安全公告
使用此 XML Feed 可订阅 Cloud Service Mesh 安全公告。
本页面列出了 Cloud Service Mesh 的安全公告。
GCP-2024-052
说明 | 严重程度 | 备注 |
---|---|---|
oghttp2 在 OnBeginHeadersForStream 上发生崩溃 该怎么做?检查您的集群是否会受到影响只有运行 Cloud Service Mesh v1.23 的集群会受到影响 应对措施Cloud Service Mesh 1.23.2-asm.2 包含针对此问题的修复程序。您无需执行任何操作。 |
高 |
说明 | 严重程度 | 备注 |
---|---|---|
通过访问日志注入恶意日志 该怎么做?检查您的集群是否会受到影响所有 Cloud Service Mesh 版本都会受到此 CVE 的影响。 应对措施将集群升级到以下某个修补后的版本:
|
中 |
说明 | 严重程度 | 备注 |
---|---|---|
可能会操纵来自外部源的“x-envoy”标头 该怎么做?检查您的集群是否会受到影响所有 Cloud Service Mesh 版本都会受到此 CVE 的影响。 应对措施将集群升级到以下某个修补后的版本:
|
中 |
说明 | 严重程度 | 备注 |
---|---|---|
在包含远程 JWK 的清除路由缓存中,JWT 过滤器发生崩溃 该怎么做?检查您的集群是否会受到影响所有 Cloud Service Mesh 版本都会受到此 CVE 的影响。 应对措施将集群升级到以下某个修补后的版本:
|
中 |
说明 | 严重程度 | 备注 |
---|---|---|
http 异步客户端中的 LocalReply 会导致 Envoy 崩溃 该怎么做?检查您的集群是否会受到影响所有 Cloud Service Mesh 版本都会受到此 CVE 的影响。 应对措施将集群升级到以下某个修补后的版本:
|
中 |
GCP-2024-032
说明 | 严重程度 | 备注 |
---|---|---|
Envoy 错误地接受 HTTP 200 响应以进入升级模式。 该怎么做?检查您的集群是否会受到影响所有 Cloud Service Mesh 版本都会受到此 CVE 的影响。 应对措施如果您运行的是托管式 Cloud Service Mesh,您的系统将在未来几天内自动更新。 否则,请将集群升级到以下某个修补后的版本:
|
中 |
说明 | 严重程度 | 备注 |
---|---|---|
EnvoyQuicServerStream::OnInitialHeadersComplete() 中发生崩溃。 该怎么做?检查您的集群是否会受到影响所有 Cloud Service Mesh 版本都会受到此 CVE 的影响。 应对措施如果您运行的是托管式 Cloud Service Mesh,您的系统将在未来几天内自动更新。 否则,请将集群升级到以下某个修补后的版本:
|
中 |
说明 | 严重程度 | 备注 |
---|---|---|
QuicheDataReader::PeekVarInt62Length() 中发生崩溃。 该怎么做?检查您的集群是否会受到影响所有 Cloud Service Mesh 版本都会受到此 CVE 的影响。 应对措施如果您运行的是托管式 Cloud Service Mesh,您的系统将在未来几天内自动更新。 否则,请将集群升级到以下修补后的版本:
|
中 |
说明 | 严重程度 | 备注 |
---|---|---|
使用额外输入解压缩 Brotli 数据时会出现无限循环。 该怎么做?检查您的集群是否会受到影响所有 Cloud Service Mesh 版本都会受到此 CVE 的影响。 应对措施如果您运行的是托管式 Cloud Service Mesh,您的系统将在未来几天内自动更新。 否则,请将集群升级到以下修补后的版本:
|
高 |
说明 | 严重程度 | 备注 |
---|---|---|
EnvoyQuicServerStream 中发生崩溃(释放后使用)。 该怎么做?检查您的集群是否会受到影响所有 Cloud Service Mesh 版本都会受到此 CVE 的影响。 应对措施如果您运行的是托管式 Cloud Service Mesh,您的系统将在未来几天内自动更新。 否则,请将集群升级到以下修补后的版本:
|
中 |
说明 | 严重程度 | 备注 |
---|---|---|
由于未捕获的 nlohmann JSON 异常而发生崩溃。 该怎么做?检查您的集群是否会受到影响所有 Cloud Service Mesh 版本都会受到此 CVE 的影响。 应对措施如果您运行的是托管式 Cloud Service Mesh,您的系统将在未来几天内自动更新。 否则,请将集群升级到以下修补后的版本:
|
高 |
说明 | 严重程度 | 备注 |
---|---|---|
来自 HTTP 异步客户端的 Envoy OOM 矢量,具有用于镜像响应的无界限响应缓冲区。 该怎么做?检查您的集群是否会受到影响所有 Cloud Service Mesh 版本都会受到此 CVE 的影响。 应对措施如果您运行的是托管式 Cloud Service Mesh,您的系统将在未来几天内自动更新。 否则,请将集群升级到以下修补后的版本:
|
中 |
GCP-2024-023
发布日期:2024 年 4 月 24 日
说明 | 严重程度 | 备注 |
---|---|---|
HTTP/2:由于 CONTINUATION 帧泛洪而导致内存耗尽。 该怎么做?检查您的集群是否会受到影响所有 Cloud Service Mesh 版本都会受到此 CVE 的影响。 应对措施如果您运行的是代管式 Cloud Service Mesh,则无需执行任何操作。您的系统会 自动更新到期日期。 如果您运行的是集群内 Cloud Service Mesh,则必须将集群升级为 的补丁:
如果您使用的是 Cloud Service Mesh v1.17 或更低版本,则您的版本已达到服务终止期限,不再受支持。这些 CVE 修复尚未反向移植。您应升级到 Cloud Service Mesh v1.18 或更高版本。 |
高 |
说明 | 严重程度 | 备注 |
---|---|---|
HTTP/2:由于 CONTINUATION 帧泛滥而导致 CPU 耗尽 该怎么做?检查您的集群是否会受到影响所有 Cloud Service Mesh 版本都会受到此 CVE 的影响。 应对措施如果您运行的是代管式 Cloud Service Mesh,则无需执行任何操作。您的系统会 自动更新到期日期。 如果您运行的是集群内 Cloud Service Mesh,则必须将集群升级为 的补丁:
如果您使用的是 Cloud Service Mesh v1.17 或更低版本,则版本已服务终止,并且 已不再受支持。这些 CVE 修复尚未反向移植。您应升级到 Cloud Service Mesh 1.18 或更高版本。 |
中 |
说明 | 严重程度 | 备注 |
---|---|---|
使用 该怎么做?检查您的集群是否会受到影响所有 Cloud Service Mesh 版本都会受到此 CVE 的影响。 应对措施如果您运行的是代管式 Cloud Service Mesh,则无需执行任何操作。您的系统会 自动更新到期日期。 如果您运行的是集群内 Cloud Service Mesh,则必须将集群升级为 的补丁:
如果您使用的是 Cloud Service Mesh v1.17 或更低版本,则您的版本已服务终止,并且 。这些 CVE 修复尚未反向移植。您应升级到 Cloud Service Mesh 1.18 或更高版本。 |
高 |
说明 | 严重程度 | 备注 |
---|---|---|
HTTP/2 CONTINUATION 帧可用于 DoS 攻击。 该怎么做?检查您的集群是否会受到影响所有 Cloud Service Mesh 版本都会受到此 CVE 的影响。 应对措施如果您运行的是代管式 Cloud Service Mesh,则无需执行任何操作。您的系统会 自动更新到期日期。 如果您运行的是集群内 Cloud Service Mesh,则必须将集群升级为 的补丁:
如果您使用的是 Cloud Service Mesh v1.17 或更低版本,则您的版本已达到服务终止期限,不再受支持。这些 CVE 修复尚未反向移植。您应升级到 v1.18 或更高版本。 |
未提供 |
GCP-2024-007
发布日期:2024 年 2 月 8 日
说明 | 严重程度 | 备注 |
---|---|---|
Envoy 在空闲时崩溃,并且每次尝试超时的请求都发生在退避间隔内。 该怎么做?如果您运行的是托管式 Cloud Service Mesh,则无需执行任何操作。您的系统会在未来几天内自动更新。 如果您运行的是集群内 Cloud Service Mesh,则必须将集群升级为 的补丁:
如果您使用的是 Anthos Service Mesh v1.17 或更早版本,则您的版本已达到 且不再受支持。尽管这些 CVE 修复已经向后移植到 1.17 中, 应升级到 1.18 或更高版本。 |
高 |
说明 | 严重程度 | 备注 |
---|---|---|
使用正则表达式配置 URI 模板匹配器时 CPU 使用量过高。 该怎么做?如果您运行的是托管式 Cloud Service Mesh,则无需执行任何操作。您的系统会在未来几天内自动更新。 如果您运行的是集群内 Cloud Service Mesh,则必须将集群升级为 的补丁:
如果您使用的是 Anthos Service Mesh v1.17 或更低版本,则您的版本已达到服务终止期限,不再受支持。尽管这些 CVE 修复已经向后移植到 1.17 中, 应升级到 1.18 或更高版本。 |
中 |
说明 | 严重程度 | 备注 |
---|---|---|
当代理协议过滤器设置无效的 UTF-8 元数据时,可以绕过外部授权。 该怎么做?如果您运行的是托管式 Cloud Service Mesh,则无需执行任何操作。您的系统会在未来几天内自动更新。 如果您运行的是集群内 Cloud Service Mesh,则必须将集群升级为 的补丁:
如果您使用的是 Anthos Service Mesh v1.17 或更早版本,则您的版本已达到 且不再受支持。尽管这些 CVE 修复已经向后移植到 1.17 中, 应升级到 1.18 或更高版本。 |
高 |
说明 | 严重程度 | 备注 |
---|---|---|
使用操作系统不支持的地址类型时,Envoy 会崩溃。 该怎么做?如果您运行的是托管式 Cloud Service Mesh,则无需执行任何操作。您的系统会在未来几天内自动更新。 如果您运行的是集群内 Cloud Service Mesh,则必须将集群升级为 的补丁:
如果您使用的是 Anthos Service Mesh v1.17 或更早版本,则您的版本已达到 且不再受支持。尽管这些 CVE 修复已经向后移植到 1.17 中, 应升级到 1.18 或更高版本。 |
高 |
说明 | 严重程度 | 备注 |
---|---|---|
命令类型为 该怎么做?如果您运行的是托管式 Cloud Service Mesh,则无需执行任何操作。您的系统会在未来几天内自动更新。 如果您运行的是集群内 Cloud Service Mesh,则必须将集群升级为 的补丁:
如果您使用的是 Anthos Service Mesh v1.17 或更早版本,则您的版本已达到 且不再受支持。尽管这些 CVE 修复已经向后移植到 1.17 中, 应升级到 1.18 或更高版本。 |
高 |
GCP-2023-031
发布日期:2023-10-10
说明 | 严重程度 | 备注 |
---|---|---|
使用 HTTP/2 协议时,拒绝服务攻击可能会影响数据平面。 该怎么做?检查您的集群是否会受到影响如果您的集群使用 1.18.4、1.17.7 或 1.16.7 之前的 Cloud Service Mesh 补丁版本,则会受到上述影响。 应对措施将集群升级到以下某个修补后的版本:
如果您运行的是代管式 Cloud Service Mesh,您的系统将自动更新 。 如果您使用的是 Cloud Service Mesh v1.15 或更低版本,则您的版本已达到 且不再受支持。这些 CVE 修复尚未反向移植。您应该升级到 v1.16 或更高版本。 |
高 |
GCP-2023-021
更新日期:2023-07-26
发布日期:2022-07-25说明 | 严重程度 | 备注 |
---|---|---|
在某些特定场景中,恶意客户端能够构建永久有效的凭据。例如,HMAC 载荷中主机和到期时间的组合在 OAuth2 过滤器的 HMAC 检查中可以始终有效。 该怎么做?检查您的集群是否会受到影响如果您的集群使用的 Cloud Service Mesh 补丁程序版本低于
将集群升级到以下某个修补后的版本:
如果您运行的是托管式 Cloud Service Mesh,您的系统将在未来几天内自动更新。 如果您使用的是 Anthos Service Mesh 1.14 或更低版本,则您的版本已达到服务终止期限,不再受支持。这些 CVE 修复尚未反向移植。您应该升级到 ASM 1.15 或更高版本。 |
高 |
说明 | 严重程度 | 备注 |
---|---|---|
当监听器排空时,使用监听器的全局范围的 gRPC 访问日志记录器可能导致 use-after-free 崩溃。这可由具有相同 gRPC 访问日志配置的 LDS 更新触发。 该怎么做?检查您的集群是否会受到影响如果您的集群使用的 Cloud Service Mesh 补丁程序版本低于
将集群升级到以下某个修补后的版本:
如果您运行的是托管式 Cloud Service Mesh,您的系统将在未来几天内自动更新。 如果您使用的是 Anthos Service Mesh 1.14 或更低版本,则您的版本已达到服务终止期限,不再受支持。这些 CVE 修复尚未反向移植。您应该升级到 ASM 1.15 或更高版本。 |
中 |
说明 | 严重程度 | 备注 |
---|---|---|
如果 该怎么做?检查您的集群是否会受到影响如果您的集群使用的 Cloud Service Mesh 补丁程序版本低于
将集群升级到以下某个修补后的版本:
如果您运行的是托管式 Cloud Service Mesh,您的系统将在未来几天内自动更新。 如果您使用的是 Anthos Service Mesh 1.14 或更低版本,则您的版本已达到服务终止期限,不再受支持。这些 CVE 修复尚未反向移植。您应该升级到 ASM 1.15 或更高版本。 |
中 |
说明 | 严重程度 | 备注 |
---|---|---|
攻击者可以发送具有大小写混合的传输协议的请求,以绕过 Envoy 中的某些传输协议检查。例如,如果向 OAuth2 过滤器发送具有大小写混合的传输协议 htTp 的请求,它将无法通过 http 的完全匹配检查,并通知远程端点传输协议为 https,从而可能绕过专门针对 HTTP 请求的 OAuth2 检查。 该怎么做?检查您的集群是否会受到影响如果您的集群使用的 Cloud Service Mesh 补丁程序版本低于
将集群升级到以下某个修补后的版本:
如果您运行的是托管式 Cloud Service Mesh,您的系统将在未来几天内自动更新。 如果您使用的是 Anthos Service Mesh 1.14 或更低版本,则您的版本已达到服务终止期限,不再受支持。这些 CVE 修复尚未反向移植。您应该升级到 ASM 1.15 或更高版本。 |
高 |
GCP-2023-019
说明 | 严重程度 | 备注 |
---|---|---|
来自不受信任的上行服务的专门设计的响应可能会通过耗尽内存引发拒绝服务攻击。造成此问题的原因是 Envoy 的 HTTP/2 编解码器在从上行服务器收到 RST_STREAM 之后立即收到 GOAWAY 帧时可能泄露标头映射和簿记结构。 该怎么做?检查您的集群是否会受到影响如果您的集群使用的 Cloud Service Mesh 补丁程序版本低于
将集群升级到以下某个修补后的版本:
如果您运行的是托管式 Cloud Service Mesh,您的系统会自动更新 。 如果您使用的是 Anthos Service Mesh 1.14 或更低版本,则您的版本已达到服务终止期限,不再受支持。这些 CVE 修复尚未反向移植。您应该升级到 ASM 1.15 或更高版本。 |
高 |
GCP-2023-002
说明 | 严重程度 | 备注 |
---|---|---|
如果 Envoy 在启用 OAuth 过滤器的情况下运行,恶意行为体可能会构造请求,通过使 Envoy 崩溃而形成拒绝服务攻击。 该怎么做?检查您的集群是否会受到影响如果您的集群使用的 Cloud Service Mesh 补丁版本早于以下版本,则会受到影响:
将集群升级到以下某个修补后的版本:
如果您使用的是 Cloud Service Mesh v1.13 或更低版本,则您的版本已达到服务终止时间,不再受支持。这些 CVE 修复尚未反向移植。您应升级到 Cloud Service Mesh 1.14 或更高版本。 |
中 |
说明 | 严重程度 | 备注 |
---|---|---|
使用 ext_authz 时,攻击者可以利用此漏洞绕过身份验证检查。 该怎么做?检查您的集群是否会受到影响如果您的集群使用的 Cloud Service Mesh 补丁版本早于以下版本,则会受到影响:
将集群升级到以下某个修补后的版本:
如果您使用的是 Cloud Service Mesh v1.13 或更低版本,则您的版本已达到服务终止时间,不再受支持。这些 CVE 修复尚未反向移植。您应升级到 Cloud Service Mesh} 1.14 或更高版本。 |
中 |
说明 | 严重程度 | 备注 |
---|---|---|
Envoy 配置还必须包含一个选项,用于添加使用请求中的输入生成的请求标头,例如对等证书 SAN。 该怎么做?检查您的集群是否会受到影响如果您的集群使用的 Cloud Service Mesh 补丁版本早于以下版本,则会受到影响:
将集群升级到以下某个修补后的版本:
如果您使用的是 Cloud Service Mesh v1.13 或更低版本,则您的版本已达到服务终止期限,不再受支持。这些 CVE 修复尚未反向移植。您应该升级到 Cloud Service Mesh 1.14 或更高版本。 |
高 |
说明 | 严重程度 | 备注 |
---|---|---|
攻击者可能针对启用 Lua 过滤器的路由发送大型请求正文并触发崩溃。 该怎么做?检查您的集群是否会受到影响如果您的集群使用的 Cloud Service Mesh 补丁版本早于以下版本,则会受到影响:
将集群升级到以下某个修补后的版本:
如果您使用的是 Cloud Service Mesh v1.13 或更低版本,则您的版本已达到服务终止时间,不再受支持。这些 CVE 修复尚未反向移植。您应升级到 Cloud Service Mesh 1.14 或更高版本。 |
中 |
说明 | 严重程度 | 备注 |
---|---|---|
攻击者可能发送特别设计的 HTTP/2 或 HTTP/3 请求,从而触发 HTTP/1 上游服务的解析错误。 该怎么做?检查您的集群是否会受到影响如果您的集群使用的 Cloud Service Mesh 补丁版本早于以下版本,则会受到影响:
将集群升级到以下某个修补后的版本:
如果您使用的是 Cloud Service Mesh v1.13 或更低版本,则您的版本已达到服务终止时间,不再受支持。这些 CVE 修复尚未反向移植。您应升级到 Cloud Service Mesh 1.14 或更高版本。 |
中 |
说明 | 严重程度 | 备注 |
---|---|---|
标头 x-envoy-original-path 应该是内部标头,但当请求从不受信任的客户端发出时,Envoy 不会在请求处理开始时从请求中移除此标头。 该怎么做?检查您的集群是否会受到影响如果您的集群使用的 Cloud Service Mesh 补丁版本早于以下版本,则会受到影响:
将集群升级到以下某个修补后的版本:
如果您使用的是 Cloud Service Mesh v1.13 或更低版本,则您的版本已达到服务终止期限,不再受支持。这些 CVE 修复尚未反向移植。您应该升级到 Cloud Service Mesh 1.14 或更高版本。 |
高 |
GCP-2022-020
发布日期:2022 年 10 月 5 日更新日期:2022 年 10 月 12 日
2022 年 10 月 12 日更新:更新了指向 CVE 说明的链接,并添加了关于代管式 Cloud Service Mesh 自动更新的信息。
说明 | 严重程度 | 备注 |
---|---|---|
Istio 控制平面 该怎么做?检查您的集群是否会受到影响如果您的集群使用 1.14.4、1.13.8 或 1.12.9 之前的 Cloud Service Mesh 补丁版本,则会受到影响。 应对措施如果您运行的是独立 Cloud Service Mesh,请将集群升级到 以下修补版本:
如果您运行的是托管式 Cloud Service Mesh,您的系统将在未来几天内自动更新。 如果您使用的是 Cloud Service Mesh v1.11 或更低版本,则您的版本已达到服务终止期限,不再受支持。这些 CVE 修复尚未反向移植。您应升级到 Cloud Service Mesh 1.12 或更高版本。 |
高 |
GCP-2022-015
发布日期:2022-06-09更新日期:2022-06-10
2022 年 6 月 10 日更新:更新了 Cloud Service Mesh 的补丁版本。
说明 | 严重程度 | 备注 |
---|---|---|
启用元数据交换和统计扩展程序后,Istio 数据平面可能会以不安全的方式访问内存。 该怎么做?检查您的集群是否会受到影响如果您的集群使用的 Cloud Service Mesh 补丁程序版本低于 1.13.4-asm.4、1.12.7-asm.2 或 1.11.8-asm.4。 Cloud Service Mesh 缓解措施将集群升级到以下某个修补后的版本:
如果您使用的是 Cloud Service Mesh v1.10 或更低版本,则您的版本已达到服务终止期限,不再受支持。这些 CVE 修复尚未反向移植。您应升级到 Cloud Service Mesh 1.11 或更高版本。 如需了解详情,请参阅从早期版本升级 (GKE) 或从早期版本升级(本地)。 |
高 |
说明 | 严重程度 | 备注 |
---|---|---|
如果恶意攻击者传递了高度压缩的小型载荷(也称为 zip 炸弹攻击),则数据可能会超过中间缓冲区限制。 该怎么做?检查您的集群是否会受到影响如果您的集群使用的 Cloud Service Mesh 补丁程序版本低于 1.13.4-asm.4、1.12.7-asm.2 或 1.11.8-asm.4。 尽管 Cloud Service Mesh 不支持 Envoy 过滤条件,但如果您使用解压缩过滤条件,则可能会受到影响。 Cloud Service Mesh 缓解将集群升级到以下某个修补后的版本:
如果您使用的是 Cloud Service Mesh v1.10 或更早版本,则您的版本已达到服务终止时间,不再受支持。这些 CVE 修复尚未反向移植。您应升级到 Cloud Service Mesh 1.11 或更高版本。 如需了解详情,请参阅从早期版本升级 (GKE) 或从早期版本升级(本地)。 Envoy 缓解措施管理自己的 Envoy 的 Envoy 用户应确保使用 Envoy 1.22.1 版。管理自己的 Envoy 的 Envoy 用户从 GitHub 等来源构建二进制文件并进行部署。 运行代管式 Envoy 的用户无需执行任何操作(Google Cloud 提供 Envoy 二进制文件),Cloud 产品将改用 1.22.1 版。 |
高 |
说明 | 严重程度 | 备注 |
---|---|---|
该怎么做?检查您的集群是否会受到影响如果您的集群使用的 Cloud Service Mesh 补丁程序版本低于 1.13.4-asm.4、1.12.7-asm.2 或 1.11.8-asm.4。 Cloud Service Mesh 缓解措施将集群升级到以下某个修补后的版本:
如果您使用的是 Cloud Service Mesh v1.10 或更早版本,则您的版本已达到服务终止时间,不再受支持。这些 CVE 修复尚未反向移植。您应升级到 Cloud Service Mesh 1.11 或更高版本。 如需了解详情,请参阅从早期版本升级 (GKE) 或从早期版本升级(本地)。 Envoy 缓解措施管理自己的 Envoy 的 Envoy 用户应确保使用 Envoy 1.22.1 版。管理自己的 Envoy 的 Envoy 用户从 GitHub 等来源构建二进制文件并进行部署。 运行代管式 Envoy 的用户无需执行任何操作(Google Cloud 提供 Envoy 二进制文件),Cloud 产品将改用 1.22.1 版。 |
中 |
说明 | 严重程度 | 备注 |
---|---|---|
OAuth 过滤条件允许普通绕过。 该怎么做?检查您的集群是否会受到影响如果您的集群使用低于 1.13.4-asm.4、1.12.7-asm.2 或 1.11.8-asm.4 的 Cloud Service Mesh 补丁版本,则会受到影响。 尽管 Cloud Service Mesh 不支持 Envoy 过滤条件,但如果您使用 OAuth 过滤条件,则可能会受到影响。 Cloud Service Mesh 缓解措施将集群升级到以下某个修补后的版本:
如果您使用的是 Cloud Service Mesh v1.10 或更低版本,则您的版本已达到服务终止期限,不再受支持。这些 CVE 修复尚未反向移植。您应该升级到 Cloud Service Mesh 1.11 或更高版本。如需了解详情,请参阅从早期版本升级 (GKE) 或从早期版本升级(本地)。 Envoy 缓解措施管理自己的 Envoy 的 Envoy 用户也使用 OAuth 过滤条件,应确保使用 Envoy 1.22.1 版。管理自己的 Envoy 的 Envoy 用户从 GitHub 等来源构建二进制文件并进行部署。 运行代管式 Envoy 的用户无需执行任何操作(Google Cloud 提供 Envoy 二进制文件),Cloud 产品将改用 1.22.1 版。 |
严重 |
说明 | 严重程度 | 备注 |
---|---|---|
OAuth 过滤条件可能会损坏内存(较低版本)或触发 ASSERT()(更高版本)。 该怎么做?检查您的集群是否会受到影响如果您的集群使用的 Cloud Service Mesh 补丁程序版本低于 1.13.4-asm.4、1.12.7-asm.2 或 1.11.8-asm.4。 虽然 Cloud Service Mesh 不支持 Envoy 过滤器,但如果您使用 OAuth 过滤器,则可能会受到影响。 Cloud Service Mesh 缓解措施将集群升级到以下某个修补后的版本:
如果您使用的是 Cloud Service Mesh v1.10 或更早版本,则您的版本已达到服务终止时间,不再受支持。这些 CVE 修复尚未反向移植。您应升级到 Cloud Service Mesh 1.11 或更高版本。 Envoy 缓解措施管理自己的 Envoy 的 Envoy 用户也使用 OAuth 过滤条件,应确保使用 Envoy 1.22.1 版。管理自己的 Envoy 的 Envoy 用户从 GitHub 等来源构建二进制文件并进行部署。 运行代管式 Envoy 的用户无需执行任何操作(Google Cloud 提供 Envoy 二进制文件),Cloud 产品将改用 1.22.1 版。 |
高 |
说明 | 严重程度 | 备注 |
---|---|---|
包含正文或尾部的请求的内部重定向会崩溃。 该怎么做?检查您的集群是否会受到影响如果您的集群使用的 Cloud Service Mesh 补丁程序版本低于 1.13.4-asm.4、1.12.7-asm.2 或 1.11.8-asm.4。 Cloud Service Mesh 缓解措施将集群升级到以下某个修补后的版本:
如果您使用的是 Cloud Service Mesh v1.10 或更早版本,则您的版本已达到服务终止时间,不再受支持。这些 CVE 修复尚未反向移植。您应升级到 Cloud Service Mesh 1.11 或更高版本。 如需了解详情,请参阅从早期版本升级 (GKE) 或从早期版本升级(本地)。 Envoy 缓解措施管理自己的 Envoy 的 Envoy 用户应确保使用 Envoy 1.22.1 版。管理自己的 Envoy 的 Envoy 用户从 GitHub 等来源构建二进制文件并进行部署。 运行代管式 Envoy 的用户无需执行任何操作(Google Cloud 提供 Envoy 二进制文件),Cloud 产品将改用 1.22.1 版。 |
高 |
GCP-2022-010
发布日期:2022-03-10更新日期:2022-03-16
说明 | 严重程度 | 备注 |
---|---|---|
Istio 控制层面 (istiod) 容易出现请求处理错误,从而允许恶意攻击者发送特别设计的消息,当用于验证集群的网络钩子公开提供时,会导致控制层面崩溃。此端点通过 TLS 端口 15017 提供,但不需要攻击者进行任何身份验证。 该怎么做?检查您的集群是否会受到影响所有 Cloud Service Mesh 版本都会受到此 CVE 的影响。 注意:如果您使用的是代管式控制平面,则此漏洞已修复,您不会受到影响。 应对措施将集群升级到以下某个修补后的版本:
如果您使用的是 Cloud Service Mesh v1.9 或更低版本,则您的版本已达到服务终止期限,不再受支持。这些 CVE 修复尚未反向移植。您应升级 Cloud Service Mesh 1.10 或更高版本。 |
高 |
GCP-2022-007
发布日期:2022-02-22说明 | 严重程度 | 备注 |
---|---|---|
收到包含特别设计的 该怎么做?检查您的集群是否会受到影响如果同时满足以下两个条件,则您的集群会受到影响:
注意:如果您使用的是代管式控制平面,则此漏洞已修复,您不会受到影响。 应对措施将集群升级到以下某个修补后的版本:
如果您使用的是 Cloud Service Mesh v1.9 或更低版本,则您的版本已达到服务终止期限,不再受支持。这些 CVE 修复尚未反向移植。您应升级 Cloud Service Mesh 1.10 或更高版本。 |
高 |
说明 | 严重程度 | 备注 |
---|---|---|
使用 JWT 过滤条件 该怎么做?检查您的集群是否会受到影响如果同时满足以下两个条件,则您的集群会受到影响:
将集群升级到以下某个修补后的版本:
如果您使用的是 Cloud Service Mesh v1.9 或更低版本,则您的版本已达到服务终止期限,不再受支持。这些 CVE 修复尚未反向移植。您应升级到 Cloud Service Mesh 1.10 或更高版本。 |
中 |
说明 | 严重程度 | 备注 |
---|---|---|
如果响应过滤条件增加响应数据且增加的数据超出下游缓冲区限制,则会发生“释放后使用”。 该怎么做?检查您的集群是否会受到影响如果同时满足以下两个条件,则您的集群会受到影响:
将集群升级到以下某个修补后的版本:
如果您使用的是 Cloud Service Mesh v1.9 或更低版本,则您的版本已达到服务终止期限,不再受支持。这些 CVE 修复尚未反向移植。您应升级到 Cloud Service Mesh 1.10 或更高版本。 |
中 |
说明 | 严重程度 | 备注 |
---|---|---|
通过 HTTP 建立 TCP 隧道时,如果在上游建立连接期间下游断开连接,则会发生“释放后使用”。 该怎么做?检查您的集群是否会受到影响如果同时满足以下两个条件,则您的集群会受到影响:
将集群升级到以下某个修补后的版本:
如果您使用的是 Cloud Service Mesh v1.9 或更低版本,则您的版本已达到服务终止期限,不再受支持。这些 CVE 修复尚未反向移植。您应升级到 Cloud Service Mesh 1.10 或更高版本。 |
中 |
说明 | 严重程度 | 备注 |
---|---|---|
由于配置处理不恰当,导致在验证设置发生更改后无需重新验证便可重新使用 mTLS 会话。 该怎么做?检查您的集群是否会受到影响如果同时满足以下两个条件,则您的集群会受到影响:
将集群升级到以下某个修补后的版本:
如果您使用的是 Cloud Service Mesh v1.9 或更低版本,则您的版本已服务终止,并且 。这些 CVE 修复尚未反向移植。您应该升级到 Cloud Service Mesh 1.10 或更高版本。 |
高 |
说明 | 严重程度 | 备注 |
---|---|---|
对具有直接响应条目的路由的内部重定向处理错误。 该怎么做?检查您的集群是否会受到影响如果同时满足以下两个条件,则您的集群会受到影响:
将集群升级到以下某个修补后的版本:
如果您使用的是 Cloud Service Mesh v1.9 或更低版本,则您的版本已服务终止,并且 。这些 CVE 修复尚未反向移植。您应该升级到 Cloud Service Mesh 1.10 或更高版本。 |
高 |
说明 | 严重程度 | 备注 |
---|---|---|
通过集群发现服务删除集群时堆栈耗尽。 该怎么做?检查您的集群是否会受到影响如果同时满足以下两个条件,则您的集群会受到影响:
将集群升级到以下某个修补后的版本:
如果您使用的是 Cloud Service Mesh v1.9 或更低版本,则您的版本已达到服务终止期限,不再受支持。这些 CVE 修复尚未反向移植。您应升级到 Cloud Service Mesh 1.10 或更高版本。 |
中 |
GCP-2021-016
已发布:2021-08-24说明 | 严重程度 | 备注 |
---|---|---|
Istio 包含一个远程利用漏洞,在该漏洞中,URI 路径中带有片段(URI 末尾以
例如,Istio 授权政策会拒绝发送到 URI 路径 此修复依赖于 Envoy 中的修复,该修复与 CVE-2021-32779 相关联。 该怎么做?检查您的集群是否会受到影响如果同时满足以下两个条件,则您的集群会受到影响:
将集群升级到以下某个修补后的版本:
对于新版本,请求的 URI 的片段部分会在授权和路由之前移除。这样可以防止在其 URI 中包含 Fragment 的请求绕过基于 URI 且没有 Fragment 部分的授权政策。 停用如果您选择停用这种新行为,则 URI 中的片段部分会被保留。如需选择停用,您可以按如下方式配置安装: apiVersion: install.istio.io/v1alpha1 kind: IstioOperator metadata: name: opt-out-fragment-cve-fix namespace: istio-system spec: meshConfig: defaultConfig: proxyMetadata: HTTP_STRIP_FRAGMENT_FROM_PATH_UNSAFE_IF_DISABLED: "false" 注意:如果选择停用此行为,您的集群将容易受到此 CVE 的影响。 |
高 |
说明 | 严重程度 | 备注 |
---|---|---|
Istio 包含的一个远程漏洞,在使用基于
在易受攻击的版本中,Istio 授权政策以区分大小写的方式比较 HTTP 该怎么做?检查您的集群是否会受到影响如果同时满足以下两个条件,则您的集群会受到影响:
将集群升级到以下某个修补后的版本:
此缓解措施可确保 HTTP |
高 |
说明 | 严重程度 | 备注 |
---|---|---|
Envoy 包含一个远程漏洞,当使用 该怎么做?检查您的集群是否会受到影响如果同时满足以下两个条件,则您的集群会受到影响:
将集群升级到以下某个修补后的版本:
|
高 |
说明 | 严重程度 | 备注 |
---|---|---|
Envoy 包含一个远程漏洞,该漏洞会影响 Envoy 的 该怎么做?检查您的集群是否会受到影响如果同时满足以下两个条件,则您的集群会受到影响:
将集群升级到以下某个修补后的版本:
|
高 |
说明 | 严重程度 | 备注 |
---|---|---|
Envoy 包含一个远程漏洞,利用该漏洞,Envoy 客户端会打开然后重置大量 HTTP/2 请求,可能会导致 CPU 消耗过度。 该怎么做?检查您的集群是否会受到影响如果您的集群使用的 Cloud Service Mesh 补丁版本低于 1.7.8-asm.10、1.8.6-asm.8、1.9.8-asm.1 和 1.10.4-asm.6,则该集群会受到影响。 应对措施将集群升级到以下某个修补后的版本:
注意:如果您使用的是 Cloud Service Mesh 1.8 或更早版本,请升级到 Cloud Service Mesh 1.9 及更高版本的最新补丁程序版本,以缓解此漏洞。 |
高 |
说明 | 严重程度 | 备注 |
---|---|---|
Envoy 包含一个远程漏洞,在该漏洞中,不受信任的上游服务可能会导致 Envoy 异常终止,方法是发送 该怎么做?检查您的集群是否会受到影响如果您的集群使用 Cloud Service Mesh 1.10,且补丁版本低于 1.10.4-asm.6,则该集群会受到影响。 应对措施将集群升级到以下补丁程序版本:
|
高 |
GCP-2021-012
发布日期:2021-06-24说明 | 严重程度 | 备注 |
---|---|---|
Istio 安全
通常,网关或工作负载部署只能访问存储在其命名空间内 Secret 中的 TLS 证书和私钥。但是, 该怎么做?检查您的集群是否会受到影响如果满足以下所有条件,则您的集群会受到影响:
将集群升级到以下某个修补后的版本:
如果升级不可行,您可以通过停用 istiod 缓存来缓解此漏洞。您可以通过将 istiod 环境变量设置为 PILOT_ENABLE_XDS_CACHE=false 来停用缓存。系统和 istiod 性能可能会受到影响,因为这会停用 XDS 缓存。 |
高 |
GCP-2021-008
发布日期:2021-05-17说明 | 严重程度 | 备注 |
---|---|---|
如果网关配置了 AUTO_PASSTHROUG 路由配置,则 Istio 包含一个远程可利用的漏洞,攻击者可以利用该漏洞访问集群中的意外服务。 该怎么做?检查您的集群是否会受到影响此漏洞仅影响 AUTO_PASSTHROUGH 网关类型(通常仅在多网络、多集群部署中使用)。 使用以下命令检测集群中所有网关的 TLS 模式: kubectl get gateways.networking.istio.io -A -o \ "custom-columns=NAMESPACE:.metadata.namespace, \ NAME:.metadata.name,TLS_MODE:.spec.servers[*].tls.mode" 如果输出显示任何 AUTO_PASSTHROUGH 网关,则说明您可能受到了影响。 应对措施将集群更新到最新版 Cloud Service Mesh 版本:
* 注意:Cloud Service Mesh 的发布 代管式控制平面(仅适用于 )将在几天之内完成。 |
高 |
GCP-2021-007
发布日期:2021-05-17说明 | 严重程度 | 备注 |
---|---|---|
Istio 包含一个可远程利用的漏洞,在使用基于路径的授权规则时,如果 HTTP 请求包含多个斜杠或转义的斜杠字符(%2F 或 %5C),该请求可以绕过 Istio 授权政策。
如果 Istio 集群管理员定义了授权 DENY 政策来拒绝路径
根据 RFC 3986 标准,带有多个斜杠的路径 该怎么做?检查您的集群是否会受到影响如果您的集群使用“ALLOW 操作 + notPaths 字段”或“DENY 操作 + paths 字段”模式,您的集群会受到此漏洞的影响。这些模式容易受到意外政策绕过攻击,您应该尽快升级以解决安全问题。 下面是一个使用“DENY 操作 + paths 字段”的易受攻击的政策示例: apiVersion: security.istio.io/v1beta1 kind: AuthorizationPolicy metadata: name: deny-path-admin spec: action: DENY rules: - to: - operation: paths: ["/admin"] 以下是使用“ALLOW 操作 + notPaths 字段”格式的易受攻击的政策示例: apiVersion: security.istio.io/v1beta1 kind: AuthorizationPolicy metadata: name: allow-path-not-admin spec: action: ALLOW rules: - to: - operation: notPaths: ["/admin"] 在以下情况下,您的集群不受此漏洞的影响:
对于这些情况,可选择升级。 将集群更新到最新版受支持的 Cloud Service Mesh 版本*。以下版本支持在系统中配置具有更多标准化选项的 Envoy 代理:
* 注意:Cloud Service Mesh 的发布 代管式控制平面(仅适用于 )将在几天之内完成。 按照 Istio 安全最佳做法指南配置您的授权政策。 |
高 |
GCP-2021-004
发布日期:2021-05-06说明 | 严重程度 | 备注 |
---|---|---|
Envoy 和 Istio 项目最近公布了几个新的安全漏洞(CVE-2021-28682、CVE-2021-28683 和 CVE-2021-29258),攻击者可能会利用这些漏洞导致 Envoy 崩溃,并可能使集群的某些部分脱机且无法访问。 这会影响已交付的服务,例如 Cloud Service Mesh。 该怎么做?如需修复这些漏洞,请将您的 Cloud Service Mesh 软件包升级到以下修补后的版本:
如需了解详情,请参阅 Cloud Service Mesh 版本说明。 |
高 |