Boletins de segurança

Happy Eyeballs: Valide que adicional_address são endereços IP em vez de travar durante a classificação.

O que devo fazer?

Seu cluster será afetado se houver versões de patch anteriores a:

• 1.23.4-asm.1
• 1.22.7-asm.1

Para Cloud Service Mesh no cluster , atualize seu cluster para uma das seguintes versões corrigidas:

• 1.23.4-asm.1
• 1.22.7-asm.1

Se você estiver usando o Cloud Service Mesh v1.20 ou anterior, sua versão atingiu o fim da vida útil e não é mais compatível. Essas correções CVE não foram suportadas. Você deve atualizar para a versão 1.21 ou posterior.

Para Cloud Service Mesh gerenciado , nenhuma ação é necessária. Todas as versões permanecem suportadas e seu sistema será atualizado automaticamente nas próximas semanas.

Médio

CVE-2024-53269

HTTP/1: A sobrecarga de envio falha quando a solicitação é redefinida antecipadamente.

O que devo fazer?

Seu cluster será afetado se houver versões de patch anteriores a:

• 1.23.4-asm.1
• 1.22.7-asm.1
• 1.21.5-asm.17
• 1.20.8-asm.14
• 1.19.10-asm.24

Para Cloud Service Mesh no cluster , atualize seu cluster para uma das seguintes versões corrigidas:

• 1.23.4-asm.1
• 1.22.7-asm.1
• 1.21.5-asm.17

Se você estiver usando o Cloud Service Mesh v1.20 ou anterior, sua versão atingiu o fim da vida útil e não é mais compatível. Se você estiver usando o Cloud Service Mesh v1.20 ou anterior, sua versão atingiu o fim da vida útil e não é mais compatível. Essas correções CVE não foram suportadas. Você deve atualizar para a versão 1.21 ou posterior.

Para Cloud Service Mesh gerenciado , nenhuma ação é necessária. Todas as versões permanecem suportadas e seu sistema será atualizado automaticamente nas próximas semanas.

Alto

CVE-2024-53270

HTTP/1.1 Vários problemas com envoy.reloadable_features.http1_balsa_delay_reset.

O que devo fazer?

Seu cluster será afetado se houver versões de patch anteriores a:

• 1.23.4-asm.1

Para Cloud Service Mesh no cluster , atualize seu cluster para uma das seguintes versões corrigidas:

• 1.23.4-asm.1

Se você estiver usando o Cloud Service Mesh v1.20 ou anterior, sua versão atingiu o fim da vida útil e não é mais compatível. Se você estiver usando o Cloud Service Mesh v1.20 ou anterior, sua versão atingiu o fim da vida útil e não é mais compatível. Essas correções CVE não foram suportadas. Você deve atualizar para a versão 1.21 ou posterior.

Para Cloud Service Mesh gerenciado , nenhuma ação é necessária. Todas as versões permanecem suportadas e seu sistema será atualizado automaticamente nas próximas semanas.

Alto

CVE-2024-53271

falha oghttp2 em OnBeginHeadersForStream

O que devo fazer?

Somente clusters que executam o Cloud Service Mesh v1.23 são afetados

Cloud Service Mesh 1.23.2-asm.2 contém a correção para esse problema. Nenhuma ação é necessária.

Alto

CVE-2024-45807

Injeção de log maliciosa por meio de logs de acesso

O que devo fazer?

Todas as versões do Cloud Service Mesh são afetadas por este CVE.

Atualize seu cluster para uma das seguintes versões corrigidas:

• 1.20.8-asm.7
• 1.21.5-asm.7
• 1.22.5-asm.1
• 1.23.2-asm.2

Médio

CVE-2024-45808

Potencial para manipular cabeçalhos `x-envoy` de fontes externas

O que devo fazer?

Todas as versões do Cloud Service Mesh são afetadas por este CVE.

Atualize seu cluster para uma das seguintes versões corrigidas:

• 1.20.8-asm.7
• 1.21.5-asm.7
• 1.22.5-asm.1
• 1.23.2-asm.2

Médio

CVE-2024-45806

Falha no filtro JWT no cache de rota clara com JWKs remotos

O que devo fazer?

Todas as versões do Cloud Service Mesh são afetadas por este CVE.

Atualize seu cluster para uma das seguintes versões corrigidas:

• 1.20.8-asm.7
• 1.21.5-asm.7
• 1.22.5-asm.1
• 1.23.2-asm.2

Médio

CVE-2024-45809

O Envoy falha no LocalReply no cliente http assíncrono

O que devo fazer?

Todas as versões do Cloud Service Mesh são afetadas por este CVE.

Atualize seu cluster para uma das seguintes versões corrigidas:

• 1.20.8-asm.7
• 1.21.5-asm.7
• 1.22.5-asm.1
• 1.23.2-asm.2

Médio

CVE-2024-45810

O Envoy aceita incorretamente a resposta HTTP 200 para entrar no modo de atualização.

O que devo fazer?

Todas as versões do Cloud Service Mesh são afetadas por este CVE.

Se você estiver executando o Cloud Service Mesh gerenciado, seu sistema será atualizado automaticamente nos próximos dias.

Caso contrário, atualize seu cluster para uma das seguintes versões corrigidas:

• v1.21.3-asm.3
• v1.20.7-asm.2
• v1.19.10-asm.6
• v1.18.7-asm.26
• Se você estiver usando o Cloud Service Mesh v1.17 ou inferior, sua versão atingiu o fim da vida útil e não é mais compatível. Essas correções CVE não foram suportadas. Você deve atualizar para o Cloud Service Mesh 1.18 ou superior.

Médio

CVE-2024-23326

Falha em EnvoyQuicServerStream::OnInitialHeadersComplete().

O que devo fazer?

Todas as versões do Cloud Service Mesh são afetadas por este CVE.

Se você estiver executando o Cloud Service Mesh gerenciado, seu sistema será atualizado automaticamente nos próximos dias.

Caso contrário, atualize seu cluster para uma das seguintes versões corrigidas:

• v1.21.3-asm.3
• v1.20.7-asm.2
• v1.19.10-asm.6
• v1.18.7-asm.26
• Se você estiver usando o Cloud Service Mesh v1.17 ou inferior, sua versão atingiu o fim da vida útil e não é mais compatível. Essas correções CVE não foram suportadas. Você deve atualizar para o Cloud Service Mesh 1.18 ou superior.

Médio

CVE-2024-32974

Falha em QuicheDataReader::PeekVarInt62Length().

O que devo fazer?

Todas as versões do Cloud Service Mesh são afetadas por este CVE.

Se você estiver executando o Cloud Service Mesh gerenciado, seu sistema será atualizado automaticamente nos próximos dias.

Caso contrário, atualize seu cluster para uma das seguintes versões corrigidas:

• v1.21.3-asm.3
• v1.20.7-asm.2
• v1.19.10-asm.6
• v1.18.7-asm.26
• Se você estiver usando o Cloud Service Mesh v1.17 ou inferior, sua versão atingiu o fim da vida útil e não é mais compatível. Essas correções CVE não foram suportadas. Você deve atualizar para o Cloud Service Mesh 1.18 ou superior.

Médio

CVE-2024-32975

Loop infinito ao descompactar dados Brotli com entrada extra.

O que devo fazer?

Todas as versões do Cloud Service Mesh são afetadas por este CVE.

Se você estiver executando o Cloud Service Mesh gerenciado, seu sistema será atualizado automaticamente nos próximos dias.

Caso contrário, atualize seu cluster para uma das seguintes versões corrigidas:

• v1.21.3-asm.3
• v1.20.7-asm.2
• v1.19.10-asm.6
• v1.18.7-asm.26
• Se você estiver usando o Cloud Service Mesh v1.17 ou inferior, sua versão atingiu o fim da vida útil e não é mais compatível. Essas correções CVE não foram suportadas. Você deve atualizar para o Cloud Service Mesh 1.18 ou superior.

Alto

CVE-2024-32976

Crash (use-after-free) no EnvoyQuicServerStream.

O que devo fazer?

Todas as versões do Cloud Service Mesh são afetadas por este CVE.

Se você estiver executando o Cloud Service Mesh gerenciado, seu sistema será atualizado automaticamente nos próximos dias.

Caso contrário, atualize seu cluster para uma das seguintes versões corrigidas:

• v1.21.3-asm.3
• v1.20.7-asm.2
• v1.19.10-asm.6
• v1.18.7-asm.26
• Se você estiver usando o Cloud Service Mesh v1.17 ou inferior, sua versão atingiu o fim da vida útil e não é mais compatível. Essas correções CVE não foram suportadas. Você deve atualizar para o Cloud Service Mesh 1.18 ou superior.

Médio

CVE-2024-34362

Falha devido à exceção JSON nlohmann não detectada.

O que devo fazer?

Todas as versões do Cloud Service Mesh são afetadas por este CVE.

Se você estiver executando o Cloud Service Mesh gerenciado, seu sistema será atualizado automaticamente nos próximos dias.

Caso contrário, atualize seu cluster para uma das seguintes versões corrigidas:

• v1.21.3-asm.3
• v1.20.7-asm.2
• v1.19.10-asm.6
• v1.18.7-asm.26
• Se você estiver usando o Cloud Service Mesh v1.17 ou inferior, sua versão atingiu o fim da vida útil e não é mais compatível. Essas correções CVE não foram suportadas. Você deve atualizar para o Cloud Service Mesh 1.18 ou superior.

Alto

CVE-2024-34363

Vetor Envoy OOM do cliente HTTP assíncrono com buffer de resposta ilimitado para resposta espelhada.

O que devo fazer?

Todas as versões do Cloud Service Mesh são afetadas por este CVE.

Se você estiver executando o Cloud Service Mesh gerenciado, seu sistema será atualizado automaticamente nos próximos dias.

Caso contrário, atualize seu cluster para uma das seguintes versões corrigidas:

• v1.21.3-asm.3
• v1.20.7-asm.2
• v1.19.10-asm.6
• v1.18.7-asm.26
• Se você estiver usando o Cloud Service Mesh v1.17 ou inferior, sua versão atingiu o fim da vida útil e não é mais compatível. Essas correções CVE não foram suportadas. Você deve atualizar para o Cloud Service Mesh 1.18 ou superior.

Médio

CVE-2024-34364

HTTP/2: esgotamento de memória devido à inundação de quadros CONTINUATION.

O que devo fazer?

Todas as versões do Cloud Service Mesh são afetadas por este CVE.

Se você estiver executando o Cloud Service Mesh gerenciado, nenhuma ação será necessária. Seu sistema será atualizado automaticamente nos próximos dias.

Se você estiver executando o Cloud Service Mesh no cluster, deverá fazer upgrade do cluster para uma das seguintes versões corrigidas:

• 1.20.6-asm.0
• 1.19.10-asm.0
• 1.18.7-asm.21

Se você estiver usando o Cloud Service Mesh v1.17 ou inferior, sua versão atingiu o fim da vida útil e não é mais compatível. Essas correções CVE não foram suportadas. Você deve atualizar para o Cloud Service Mesh v1.18 ou posterior.

Alto

CVE-2024-27919

HTTP/2: Esgotamento da CPU devido à inundação de quadros CONTINUATION

O que devo fazer?

Todas as versões do Cloud Service Mesh são afetadas por este CVE.

Se você estiver executando o Cloud Service Mesh gerenciado, nenhuma ação será necessária. Seu sistema será atualizado automaticamente nos próximos dias.

Se você estiver executando o Cloud Service Mesh no cluster, deverá fazer upgrade do cluster para uma das seguintes versões corrigidas:

• 1.20.6-asm.0
• 1.19.10-asm.0
• 1.18.7-asm.21

Se você estiver usando o Cloud Service Mesh v1.17 ou inferior, sua versão atingiu o fim da vida útil e não é mais compatível. Essas correções CVE não foram suportadas. Você deve atualizar para o Cloud Service Mesh 1.18 ou posterior.

Médio

CVE-2024-30255

Encerramento anormal ao usar auto_sni com cabeçalho ':authority' com mais de 255 caracteres.

O que devo fazer?

Todas as versões do Cloud Service Mesh são afetadas por este CVE.

Se você estiver executando o Cloud Service Mesh gerenciado, nenhuma ação será necessária. Seu sistema será atualizado automaticamente nos próximos dias.

Se você estiver executando o Cloud Service Mesh no cluster, deverá fazer upgrade do cluster para uma das seguintes versões corrigidas:

• 1.20.6-asm.0
• 1.19.10-asm.0
• 1.18.7-asm.21

Se você estiver usando o Cloud Service Mesh v1.17 ou inferior, sua versão atingiu o fim da vida útil e não é mais compatível. Essas correções CVE não foram suportadas. Você deve atualizar para o Cloud Service Mesh 1.18 ou superior.

Alto

CVE-2024-32475

Os quadros HTTP/2 CONTINUATION podem ser utilizados para ataques DoS.

O que devo fazer?

Todas as versões do Cloud Service Mesh são afetadas por este CVE.

Se você estiver executando o Cloud Service Mesh gerenciado, nenhuma ação será necessária. Seu sistema será atualizado automaticamente nos próximos dias.

Se você estiver executando o Cloud Service Mesh no cluster, deverá fazer upgrade do cluster para uma das seguintes versões corrigidas:

• 1.20.6-asm.0
• 1.19.10-asm.0
• 1.18.7-asm.21

Se você estiver usando o Cloud Service Mesh v1.17 ou inferior, sua versão atingiu o fim da vida útil e não é mais compatível. Essas correções CVE não foram suportadas. Você deve atualizar para a versão v1.18 ou posterior.

Não fornecido

CVE-2023-45288

O Envoy trava quando está inativo e o tempo limite de solicitações por tentativa ocorre dentro do intervalo de espera.

O que devo fazer?

Se você estiver executando o Cloud Service Mesh gerenciado, nenhuma ação será necessária. Seu sistema será atualizado automaticamente nos próximos dias.

Se você estiver executando o Cloud Service Mesh no cluster, deverá fazer upgrade do cluster para uma das seguintes versões corrigidas:

• 1.20.3-asm.4
• 1.19.7-asm.3
• 1.18.7-asm.4
• 1.17.8-asm.20

Se você estiver usando o Anthos Service Mesh v1.17 ou anterior, sua versão atingiu o fim da vida útil e não é mais compatível. Embora essas correções CVE tenham sido portadas para 1.17, você deve atualizar para 1.18 ou posterior.

Alto

CVE-2024-23322

Uso excessivo de CPU quando a correspondência de modelo de URI é configurada usando regex.

O que devo fazer?

Se você estiver executando o Cloud Service Mesh gerenciado, nenhuma ação será necessária. Seu sistema será atualizado automaticamente nos próximos dias.

Se você estiver executando o Cloud Service Mesh no cluster, deverá fazer upgrade do cluster para uma das seguintes versões corrigidas:

• 1.20.3-asm.4
• 1.19.7-asm.3
• 1.18.7-asm.4
• 1.17.8-asm.20

Se você estiver usando o Anthos Service Mesh v1.17 ou anterior, sua versão atingiu o fim da vida útil e não é mais compatível. Embora essas correções CVE tenham sido portadas para 1.17, você deve atualizar para 1.18 ou posterior.

Médio

CVE-2024-23323

A autorização externa pode ser ignorada quando o filtro do protocolo proxy define metadados UTF-8 inválidos.

O que devo fazer?

Se você estiver executando o Cloud Service Mesh gerenciado, nenhuma ação será necessária. Seu sistema será atualizado automaticamente nos próximos dias.

Se você estiver executando o Cloud Service Mesh no cluster, deverá fazer upgrade do cluster para uma das seguintes versões corrigidas:

• 1.20.3-asm.4
• 1.19.7-asm.3
• 1.18.7-asm.4
• 1.17.8-asm.20

Se você estiver usando o Anthos Service Mesh v1.17 ou anterior, sua versão atingiu o fim da vida útil e não é mais compatível. Embora essas correções CVE tenham sido portadas para 1.17, você deve atualizar para 1.18 ou posterior.

Alto

CVE-2024-23324

O Envoy trava ao usar um tipo de endereço que não é compatível com o sistema operacional.

O que devo fazer?

Se você estiver executando o Cloud Service Mesh gerenciado, nenhuma ação será necessária. Seu sistema será atualizado automaticamente nos próximos dias.

Se você estiver executando o Cloud Service Mesh no cluster, deverá fazer upgrade do cluster para uma das seguintes versões corrigidas:

• 1.20.3-asm.4
• 1.19.7-asm.3
• 1.18.7-asm.4
• 1.17.8-asm.20

Se você estiver usando o Anthos Service Mesh v1.17 ou anterior, sua versão atingiu o fim da vida útil e não é mais compatível. Embora essas correções CVE tenham sido portadas para 1.17, você deve atualizar para 1.18 ou posterior.

Alto

CVE-2024-23325

Falha no protocolo proxy quando o tipo de comando é LOCAL .

O que devo fazer?

Se você estiver executando o Cloud Service Mesh gerenciado, nenhuma ação será necessária. Seu sistema será atualizado automaticamente nos próximos dias.

Se você estiver executando o Cloud Service Mesh no cluster, deverá fazer upgrade do cluster para uma das seguintes versões corrigidas:

• 1.20.3-asm.4
• 1.19.7-asm.3
• 1.18.7-asm.4
• 1.17.8-asm.20

Se você estiver usando o Anthos Service Mesh v1.17 ou anterior, sua versão atingiu o fim da vida útil e não é mais compatível. Embora essas correções CVE tenham sido portadas para 1.17, você deve atualizar para 1.18 ou posterior.

Alto

CVE-2024-23327

Um ataque de negação de serviço pode afetar o plano de dados ao usar o protocolo HTTP/2.

O que devo fazer?

Seu cluster será afetado se usar versões de patch do Cloud Service Mesh anteriores a 1.18.4, 1.17.7 ou 1.16.7.

Atualize seu cluster para uma das seguintes versões corrigidas:

• 1.18.4-asm.0
• 1.17.7-asm.0
• 1.16.7-asm.10

Se você estiver executando o Cloud Service Mesh gerenciado, seu sistema será atualizado automaticamente nos próximos dias.

Se você estiver usando o Cloud Service Mesh v1.15 ou inferior, sua versão atingiu o fim da vida útil e não é mais compatível. Essas correções CVE não foram suportadas. Você deve atualizar para a versão 1.16 ou superior.

Alto

CVE-2023-44487

Um cliente malicioso é capaz de construir credenciais com validade permanente em alguns cenários específicos. Por exemplo, a combinação de host e tempo de expiração na carga HMAC pode ser sempre válida na verificação HMAC do filtro OAuth2.

O que devo fazer?

Seu cluster será afetado se usar versões de patch do Cloud Service Mesh anteriores a

• 1.17.4
• 1.16.6
• 1.15.7

Atualize seu cluster para uma das seguintes versões corrigidas:

• 1.17.5-asm.0
• 1.16.7-asm.0
• 1.15.7-asm.23

Se você estiver executando o Cloud Service Mesh gerenciado , seu sistema será atualizado automaticamente nos próximos dias.

Se você estiver usando o Anthos Service Mesh 1.14 ou inferior, sua versão atingiu o fim da vida útil e não é mais compatível. Essas correções CVE não foram suportadas. Você deve atualizar para o ASM 1.15 ou superior.

Alto

CVE-2023-35941

Os registradores de acesso gRPC que usam o escopo global do ouvinte podem causar uma falha de uso após liberação quando o ouvinte é esgotado. Isso pode ser acionado por uma atualização LDS com a mesma configuração de log de acesso gRPC.

O que devo fazer?

Seu cluster será afetado se usar versões de patch do Cloud Service Mesh anteriores a

• 1.17.4
• 1.16.6
• 1.15.7

Atualize seu cluster para uma das seguintes versões corrigidas:

• 1.17.5-asm.0
• 1.16.7-asm.0
• 1.15.7-asm.23

Se você estiver executando o Cloud Service Mesh gerenciado , seu sistema será atualizado automaticamente nos próximos dias.

Se você estiver usando o Anthos Service Mesh 1.14 ou inferior, sua versão atingiu o fim da vida útil e não é mais compatível. Essas correções CVE não foram suportadas. Você deve atualizar para o ASM 1.15 ou superior.

Médio

CVE-2023-35942

Se o cabeçalho origin estiver configurado para ser removido com request_headers_to_remove: origin, o filtro CORS falhará e travará o Envoy.

O que devo fazer?

Seu cluster será afetado se usar versões de patch do Cloud Service Mesh anteriores a

• 1.17.4
• 1.16.6
• 1.15.7

Atualize seu cluster para uma das seguintes versões corrigidas:

• 1.17.5-asm.0
• 1.16.7-asm.0
• 1.15.7-asm.23

Se você estiver executando o Cloud Service Mesh gerenciado , seu sistema será atualizado automaticamente nos próximos dias.

Se você estiver usando o Anthos Service Mesh 1.14 ou inferior, sua versão atingiu o fim da vida útil e não é mais compatível. Essas correções CVE não foram suportadas. Você deve atualizar para o ASM 1.15 ou superior.

Médio

CVE-2023-35943

Os invasores podem enviar solicitações de esquema misto para ignorar algumas verificações de esquema no Envoy. Por exemplo, se uma solicitação com esquema misto htTp for enviada ao filtro OAuth2, ela falhará nas verificações de correspondência exata para http e informará ao endpoint remoto que o esquema é https, ignorando potencialmente as verificações OAuth2 específicas para solicitações HTTP.

O que devo fazer?

Seu cluster será afetado se usar versões de patch do Cloud Service Mesh anteriores a

• 1.17.4
• 1.16.6
• 1.15.7

Atualize seu cluster para uma das seguintes versões corrigidas:

• 1.17.5-asm.0
• 1.16.7-asm.0
• 1.15.7-asm.23

Se você estiver executando o Cloud Service Mesh gerenciado , seu sistema será atualizado automaticamente nos próximos dias.

Se você estiver usando o Anthos Service Mesh 1.14 ou inferior, sua versão atingiu o fim da vida útil e não é mais compatível. Essas correções CVE não foram suportadas. Você deve atualizar para o ASM 1.15 ou superior.

Alto

CVE-2023-35944

Uma resposta especificamente criada de um serviço upstream não confiável pode causar uma negação de serviço por esgotamento de memória. Isso é causado pelo codec HTTP/2 do Envoy, que pode vazar um mapa de cabeçalho e estruturas de contabilidade ao receber RST_STREAM imediatamente seguido pelos quadros GOAWAY de um servidor upstream.

O que devo fazer?

Seu cluster será afetado se usar versões de patch do Cloud Service Mesh anteriores a

• 1.17.4
• 1.16.6
• 1.15.7

Atualize seu cluster para uma das seguintes versões corrigidas:

• 1.17.4-asm.2
• 1.16.6-asm.3
• 1.15.7-asm.21

Se você estiver executando o Cloud Service Mesh gerenciado , seu sistema será atualizado automaticamente nos próximos dias.

Se você estiver usando o Anthos Service Mesh 1.14 ou inferior, sua versão atingiu o fim da vida útil e não é mais compatível. Essas correções CVE não foram suportadas. Você deve atualizar para o ASM 1.15 ou superior.

Alto

CVE-2023-35945

Se o Envoy estiver sendo executado com o filtro OAuth ativado e exposto, um agente mal-intencionado poderá construir uma solicitação que causaria negação de serviço ao travar o Envoy.

O que devo fazer?

Seus clusters serão afetados se usarem versões de patch do Cloud Service Mesh anteriores a:

• 1.16.4
• 1.15.7
• 1.14.6

Atualize seu cluster para uma das seguintes versões corrigidas:

• 1.16.4-asm.2
• 1.15.7-asm.1
• 1.14.6-asm.11

Se você estiver usando o Cloud Service Mesh v1.13 ou inferior, sua versão atingiu o fim da vida útil e não é mais compatível. Essas correções CVE não foram suportadas. Você deve atualizar para Cloud Service Mesh 1.14 ou superior.

Médio

CVE-2023-27496

O invasor pode usar esta vulnerabilidade para ignorar verificações de autenticação quando ext_authz for usado.

O que devo fazer?

Seus clusters serão afetados se usarem versões de patch do Cloud Service Mesh anteriores a:

• 1.16.4
• 1.15.7
• 1.14.6

Atualize seu cluster para uma das seguintes versões corrigidas:

• 1.16.4-asm.2
• 1.15.7-asm.1
• 1.14.6-asm.11

Se você estiver usando o Cloud Service Mesh v1.13 ou inferior, sua versão atingiu o fim da vida útil e não é mais compatível. Essas correções CVE não foram suportadas. Você deve atualizar para Cloud Service Mesh} 1.14 ou superior.

Médio

CVE-2023-27488

A configuração do Envoy também deve incluir uma opção para adicionar cabeçalhos de solicitação que foram gerados usando entradas da solicitação, ou seja, o certificado de peer SAN.

O que devo fazer?

Seus clusters serão afetados se usarem versões de patch do Cloud Service Mesh anteriores a:

• 1.16.4
• 1.15.7
• 1.14.6

Atualize seu cluster para uma das seguintes versões corrigidas:

• 1.16.4-asm.2
• 1.15.7-asm.1
• 1.14.6-asm.11

Se você estiver usando o Cloud Service Mesh v1.13 ou inferior, sua versão atingiu o fim da vida útil e não é mais compatível. Essas correções CVE não foram suportadas. Você deve atualizar para Cloud Service Mesh 1.14 ou superior.

Alto

CVE-2023-27493

Os invasores podem enviar grandes corpos de solicitação para rotas que possuem o filtro Lua ativado e desencadear travamentos.

O que devo fazer?

Seus clusters serão afetados se usarem versões de patch do Cloud Service Mesh anteriores a:

• 1.16.4
• 1.15.7
• 1.14.6

Atualize seu cluster para uma das seguintes versões corrigidas:

• 1.16.4-asm.2
• 1.15.7-asm.1
• 1.14.6-asm.11

Se você estiver usando o Cloud Service Mesh v1.13 ou inferior, sua versão atingiu o fim da vida útil e não é mais compatível. Essas correções CVE não foram suportadas. Você deve atualizar para Cloud Service Mesh 1.14 ou superior.

Médio

CVE-2023-27492

Os invasores podem enviar solicitações HTTP/2 ou HTTP/3 especificamente criadas para acionar erros de análise no serviço upstream HTTP/1.

O que devo fazer?

Seus clusters serão afetados se usarem versões de patch do Cloud Service Mesh anteriores a:

• 1.16.4
• 1.15.7
• 1.14.6

Atualize seu cluster para uma das seguintes versões corrigidas:

• 1.16.4-asm.2
• 1.15.7-asm.1
• 1.14.6-asm.11

Se você estiver usando o Cloud Service Mesh v1.13 ou inferior, sua versão atingiu o fim da vida útil e não é mais compatível. Essas correções CVE não foram suportadas. Você deve atualizar para Cloud Service Mesh 1.14 ou superior.

Médio

CVE-2023-27491

O cabeçalho x-envoy-original-path deve ser um cabeçalho interno, mas o Envoy não remove esse cabeçalho da solicitação no início do processamento da solicitação quando ele é enviado de um cliente não confiável.

O que devo fazer?

Seus clusters serão afetados se usarem versões de patch do Cloud Service Mesh anteriores a:

• 1.16.4
• 1.15.7
• 1.14.6

Atualize seu cluster para uma das seguintes versões corrigidas:

• 1.16.4-asm.2
• 1.15.7-asm.1
• 1.14.6-asm.11

Se você estiver usando o Cloud Service Mesh v1.13 ou inferior, sua versão atingiu o fim da vida útil e não é mais compatível. Essas correções CVE não foram suportadas. Você deve atualizar para o Cloud Service Mesh 1.14 ou superior.

Alto

CVE-2023-27487

O istiod do plano de controle do Istio é vulnerável a um erro de processamento de solicitação, permitindo que um invasor mal-intencionado envie uma mensagem especialmente criada que resulta na falha do plano de controle quando o webhook de validação de um cluster é exposto publicamente. Este endpoint é servido pela porta TLS 15017, mas não requer nenhuma autenticação do invasor.

O que devo fazer?

Seu cluster será afetado se usar versões de patch do Cloud Service Mesh anteriores a 1.14.4, 1.13.8 ou 1.12.9.

Se você estiver executando o Cloud Service Mesh independente , faça upgrade do cluster para uma das seguintes versões corrigidas:

• Se você estiver usando o Anthos Service Mesh 1.14, faça upgrade para a v1.14.4-asm.2
• Se você estiver usando o Anthos Service Mesh 1.13, faça upgrade para a v1.13.8-asm.4
• Se você estiver usando o Anthos Service Mesh 1.12, faça upgrade para a v1.12.9-asm.3

Se você estiver executando o Cloud Service Mesh gerenciado , seu sistema será atualizado automaticamente nos próximos dias.

Se você estiver usando o Cloud Service Mesh v1.11 ou inferior, sua versão atingiu o fim da vida útil e não é mais compatível. Essas correções CVE não foram suportadas. Você deve atualizar para o Cloud Service Mesh 1.12 ou posterior.

Alto

CVE-2022-39278

O plano de dados do Istio pode potencialmente acessar a memória de forma insegura quando as extensões Metadata Exchange e Stats estão habilitadas.

O que devo fazer?

Seu cluster será afetado se usar versões de patch do Cloud Service Mesh anteriores a 1.13.4-asm.4, 1.12.7-asm.2 ou 1.11.8-asm.4.

Atualize seu cluster para uma das seguintes versões corrigidas:

• 1.13.4-asm.4
• 1.12.7-asm.2
• 1.11.8-asm.4

Se você estiver usando o Cloud Service Mesh v1.10 ou anterior, sua versão atingiu o fim da vida útil e não é mais compatível. Essas correções CVE não foram suportadas. Você deve atualizar para o Cloud Service Mesh 1.11 ou posterior. Para mais informações, consulte Atualizar de versões anteriores (GKE ou Atualizar de versões anteriores (local) .

Alto

CVE-2022-31045

Os dados podem exceder os limites de buffer intermediário se um invasor mal-intencionado transmitir uma pequena carga altamente compactada (também conhecido como ataque zip bomb).

O que devo fazer?

Seu cluster será afetado se usar versões de patch do Cloud Service Mesh anteriores a 1.13.4-asm.4, 1.12.7-asm.2 ou 1.11.8-asm.4.

Embora o Cloud Service Mesh não suporte filtros Envoy, você poderá ser afetado se usar um filtro de descompactação.

Atualize seu cluster para uma das seguintes versões corrigidas:

• 1.13.4-asm.4
• 1.12.7-asm.2
• 1.11.8-asm.4

Se você estiver usando o Cloud Service Mesh v1.10 ou anterior, sua versão atingiu o fim da vida útil e não é mais compatível. Essas correções CVE não foram suportadas. Você deve atualizar para o Cloud Service Mesh 1.11 ou posterior. Para mais informações, consulte Atualizar de versões anteriores (GKE ou Atualizar de versões anteriores (local) .

Os usuários do Envoy que gerenciam seus próprios Envoys devem garantir que estão usando o Envoy versão 1.22.1. Os usuários do Envoy que gerenciam seus próprios Envoys criam os binários a partir de uma fonte como o GitHub e os implantam.

Não há nenhuma ação a ser tomada pelos usuários que executam Envoys gerenciados (Google Cloud fornece os binários Envoy), para os quais os produtos em nuvem mudarão para 1.22.1.

Alto

CVE-2022-29225

Potencial desreferência de ponteiro nulo em GrpcHealthCheckerImpl .

O que devo fazer?

Seu cluster será afetado se usar versões de patch do Cloud Service Mesh anteriores a 1.13.4-asm.4, 1.12.7-asm.2 ou 1.11.8-asm.4.

Atualize seu cluster para uma das seguintes versões corrigidas:

• 1.13.4-asm.4
• 1.12.7-asm.2
• 1.11.8-asm.4

Se você estiver usando o Cloud Service Mesh v1.10 ou anterior, sua versão atingiu o fim da vida útil e não é mais suportada. Essas correções CVE não foram suportadas. Você deve atualizar para o Cloud Service Mesh 1.11 ou posterior. Para mais informações, consulte Atualizar de versões anteriores (GKE ou Atualizar de versões anteriores (local) .

Os usuários do Envoy que gerenciam seus próprios Envoys devem garantir que estão usando o Envoy versão 1.22.1. Os usuários do Envoy que gerenciam seus próprios Envoys criam os binários a partir de uma fonte como o GitHub e os implantam.

Não há nenhuma ação a ser tomada pelos usuários que executam Envoys gerenciados (Google Cloud fornece os binários Envoy), para os quais os produtos em nuvem mudarão para 1.22.1.

Médio

CVE-2021-29224

O filtro OAuth permite um desvio trivial.

O que devo fazer?

Seu cluster será afetado se usar versões de patch do Cloud Service Mesh anteriores a 1.13.4-asm.4, 1.12.7-asm.2 ou 1.11.8-asm.4.

Embora o Cloud Service Mesh não seja compatível com filtros Envoy, você poderá ser afetado se usar um filtro OAuth.

Atualize seu cluster para uma das seguintes versões corrigidas:

• 1.13.4-asm.4
• 1.12.7-asm.2
• 1.11.8-asm.4

Se você estiver usando o Cloud Service Mesh v1.10 ou anterior, sua versão atingiu o fim da vida útil e não é mais suportada. Essas correções CVE não foram suportadas. Você deve atualizar para o Cloud Service Mesh 1.11 ou posterior. Para mais informações, consulte Atualizar de versões anteriores (GKE ou Atualizar de versões anteriores (local) .

Os usuários do Envoy que gerenciam seus próprios Envoys também usam o filtro OAuth e devem garantir que estão usando o Envoy versão 1.22.1. Os usuários do Envoy que gerenciam seus próprios Envoys criam os binários a partir de uma fonte como o GitHub e os implantam.

Não há nenhuma ação a ser tomada pelos usuários que executam Envoys gerenciados (Google Cloud fornece os binários Envoy), para os quais os produtos em nuvem mudarão para 1.22.1.

Crítico

CVE-2021-29226

O filtro OAuth pode corromper a memória (versões anteriores) ou acionar um ASSERT() (versões posteriores).

O que devo fazer?

Seu cluster será afetado se usar versões de patch do Cloud Service Mesh anteriores a 1.13.4-asm.4, 1.12.7-asm.2 ou 1.11.8-asm.4.

Embora o Cloud Service Mesh não seja compatível com filtros Envoy, você poderá ser afetado se usar um filtro OAuth.

Atualize seu cluster para uma das seguintes versões corrigidas:

• 1.13.4-asm.4
• 1.12.7-asm.2
• 1.11.8-asm.4

Se você estiver usando o Cloud Service Mesh v1.10 ou anterior, sua versão atingiu o fim da vida útil e não é mais suportada. Essas correções CVE não foram suportadas. Você deve atualizar para o Cloud Service Mesh 1.11 ou posterior.

Os usuários do Envoy que gerenciam seus próprios Envoys também usam o filtro OAuth e devem garantir que estão usando o Envoy versão 1.22.1. Os usuários do Envoy que gerenciam seus próprios Envoys criam os binários a partir de uma fonte como o GitHub e os implantam.

Não há nenhuma ação a ser tomada pelos usuários que executam Envoys gerenciados (Google Cloud fornece os binários Envoy), para os quais os produtos em nuvem mudarão para 1.22.1.

Alto

CVE-2022-29228

Os redirecionamentos internos falham para solicitações com corpo ou trailers.

O que devo fazer?

Seu cluster será afetado se usar versões de patch do Cloud Service Mesh anteriores a 1.13.4-asm.4, 1.12.7-asm.2 ou 1.11.8-asm.4.

Atualize seu cluster para uma das seguintes versões corrigidas:

• 1.13.4-asm.4
• 1.12.7-asm.2
• 1.11.8-asm.4

Se você estiver usando o Cloud Service Mesh v1.10 ou anterior, sua versão atingiu o fim da vida útil e não é mais suportada. Essas correções CVE não foram suportadas. Você deve atualizar para o Cloud Service Mesh 1.11 ou posterior. Para mais informações, consulte Atualizar de versões anteriores (GKE ou Atualizar de versões anteriores (local) .

Os usuários do Envoy que gerenciam seus próprios Envoys devem garantir que estão usando o Envoy versão 1.22.1. Os usuários do Envoy que gerenciam seus próprios Envoys criam os binários a partir de uma fonte como o GitHub e os implantam.

Não há nenhuma ação a ser tomada pelos usuários que executam Envoys gerenciados (Google Cloud fornece os binários Envoy), para os quais os produtos em nuvem mudarão para 1.22.1.

Alto

CVE-2022-29227

O plano de controle do Istio, istiod, é vulnerável a um erro de processamento de solicitação, permitindo que um invasor mal-intencionado envie uma mensagem especialmente criada que resulta na falha do plano de controle quando o webhook de validação de um cluster é exposto publicamente. Este endpoint é servido pela porta TLS 15017, mas não requer nenhuma autenticação do invasor.

O que devo fazer?

Todas as versões do Cloud Service Mesh são afetadas por este CVE.

Nota: Se você estiver usando o plano de controle gerenciado, esta vulnerabilidade já foi corrigida e você não será afetado.

Atualize seu cluster para uma das seguintes versões corrigidas:

• 1.12.5-asm.0
• 1.11.8-asm.0
• 1.10.6-asm.2

Se você estiver usando o Cloud Service Mesh v1.9 ou inferior, sua versão atingiu o fim da vida útil e não é mais compatível. Essas correções CVE não foram suportadas. Você deve atualizar para Cloud Service Mesh 1.10 ou superior.

Alto

CVE-2022-24726

O Istiod falha ao receber solicitações com um cabeçalho authorization especialmente criado.

O que devo fazer?

Seu cluster será afetado se ambas as afirmações a seguir forem verdadeiras:

• Ele usa versões de patch do Cloud Service Mesh anteriores a 1.12.4-asm.1, 1.11.7-asm.1 ou 1.10.6-asm.1.

Nota: Se você estiver usando o plano de controle gerenciado, esta vulnerabilidade já foi corrigida e você não será afetado.

Atualize seu cluster para uma das seguintes versões corrigidas:

• 1.12.4-asm.1
• 1.11.7-asm.1
• 1.10.6-Asm.1

Se você estiver usando a malha de serviço em nuvem v1.9 ou abaixo, seu lançamento chegou ao fim da vida e não será mais suportado. Essas correções CVE não foram backport. Você deve atualizar para a malha de serviço em nuvem 1.10 ou acima.

Alto

CVE-2022-23635

Potencial desreferência do ponteiro nulo ao usar o filtro JWT safe_regex corresponde.

O que devo fazer?

Seu cluster é impactado se ambos os seguintes forem verdadeiros:

• Ele usa versões de patch de malha de serviço em nuvem antes de 1.12.4-Asm.1, 1.11.7-asm.1 ou 1.10.6-asasm.1.
• Embora a malha de serviço em nuvem não ofereça suporte a filtros enviados, você pode ser impactado se usar o filtro JWT Regex.

Atualize seu cluster para uma das seguintes versões corrigidas:

• 1.12.4-Asm.1
• 1.11.7-Asm.1
• 1.10.6-Asm.1

Se você estiver usando a malha de serviço em nuvem v1.9 ou abaixo, seu lançamento chegou ao fim da vida e não será mais suportado. Essas correções CVE não foram backport. Você deve atualizar para a malha de serviço em nuvem 1.10 ou acima.

Médio

CVE-2021-43824

Uso-Após o livre quando os filtros de resposta aumentam os dados de resposta e o aumento dos dados excede os limites do buffer a jusante.

O que devo fazer?

Seu cluster é impactado se ambos os seguintes forem verdadeiros:

• Ele usa versões de patch de malha de serviço em nuvem antes de 1.12.4-Asm.1, 1.11.7-asm.1 ou 1.10.6-asasm.1.
• Embora a malha de serviço em nuvem não ofereça suporte a filtros enviados, você pode ser impactado se usar um filtro descompacte.

Atualize seu cluster para uma das seguintes versões corrigidas:

• 1.12.4-Asm.1
• 1.11.7-Asm.1
• 1.10.6-Asm.1

Se você estiver usando a malha de serviço em nuvem v1.9 ou abaixo, seu lançamento chegou ao fim da vida e não será mais suportado. Essas correções CVE não foram backport. Você deve atualizar para a malha de serviço em nuvem 1.10 ou acima.

Médio

CVE-2021-43825

Uso-Após o tunelamento do TCP sobre o HTTP, se a jusante desconectar durante o estabelecimento de conexão a montante.

O que devo fazer?

Seu cluster é impactado se ambos os seguintes forem verdadeiros:

• Ele usa versões de patch de malha de serviço em nuvem antes de 1.12.4-Asm.1, 1.11.7-asm.1 ou 1.10.6-asasm.1.
• Embora a malha de serviço em nuvem não ofereça suporte a filtros enviados, você pode ser impactado se usar um filtro de tunelamento.

Atualize seu cluster para uma das seguintes versões corrigidas:

• 1.12.4-Asm.1
• 1.11.7-Asm.1
• 1.10.6-Asm.1

Se você estiver usando a malha de serviço em nuvem v1.9 ou abaixo, seu lançamento chegou ao fim da vida e não será mais suportado. Essas correções CVE não foram backport. Você deve atualizar para a malha de serviço em nuvem 1.10 ou acima.

Médio

CVE-2021-43826

O manuseio de configuração incorreto permite que a reutilização da sessão do MTLS sem re-validação após a alteração das configurações de validação.

O que devo fazer?

Seu cluster é impactado se ambos os seguintes forem verdadeiros:

• Ele usa versões de patch de malha de serviço em nuvem antes de 1.12.4-Asm.1, 1.11.7-asm.1 ou 1.10.6-asasm.1.
• Todos os serviços de malha de serviço em nuvem usando MTLs são impactados por este CVE.

Atualize seu cluster para uma das seguintes versões corrigidas:

• 1.12.4-Asm.1
• 1.11.7-Asm.1
• 1.10.6-Asm.1

Se você estiver usando a malha de serviço em nuvem v1.9 ou abaixo, seu lançamento chegou ao fim da vida e não será mais suportado. Essas correções CVE não foram backport. Você deve atualizar para a malha de serviço em nuvem 1.10 ou acima.

Alto

CVE-2022-21654

Manuseio incorreto de redirecionamentos internos para rotas com uma entrada de resposta direta.

O que devo fazer?

Seu cluster é impactado se ambos os seguintes forem verdadeiros:

• Ele usa versões de patch de malha de serviço em nuvem antes de 1.12.4-Asm.1, 1.11.7-asm.1 ou 1.10.6-asasm.1.
• Embora a malha de serviço em nuvem não ofereça suporte a filtros enviados, você pode ser impactado se usar um filtro de resposta direta.

Atualize seu cluster para uma das seguintes versões corrigidas:

• 1.12.4-Asm.1
• 1.11.7-Asm.1
• 1.10.6-Asm.1

Se você estiver usando a malha de serviço em nuvem v1.9 ou abaixo, seu lançamento chegou ao fim da vida e não será mais suportado. Essas correções CVE não foram backport. Você deve atualizar para a malha de serviço em nuvem 1.10 ou acima.

Alto

CVE-2022-21655

Exaustão da pilha quando um cluster é excluído via serviço de descoberta de cluster.

O que devo fazer?

Seu cluster é impactado se ambos os seguintes forem verdadeiros:

• Ele usa versões de patch de malha de serviço em nuvem antes de 1.12.4-Asm.1 ou 1.11.7-Asm.1.

Atualize seu cluster para uma das seguintes versões corrigidas:

• 1.12.4-Asm.1
• 1.11.7-Asm.1

Se você estiver usando a malha de serviço em nuvem v1.9 ou abaixo, seu lançamento chegou ao fim da vida e não será mais suportado. Essas correções CVE não foram backport. Você deve atualizar para a malha de serviço em nuvem 1.10 ou acima.

Médio

CVE-2022-23606

O ISTIO contém uma vulnerabilidade remotamente explorável em que uma solicitação HTTP com um fragmento (uma seção no final de um URI que começa com um caractere # ) no caminho URI pode ignorar as políticas de autorização baseadas em caminho URI da URI.

Por exemplo, uma política de autorização do ISTIO nega solicitações enviadas ao caminho /user/profile URI. Nas versões vulneráveis, uma solicitação com o caminho URI /user/profile#section1 ignora a política de nega e as rotas para o back -end (com o caminho de URI /user/profile%23section1 ), o que leva a um incidente de segurança.

Essa correção depende de uma correção no enviado, que está associado ao CVE-2021-32779 .

O que devo fazer?

Seu cluster é impactado se ambos os seguintes forem verdadeiros:

• Ele usa versões de patch de malha de serviço em nuvem antes de 1,7.8-Asm.10, 1.8.6-Asm.8, 1.9.8-Asm.1 e 1.10.4-Asm.6.
• Ele usa políticas de autorização com DENY actions e operation.paths de nega. Paths, ou ALLOW actions e operation.notPaths .

Atualize seu cluster para uma das seguintes versões corrigidas:

• 1.10.4-Asm.6
• 1.9.8-Asm.1
• 1.8.6-Asm.8
• 1.7.8-Asm.10

Com as novas versões, a parte do fragmento do URI da solicitação é removida antes da autorização e roteamento. Isso impede uma solicitação com um fragmento em seu URI de ignorar as políticas de autorização que são baseadas no URI sem a parte do fragmento.

Se você optar por não participar desse novo comportamento, a seção de fragmentos no URI será mantida. Para optar por não ter, você pode configurar sua instalação da seguinte forma:

apiVersion: install.istio.io/v1alpha1
kind: IstioOperator
metadata:
  name: opt-out-fragment-cve-fix
  namespace: istio-system
spec:
  meshConfig:
    defaultConfig:
      proxyMetadata:
        HTTP_STRIP_FRAGMENT_FROM_PATH_UNSAFE_IF_DISABLED: "false"

NOTA: Optar com esse comportamento torna seu cluster vulnerável a este CVE.

Alto

CVE-2021-39156

O ISTIO contém uma vulnerabilidade remotamente explorável, onde uma solicitação HTTP poderia ignorar uma política de autorização do ISTIO ao usar regras com base em hosts ou notHosts .

Nas versões vulneráveis, a política de autorização do ISTIO compara o Host HTTP ou :authority de maneira sensível ao caso, que é inconsistente com a RFC 4343 . Por exemplo, o usuário pode ter uma política de autorização que rejeite solicitações com o host secret.com , mas o invasor pode ignorar isso enviando a solicitação no hostName Secret.com . O fluxo de roteamento direciona o tráfego para o back -end para o secret.com , que causa um incidente de segurança.

O que devo fazer?

Seu cluster é impactado se ambos os seguintes forem verdadeiros:

• Ele usa versões de patch de malha de serviço em nuvem antes de 1,7.8-Asm.10, 1.8.6-Asm.8, 1.9.8-Asm.1 e 1.10.4-Asm.6.
• Ele usa políticas de autorização com DENY actions com base na operation.hosts ou ALLOW actions com base na operation.notHosts .

Atualize seu cluster para uma das seguintes versões corrigidas:

• 1.10.4-Asm.6
• 1.9.8-Asm.1
• 1.8.6-Asm.8
• 1.7.8-Asm.10

Essa mitigação garante que o Host HTTP ou :authority sejam avaliados em relação aos hosts ou notHosts especificações nas políticas de autorização de maneira insensível ao caso.

Alto

CVE-2021-39155

Envoado contém uma vulnerabilidade remotamente explorável de que uma solicitação HTTP com vários cabeçalhos de valor possa fazer uma verificação de política de autorização incompleta quando a extensão ext_authz é usada. Quando um cabeçalho de solicitação contém vários valores, o servidor de autorização externa verá apenas o último valor do cabeçalho fornecido.

O que devo fazer?

Seu cluster é impactado se ambos os seguintes forem verdadeiros:

• Ele usa versões de patch de malha de serviço em nuvem antes de 1,7.8-Asm.10, 1.8.6-Asm.8, 1.9.8-Asm.1 e 1.10.4-Asm.6.
• Ele usa o recurso de autorização externa .

Atualize seu cluster para uma das seguintes versões corrigidas:

• 1.10.4-Asm.6
• 1.9.8-Asm.1
• 1.8.6-Asm.8
• 1.7.8-Asm.10

Alto

CVE-2021-32777

O enviado contém uma vulnerabilidade remotamente explorável que afeta decompressor ou extensões de json-transcoder ou grpc-web do enviado ou extensões proprietárias que modificam e aumentam o tamanho dos órgãos de solicitação ou resposta. Modificar e aumentar o tamanho do corpo na extensão de um enviado além do tamanho do buffer interno pode levar ao enviado a acesso à memória desalocada e ao término de forma anormal.

O que devo fazer?

Seu cluster é impactado se ambos os seguintes forem verdadeiros:

• Ele usa versões de patch de malha de serviço em nuvem antes de 1,7.8-Asm.10, 1.8.6-Asm.8, 1.9.8-Asm.1 e 1.10.4-Asm.6.
• Ele usa EnvoyFilters .

Atualize seu cluster para uma das seguintes versões corrigidas:

• 1.10.4-Asm.6
• 1.9.8-Asm.1
• 1.8.6-Asm.8
• 1.7.8-Asm.10

Alto

CVE-2021-32781

O enviado contém uma vulnerabilidade remotamente explorável, onde um cliente de enviado abrindo e depois redefinir um grande número de solicitações HTTP/2 pode levar ao consumo excessivo da CPU.

O que devo fazer?

Seu cluster é impactado se usar versões de patch de malha de serviço em nuvem antes de 1.7.8-asasm.10, 1.8.6-asm.8, 1.9.8-asasm.1 e 1.10.4-asm.6.

Atualize seu cluster para uma das seguintes versões corrigidas:

• 1.10.4-Asm.6
• 1.9.8-Asm.1

NOTA: Se você estiver usando a malha de serviço em nuvem 1.8 ou anterior, atualize as versões mais recentes da malha de serviço em nuvem 1.9 e acima para mitigar essa vulnerabilidade.

Alto

CVE-2021-32778

O enviado contém uma vulnerabilidade remotamente explorável, onde um serviço upstream não confiável pode fazer com que o enviado termine anormalmente enviando o quadro de GOAWAY , seguido pelo quadro SETTINGS com o parâmetro SETTINGS_MAX_CONCURRENT_STREAMS definido como 0 .

O que devo fazer?

Seu cluster é impactado se usar a malha de serviço em nuvem 1.10 com uma versão de patch antes de 1.10.4-ASM.6.

Atualize seu cluster para a seguinte versão do patch:

• 1.10.4-Asm.6

Alto

CVE-2021-32780

O Gateway ou cargas de trabalho segura do ISTIO usando o DestinationRule pode carregar as teclas e certificados privados do TLS de segredos Kubernetes por meio da configuração credentialName . No ISTIO 1.8 e acima, os segredos são lidos do istiod e transportados para gateways e cargas de trabalho via XDS.

Normalmente, um gateway ou implantação de carga de trabalho só pode acessar certificados TLS e chaves privadas armazenadas no segredo dentro de seu espaço para nome. No entanto, um bug no istiod permite que um cliente autorizado acesse a API ISTIO XDS para recuperar qualquer certificado TLS e teclas privadas em cache em istiod . Essa vulnerabilidade de segurança afeta apenas as liberações menores de 1,8 e 1,9 da malha de serviço em nuvem.

O que devo fazer?

Seu cluster é impactado se todas as seguintes condições forem verdadeiras:

• Ele está usando uma versão 1.9.x antes de 1.9.6-Asm.1 ou um 1.8.x antes de 1.8.6-Asm.4.
• Ele definiu Gateways ou DestinationRules com o campo credentialName especificado.
• Ele não especifica o flag istiod PILOT_ENABLE_XDS_CACHE=false .

Atualize seu cluster para uma das seguintes versões corrigidas:

• 1.9.6-Asm.1
• 1.8.6-Asm.4

Alto

CVE-2021-34824

O ISTIO contém uma vulnerabilidade remotamente explorável, onde um cliente externo pode acessar serviços inesperados no cluster, ignorando as verificações de autorização, quando um gateway é configurado com a configuração de roteamento automático.

O que devo fazer?

Essa vulnerabilidade afeta apenas o uso do tipo de gateway automático, que normalmente é usado apenas em implantações de várias redes e multi-cluster.

Detecte o modo TLS de todos os gateways no cluster com o seguinte comando:

kubectl get gateways.networking.istio.io -A -o \
  "custom-columns=NAMESPACE:.metadata.namespace, \
  NAME:.metadata.name,TLS_MODE:.spec.servers[*].tls.mode"

Se a saída mostrar algum gateways auto_passhrough, você poderá ser impactado.

Atualize seus clusters para as mais recentes versões de malha de serviço em nuvem:

• 1.9.5-Asm.2
• 1.8.6-Asm.3
• 1.7.8-Asm.8

* NOTA: O lançamento do plano de controle gerenciado por malha de serviço em nuvem (disponível apenas em 1.9.x versões) será concluído nos próximos dias.

Alto

CVE-2021-31921

O ISTIO contém uma vulnerabilidade remotamente explorável, em que um caminho de solicitação HTTP com várias barras ou caracteres de barra escapados ( %2F ou %5C) poderia ignorar uma política de autorização do ISTIO quando as regras de autorização baseadas em caminho são usadas.

Em um cenário em que um administrador de cluster ISTIO define uma política de negação para rejeitar a solicitação no caminho "/admin" , uma solicitação enviada ao caminho da URL "//admin" não será rejeitada pela política de autorização.

De acordo com o RFC 3986 , o caminho "//admin" com várias barras deve ser tecnicamente tratado como um caminho diferente do "/admin" . No entanto, alguns serviços de back -end optam por normalizar os caminhos da URL, mesclando várias barras em uma única barra. Isso pode resultar em um desvio da política de autorização ( "//admin" não corresponde "/admin" ), e um usuário pode acessar o recurso no caminho "/admin" no back -end.

O que devo fazer?

Seu cluster é impactado por essa vulnerabilidade se você tiver políticas de autorização usando os padrões "permitir ação + notpaths" ou "negar ação + caminhos de campo". Esses padrões são vulneráveis ​​a desvios de política inesperados e você deve atualizar para corrigir o problema de segurança o mais rápido possível.

A seguir, é apresentado um exemplo de política vulnerável que usa o padrão "negar ação + caminhos":

apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: deny-path-admin
spec:
  action: DENY
  rules:
  - to:
    - operation:
        paths: ["/admin"]

A seguir, outro exemplo de política vulnerável que usa o padrão "Permitir Action + Notpaths Field":

apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: allow-path-not-admin
spec:
  action: ALLOW
  rules:
  - to:
    - operation:
        notPaths: ["/admin"]

Seu cluster não é impactado por essa vulnerabilidade se:

• Você não tem políticas de autorização.
• Suas políticas de autorização não definem paths ou notPaths campos.
• Suas políticas de autorização usam os padrões "Permitir ação + caminhos" ou "negar ações + padrões de campo notpaths". Esses padrões só poderiam causar rejeição inesperada em vez de desviar da política.

A atualização é opcional para esses casos.

Atualize seus clusters para as mais recentes versões de malha de serviço em nuvem suportadas*. Essas versões suportam a configuração dos proxies de enviados no sistema com mais opções de normalização:

• 1.9.5-Asm.2
• 1.8.6-Asm.3
• 1.7.8-Asm.8

* NOTA: O lançamento do plano de controle gerenciado por malha de serviço em nuvem (disponível apenas em 1.9.x versões) será concluído nos próximos dias.

Siga o Guia de práticas recomendadas de segurança do ISTIO para configurar suas políticas de autorização.

Alto

CVE-2021-31920

Os projetos de Enviado e Istio anunciaram recentemente várias novas vulnerabilidades de segurança (CVE-2021-28682, CVE-2021-28683 e CVE-2021-29258), que podem permitir que um invasor coloque o enviado e potencialmente torne as partes do cluster offline e não atingível.

Isso afeta serviços entregues, como a malha de serviço em nuvem.

O que devo fazer?

Para corrigir essas vulnerabilidades, atualize seu pacote de malha de serviço em nuvem para uma das seguintes versões corrigidas:

• 1.9.3-Asm.2
• 1.8.5-Asm.2
• 1.7.8-Asm.1
• 1.6.14-Asm.2

Para mais informações, consulte as notas de liberação da malha de serviço em nuvem .

Alto

CVE-2021-28682
CVE-2021-28683
CVE-2021-29258