Bulletins de sécurité

Utilisez ce flux XML pour vous abonner aux bulletins de sécurité de Cloud Service Mesh. S'abonner

Cette page répertorie les bulletins de sécurité pour Cloud Service Mesh.

GCP-2024-052

Description Gravité Remarques

Plantage de oghttp2 sur OnBeginHeadersForStream

Que dois-je faire ?

Vérifiez si vos clusters sont affectés.

Seuls les clusters exécutant Cloud Service Mesh v1.23 sont concernés.

Atténuation

Cloud Service Mesh 1.23.2-asm.2 contient le correctif pour ce problème. Aucune action n'est requise.

Élevée

CVE-2024-45807

Description Gravité Remarques

Injection de journaux malveillants via des journaux d'accès

Que dois-je faire ?

Vérifiez si vos clusters sont affectés.

Toutes les versions de Cloud Service Mesh sont affectées par cette faille CVE.

Atténuation

Mettez à niveau votre cluster vers l'une des versions corrigées suivantes :

  • 1.20.8-asm.7
  • 1.21.5-asm.7
  • 1.22.5-asm.1
  • 1.23.2-asm.2

Moyenne

CVE-2024-45808

Description Gravité Remarques

Possibilité de manipuler les en-têtes "x-envoy" à partir de sources externes

Que dois-je faire ?

Vérifiez si vos clusters sont affectés.

Toutes les versions de Cloud Service Mesh sont affectées par cette faille CVE.

Atténuation

Mettez à niveau votre cluster vers l'une des versions corrigées suivantes :

  • 1.20.8-asm.7
  • 1.21.5-asm.7
  • 1.22.5-asm.1
  • 1.23.2-asm.2

Moyenne

CVE-2024-45806

Description Gravité Remarques

Plantage du filtre JWT dans le cache de routage clair avec des clés publiques JWKS distantes

Que dois-je faire ?

Vérifiez si vos clusters sont affectés.

Toutes les versions de Cloud Service Mesh sont affectées par cette faille CVE.

Atténuation

Mettez à niveau votre cluster vers l'une des versions corrigées suivantes :

  • 1.20.8-asm.7
  • 1.21.5-asm.7
  • 1.22.5-asm.1
  • 1.23.2-asm.2

Moyenne

CVE-2024-45809

Description Gravité Remarques

Envoy plante pour LocalRépondre dans le client asynchrone HTTP

Que dois-je faire ?

Vérifiez si vos clusters sont affectés.

Toutes les versions de Cloud Service Mesh sont affectées par cette faille CVE.

Atténuation

Mettez à niveau votre cluster vers l'une des versions corrigées suivantes :

  • 1.20.8-asm.7
  • 1.21.5-asm.7
  • 1.22.5-asm.1
  • 1.23.2-asm.2

Moyenne

CVE-2024-45810

GCP-2024-032

Description Gravité Remarques

Envoy accepte de manière incorrecte la réponse HTTP 200 pour passer en mode de mise à niveau.

Que dois-je faire ?

Vérifiez si vos clusters sont affectés.

Toutes les versions de Cloud Service Mesh sont affectées par cette faille CVE.

Atténuation

Si vous exécutez Cloud Service Mesh géré, votre système sera automatiquement mis à jour dans les prochains jours.

Sinon, mettez à niveau votre cluster vers l'une des versions corrigées suivantes:

  • v1.21.3-asm.3
  • v1.20.7-asm.2
  • v1.19.10-asm.6
  • v1.18.7-asm.26
  • Si vous utilisez Cloud Service Mesh v1.17 ou une version antérieure, votre version a atteint sa fin de vie et n'est plus compatible. Ces correctifs CVE n'ont pas été rétroportés. Vous devez passer à Cloud Service Mesh 1.18 ou version ultérieure.

Moyenne

CVE-2024-23326

Description Gravité Remarques

Plantage dans EnvoyQuicServerStream::OnInitialHeadersComplete().

Que dois-je faire ?

Vérifiez si vos clusters sont affectés.

Toutes les versions de Cloud Service Mesh sont affectées par cette faille CVE.

Atténuation

Si vous exécutez Cloud Service Mesh géré, votre système sera automatiquement mis à jour dans les prochains jours.

Sinon, mettez à niveau votre cluster vers l'une des versions corrigées suivantes:

  • v1.21.3-asm.3
  • v1.20.7-asm.2
  • v1.19.10-asm.6
  • v1.18.7-asm.26
  • Si vous utilisez Cloud Service Mesh v1.17 ou une version antérieure, votre version a atteint sa fin de vie et n'est plus compatible. Ces correctifs CVE n'ont pas été rétroportés. Vous devez passer à Cloud Service Mesh 1.18 ou version ultérieure.

Moyenne

CVE-2024-32974

Description Gravité Remarques

Plantage dans QuicheDataReader::PeekVarInt62Length().

Que dois-je faire ?

Vérifiez si vos clusters sont affectés.

Toutes les versions de Cloud Service Mesh sont affectées par cette faille CVE.

Atténuation

Si vous exécutez Cloud Service Mesh géré, votre système sera automatiquement mis à jour dans les prochains jours.

Sinon, mettez à niveau votre cluster vers l'une des versions corrigées suivantes :

  • v1.21.3-asm.3
  • v1.20.7-asm.2
  • v1.19.10-asm.6
  • v1.18.7-asm.26
  • Si vous utilisez Cloud Service Mesh v1.17 ou une version antérieure, votre version a atteint sa fin de vie et n'est plus compatible. Ces correctifs CVE n'ont pas été rétroportés. Vous devez passer à Cloud Service Mesh 1.18 ou version ultérieure.

Moyenne

CVE-2024-32975

Description Gravité Remarques

Boucle infinie lors de la décompression des données Brotli avec une entrée supplémentaire.

Que dois-je faire ?

Vérifiez si vos clusters sont affectés.

Toutes les versions de Cloud Service Mesh sont affectées par cette faille CVE.

Atténuation

Si vous exécutez Cloud Service Mesh géré, votre système sera automatiquement mis à jour dans les prochains jours.

Sinon, mettez à niveau votre cluster vers l'une des versions corrigées suivantes :

  • v1.21.3-asm.3
  • v1.20.7-asm.2
  • v1.19.10-asm.6
  • v1.18.7-asm.26
  • Si vous utilisez Cloud Service Mesh v1.17 ou une version antérieure, votre version a atteint sa fin de vie et n'est plus compatible. Ces correctifs CVE n'ont pas été rétroportés. Vous devez passer à Cloud Service Mesh 1.18 ou version ultérieure.

Élevée

CVE-2024-32976

Description Gravité Remarques

Plantage (utilisation après libération) dans EnvoyQuicServerStream.

Que dois-je faire ?

Vérifiez si vos clusters sont affectés.

Toutes les versions de Cloud Service Mesh sont affectées par cette faille CVE.

Atténuation

Si vous exécutez Cloud Service Mesh géré, votre système sera automatiquement mis à jour dans les prochains jours.

Sinon, mettez à niveau votre cluster vers l'une des versions corrigées suivantes :

  • v1.21.3-asm.3
  • v1.20.7-asm.2
  • v1.19.10-asm.6
  • v1.18.7-asm.26
  • Si vous utilisez Cloud Service Mesh v1.17 ou une version antérieure, votre version a atteint sa fin de vie et n'est plus compatible. Ces correctifs CVE n'ont pas été rétroportés. Vous devez passer à Cloud Service Mesh 1.18 ou version ultérieure.

Moyenne

CVE-2024-34362

Description Gravité Remarques

Plantage en raison d'une exception JSON nlohmann non détectée.

Que dois-je faire ?

Vérifiez si vos clusters sont affectés.

Toutes les versions de Cloud Service Mesh sont affectées par cette faille CVE.

Atténuation

Si vous exécutez Cloud Service Mesh géré, votre système sera automatiquement mis à jour dans les prochains jours.

Sinon, mettez à niveau votre cluster vers l'une des versions corrigées suivantes :

  • v1.21.3-asm.3
  • v1.20.7-asm.2
  • v1.19.10-asm.6
  • v1.18.7-asm.26
  • Si vous utilisez Cloud Service Mesh v1.17 ou une version antérieure, votre version a atteint sa fin de vie et n'est plus compatible. Ces correctifs CVE n'ont pas été rétroportés. Vous devez passer à Cloud Service Mesh 1.18 ou version ultérieure.

Élevée

CVE-2024-34363

Description Gravité Remarques

Vecteur OOM Envoy à partir du client asynchrone HTTP avec un tampon de réponse illimité pour la réponse miroir.

Que dois-je faire ?

Vérifiez si vos clusters sont affectés.

Toutes les versions de Cloud Service Mesh sont affectées par cette faille CVE.

Atténuation

Si vous exécutez Cloud Service Mesh géré, votre système sera automatiquement mis à jour dans les prochains jours.

Sinon, mettez à niveau votre cluster vers l'une des versions corrigées suivantes :

  • v1.21.3-asm.3
  • v1.20.7-asm.2
  • v1.19.10-asm.6
  • v1.18.7-asm.26
  • Si vous utilisez Cloud Service Mesh v1.17 ou une version antérieure, votre version a atteint sa fin de vie et n'est plus compatible. Ces correctifs CVE n'ont pas été rétroportés. Vous devez passer à Cloud Service Mesh 1.18 ou version ultérieure.

Moyenne

CVE-2024-34364

GCP-2024-023

Date de publication:24/04/2024

Description Gravité Remarques

HTTP/2 : épuisement de la mémoire en raison d'une inondation de trames CONTINUATION.

Que dois-je faire ?

Vérifiez si vos clusters sont affectés.

Toutes les versions de Cloud Service Mesh sont affectées par cette faille CVE.

Atténuation

Si vous exécutez Cloud Service Mesh géré, aucune action n'est requise. Votre système sera automatiquement mis à jour dans les prochains jours.

Si vous exécutez Cloud Service Mesh intégré au cluster, vous devez mettre à niveau votre cluster vers l'une des versions corrigées suivantes :

  • 1.20.6-asm.0
  • 1.19.10-asm.0
  • 1.18.7-asm.21

Si vous utilisez Cloud Service Mesh v1.17 ou une version antérieure, votre version est arrivée en fin de vie et n'est plus pris en charge. Ces correctifs CVE n'ont pas été rétroportés. Vous devez passer à Cloud Service Mesh v1.18 ou version ultérieure.

Élevée

CVE-2024-27919

Description Gravité Remarques

HTTP/2: épuisement du processeur en raison d'une saturation de la trame CONTINUATION

Que dois-je faire ?

Vérifiez si vos clusters sont affectés.

Toutes les versions de Cloud Service Mesh sont affectées par cette faille CVE.

Atténuation

Si vous exécutez Cloud Service Mesh géré, aucune action n'est requise. Votre système sera automatiquement mis à jour dans les prochains jours.

Si vous exécutez Cloud Service Mesh intégré au cluster, vous devez mettre à niveau votre cluster vers l'une des versions corrigées suivantes :

  • 1.20.6-asm.0
  • 1.19.10-asm.0
  • 1.18.7-asm.21

Si vous utilisez Cloud Service Mesh v1.17 ou une version antérieure, votre version est arrivée en fin de vie et n'est plus pris en charge. Ces correctifs CVE n'ont pas été rétroportés. Vous devez effectuer une mise à niveau vers Cloud Service Mesh 1.18 ou une version ultérieure.

Moyenne

CVE-2024-30255

Description Gravité Remarques

Arrêt anormal lors de l'utilisation de auto_sni avec un en-tête ':authority' de plus de 255 caractères.

Que dois-je faire ?

Vérifiez si vos clusters sont affectés.

Toutes les versions de Cloud Service Mesh sont affectées par cette faille CVE.

Atténuation

Si vous exécutez Cloud Service Mesh géré, aucune action n'est requise. Votre système sera automatiquement mis à jour dans les prochains jours.

Si vous exécutez Cloud Service Mesh intégré au cluster, vous devez mettre à niveau votre cluster vers l'une des versions corrigées suivantes :

  • 1.20.6-asm.0
  • 1.19.10-asm.0
  • 1.18.7-asm.21

Si vous utilisez Cloud Service Mesh v1.17 ou une version antérieure, votre version est arrivée en fin de vie et est n'est plus pris en charge. Ces correctifs CVE n'ont pas été rétroportés. Vous devez effectuer une mise à niveau vers Cloud Service Mesh 1.18 ou une version ultérieure.

Élevée

CVE-2024-32475

Description Gravité Remarques

Les trames HTTP/2 CONTINUATION peuvent être utilisées pour les attaques DoS.

Que dois-je faire ?

Vérifiez si vos clusters sont affectés.

Toutes les versions de Cloud Service Mesh sont affectées par cette faille CVE.

Atténuation

Si vous exécutez Cloud Service Mesh géré, aucune action n'est requise. Votre système sera automatiquement mis à jour dans les prochains jours.

Si vous exécutez Cloud Service Mesh intégré au cluster, vous devez mettre à niveau votre cluster vers l'une des versions corrigées suivantes :

  • 1.20.6-asm.0
  • 1.19.10-asm.0
  • 1.18.7-asm.21

Si vous utilisez Cloud Service Mesh v1.17 ou une version antérieure, votre version a atteint sa fin de vie et n'est plus pris en charge. Ces correctifs CVE n'ont pas été rétroportés. Vous devez effectuer la mise à niveau à la version 1.18 ou ultérieure.

Non fourni

CVE-2023-45288

GCP-2024-007

Date de publication:08/02/2024

Description Gravité Remarques

Envoy plante lorsqu'il est inactif et que le délai avant expiration des requêtes par essai se produit dans l'intervalle d'intervalle entre les tentatives.

Que dois-je faire ?

Si vous exécutez Cloud Service Mesh géré, aucune action n'est requise. Votre système sera automatiquement mis à jour dans les prochains jours.

Si vous exécutez Cloud Service Mesh dans le cluster, vous devez mettre à niveau votre cluster vers un des versions corrigées suivantes:

  • 1.20.3-asm.4
  • 1.19.7-asm.3
  • 1.18.7-asm.4
  • 1.17.8-asm.20

Si vous utilisez Anthos Service Mesh v1.17 ou une version antérieure, votre version a atteint la fin de et n'est plus prise en charge. Bien que ces correctifs CVE aient été rétroportés vers la version 1.17, nous vous recommandons de passer à la version 1.18 ou ultérieure.

Élevée

CVE-2024-23322

Description Gravité Remarques

Utilisation excessive du processeur lorsque le moteur de correspondance de modèles d'URI est configuré à l'aide d'une expression régulière.

Que dois-je faire ?

Si vous exécutez Cloud Service Mesh géré, aucune action n'est requise. Votre système sera automatiquement mis à jour dans les prochains jours.

Si vous exécutez Cloud Service Mesh dans le cluster, vous devez mettre à niveau votre cluster vers un des versions corrigées suivantes:

  • 1.20.3-asm.4
  • 1.19.7-asm.3
  • 1.18.7-asm.4
  • 1.17.8-asm.20

Si vous utilisez Anthos Service Mesh v1.17 ou une version antérieure, votre version est arrivée en fin de vie et n'est plus prise en charge. Bien que ces correctifs CVE aient été rétroportés vers la version 1.17, nous vous recommandons de passer à la version 1.18 ou ultérieure.

Moyenne

CVE-2024-23323

Description Gravité Remarques

L'autorisation externe peut être contournée lorsque le filtre de protocole proxy définit des métadonnées UTF-8 non valides.

Que dois-je faire ?

Si vous exécutez Cloud Service Mesh géré, aucune action n'est requise. Votre système sera automatiquement mis à jour dans les prochains jours.

Si vous exécutez Cloud Service Mesh dans le cluster, vous devez mettre à niveau votre cluster vers un des versions corrigées suivantes:

  • 1.20.3-asm.4
  • 1.19.7-asm.3
  • 1.18.7-asm.4
  • 1.17.8-asm.20

Si vous utilisez Anthos Service Mesh v1.17 ou une version antérieure, votre version a atteint la fin de et n'est plus prise en charge. Bien que ces correctifs CVE aient été rétroportés vers la version 1.17, nous vous recommandons de passer à la version 1.18 ou ultérieure.

Élevée

CVE-2024-23324

Description Gravité Remarques

Envoy plante lorsque vous utilisez un type d'adresse non compatible avec l'OS.

Que dois-je faire ?

Si vous exécutez Cloud Service Mesh géré, aucune action n'est requise. Votre système sera automatiquement mis à jour dans les prochains jours.

Si vous exécutez Cloud Service Mesh dans le cluster, vous devez mettre à niveau votre cluster vers un des versions corrigées suivantes:

  • 1.20.3-asm.4
  • 1.19.7-asm.3
  • 1.18.7-asm.4
  • 1.17.8-asm.20

Si vous utilisez Anthos Service Mesh v1.17 ou une version antérieure, votre version a atteint la fin de et n'est plus prise en charge. Bien que ces correctifs CVE aient été rétroportés vers la version 1.17, nous vous recommandons de passer à la version 1.18 ou ultérieure.

Élevée

CVE-2024-23325

Description Gravité Remarques

Plantage dans le protocole de proxy lorsque le type de commande est LOCAL.

Que dois-je faire ?

Si vous exécutez Cloud Service Mesh géré, aucune action n'est requise. Votre système sera automatiquement mis à jour dans les prochains jours.

Si vous exécutez Cloud Service Mesh dans le cluster, vous devez mettre à niveau votre cluster vers un des versions corrigées suivantes:

  • 1.20.3-asm.4
  • 1.19.7-asm.3
  • 1.18.7-asm.4
  • 1.17.8-asm.20

Si vous utilisez Anthos Service Mesh v1.17 ou une version antérieure, votre version a atteint la fin de et n'est plus prise en charge. Bien que ces correctifs CVE aient été rétroportés vers la version 1.17, nous vous recommandons de passer à la version 1.18 ou ultérieure.

Élevée

CVE-2024-23327

GCP-2023-031

Publié : 10/10/2023

Description Gravité Remarques

Une attaque de déni de service peut affecter le plan de données lorsque vous utilisez le protocole HTTP/2.

Que dois-je faire ?

Vérifiez si vos clusters sont affectés.

Votre cluster est affecté s'il utilise des versions de correctif Cloud Service Mesh antérieures à 1.18.4, 1.17.7 ou 1.16.7.

Atténuation

Mettez à niveau votre cluster vers l'une des versions corrigées suivantes :

  • 1.18.4-asm.0
  • 1.17.7-asm.0
  • 1.16.7-asm.10

Si vous exécutez Cloud Service Mesh géré, votre système sera automatiquement mis à jour dans les prochains jours.

Si vous utilisez Cloud Service Mesh v1.15 ou une version antérieure, votre version est arrivée en fin de vie et n'est plus prise en charge. Ces correctifs CVE n'ont pas été rétroportés. Vous devez mettre à niveau vers la version 1.16 ou une version ultérieure.

Élevée

CVE-2023-44487

GCP-2023-021

Mise à jour : 26/07/2023

Date de publication : 25/07/2022
Description Gravité Remarques

Un client malveillant est capable de créer des identifiants avec une validité permanente dans certains scénarios spécifiques. Par exemple, la combinaison de l'hôte et de l'heure d'expiration dans la charge utile HMAC peut toujours être valide dans la vérification HMAC du filtre OAuth2.

Que dois-je faire ?

Vérifiez si vos clusters sont affectés.

Votre cluster est affecté s'il utilise des versions du correctif Cloud Service Mesh antérieures à

  • 1.17.4
  • 1.16.6
  • 1.15.7
Atténuation

Mettez à niveau votre cluster vers l'une des versions corrigées suivantes :

  • 1.17.5-asm.0
  • 1.16.7-asm.0
  • 1.15.7-asm.23

Si vous exécutez Cloud Service Mesh géré, votre système sera automatiquement mis à jour dans les prochains jours.

Si vous utilisez Anthos Service Mesh 1.14 ou une version antérieure, votre version est arrivée en fin de vie et n'est plus prise en charge. Ces correctifs CVE n'ont pas été rétroportés. Vous devez passer à ASM 1.15 ou version ultérieure.

Élevée

CVE-2023-35941

Description Gravité Remarques

Les journaux d'accès gRPC qui utilisent le champ d'application global de l'écouteur peuvent provoquer un plantage d'utilisation après libération lorsque l'écouteur est vidé. Cela peut être déclenché par une mise à jour du LDS avec la même configuration du journal des accès gRPC.

Que dois-je faire ?

Vérifiez si vos clusters sont affectés.

Votre cluster est affecté s'il utilise des versions du correctif Cloud Service Mesh antérieures à

  • 1.17.4
  • 1.16.6
  • 1.15.7
Atténuation

Mettez à niveau votre cluster vers l'une des versions corrigées suivantes :

  • 1.17.5-asm.0
  • 1.16.7-asm.0
  • 1.15.7-asm.23

Si vous exécutez Cloud Service Mesh géré, votre système sera automatiquement mis à jour dans les prochains jours.

Si vous utilisez Anthos Service Mesh 1.14 ou une version antérieure, votre version est arrivée en fin de vie et n'est plus prise en charge. Ces correctifs CVE n'ont pas été rétroportés. Vous devez effectuer une mise à niveau vers ASM 1.15 ou une version ultérieure.

Moyenne

CVE-2023-35942

Description Gravité Remarques

Si l'en-tête origin est configuré pour être supprimé avec request_headers_to_remove: origin, le filtre CORS générera un segfault et plantera Envoy.

Que dois-je faire ?

Vérifiez si vos clusters sont affectés.

Votre cluster est affecté s'il utilise des versions du correctif Cloud Service Mesh antérieures à

  • 1.17.4
  • 1.16.6
  • 1.15.7
Atténuation

Mettez à niveau votre cluster vers l'une des versions corrigées suivantes :

  • 1.17.5-asm.0
  • 1.16.7-asm.0
  • 1.15.7-asm.23

Si vous exécutez Cloud Service Mesh géré, votre système sera automatiquement mis à jour dans les prochains jours.

Si vous utilisez Anthos Service Mesh 1.14 ou une version antérieure, votre version est arrivée en fin de vie et n'est plus prise en charge. Ces correctifs CVE n'ont pas été rétroportés. Vous devez effectuer une mise à niveau vers ASM 1.15 ou une version ultérieure.

Moyenne

CVE-2023-35943

Description Gravité Remarques

Les pirates informatiques peuvent envoyer des requêtes de schémas mixtes pour contourner certaines vérifications de schéma dans Envoy. Par exemple, si une requête avec un schéma mixte htTp est envoyée au filtre OAuth2, les vérifications de correspondance exacte pour http échoueront et le point de terminaison distant sera informé que le schéma est https, ce qui peut contourner les vérifications OAuth2 spécifiques aux requêtes HTTP.

Que dois-je faire ?

Vérifiez si vos clusters sont affectés.

Votre cluster est affecté s'il utilise des versions du correctif Cloud Service Mesh antérieures à

  • 1.17.4
  • 1.16.6
  • 1.15.7
Atténuation

Mettez à niveau votre cluster vers l'une des versions corrigées suivantes :

  • 1.17.5-asm.0
  • 1.16.7-asm.0
  • 1.15.7-asm.23

Si vous exécutez Cloud Service Mesh géré, votre système sera automatiquement mis à jour dans les prochains jours.

Si vous utilisez Anthos Service Mesh 1.14 ou une version antérieure, votre version est arrivée en fin de vie et n'est plus prise en charge. Ces correctifs CVE n'ont pas été rétroportés. Vous devez passer à ASM 1.15 ou version ultérieure.

Élevée

CVE-2023-35944

GCP-2023-019

Description Gravité Remarques

Une réponse spécifiquement conçue par un service en amont non approuvé peut entraîner un refus de en cas d'épuisement de la mémoire. Cela est dû au codec HTTP/2 d'Envoy, qui peut fuir une carte d'en-tête et des structures de comptabilité lors de la réception de RST_STREAM immédiatement suivie des trames GOAWAY d'un serveur en amont.

Que dois-je faire ?

Vérifiez si vos clusters sont affectés.

Votre cluster est affecté s'il utilise des versions du correctif Cloud Service Mesh antérieures à

  • 1.17.4
  • 1.16.6
  • 1.15.7
Atténuation

Mettez à niveau votre cluster vers l'une des versions corrigées suivantes :

  • 1.17.4-asm.2
  • 1.16.6-asm.3
  • 1.15.7-asm.21

Si vous exécutez Cloud Service Mesh géré, votre système sera automatiquement mis à jour dans les prochains jours.

Si vous utilisez Anthos Service Mesh 1.14 ou une version antérieure, votre version est arrivée en fin de vie et n'est plus prise en charge. Ces correctifs CVE n'ont pas été rétroportés. Vous devez passer à ASM 1.15 ou version ultérieure.

Élevée

CVE-2023-35945

GCP-2023-002

Description Gravité Remarques

Si Envoy s'exécute avec le filtre OAuth activé et exposé, un acteur malveillant peut créer une requête qui entraînera un déni de service en faisant planter Envoy.

Que dois-je faire ?

Vérifiez si vos clusters sont affectés.

Vos clusters sont affectés s'ils utilisent des versions de correctif Cloud Service Mesh antérieures aux suivantes :

  • 1.16.4
  • 1.15.7
  • 1.14.6
Atténuation

Mettez à niveau votre cluster vers l'une des versions corrigées suivantes :

  • 1.16.4-asm.2
  • 1.15.7-asm.1
  • 1.14.6-asm.11

Si vous utilisez Cloud Service Mesh v1.13 ou une version antérieure, votre version a atteint sa fin de vie et n'est plus compatible. Ces correctifs CVE n'ont pas été rétroportés. Vous devez passer à Cloud Service Mesh 1.14 ou version ultérieure.

Moyenne

CVE-2023-27496

Description Gravité Remarques

Le pirate informatique peut exploiter cette faille pour contourner les vérifications d'authentification lorsque ext_authz est utilisé.

Que dois-je faire ?

Vérifiez si vos clusters sont affectés.

Vos clusters sont affectés s'ils utilisent des versions de correctif Cloud Service Mesh antérieures aux suivantes :

  • 1.16.4
  • 1.15.7
  • 1.14.6
Atténuation

Mettez à niveau votre cluster vers l'une des versions corrigées suivantes :

  • 1.16.4-asm.2
  • 1.15.7-asm.1
  • 1.14.6-asm.11

Si vous utilisez Cloud Service Mesh v1.13 ou une version antérieure, votre version a atteint sa fin de vie et n'est plus compatible. Ces correctifs CVE n'ont pas été rétroportés. Vous devez passer à Cloud Service Mesh} 1.14 ou version ultérieure.

Moyenne

CVE-2023-27488

Description Gravité Remarques

La configuration d'Envoy doit également inclure une option permettant d'ajouter des en-têtes de requête générés à l'aide des entrées de la requête, c'est-à-dire le SAN du certificat de pair.

Que dois-je faire ?

Vérifiez si vos clusters sont affectés.

Vos clusters sont affectés s'ils utilisent des versions de correctif Cloud Service Mesh antérieures aux suivantes :

  • 1.16.4
  • 1.15.7
  • 1.14.6
Atténuation

Mettez à niveau votre cluster vers l'une des versions corrigées suivantes :

  • 1.16.4-asm.2
  • 1.15.7-asm.1
  • 1.14.6-asm.11

Si vous utilisez Cloud Service Mesh v1.13 ou une version antérieure, votre version est arrivée en fin de vie et n'est plus prise en charge. Ces correctifs CVE n'ont pas été rétroportés. Vous devez passer à Cloud Service Mesh 1.14 ou version ultérieure.

Élevée

CVE-2023-27493

Description Gravité Remarques

Les pirates informatiques peuvent envoyer de grands corps de requête pour les routes pour lesquelles le filtre Lua est activé et déclencher des plantages.

Que dois-je faire ?

Vérifiez si vos clusters sont affectés.

Vos clusters sont affectés s'ils utilisent des versions de correctif Cloud Service Mesh antérieures aux suivantes :

  • 1.16.4
  • 1.15.7
  • 1.14.6
Atténuation

Mettez à niveau votre cluster vers l'une des versions corrigées suivantes :

  • 1.16.4-asm.2
  • 1.15.7-asm.1
  • 1.14.6-asm.11

Si vous utilisez Cloud Service Mesh v1.13 ou une version antérieure, votre version a atteint sa fin de vie et n'est plus compatible. Ces correctifs CVE n'ont pas été rétroportés. Vous devez passer à Cloud Service Mesh 1.14 ou version ultérieure.

Moyenne

CVE-2023-27492

Description Gravité Remarques

Les pirates informatiques peuvent envoyer des requêtes HTTP/2 ou HTTP/3 spécialement conçues pour déclencher des erreurs d'analyse sur le service HTTP/1 en amont.

Que dois-je faire ?

Vérifiez si vos clusters sont affectés.

Vos clusters sont affectés s'ils utilisent des versions de correctif Cloud Service Mesh antérieures aux suivantes :

  • 1.16.4
  • 1.15.7
  • 1.14.6
Atténuation

Mettez à niveau votre cluster vers l'une des versions corrigées suivantes :

  • 1.16.4-asm.2
  • 1.15.7-asm.1
  • 1.14.6-asm.11

Si vous utilisez Cloud Service Mesh v1.13 ou une version antérieure, votre version a atteint sa fin de vie et n'est plus compatible. Ces correctifs CVE n'ont pas été rétroportés. Vous devez passer à Cloud Service Mesh 1.14 ou version ultérieure.

Moyenne

CVE-2023-27491

Description Gravité Remarques

L'en-tête x-envoy-original-path doit être un en-tête interne, mais Envoy ne le supprime pas de la requête au début du traitement de celle-ci lorsqu'elle est envoyée par un client non approuvé.

Que dois-je faire ?

Vérifiez si vos clusters sont affectés.

Vos clusters sont affectés s'ils utilisent des versions de correctif Cloud Service Mesh antérieures aux suivantes :

  • 1.16.4
  • 1.15.7
  • 1.14.6
Atténuation

Mettez à niveau votre cluster vers l'une des versions corrigées suivantes :

  • 1.16.4-asm.2
  • 1.15.7-asm.1
  • 1.14.6-asm.11

Si vous utilisez Cloud Service Mesh v1.13 ou une version antérieure, votre version est arrivée en fin de vie et n'est plus prise en charge. Ces correctifs CVE n'ont pas été rétroportés. Vous devez passer à Cloud Service Mesh 1.14 ou version ultérieure.

Élevée

CVE-2023-27487

GCP-2022-020

Date de publication: 05/10/2022
Mise à jour: 12-10-2022
Mise à jour du 12/10/2022:mise à jour du lien vers la description de la faille CVE et ajout d'informations sur des mises à jour automatiques pour Cloud Service Mesh géré.
Description Gravité Remarques

Le plan de contrôle Istio istiod est vulnérable aux erreurs de traitement des requêtes, ce qui permet à un pirate informatique d'envoyer un message conçu à des fins malveillantes, qui va entraîner le plantage du plan de contrôle lorsque le webhook de validation d'un cluster est exposé publiquement. Ce point de terminaison est desservi via le port TLS 15017, mais ne nécessite aucune authentification de la part du pirate.

Que dois-je faire ?

Vérifiez si vos clusters sont affectés.

Votre cluster est affecté s'il utilise des versions de correctif de Cloud Service Mesh antérieures à 1.14.4, 1.13.8 ou 1.12.9.

Atténuation

Si vous exécutez Cloud Service Mesh autonome, mettez à niveau votre cluster vers l'une des les versions corrigées suivantes:

  • Si vous utilisez Anthos Service Mesh 1.14, passez à la version v1.14.4-asm.2
  • Si vous utilisez Anthos Service Mesh 1.13, passez à la version v1.13.8-asm.4
  • Si vous utilisez Anthos Service Mesh 1.12, passez à la version v1.12.9-asm.3

Si vous exécutez Cloud Service Mesh géré, votre système est automatiquement mise à jour dans les prochains jours.

Si vous utilisez Cloud Service Mesh v1.11 ou une version antérieure, votre version est arrivée en fin de vie et n'est plus prise en charge. Ces correctifs CVE n'ont pas été rétroportés. Vous devez effectuer une mise à niveau vers Cloud Service Mesh 1.12 ou une version ultérieure.

Élevée

CVE-2022-39278

GCP-2022-015

Date de publication: 09/06/2022
Mise à jour: 10-06-2022
Mise à jour du 10/06/2022:Mise à jour des versions de correctif pour Cloud Service Mesh.
Description Gravité Remarques

Le plan de données Istio peut potentiellement accéder à la mémoire de manière non sécurisée lorsque les extensions Metadata Exchange et Stats sont activées.

Que dois-je faire ?

Vérifiez si vos clusters sont affectés.

Votre cluster est affecté s'il utilise des versions de correctif Cloud Service Mesh antérieures à 1.13.4-asm.4, 1.12.7-asm.2 ou 1.11.8-asm.4.

Atténuation des risques liés à Cloud Service Mesh

Mettez à niveau votre cluster vers l'une des versions corrigées suivantes :

  • 1.13.4-asm.4
  • 1.12.7-asm.2
  • 1.11.8-asm.4

Si vous utilisez Cloud Service Mesh v1.10 ou une version antérieure, votre version a atteint sa fin de vie et n'est plus compatible. Ces correctifs CVE n'ont pas été rétroportés. Vous devez effectuer une mise à niveau vers Cloud Service Mesh 1.11 ou une version ultérieure. Pour en savoir plus, consultez les pages Mettre à niveau à partir de versions antérieures (GKE) ou Mettre à niveau à partir de versions antérieures (sur site).

Élevée

CVE-2022-31045

Description Gravité Remarques

Les données peuvent dépasser les limites des tampons intermédiaires si un pirate informatique transmet une petite charge utile présentant un taux de compression élevé (on parle également d'attaque de type "bombe zip").

Que dois-je faire ?

Vérifiez si vos clusters sont affectés.

Votre cluster est affecté s'il utilise des versions de correctif Cloud Service Mesh antérieures à 1.13.4-asm.4, 1.12.7-asm.2 ou 1.11.8-asm.4.

Bien que Cloud Service Mesh ne soit pas compatible avec les filtres Envoy, vous pouvez être affecté si vous utilisez un filtre de décompression.

Atténuation du maillage de services Cloud Service

Mettez à niveau votre cluster vers l'une des versions corrigées suivantes :

  • 1.13.4-asm.4
  • 1.12.7-asm.2
  • 1.11.8-asm.4

Si vous utilisez Cloud Service Mesh v1.10 ou une version antérieure, votre version a atteint sa fin de vie et n'est plus compatible. Ces correctifs CVE n'ont pas été rétroportés. Vous devez passer à Cloud Service Mesh 1.11 ou version ultérieure. Pour en savoir plus, consultez les pages Mettre à niveau à partir de versions antérieures (GKE) ou Mettre à niveau à partir de versions antérieures (sur site).

Atténuation des risques liés à Envoy

Les utilisateurs d'Envoy qui gèrent leurs propres Envoy doivent s'assurer qu'ils utilisent la version 1.22.1 d'Envoy. Les utilisateurs d'Envoy qui gèrent leurs propres Envoy doivent créer les binaires à partir d'une source telle que GitHub et les déployer.

Aucune action n'est requise de la part des utilisateurs qui exécutent des Envoy gérés (Google Cloud fournit les binaires Envoy), pour lesquels les produits cloud basculeront vers la version 1.22.1.

Élevée

CVE-2022-29225

Description Gravité Remarques

Déréférencement possible du pointeur nul dans GrpcHealthCheckerImpl.

Que dois-je faire ?

Vérifiez si vos clusters sont affectés.

Votre cluster est affecté s'il utilise des versions de correctif Cloud Service Mesh antérieures à 1.13.4-asm.4, 1.12.7-asm.2 ou 1.11.8-asm.4.

Atténuation des risques liés à Cloud Service Mesh

Mettez à niveau votre cluster vers l'une des versions corrigées suivantes :

  • 1.13.4-asm.4
  • 1.12.7-asm.2
  • 1.11.8-asm.4

Si vous utilisez Cloud Service Mesh v1.10 ou une version antérieure, votre version est arrivée en fin de vie et n'est plus prise en charge. Ces correctifs CVE n'ont pas été rétroportés. Vous devez passer à Cloud Service Mesh 1.11 ou version ultérieure. Pour en savoir plus, consultez les pages Mettre à niveau à partir de versions antérieures (GKE) ou Mettre à niveau à partir de versions antérieures (sur site).

Atténuation des risques liés à Envoy

Les utilisateurs d'Envoy qui gèrent leurs propres Envoy doivent s'assurer qu'ils utilisent la version 1.22.1 d'Envoy. Les utilisateurs d'Envoy qui gèrent leurs propres Envoy doivent créer les binaires à partir d'une source telle que GitHub et les déployer.

Aucune action n'est requise de la part des utilisateurs qui exécutent des Envoy gérés (Google Cloud fournit les binaires Envoy), pour lesquels les produits cloud basculeront vers la version 1.22.1.

Moyenne

CVE-2021-29224

Description Gravité Remarques

Un filtre OAuth permet de contourner simplement la protection assurée pour Envoy.

Que dois-je faire ?

Vérifiez si vos clusters sont affectés.

Votre cluster est affecté s'il utilise des versions de correctif Cloud Service Mesh antérieures à 1.13.4-asm.4, 1.12.7-asm.2 ou 1.11.8-asm.4.

Bien que Cloud Service Mesh ne soit pas compatible avec les filtres Envoy, vous pouvez être affecté si vous utilisez un filtre OAuth.

Atténuation des risques liés à Cloud Service Mesh

Mettez à niveau votre cluster vers l'une des versions corrigées suivantes :

  • 1.13.4-asm.4
  • 1.12.7-asm.2
  • 1.11.8-asm.4

Si vous utilisez Cloud Service Mesh v1.10 ou une version antérieure, votre version a atteint sa fin de vie et n'est plus compatible. Ces correctifs CVE n'ont pas été rétroportés. Vous devez effectuer une mise à niveau vers Cloud Service Mesh 1.11 ou une version ultérieure. Pour en savoir plus, consultez les pages Mettre à niveau à partir de versions antérieures (GKE) ou Mettre à niveau à partir de versions antérieures (sur site).

Atténuation des risques liés à Envoy

Les utilisateurs d'Envoy qui gèrent leurs propres Envoy et utilisent également un filtre OAuth doivent s'assurer qu'ils utilisent la version 1.22.1 d'Envoy. Les utilisateurs d'Envoy qui gèrent leurs propres Envoy doivent créer les binaires à partir d'une source telle que GitHub et les déployer.

Aucune action n'est requise de la part des utilisateurs qui exécutent des Envoy gérés (Google Cloud fournit les binaires Envoy), pour lesquels les produits cloud basculeront vers la version 1.22.1.

Critique

CVE-2021-29226

Description Gravité Remarques

Un filtre OAuth peut corrompre la mémoire (pour les versions antérieures) ou déclencher une fonction ASSERT() (pour les versions ultérieures).

Que dois-je faire ?

Vérifiez si vos clusters sont affectés.

Votre cluster est affecté s'il utilise des versions de correctif Cloud Service Mesh antérieures à 1.13.4-asm.4, 1.12.7-asm.2 ou 1.11.8-asm.4.

Bien que Cloud Service Mesh ne soit pas compatible avec les filtres Envoy, vous pouvez être affecté si vous utilisez un filtre OAuth.

Atténuation des risques liés à Cloud Service Mesh

Mettez à niveau votre cluster vers l'une des versions corrigées suivantes :

  • 1.13.4-asm.4
  • 1.12.7-asm.2
  • 1.11.8-asm.4

Si vous utilisez Cloud Service Mesh v1.10 ou une version antérieure, votre version a atteint sa fin de vie et n'est plus compatible. Ces correctifs CVE n'ont pas été rétroportés. Vous devez effectuer une mise à niveau vers Cloud Service Mesh 1.11 ou une version ultérieure.

Atténuation des risques liés à Envoy

Les utilisateurs d'Envoy qui gèrent leurs propres Envoy et utilisent également un filtre OAuth doivent s'assurer qu'ils utilisent la version 1.22.1 d'Envoy. Les utilisateurs d'Envoy qui gèrent leurs propres Envoy doivent créer les binaires à partir d'une source telle que GitHub et les déployer.

Aucune action n'est requise de la part des utilisateurs qui exécutent des Envoy gérés (Google Cloud fournit les binaires Envoy), pour lesquels les produits cloud basculeront vers la version 1.22.1.

Élevée

CVE-2022-29228

Description Gravité Remarques

Les redirections internes plantent dans le cas de requêtes contenant un corps ou des en-têtes trailer.

Que dois-je faire ?

Vérifiez si vos clusters sont affectés.

Votre cluster est affecté s'il utilise des versions de correctif Cloud Service Mesh antérieures à 1.13.4-asm.4, 1.12.7-asm.2 ou 1.11.8-asm.4.

Atténuation des risques liés à Cloud Service Mesh

Mettez à niveau votre cluster vers l'une des versions corrigées suivantes :

  • 1.13.4-asm.4
  • 1.12.7-asm.2
  • 1.11.8-asm.4

Si vous utilisez Cloud Service Mesh v1.10 ou une version antérieure, votre version a atteint sa fin de vie et n'est plus compatible. Ces correctifs CVE n'ont pas été rétroportés. Vous devez effectuer une mise à niveau vers Cloud Service Mesh 1.11 ou une version ultérieure. Pour en savoir plus, consultez les pages Mettre à niveau à partir de versions antérieures (GKE) ou Mettre à niveau à partir de versions antérieures (sur site).

Atténuation des risques liés à Envoy

Les utilisateurs d'Envoy qui gèrent leurs propres Envoy doivent s'assurer qu'ils utilisent la version 1.22.1 d'Envoy. Les utilisateurs d'Envoy qui gèrent leurs propres Envoy doivent créer les binaires à partir d'une source telle que GitHub et les déployer.

Aucune action n'est requise de la part des utilisateurs qui exécutent des Envoy gérés (Google Cloud fournit les binaires Envoy), pour lesquels les produits cloud basculeront vers la version 1.22.1.

Élevée

CVE-2022-29227

GCP-2022-010

Date de publication : 10/03/2022
Dernière mise à jour : 16/03/2022
Description Gravité Remarques

Le plan de contrôle Istio, istiod, est vulnérable aux erreurs de traitement des requêtes, ce qui permet à un pirate informatique d'envoyer un message conçu à des fins malveillantes, qui va entraîner le plantage du plan de contrôle lorsque le webhook de validation d'un cluster est exposé publiquement. Ce point de terminaison est desservi via le port TLS 15017, mais ne nécessite aucune authentification de la part du pirate.

Que dois-je faire ?

Vérifiez si vos clusters sont affectés.

Toutes les versions de Cloud Service Mesh sont affectées par cette faille CVE.

Remarque : Si vous utilisez le plan de contrôle géré, cette faille a déjà été corrigée et vous n'êtes pas affecté.

Atténuation

Mettez à niveau votre cluster vers l'une des versions corrigées suivantes :

  • 1.12.5-asm.0
  • 1.11.8-asm.0
  • 1.10.6-asm.2

Si vous utilisez Cloud Service Mesh v1.9 ou une version antérieure, votre version a atteint sa fin de vie et n'est plus pris en charge. Ces correctifs CVE n'ont pas été rétroportés. Vous devez effectuer une mise à niveau vers Cloud Service Mesh 1.10 ou une version ultérieure.

Élevée

CVE-2022-24726

GCP-2022-007

Date de publication : 22/02/2022
Description Gravité Remarques

Istiod plante en cas de réception de requêtes avec un en-tête authorization spécialement conçu.

Que dois-je faire ?

Vérifiez si vos clusters sont affectés.

Votre cluster est affecté si les deux conditions suivantes sont remplies :

  • Il utilise les versions de correctif Cloud Service Mesh antérieures à 1.12.4-asm.1, 1.11.7-asm.1 ou 1.10.6-asm.1.

Remarque : Si vous utilisez le plan de contrôle géré, cette faille a déjà été corrigée et vous n'êtes pas affecté.

Atténuation

Mettez à niveau votre cluster vers l'une des versions corrigées suivantes :

  • 1.12.4-asm.1
  • 1.11.7-asm.1
  • 1.10.6-asm.1

Si vous utilisez Cloud Service Mesh v1.9 ou une version antérieure, votre version est arrivée en fin de vie et n'est plus prise en charge. Ces correctifs CVE n'ont pas été rétroportés. Vous devez effectuer la mise à niveau vers Cloud Service Mesh 1.10 ou version ultérieure.

Élevée

CVE-2022-23635

Description Gravité Remarques

Déréférencement possible de pointeur NULL lorsque vous utilisez la correspondance safe_regex du filtre JWT.

Que dois-je faire ?

Vérifiez si vos clusters sont affectés.

Votre cluster est affecté si les deux conditions suivantes sont remplies :

  • Il utilise les versions de correctif Cloud Service Mesh antérieures à 1.12.4-asm.1, 1.11.7-asm.1 ou 1.10.6-asm.1.
  • Bien que Cloud Service Mesh ne soit pas compatible avec les filtres Envoy, vous pouvez être affecté si vous utilisez Expression régulière du filtre JWT.
Atténuation

Mettez à niveau votre cluster vers l'une des versions corrigées suivantes :

  • 1.12.4-asm.1
  • 1.11.7-asm.1
  • 1.10.6-asm.1

Si vous utilisez Cloud Service Mesh v1.9 ou une version antérieure, votre version est arrivée en fin de vie et est n'est plus pris en charge. Ces correctifs CVE n'ont pas été rétroportés. Vous devez passer à Cloud Service Mesh 1.10 ou version ultérieure.

Moyenne

CVE-2021-43824

Description Gravité Remarques

Vulnérabilité de type "use-after-free" lorsque les filtres de réponse augmentent les données de réponse, et que les données accrues dépassent les limites de mémoire tampon en aval.

Que dois-je faire ?

Vérifiez si vos clusters sont affectés.

Votre cluster est affecté si les deux conditions suivantes sont remplies :

  • Il utilise les versions de correctif Cloud Service Mesh antérieures à 1.12.4-asm.1, 1.11.7-asm.1 ou 1.10.6-asm.1.
  • Bien que Cloud Service Mesh ne soit pas compatible avec les filtres Envoy, vous pouvez être affecté si vous utilisez un filtre de décompression.
Atténuation

Mettez à niveau votre cluster vers l'une des versions corrigées suivantes :

  • 1.12.4-asm.1
  • 1.11.7-asm.1
  • 1.10.6-asm.1

Si vous utilisez Cloud Service Mesh v1.9 ou une version antérieure, votre version est arrivée en fin de vie et est n'est plus pris en charge. Ces correctifs CVE n'ont pas été rétroportés. Vous devez passer à Cloud Service Mesh 1.10 ou version ultérieure.

Moyenne

CVE-2021-43825

Description Gravité Remarques

Vulnérabilité de type "use-after-free" lors de la tunnelisation TCP sur HTTP, en cas de déconnexion en aval lors de l'établissement de la connexion en amont.

Que dois-je faire ?

Vérifiez si vos clusters sont affectés.

Votre cluster est affecté si les deux conditions suivantes sont remplies :

  • Il utilise les versions de correctif Cloud Service Mesh antérieures à 1.12.4-asm.1, 1.11.7-asm.1 ou 1.10.6-asm.1.
  • Bien que Cloud Service Mesh ne soit pas compatible avec les filtres Envoy, vous pouvez être affecté si vous utilisez un de tunnelisation.
Atténuation

Mettez à niveau votre cluster vers l'une des versions corrigées suivantes :

  • 1.12.4-asm.1
  • 1.11.7-asm.1
  • 1.10.6-asm.1

Si vous utilisez Cloud Service Mesh v1.9 ou une version antérieure, votre version est arrivée en fin de vie et est n'est plus pris en charge. Ces correctifs CVE n'ont pas été rétroportés. Vous devez passer à Cloud Service Mesh 1.10 ou version ultérieure.

Moyenne

CVE-2021-43826

Description Gravité Remarques

Traitement de configuration incorrect autorisant la réutilisation des sessions mTLS sans revalidation après la modification des paramètres de validation.

Que dois-je faire ?

Vérifiez si vos clusters sont affectés.

Votre cluster est affecté si les deux conditions suivantes sont remplies :

  • Il utilise les versions de correctif Cloud Service Mesh antérieures à 1.12.4-asm.1, 1.11.7-asm.1 ou 1.10.6-asm.1.
  • Tous les services Cloud Service Mesh utilisant mTLS sont affectés par cette faille CVE.
Atténuation

Mettez à niveau votre cluster vers l'une des versions corrigées suivantes :

  • 1.12.4-asm.1
  • 1.11.7-asm.1
  • 1.10.6-asm.1

Si vous utilisez Cloud Service Mesh v1.9 ou une version antérieure, votre version est arrivée en fin de vie et est n'est plus pris en charge. Ces correctifs CVE n'ont pas été rétroportés. Vous devez passer à Cloud Service Mesh 1.10 ou version ultérieure.

Élevée

CVE-2022-21654

Description Gravité Remarques

Traitement incorrect des redirections internes vers les routes avec une entrée de réponse directe.

Que dois-je faire ?

Vérifiez si vos clusters sont affectés.

Votre cluster est affecté si les deux conditions suivantes sont remplies :

  • Il utilise les versions de correctif Cloud Service Mesh antérieures à 1.12.4-asm.1, 1.11.7-asm.1 ou 1.10.6-asm.1.
  • Bien que Cloud Service Mesh ne soit pas compatible avec les filtres Envoy, vous pourriez être affecté si vous utilisez un filtre de réponse directe.
Atténuation

Mettez à niveau votre cluster vers l'une des versions corrigées suivantes :

  • 1.12.4-asm.1
  • 1.11.7-asm.1
  • 1.10.6-asm.1

Si vous utilisez Cloud Service Mesh v1.9 ou une version antérieure, votre version est arrivée en fin de vie et est n'est plus pris en charge. Ces correctifs CVE n'ont pas été rétroportés. Vous devez passer à Cloud Service Mesh 1.10 ou version ultérieure.

Élevée

CVE-2022-21655

Description Gravité Remarques

Épuisement de la pile lorsqu'un cluster est supprimé via le service de détection de clusters.

Que dois-je faire ?

Vérifiez si vos clusters sont affectés.

Votre cluster est affecté si les deux conditions suivantes sont remplies :

  • Il utilise les versions de correctif Cloud Service Mesh antérieures à 1.12.4-asm.1 ou 1.11.7-asm.1.
Atténuation

Mettez à niveau votre cluster vers l'une des versions corrigées suivantes :

  • 1.12.4-asm.1
  • 1.11.7-asm.1

Si vous utilisez Cloud Service Mesh v1.9 ou une version antérieure, votre version est arrivée en fin de vie et n'est plus prise en charge. Ces correctifs CVE n'ont pas été rétroportés. Vous devez effectuer une mise à niveau vers Cloud Service Mesh 1.10 ou une version ultérieure.

Moyenne

CVE-2022-23606

GCP-2021-016

Date de publication : 2021-08-24
Description Gravité Remarques

Istio contient une faille exploitable à distance. Une requête HTTP comportant un fragment (une section à la fin d'un URI commençant par un caractère #) dans le chemin d'URI peut contourner les règles d'utilisation Istio basées sur le chemin d'URI.

Par exemple, une règle d'autorisation Istio refuse les requêtes envoyées au chemin d'URI /user/profile. Dans les versions vulnérables, une requête contenant le chemin d'URI /user/profile#section1 contourne la règle de refus et achemine vers le backend (avec le chemin d'URI normalisé /user/profile%23section1), ce qui entraîne un incident de sécurité.

Ce correctif dépend d'un correctif Envoy, associé à CVE-2021-32779.

Que dois-je faire ?

Vérifiez si vos clusters sont affectés.

Votre cluster est affecté si les deux conditions suivantes sont remplies :

Atténuation

Mettez à niveau votre cluster vers l'une des versions corrigées suivantes :

  • 1.10.4-asm.6
  • 1.9.8-asm.1
  • 1.8.6-asm.8
  • 1.7.8-asm.10

Avec les nouvelles versions, la section du fragment de l'URI de la requête est supprimée avant l'autorisation et le routage. Cela empêche une requête comportant un fragment dans son URI de contourner les règles d'autorisation basées sur l'URI sans la partie fragment.

Désactiver

Si vous désactivez ce nouveau comportement, la section du fragment de l'URI est conservée. Pour désactiver, configurez votre installation comme suit :

apiVersion: install.istio.io/v1alpha1
kind: IstioOperator
metadata:
  name: opt-out-fragment-cve-fix
  namespace: istio-system
spec:
  meshConfig:
    defaultConfig:
      proxyMetadata:
        HTTP_STRIP_FRAGMENT_FROM_PATH_UNSAFE_IF_DISABLED: "false"

Remarque : La désactivation de ce comportement rend votre cluster vulnérable à cette CVE.

Élevé

CVE-2021-39156

Description Gravité Remarques

Istio contient une faille exploitable à distance dans laquelle une requête HTTP peut potentiellement contourner une règle d'autorisation Istio lors de l'utilisation de règles basées sur hosts ou notHosts.

Dans les versions vulnérables, la règle d'autorisation Istio compare les en-têtes HTTP Host ou :authority de manière sensible à la casse, ce qui est incompatible avec la norme RFC 4343. Par exemple, l'utilisateur peut avoir une règle d'autorisation qui rejette les requêtes dont l'hôte est secret.com, mais le pirate informatique peut les contourner en envoyant la requête au nom d'hôte Secret.com. Le flux de routage achemine le trafic vers le backend pour secret.com, ce qui entraîne un incident de sécurité.

Que dois-je faire ?

Vérifiez si vos clusters sont affectés.

Votre cluster est affecté si les deux conditions suivantes sont remplies :

Atténuation

Mettez à niveau votre cluster vers l'une des versions corrigées suivantes :

  • 1.10.4-asm.6
  • 1.9.8-asm.1
  • 1.8.6-asm.8
  • 1.7.8-asm.10

Cette mesure d'atténuation permet de s'assurer que les en-têtes HTTP Host ou :authority sont évalués par rapport aux spécifications hosts ou notHosts des règles d'autorisation, sans tenir compte de la casse.

Élevé

CVE-2021-39155

Description Gravité Remarques

Envoy contient une faille exploitable à distance. Une requête HTTP contenant plusieurs en-têtes de valeurs pourrait effectuer une vérification incomplète des règles d'autorisation lorsque l'extension ext_authz est utilisée. Lorsqu'un en-tête de requête contient plusieurs valeurs, le serveur d'autorisation externe n'affiche que la dernière valeur de l'en-tête donné.

Que dois-je faire ?

Vérifiez si vos clusters sont affectés.

Votre cluster est affecté si les deux conditions suivantes sont remplies :

  • Il utilise des versions de correctif Cloud Service Mesh antérieures à 1.7.8-asm.10, 1.8.6-asm.8, 1.9.8-asm.1 et 1.10.4-asm.6.
  • Il utilise la fonctionnalité d'autorisation externe.
Atténuation

Mettez à niveau votre cluster vers l'une des versions corrigées suivantes :

  • 1.10.4-asm.6
  • 1.9.8-asm.1
  • 1.8.6-asm.8
  • 1.7.8-asm.10

Élevé

CVE-2021-32777

Description Gravité Remarques

Envoy contient une faille exploitable à distance qui affecte les extensions decompressor, json-transcoder ou grpc-web d'Envoy, ou les extensions propriétaires qui modifient et augmentent la taille des corps de requêtes ou de réponses. La modification et l'augmentation de la taille du corps d'une extension Envoy, au-delà de la taille du tampon interne, peuvent l'amener à accéder à la mémoire allouée et à s'arrêter de manière anormale.

Que dois-je faire ?

Vérifiez si vos clusters sont affectés.

Votre cluster est affecté si les deux conditions suivantes sont remplies :

  • Il utilise des versions de correctif Cloud Service Mesh antérieures à 1.7.8-asm.10, 1.8.6-asm.8, 1.9.8-asm.1 et 1.10.4-asm.6.
  • Il utilise EnvoyFilters.
Atténuation

Mettez à niveau votre cluster vers l'une des versions corrigées suivantes :

  • 1.10.4-asm.6
  • 1.9.8-asm.1
  • 1.8.6-asm.8
  • 1.7.8-asm.10

Élevé

CVE-2021-32781

Description Gravité Remarques

Envoy présente une faille à exploiter à distance. Un client Envoy qui ouvre, puis réinitialise un grand nombre de requêtes HTTP/2 peut entraîner une consommation excessive du processeur.

Que dois-je faire ?

Vérifiez si vos clusters sont affectés.

Votre cluster est affecté s'il utilise des versions du correctif Cloud Service Mesh antérieures à 1.7.8-asm.10, 1.8.6-asm.8, 1.9.8-asm.1 et 1.10.4-asm.6.

Atténuation

Mettez à niveau votre cluster vers l'une des versions corrigées suivantes :

  • 1.10.4-asm.6
  • 1.9.8-asm.1

Remarque : Si vous utilisez Cloud Service Mesh 1.8 ou version antérieure, veuillez effectuer une mise à niveau vers les dernières versions de correctif de Cloud Service Mesh 1.9 et versions ultérieures pour atténuer cette faille.

Élevée

CVE-2021-32778

Description Gravité Remarques

Envoy contient une faille exploitable à distance. Un service en amont non approuvé peut entraîner l'arrêt anormal d'Envoy en envoyant le frame GOAWAY suivi du frame SETTINGS avec le paramètre SETTINGS_MAX_CONCURRENT_STREAMS défini sur 0.

Que dois-je faire ?

Vérifiez si vos clusters sont affectés.

Votre cluster est affecté s'il utilise Cloud Service Mesh 1.10 avec une version de correctif antérieure à 1.10.4-asm.6.

Atténuation

Mettez à niveau votre cluster vers la version de correctif suivante :

  • 1.10.4-asm.6

Élevé

CVE-2021-32780

GCP-2021-012

Date de publication : 24/06/2021
Description Gravité Remarques

La passerelle (Gateway) sécurisée Istio ou les charges de travail utilisant la DestinationRule peuvent charger les clés privées et les certificats TLS à partir des secrets Kubernetes via la configuration de credentialName. À partir d'Istio 1.8 et versions ultérieures, les secrets sont lus à partir de istiod, et transmis aux passerelles et aux charges de travail via XDS.

Normalement, un déploiement de passerelle ou de charge de travail ne peut accéder qu'aux certificats TLS et aux clés privées stockées dans le secret au sein de son espace de noms. Cependant, un bug dans istiod permet à un client autorisé à accéder à l'API XDS Istio de récupérer tous les certificats TLS et clés privées mises en cache dans istiod. Cette faille de sécurité affecte uniquement les versions 1.8 et 1.9 mineures de Cloud Service Mesh.

Que dois-je faire ?

Vérifiez si vos clusters sont affectés.

Votre cluster est affecté si TOUTES les conditions suivantes sont remplies :

  • Il utilise une version 1.9.x antérieure à 1.9.6-asm.1 ou une version 1.8.x antérieure à 1.8.6-asm.4.
  • Il a défini Gateways ou DestinationRules avec le champ credentialName spécifié.
  • Il ne spécifie pas l'option istiod PILOT_ENABLE_XDS_CACHE=false.
Atténuation

Mettez à niveau votre cluster vers l'une des versions corrigées suivantes :

  • 1.9.6-asm.1
  • 1.8.6-asm.4

Si une mise à niveau n'est pas possible, vous pouvez atténuer cette faille en désactivant la mise en cache istiod. Vous pouvez désactiver la mise en cache en définissant la variable d'environnement istiod sur PILOT_ENABLE_XDS_CACHE=false. Les performances du système et de istiod peuvent être affectées, car cela désactive la mise en cache XDS.

Élevé

CVE-2021-34824

GCP-2021-008

Date de publication : 17/05/2021
Description Gravité Remarques

Istio souffre d'une faille utilisable à distance. Un client externe peut accéder à des services inattendus du cluster, en contournant les vérifications d'autorisation, lorsqu'une passerelle est configurée avec la configuration de routage AUTO_PASSTHROUGH.

Que dois-je faire ?

Vérifiez si vos clusters sont affectés.

Cette faille n'affecte que l'utilisation du type de passerelle AUTO_PASSTHROUGH, qui n'est généralement utilisée que dans les déploiements multiréseaux et multiclusters.

Détectez le mode TLS de toutes les passerelles du cluster à l'aide de la commande suivante :

kubectl get gateways.networking.istio.io -A -o \
  "custom-columns=NAMESPACE:.metadata.namespace, \
  NAME:.metadata.name,TLS_MODE:.spec.servers[*].tls.mode"

Si le résultat affiche des passerelles AUTO_PASSTHROUGH, il se peut que vous soyez affecté par ce problème.

Atténuation

Mettez à jour vos clusters vers les dernières versions de Cloud Service Mesh :

  • 1.9.5-asm.2
  • 1.8.6-asm.3
  • 1.7.8-asm.8

* Remarque : Le déploiement du plan de contrôle géré de Cloud Service Mesh (disponible uniquement dans les versions 1.9.x) sera terminé dans les prochains jours.

Élevée

CVE-2021-31921

GCP-2021-007

Date de publication : 17/05/2021
Description Gravité Remarques

Istio souffre d'une faille utilisable à distance. Un chemin de requête HTTP avec plusieurs barres obliques ou barres obliques échappées (%2F ou %5C) est susceptible de contourner une règle d'autorisation Istio lorsque des règles d'autorisation basées sur le chemin sont utilisées.

Dans un scénario où un administrateur de cluster Istio définit une règle d'autorisation DENY pour refuser la requête avec le chemin "/admin", une requête envoyée au chemin d'URL "//admin" n'est PAS rejetée par la règle d'autorisation.

Selon le document RFC 3986, le chemin d'accès "//admin" comportant plusieurs barres obliques doit être techniquement considéré comme un chemin différent du chemin "/admin". Toutefois, certains services de backend choisissent de normaliser les chemins d'URL en fusionnant plusieurs barres obliques en une seule barre oblique. Cela peut entraîner le contournement de la règle d'autorisation ("//admin" ne correspond pas à "/admin") et un utilisateur peut accéder à la ressource sur le chemin "/admin" dans le backend.

Que dois-je faire ?

Vérifiez si vos clusters sont affectés.

Votre cluster est affecté par cette faille si vous utilisez les règles d'autorisation aux formats suivants : "action ALLOW + champ notPaths" ou "action DENY action + champ paths". Ces formats étant susceptibles d'entraîner des contournements inattendus de règles, vous devez effectuer une mise à niveau pour résoudre le problème de sécurité au plus vite.

Voici un exemple de règle vulnérable qui utilise le format "action DENY + champ paths" :

apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: deny-path-admin
spec:
  action: DENY
  rules:
  - to:
    - operation:
        paths: ["/admin"]

Voici un autre exemple de règle vulnérable qui utilise le format "action ALLOW + champ notPaths" :

apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: allow-path-not-admin
spec:
  action: ALLOW
  rules:
  - to:
    - operation:
        notPaths: ["/admin"]

Votre cluster n'est pas affecté par cette faille si :

  • vous n'avez pas défini de règles d'autorisation ;
  • vos règles d'autorisation ne définissent pas de champs paths ni notPaths ;
  • vos règles d'autorisation utilisent le format "action ALLOW + champ notPaths" ou "action DENY + champ paths". Ces formats pourraient seulement entraîner des refus inattendus au lieu de contourner les règles.
  • La mise à niveau est facultative dans ces cas.

Atténuation

Mettez à jour vos clusters vers les dernières versions compatibles de Cloud Service Mesh*. Ces versions permettent de configurer les proxys Envoy dans le système avec des options de normalisation supplémentaires :

  • 1.9.5-asm.2
  • 1.8.6-asm.3
  • 1.7.8-asm.8

* Remarque : Le déploiement du plan de contrôle géré de Cloud Service Mesh (disponible uniquement dans les versions 1.9.x) sera terminé dans les prochains jours.

Suivez le guide des bonnes pratiques de sécurité d'Istio pour configurer vos règles d'autorisation.

Élevé

CVE-2021-31920

GCP-2021-004

Date de publication : 06/05/2021
Description Gravité Remarques

Les projets Envoy et Istio ont récemment annoncé plusieurs nouvelles failles de sécurité (CVE-2021-28682, CVE-2021-28683 et CVE-2021-29258) qui pourraient permettre à un pirate informatique de planter Envoy et de rendre potentiellement accessibles certaines parties du cluster hors ligne et inaccessibles.

Cela a un impact sur les services fournis tels que Cloud Service Mesh.

Que dois-je faire ?

Pour corriger ces failles, mettez à niveau votre groupe Cloud Service Mesh vers l'une des versions corrigées suivantes :

  • 1.9.3-asm.2
  • 1.8.5-asm.2
  • 1.7.8-asm.1
  • 1.6.14-asm.2

Pour en savoir plus, consultez les notes de version de Cloud Service Mesh.

Élevée

CVE-2021-28682
CVE-2021-28683
CVE-2021-29258