.9 ou versões anteriores, a versão atingiu o fim da vida útil e não será mais suportada. Essas correções de CVE não foram compatíveis com outras versões. Faça upgrade para o Cloud Service Mesh 1.10 ou mais recente. |
Alta |
Descrição | Gravidade | Observações |
---|---|---|
Processamento incorreto de redirecionamentos internos para rotas com uma entrada de resposta direta. O que fazer?Veja se os clusters foram afetadosSeu cluster será afetado se as duas condições a seguir forem verdadeiras:
Faça upgrade do cluster para uma das seguintes versões com patch:
Se você estiver usando o Cloud Service Mesh v1.9 ou versões anteriores, a versão atingiu o fim da vida útil e não será mais suportada. Essas correções de CVE não foram compatíveis com outras versões. Faça upgrade para o Cloud Service Mesh 1.10 ou mais recente. |
Alta |
Descrição | Gravidade | Observações |
---|---|---|
Exaustão da pilha quando um cluster é excluído pelo serviço de descoberta de clusters. O que fazer?Veja se os clusters foram afetadosSeu cluster será afetado se as duas condições a seguir forem verdadeiras:
Faça upgrade do cluster para uma das seguintes versões com patch:
Se você estiver usando o Cloud Service Mesh v1.9 ou versões anteriores, a versão atingiu o fim da vida útil e não será mais suportada. Essas correções de CVE não foram compatíveis com outras versões. Faça upgrade para o Cloud Service Mesh 1.10 ou mais recente. |
Médio |
GCP-2021-016
Publicado: 2021-08-24Descrição | Gravidade | Observações |
---|---|---|
O Istio tem uma vulnerabilidade que pode ser explorada remotamente, em que uma solicitação HTTP com um fragmento (uma seção no final de um URI que começa com um caractere
Por exemplo, uma política de autorização do Istio nega as solicitações enviadas ao caminho de URI Essa correção depende de uma correção no Envoy, que está associada à CVE-2021-32779. O que fazer?Veja se os clusters foram afetadosSeu cluster será afetado se as duas condições a seguir forem verdadeiras:
Faça upgrade do cluster para uma das seguintes versões com patch:
Com as novas versões, a parte do fragmento do URI da solicitação é removida antes da autorização e do roteamento. Isso impede que uma solicitação com um fragmento no URI ignore políticas de autorização baseadas no URI sem a parte do fragmento. DesativarSe você desativar esse novo comportamento, a seção de fragmento no URI será mantida. Para desativar, configure sua instalação da seguinte maneira: apiVersion: install.istio.io/v1alpha1 kind: IstioOperator metadata: name: opt-out-fragment-cve-fix namespace: istio-system spec: meshConfig: defaultConfig: proxyMetadata: HTTP_STRIP_FRAGMENT_FROM_PATH_UNSAFE_IF_DISABLED: "false" Observação: desativar esse comportamento torna seu cluster vulnerável a esse CVE. |
Alta |
Descrição | Gravidade | Observações |
---|---|---|
O Istio tem uma vulnerabilidade que pode ser explorada remotamente, em que uma solicitação HTTP pode ignorar uma política de autorização do Istio ao usar regras baseadas em
Nas versões vulneráveis, a política de autorização do Istio compara os cabeçalhos O que fazer?Veja se os clusters foram afetadosSeu cluster será afetado se as duas condições a seguir forem verdadeiras:
Faça upgrade do cluster para uma das seguintes versões com patch:
Essa mitigação garante que os cabeçalhos HTTP |
Alta |
Descrição | Gravidade | Observações |
---|---|---|
O Envoy contém uma vulnerabilidade que pode ser explorada remotamente e que uma solicitação HTTP com vários cabeçalhos de valor pode fazer uma verificação de política de autorização incompleta quando a extensão O que fazer?Veja se os clusters foram afetadosSeu cluster será afetado se as duas condições a seguir forem verdadeiras:
Faça upgrade do cluster para uma das seguintes versões com patch:
|
Alta |
Descrição | Gravidade | Observações |
---|---|---|
O Envoy contém uma vulnerabilidade que pode ser explorada remotamente e afeta as extensões O que fazer?Veja se os clusters foram afetadosSeu cluster será afetado se as duas condições a seguir forem verdadeiras:
Faça upgrade do cluster para uma das seguintes versões com patch:
|
Alta |
Descrição | Gravidade | Observações |
---|---|---|
O Envoy contém uma vulnerabilidade remotamente explorada, em que uma abertura de cliente do Envoy e, em seguida, redefinir um grande número de solicitações HTTP/2 pode levar ao consumo excessivo da CPU. O que fazer?Veja se os clusters foram afetadosSeu cluster será afetado se usar as versões de patch do Cloud Service Mesh anteriores a 1.7.8-asm.10, 1.8.6-asm.8, 1.9.8-asm.1 e 1.10.4-asm.6. MitigaçãoFaça upgrade do cluster para uma das seguintes versões com patch:
Observação: se você estiver usando o Cloud Service Mesh 1.8 ou anterior, faça upgrade para as versões de patch mais recentes do Cloud Service Mesh 1.9 e mais recentes para reduzir essa vulnerabilidade. |
Alta |
Descrição | Gravidade | Observações |
---|---|---|
O Envoy contém uma vulnerabilidade que pode ser explorada remotamente, em que um serviço upstream não confiável pode fazer com que o Envoy seja encerrado de maneira anormal, enviando o frame O que fazer?Veja se os clusters foram afetadosO cluster será afetado se usar o Cloud Service Mesh 1.10 com uma versão de patch anterior à 1.10.4-asm.6. MitigaçãoFaça upgrade do cluster para a seguinte versão de patch:
|
Alta |
GCP-2021-012
Publicado: 2021-06-24Descrição | Gravidade | Observações |
---|---|---|
O
Normalmente, uma implantação de gateway ou carga de trabalho só consegue acessar certificados TLS e chaves privadas
armazenadas no secret dentro do namespace. No entanto, um bug em O que devo fazer?Veja se os clusters foram afetadosSeu cluster será afetado se TODAS as condições a seguir forem verdadeiras:
Faça upgrade do cluster para uma das seguintes versões com patch:
Se não for possível fazer um upgrade, reduza essa vulnerabilidade desativando o armazenamento em cache do istiod .
É possível desativar o armazenamento em cache definindo a variável de ambiente istiod como
PILOT_ENABLE_XDS_CACHE=false . O desempenho do sistema e do istiod pode ser
afetado porque isso desativa o armazenamento em cache do XDS.
|
Alta |
GCP-2021-008
Publicado: 17/05/2021Descrição | Gravidade | Observações |
---|---|---|
O Istio tem uma vulnerabilidade que pode ser explorada remotamente, em que um cliente externo pode acessar serviços inesperados no cluster, ignorando as verificações de autorização, quando um gateway está configurado com a configuração de roteamento AUTO_PASSTHROUGH. O que fazer?Veja se os clusters foram afetadosEssa vulnerabilidade afeta somente o uso do tipo de gateway AUTO_PASSTHROUGH, que normalmente é usado apenas em implantações de vários clusters e várias redes. Detecte o modo TLS de todos os gateways no cluster com o seguinte comando: kubectl get gateways.networking.istio.io -A -o \ "custom-columns=NAMESPACE:.metadata.namespace, \ NAME:.metadata.name,TLS_MODE:.spec.servers[*].tls.mode" Se a saída mostrar quaisquer gateways AUTO_PASSTHROUGH, você poderá ser afetado. MitigaçãoAtualize seus clusters para as versões mais recentes do Cloud Service Mesh:
* Observação: o lançamento do plano de controle gerenciado do Cloud Service Mesh (disponível apenas nas versões 1.9.x) será concluído nos próximos dias. |
Alta |
GCP-2021-007
Publicado: 17/05/2021Descrição | Gravidade | Observações |
---|---|---|
O Istio tem uma vulnerabilidade que pode ser explorada remotamente, em que um caminho de solicitação HTTP com várias barras ou caracteres de barra de escape (%2F ou %5C) tem a possibilidade de ignorar uma política de autorização do Istio quando regras de autorização baseadas em caminho forem usadas.
Em um cenário em que um administrador de cluster do Istio define uma política DENY de autorização para
rejeitar a solicitação no caminho
De acordo com a
RFC 3986,
o caminho O que fazer?Veja se os clusters foram afetadosSeu cluster será afetado por essa vulnerabilidade se você tiver políticas de autorização que usam os padrões "ALLOW action + notPaths field" ou "DENY action + paths field". Esses padrões são vulneráveis aos desvios inesperados da política, e você precisa fazer o upgrade para corrigir o problema de segurança o mais rápido possível. O exemplo a seguir mostra uma política vulnerável que usa o padrão "DENY action + paths field": apiVersion: security.istio.io/v1beta1 kind: AuthorizationPolicy metadata: name: deny-path-admin spec: action: DENY rules: - to: - operation: paths: ["/admin"] Veja a seguir outro exemplo de política vulnerável que usa o padrão "ALLOW action + notPaths field": apiVersion: security.istio.io/v1beta1 kind: AuthorizationPolicy metadata: name: allow-path-not-admin spec: action: ALLOW rules: - to: - operation: notPaths: ["/admin"] O cluster não será afetado por essa vulnerabilidade nestas situações:
Nesses casos, o upgrade é opcional. Atualize seus clusters para as versões mais recentes do Cloud Service Mesh*. Estas versões são compatíveis com a configuração dos proxies do Envoy no sistema com mais opções de normalização:
* Observação: o lançamento do plano de controle gerenciado do Cloud Service Mesh (disponível apenas nas versões 1.9.x) será concluído nos próximos dias. Siga o guia de práticas recomendadas de segurança do Istio para configurar políticas de autorização. |
Alta |
GCP-2021-004
Publicado: 06/05/2021Descrição | Gravidade | Observações |
---|---|---|
Recentemente, os projetos do Envoy e do Istio anunciaram várias vulnerabilidades de segurança (CVE-2021-28682, CVE-2021-28683 e CVE-2021-29258), que poderiam permitir que um invasor derrubasse o Envoy e possivelmente renderizasse partes do cluster off-line e inacessíveis. Isso afeta serviços entregues, como o Cloud Service Mesh. O que devo fazer?Para corrigir essas vulnerabilidades, faça upgrade do pacote do Cloud Service Mesh para uma das seguintes versões com patch:
Para mais informações, consulte as notas da versão do Cloud Service Mesh. |
Alta |