Buletin keamanan
Gunakan feed XML ini untuk berlangganan buletin keamanan Anthos Service Mesh.
Halaman ini mencantumkan buletin keamanan untuk Anthos Service Mesh.
GCP-2024-007
Dipublikasikan: 08-02-2024
Deskripsi | Keparahan | Notes |
---|---|---|
Envoy mengalami error saat tidak ada aktivitas dan waktu tunggu permintaan per percobaan terjadi dalam interval backoff. Apa yang harus saya lakukan?Jika menjalankan Anthos Service Mesh terkelola, Anda tidak perlu melakukan tindakan apa pun. Sistem Anda akan diupdate secara otomatis dalam beberapa hari mendatang. Jika menjalankan Anthos Service Mesh di dalam cluster, Anda harus mengupgrade cluster ke salah satu versi yang di-patch berikut:
Jika Anda menggunakan Anthos Service Mesh v1.17 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Meskipun perbaikan CVE ini telah di-backport ke 1.17, Anda harus mengupgrade ke versi 1.18 atau yang lebih baru. |
Tinggi |
Deskripsi | Keparahan | Notes |
---|---|---|
Penggunaan CPU yang berlebihan saat pencocok template URI dikonfigurasi menggunakan ekspresi reguler. Apa yang harus saya lakukan?Jika menjalankan Anthos Service Mesh terkelola, Anda tidak perlu melakukan tindakan apa pun. Sistem Anda akan diupdate secara otomatis dalam beberapa hari mendatang. Jika menjalankan Anthos Service Mesh di dalam cluster, Anda harus mengupgrade cluster ke salah satu versi yang di-patch berikut:
Jika Anda menggunakan Anthos Service Mesh v1.17 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Meskipun perbaikan CVE ini telah di-backport ke 1.17, Anda harus mengupgrade ke versi 1.18 atau yang lebih baru. |
Sedang |
Deskripsi | Keparahan | Notes |
---|---|---|
Otorisasi eksternal dapat diabaikan jika filter protokol Proxy menetapkan metadata UTF-8 yang tidak valid. Apa yang harus saya lakukan?Jika menjalankan Anthos Service Mesh terkelola, Anda tidak perlu melakukan tindakan apa pun. Sistem Anda akan diupdate secara otomatis dalam beberapa hari mendatang. Jika menjalankan Anthos Service Mesh di dalam cluster, Anda harus mengupgrade cluster ke salah satu versi yang di-patch berikut:
Jika Anda menggunakan Anthos Service Mesh v1.17 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Meskipun perbaikan CVE ini telah di-backport ke 1.17, Anda harus mengupgrade ke versi 1.18 atau yang lebih baru. |
Tinggi |
Deskripsi | Keparahan | Notes |
---|---|---|
Envoy error saat menggunakan jenis alamat yang tidak didukung oleh OS. Apa yang harus saya lakukan?Jika menjalankan Anthos Service Mesh terkelola, Anda tidak perlu melakukan tindakan apa pun. Sistem Anda akan diupdate secara otomatis dalam beberapa hari mendatang. Jika menjalankan Anthos Service Mesh di dalam cluster, Anda harus mengupgrade cluster ke salah satu versi yang di-patch berikut:
Jika Anda menggunakan Anthos Service Mesh v1.17 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Meskipun perbaikan CVE ini telah di-backport ke 1.17, Anda harus mengupgrade ke versi 1.18 atau yang lebih baru. |
Tinggi |
Deskripsi | Keparahan | Notes |
---|---|---|
Error dalam protokol proxy jika jenis perintahnya adalah Apa yang harus saya lakukan?Jika menjalankan Anthos Service Mesh terkelola, Anda tidak perlu melakukan tindakan apa pun. Sistem Anda akan diupdate secara otomatis dalam beberapa hari mendatang. Jika menjalankan Anthos Service Mesh di dalam cluster, Anda harus mengupgrade cluster ke salah satu versi yang di-patch berikut:
Jika Anda menggunakan Anthos Service Mesh v1.17 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Meskipun perbaikan CVE ini telah di-backport ke 1.17, Anda harus mengupgrade ke versi 1.18 atau yang lebih baru. |
Tinggi |
GCP-2023-031
Dipublikasikan: 10-10-2023
Deskripsi | Keparahan | Notes |
---|---|---|
Serangan {i>denial of service<i} dapat memengaruhi bidang data saat menggunakan protokol HTTP/2. Apa yang harus saya lakukan?Periksa apakah cluster Anda terkena dampakCluster Anda akan terpengaruh jika menggunakan versi patch Anthos Service Mesh yang lebih lama dari 1.18.4, 1.17.7, atau 1.16.7. MitigasiUpgrade cluster Anda ke salah satu versi yang di-patch berikut:
Jika Anda menjalankan Anthos Service Mesh terkelola, sistem Anda akan otomatis diupdate dalam beberapa hari ke depan. Jika Anda menggunakan Anthos Service Mesh v1.15 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus mengupgrade ke v1.16 atau yang lebih baru. |
Tinggi |
GCP-2023-021
Updated:2023-07-26
Dipublikasikan: 25-07-2022Deskripsi | Keparahan | Notes |
---|---|---|
Klien berbahaya dapat membuat kredensial dengan validitas permanen dalam beberapa skenario tertentu. Misalnya, kombinasi host dan waktu kedaluwarsa dalam payload HMAC dapat selalu valid dalam pemeriksaan HMAC filter OAuth2. Apa yang harus saya lakukan?Periksa apakah cluster Anda terkena dampakCluster Anda akan terpengaruh jika menggunakan versi patch Anthos Service Mesh yang lebih lama dari
Upgrade cluster Anda ke salah satu versi yang di-patch berikut:
Jika Anda menjalankan Anthos Service Mesh terkelola, sistem Anda akan otomatis diupdate dalam beberapa hari ke depan. Jika Anda menggunakan Anthos Service Mesh 1.14 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus mengupgrade ke ASM 1.15 atau yang lebih baru. |
Tinggi |
Deskripsi | Keparahan | Notes |
---|---|---|
Pencatat akses gRPC yang menggunakan cakupan global pemroses dapat menyebabkan error use-after-free saat pemroses dihabiskan. Hal ini dapat dipicu oleh update LDS dengan konfigurasi log akses gRPC yang sama. Apa yang harus saya lakukan?Periksa apakah cluster Anda terkena dampakCluster Anda akan terpengaruh jika menggunakan versi patch Anthos Service Mesh yang lebih lama dari
Upgrade cluster Anda ke salah satu versi yang di-patch berikut:
Jika Anda menjalankan Anthos Service Mesh terkelola, sistem Anda akan otomatis diupdate dalam beberapa hari ke depan. Jika Anda menggunakan Anthos Service Mesh 1.14 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus mengupgrade ke ASM 1.15 atau yang lebih baru. |
Sedang |
Deskripsi | Keparahan | Notes |
---|---|---|
Jika header Apa yang harus saya lakukan?Periksa apakah cluster Anda terkena dampakCluster Anda akan terpengaruh jika menggunakan versi patch Anthos Service Mesh yang lebih lama dari
Upgrade cluster Anda ke salah satu versi yang di-patch berikut:
Jika Anda menjalankan Anthos Service Mesh terkelola, sistem Anda akan otomatis diupdate dalam beberapa hari ke depan. Jika Anda menggunakan Anthos Service Mesh 1.14 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus mengupgrade ke ASM 1.15 atau yang lebih baru. |
Sedang |
Deskripsi | Keparahan | Notes |
---|---|---|
Penyerang dapat mengirim permintaan skema campuran untuk mengabaikan beberapa pemeriksaan skema di Envoy. Misalnya, jika permintaan dengan htTp skema campuran dikirim ke filter OAuth2, permintaan tersebut akan gagal dalam pemeriksaan pencocokan persis untuk http, dan memberi tahu endpoint jarak jauh bahwa skemanya adalah https, sehingga berpotensi mengabaikan pemeriksaan OAuth2 khusus untuk permintaan HTTP. Apa yang harus saya lakukan?Periksa apakah cluster Anda terkena dampakCluster Anda akan terpengaruh jika menggunakan versi patch Anthos Service Mesh yang lebih lama dari
Upgrade cluster Anda ke salah satu versi yang di-patch berikut:
Jika Anda menjalankan Anthos Service Mesh terkelola, sistem Anda akan otomatis diupdate dalam beberapa hari ke depan. Jika Anda menggunakan Anthos Service Mesh 1.14 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus mengupgrade ke ASM 1.15 atau yang lebih baru. |
Tinggi |
GCP-2023-019
Deskripsi | Keparahan | Notes |
---|---|---|
Respons yang dibuat secara khusus dari layanan upstream yang tidak tepercaya dapat menyebabkan denial of service karena kehabisan memori. Hal ini disebabkan oleh codec HTTP/2 Envoy yang mungkin membocorkan peta header dan struktur pembukuan setelah menerima RST_STREAM yang langsung diikuti oleh frame GOAWAY dari server upstream. Apa yang harus saya lakukan?Periksa apakah cluster Anda terkena dampakCluster Anda akan terpengaruh jika menggunakan versi patch Anthos Service Mesh yang lebih lama dari
Upgrade cluster Anda ke salah satu versi yang di-patch berikut:
Jika Anda menjalankan Anthos Service Mesh terkelola, sistem Anda akan otomatis diupdate dalam beberapa hari ke depan. Jika Anda menggunakan Anthos Service Mesh 1.14 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus mengupgrade ke ASM 1.15 atau yang lebih baru. |
Tinggi |
GCP-2023-002
Deskripsi | Keparahan | Notes |
---|---|---|
Jika Envoy berjalan dengan mengaktifkan filter OAuth, pelaku kejahatan dapat membuat permintaan yang akan menyebabkan denial of service dengan membuat Envoy error. Apa yang harus saya lakukan?Periksa apakah cluster Anda terkena dampakCluster Anda akan terpengaruh jika menggunakan versi patch Anthos Service Mesh yang lebih lama dari:
Upgrade cluster Anda ke salah satu versi yang di-patch berikut:
Jika Anda menggunakan Anthos Service Mesh v1.13 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus mengupgrade ke Anthos Service Mesh 1.14 atau yang lebih baru. |
Sedang |
Deskripsi | Keparahan | Notes |
---|---|---|
Penyerang dapat menggunakan kerentanan ini untuk mengabaikan pemeriksaan autentikasi saat ext_authz digunakan. Apa yang harus saya lakukan?Periksa apakah cluster Anda terkena dampakCluster Anda akan terpengaruh jika menggunakan versi patch Anthos Service Mesh yang lebih lama dari:
Upgrade cluster Anda ke salah satu versi yang di-patch berikut:
Jika Anda menggunakan Anthos Service Mesh v1.13 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus mengupgrade ke Anthos Service Mesh} 1.14 atau yang lebih baru. |
Sedang |
Deskripsi | Keparahan | Notes |
---|---|---|
Konfigurasi Envoy juga harus menyertakan opsi untuk menambahkan header permintaan yang dibuat menggunakan input dari permintaan tersebut, yaitu sertifikat peer SAN. Apa yang harus saya lakukan?Periksa apakah cluster Anda terkena dampakCluster Anda akan terpengaruh jika menggunakan versi patch Anthos Service Mesh yang lebih lama dari:
Upgrade cluster Anda ke salah satu versi yang di-patch berikut:
Jika Anda menggunakan Anthos Service Mesh v1.13 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus mengupgrade ke Anthos Service Mesh 1.14 atau yang lebih baru. |
Tinggi |
Deskripsi | Keparahan | Notes |
---|---|---|
Penyerang dapat mengirim isi permintaan berukuran besar untuk rute yang mengaktifkan filter Lua dan memicu error. Apa yang harus saya lakukan?Periksa apakah cluster Anda terkena dampakCluster Anda akan terpengaruh jika menggunakan versi patch Anthos Service Mesh yang lebih lama dari:
Upgrade cluster Anda ke salah satu versi yang di-patch berikut:
Jika Anda menggunakan Anthos Service Mesh v1.13 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus mengupgrade ke Anthos Service Mesh 1.14 atau yang lebih baru. |
Sedang |
Deskripsi | Keparahan | Notes |
---|---|---|
Penyerang dapat mengirim permintaan HTTP/2 atau HTTP/3 yang dibuat secara khusus untuk memicu error penguraian pada layanan upstream HTTP/1. Apa yang harus saya lakukan?Periksa apakah cluster Anda terkena dampakCluster Anda akan terpengaruh jika menggunakan versi patch Anthos Service Mesh yang lebih lama dari:
Upgrade cluster Anda ke salah satu versi yang di-patch berikut:
Jika Anda menggunakan Anthos Service Mesh v1.13 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus mengupgrade ke Anthos Service Mesh 1.14 atau yang lebih baru. |
Sedang |
Deskripsi | Keparahan | Notes |
---|---|---|
Header x-envoy-original-path harus berupa header internal, tetapi Envoy tidak menghapus header ini dari permintaan pada awal pemrosesan permintaan ketika dikirim dari klien yang tidak tepercaya. Apa yang harus saya lakukan?Periksa apakah cluster Anda terkena dampakCluster Anda akan terpengaruh jika menggunakan versi patch Anthos Service Mesh yang lebih lama dari:
Upgrade cluster Anda ke salah satu versi yang di-patch berikut:
Jika Anda menggunakan Anthos Service Mesh v1.13 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus mengupgrade ke Anthos Service Mesh 1.14 atau yang lebih baru. |
Tinggi |
GCP-2022-020
Dipublikasikan: 05-10-2022Diperbarui: 12-10-2022
Update 12-10-2022: Link yang diperbarui ke deskripsi CVE dan menambahkan informasi tentang update otomatis untuk Anthos Service Mesh terkelola.
Deskripsi | Keparahan | Notes |
---|---|---|
Bidang kontrol Istio Apa yang harus saya lakukan?Periksa apakah cluster Anda terkena dampakCluster Anda akan terpengaruh jika menggunakan versi patch Anthos Service Mesh yang lebih lama dari 1.14.4, 1.13.8, atau 1.12.9. MitigasiJika Anda menjalankan Anthos Service Mesh mandiri, upgrade cluster ke salah satu versi yang di-patch berikut:
Jika Anda menjalankan Anthos Service Mesh terkelola, sistem Anda akan otomatis diupdate dalam beberapa hari ke depan. Jika Anda menggunakan Anthos Service Mesh v1.11 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus mengupgrade ke Anthos Service Mesh 1.12 atau yang lebih baru. |
Tinggi |
GCP-2022-015
Dipublikasikan: 09-06-2022Diperbarui: 10-06-2022
Update 10-06-2022: Versi patch yang diperbarui untuk Anthos Service Mesh.
Deskripsi | Keparahan | Notes |
---|---|---|
Bidang data Istio berpotensi mengakses memori secara tidak aman jika ekstensi Pertukaran Metadata dan Statistik diaktifkan. Apa yang harus saya lakukan?Periksa apakah cluster Anda terkena dampakCluster Anda akan terpengaruh jika menggunakan versi patch Anthos Service Mesh yang lebih lama dari 1.13.4-asm.4, 1.12.7-asm.2, atau 1.11.8-asm.4. Mitigasi Mesh Layanan AnthosUpgrade cluster Anda ke salah satu versi yang di-patch berikut:
Jika Anda menggunakan Anthos Service Mesh v1.10 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus mengupgrade ke Anthos Service Mesh 1.11 atau yang lebih baru. Untuk mengetahui informasi lebih lanjut, lihat Mengupgrade dari versi sebelumnya (GKE) atau Mengupgrade dari versi sebelumnya (lokal). |
Tinggi |
Deskripsi | Keparahan | Notes |
---|---|---|
Data dapat melebihi batas buffer perantara jika penyerang berbahaya melewati payload kecil yang sangat terkompresi (juga dikenal sebagai serangan bom zip). Apa yang harus saya lakukan?Periksa apakah cluster Anda terkena dampakCluster Anda akan terpengaruh jika menggunakan versi patch Anthos Service Mesh yang lebih lama dari 1.13.4-asm.4, 1.12.7-asm.2, atau 1.11.8-asm.4. Meskipun Anthos Service Mesh tidak mendukung filter Envoy, Anda dapat terpengaruh jika menggunakan filter dekompresi. Mitigasi Mesh Layanan AnthosUpgrade cluster Anda ke salah satu versi yang di-patch berikut:
Jika Anda menggunakan Anthos Service Mesh v1.10 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus mengupgrade ke Anthos Service Mesh 1.11 atau yang lebih baru. Untuk mengetahui informasi lebih lanjut, lihat Mengupgrade dari versi sebelumnya (GKE) atau Mengupgrade dari versi sebelumnya (lokal). Mitigasi EnvoyPengguna Envoy yang mengelola Envoy mereka sendiri harus memastikan bahwa mereka menggunakan rilis Envoy 1.22.1. Pengguna Envoy yang mengelola Envoy sendiri akan mem-build biner dari sumber seperti GitHub dan men-deploy-nya. Tidak ada tindakan yang perlu diambil oleh pengguna yang menjalankan Envoys terkelola (Google Cloud menyediakan biner Envoy), yang produk cloud-nya akan dialihkan ke versi 1.22.1. |
Tinggi |
Deskripsi | Keparahan | Notes |
---|---|---|
Potensi penghapusan referensi pointer null di Apa yang harus saya lakukan?Periksa apakah cluster Anda terkena dampakCluster Anda akan terpengaruh jika menggunakan versi patch Anthos Service Mesh yang lebih lama dari 1.13.4-asm.4, 1.12.7-asm.2, atau 1.11.8-asm.4. Mitigasi Mesh Layanan AnthosUpgrade cluster Anda ke salah satu versi yang di-patch berikut:
Jika Anda menggunakan Anthos Service Mesh v1.10 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus mengupgrade ke Anthos Service Mesh 1.11 atau yang lebih baru. Untuk mengetahui informasi lebih lanjut, lihat Mengupgrade dari versi sebelumnya (GKE) atau Mengupgrade dari versi sebelumnya (lokal). Mitigasi EnvoyPengguna Envoy yang mengelola Envoy mereka sendiri harus memastikan bahwa mereka menggunakan rilis Envoy 1.22.1. Pengguna Envoy yang mengelola Envoy sendiri akan mem-build biner dari sumber seperti GitHub dan men-deploy-nya. Tidak ada tindakan yang perlu diambil oleh pengguna yang menjalankan Envoys terkelola (Google Cloud menyediakan biner Envoy), yang produk cloud-nya akan dialihkan ke versi 1.22.1. |
Sedang |
Deskripsi | Keparahan | Notes |
---|---|---|
Filter OAuth memungkinkan pengabaian trivia. Apa yang harus saya lakukan?Periksa apakah cluster Anda terkena dampakCluster Anda akan terpengaruh jika menggunakan versi patch Anthos Service Mesh yang lebih lama dari 1.13.4-asm.4, 1.12.7-asm.2, atau 1.11.8-asm.4. Meskipun Anthos Service Mesh tidak mendukung filter Envoy, Anda dapat terpengaruh jika menggunakan filter OAuth. Mitigasi Mesh Layanan AnthosUpgrade cluster Anda ke salah satu versi yang di-patch berikut:
Jika Anda menggunakan Anthos Service Mesh v1.10 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus mengupgrade ke Anthos Service Mesh 1.11 atau yang lebih baru. Untuk mengetahui informasi lebih lanjut, lihat Mengupgrade dari versi sebelumnya (GKE) atau Mengupgrade dari versi sebelumnya (lokal). Mitigasi EnvoyPengguna Envoy yang mengelola Envoy mereka sendiri juga menggunakan filter OAuth harus memastikan bahwa mereka menggunakan rilis Envoy 1.22.1. Pengguna Envoy yang mengelola Envoy sendiri akan mem-build biner dari sumber seperti GitHub dan men-deploy-nya. Tidak ada tindakan yang perlu diambil oleh pengguna yang menjalankan Envoys terkelola (Google Cloud menyediakan biner Envoy), yang produk cloud-nya akan dialihkan ke versi 1.22.1. |
Penting |
Deskripsi | Keparahan | Notes |
---|---|---|
Filter OAuth dapat merusak memori (versi sebelumnya) atau memicu ASSERT() (versi yang lebih baru). Apa yang harus saya lakukan?Periksa apakah cluster Anda terkena dampakCluster Anda akan terpengaruh jika menggunakan versi patch Anthos Service Mesh yang lebih lama dari 1.13.4-asm.4, 1.12.7-asm.2, atau 1.11.8-asm.4. Meskipun Anthos Service Mesh tidak mendukung filter Envoy, Anda dapat terpengaruh jika menggunakan filter OAuth. Mitigasi Mesh Layanan AnthosUpgrade cluster Anda ke salah satu versi yang di-patch berikut:
Jika Anda menggunakan Anthos Service Mesh v1.10 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus mengupgrade ke Anthos Service Mesh 1.11 atau yang lebih baru. Mitigasi EnvoyPengguna Envoy yang mengelola Envoy mereka sendiri juga menggunakan filter OAuth harus memastikan bahwa mereka menggunakan rilis Envoy 1.22.1. Pengguna Envoy yang mengelola Envoy sendiri akan mem-build biner dari sumber seperti GitHub dan men-deploy-nya. Tidak ada tindakan yang perlu diambil oleh pengguna yang menjalankan Envoys terkelola (Google Cloud menyediakan biner Envoy), yang produk cloud-nya akan dialihkan ke versi 1.22.1. |
Tinggi |
Deskripsi | Keparahan | Notes |
---|---|---|
Pengalihan internal mengalami error untuk permintaan dengan isi atau cuplikan. Apa yang harus saya lakukan?Periksa apakah cluster Anda terkena dampakCluster Anda akan terpengaruh jika menggunakan versi patch Anthos Service Mesh yang lebih lama dari 1.13.4-asm.4, 1.12.7-asm.2, atau 1.11.8-asm.4. Mitigasi Mesh Layanan AnthosUpgrade cluster Anda ke salah satu versi yang di-patch berikut:
Jika Anda menggunakan Anthos Service Mesh v1.10 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus mengupgrade ke Anthos Service Mesh 1.11 atau yang lebih baru. Untuk mengetahui informasi lebih lanjut, lihat Mengupgrade dari versi sebelumnya (GKE) atau Mengupgrade dari versi sebelumnya (lokal). Mitigasi EnvoyPengguna Envoy yang mengelola Envoy mereka sendiri harus memastikan bahwa mereka menggunakan rilis Envoy 1.22.1. Pengguna Envoy yang mengelola Envoy sendiri akan mem-build biner dari sumber seperti GitHub dan men-deploy-nya. Tidak ada tindakan yang perlu diambil oleh pengguna yang menjalankan Envoys terkelola (Google Cloud menyediakan biner Envoy), yang produk cloud-nya akan dialihkan ke versi 1.22.1. |
Tinggi |
GCP-2022-010
Dipublikasikan: 10-03-2022Diperbarui: 16-03-2022
Deskripsi | Keparahan | Notes |
---|---|---|
Bidang kontrol Istio rentan terhadap error pemrosesan permintaan, sehingga memungkinkan penyerang berbahaya yang mengirimkan pesan yang dibuat khusus, sehingga terjadi error pada bidang kontrol saat webhook yang memvalidasi untuk cluster terekspos secara publik. Endpoint ini disalurkan melalui port TLS 15017, tetapi tidak memerlukan autentikasi apa pun dari penyerang. Apa yang harus saya lakukan?Periksa apakah cluster Anda terkena dampakSemua versi Anthos Service Mesh terpengaruh oleh CVE ini. Catatan: Jika Anda menggunakan Bidang Kontrol Terkelola, kerentanan ini telah diperbaiki dan Anda tidak akan terpengaruh. MitigasiUpgrade cluster Anda ke salah satu versi yang di-patch berikut:
Jika Anda menggunakan Anthos Service Mesh v1.9 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus mengupgrade ke Anthos Service Mesh 1.10 atau yang lebih baru. |
Tinggi |
GCP-2022-007
Dipublikasikan: 22-02-2022Deskripsi | Keparahan | Notes |
---|---|---|
Istiod mengalami error saat menerima permintaan dengan header Apa yang harus saya lakukan?Periksa apakah cluster Anda terkena dampakCluster Anda akan terkena dampak jika kedua hal berikut terpenuhi:
Catatan: Jika Anda menggunakan Bidang Kontrol Terkelola, kerentanan ini telah diperbaiki dan Anda tidak akan terpengaruh. MitigasiUpgrade cluster Anda ke salah satu versi yang di-patch berikut:
Jika Anda menggunakan Anthos Service Mesh v1.9 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus mengupgrade ke Anthos Service Mesh 1.10 atau yang lebih baru. |
Tinggi |
Deskripsi | Keparahan | Notes |
---|---|---|
Potensi penghapusan referensi pointer null saat menggunakan pencocokan Apa yang harus saya lakukan?Periksa apakah cluster Anda terkena dampakCluster Anda akan terkena dampak jika kedua hal berikut terpenuhi:
Upgrade cluster Anda ke salah satu versi yang di-patch berikut:
Jika Anda menggunakan Anthos Service Mesh v1.9 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus mengupgrade ke Anthos Service Mesh 1.10 atau yang lebih baru. |
Sedang |
Deskripsi | Keparahan | Notes |
---|---|---|
Gunakan-setelah bebas ketika filter respons meningkatkan data respons, dan peningkatan data melebihi batas buffer downstream. Apa yang harus saya lakukan?Periksa apakah cluster Anda terkena dampakCluster Anda akan terkena dampak jika kedua hal berikut terpenuhi:
Upgrade cluster Anda ke salah satu versi yang di-patch berikut:
Jika Anda menggunakan Anthos Service Mesh v1.9 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus mengupgrade ke Anthos Service Mesh 1.10 atau yang lebih baru. |
Sedang |
Deskripsi | Keparahan | Notes |
---|---|---|
Use-after-free saat melakukan tunneling TCP melalui HTTP, jika downstream terputus selama pembentukan koneksi upstream. Apa yang harus saya lakukan?Periksa apakah cluster Anda terkena dampakCluster Anda akan terkena dampak jika kedua hal berikut terpenuhi:
Upgrade cluster Anda ke salah satu versi yang di-patch berikut:
Jika Anda menggunakan Anthos Service Mesh v1.9 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus mengupgrade ke Anthos Service Mesh 1.10 atau yang lebih baru. |
Sedang |
Deskripsi | Keparahan | Notes |
---|---|---|
Penanganan konfigurasi yang salah memungkinkan penggunaan kembali sesi mTLS tanpa validasi ulang setelah setelan validasi berubah. Apa yang harus saya lakukan?Periksa apakah cluster Anda terkena dampakCluster Anda akan terkena dampak jika kedua hal berikut terpenuhi:
Upgrade cluster Anda ke salah satu versi yang di-patch berikut:
Jika Anda menggunakan Anthos Service Mesh v1.9 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus mengupgrade ke Anthos Service Mesh 1.10 atau yang lebih baru. |
Tinggi |
Deskripsi | Keparahan | Notes |
---|---|---|
Penanganan pengalihan internal yang salah ke rute dengan entri respons langsung. Apa yang harus saya lakukan?Periksa apakah cluster Anda terkena dampakCluster Anda akan terkena dampak jika kedua hal berikut terpenuhi:
Upgrade cluster Anda ke salah satu versi yang di-patch berikut:
Jika Anda menggunakan Anthos Service Mesh v1.9 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus mengupgrade ke Anthos Service Mesh 1.10 atau yang lebih baru. |
Tinggi |
Deskripsi | Keparahan | Notes |
---|---|---|
Kehabisan stack saat cluster dihapus melalui Layanan Discovery Cluster. Apa yang harus saya lakukan?Periksa apakah cluster Anda terkena dampakCluster Anda akan terkena dampak jika kedua hal berikut terpenuhi:
Upgrade cluster Anda ke salah satu versi yang di-patch berikut:
Jika Anda menggunakan Anthos Service Mesh v1.9 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus mengupgrade ke Anthos Service Mesh 1.10 atau yang lebih baru. |
Sedang |
GCP-2021-016
Dipublikasikan: 24-08-2021Deskripsi | Keparahan | Notes |
---|---|---|
Istio memiliki kerentanan yang dapat dieksploitasi dari jarak jauh, dan permintaan HTTP dengan fragmen (bagian di akhir URI yang diawali dengan karakter
Misalnya, kebijakan otorisasi Istio denies permintaan yang dikirim ke jalur URI Perbaikan ini bergantung pada perbaikan di Envoy, yang terkait dengan CVE-2021-32779. Apa yang harus saya lakukan?Periksa apakah cluster Anda terkena dampakCluster Anda akan terkena dampak jika kedua hal berikut terpenuhi:
Upgrade cluster Anda ke salah satu versi yang di-patch berikut:
Dengan versi baru, bagian fragmen URI permintaan akan dihapus sebelum otorisasi dan perutean. Tindakan ini mencegah permintaan yang memiliki fragmen dalam URI-nya mengabaikan kebijakan otorisasi yang didasarkan pada URI tanpa bagian fragmen. Memilih tidak ikut sertaJika Anda memilih tidak ikut dalam perilaku baru ini, bagian fragmen dalam URI akan disimpan. Untuk memilih tidak menggunakan, Anda dapat mengonfigurasi penginstalan sebagai berikut: apiVersion: install.istio.io/v1alpha1 kind: IstioOperator metadata: name: opt-out-fragment-cve-fix namespace: istio-system spec: meshConfig: defaultConfig: proxyMetadata: HTTP_STRIP_FRAGMENT_FROM_PATH_UNSAFE_IF_DISABLED: "false" Catatan: Memilih tidak ikut perilaku ini membuat cluster Anda rentan terhadap CVE ini. |
Tinggi |
Deskripsi | Keparahan | Notes |
---|---|---|
Istio memiliki kerentanan yang dapat dieksploitasi dari jarak jauh, yang membuat permintaan HTTP berpotensi mengabaikan kebijakan otorisasi Istio saat menggunakan aturan berdasarkan
Pada versi yang rentan, kebijakan otorisasi Istio membandingkan header Apa yang harus saya lakukan?Periksa apakah cluster Anda terkena dampakCluster Anda akan terkena dampak jika kedua hal berikut terpenuhi:
Upgrade cluster Anda ke salah satu versi yang di-patch berikut:
Mitigasi ini memastikan bahwa header |
Tinggi |
Deskripsi | Keparahan | Notes |
---|---|---|
Envoy berisi kerentanan yang dapat dieksploitasi dari jarak jauh sehingga permintaan HTTP dengan beberapa header nilai dapat melakukan pemeriksaan kebijakan otorisasi yang tidak lengkap saat ekstensi Apa yang harus saya lakukan?Periksa apakah cluster Anda terkena dampakCluster Anda akan terkena dampak jika kedua hal berikut terpenuhi:
Upgrade cluster Anda ke salah satu versi yang di-patch berikut:
|
Tinggi |
Deskripsi | Keparahan | Notes |
---|---|---|
Envoy berisi kerentanan yang dapat dieksploitasi dari jarak jauh yang memengaruhi ekstensi Apa yang harus saya lakukan?Periksa apakah cluster Anda terkena dampakCluster Anda akan terkena dampak jika kedua hal berikut terpenuhi:
Upgrade cluster Anda ke salah satu versi yang di-patch berikut:
|
Tinggi |
Deskripsi | Keparahan | Notes |
---|---|---|
Envoy berisi kerentanan yang dapat dieksploitasi dari jarak jauh, yaitu klien Envoy yang membuka lalu mereset sejumlah besar permintaan HTTP/2 dapat menyebabkan konsumsi CPU yang berlebihan. Apa yang harus saya lakukan?Periksa apakah cluster Anda terkena dampakCluster Anda akan terpengaruh jika menggunakan versi patch Anthos Service Mesh yang lebih lama dari 1.7.8-asm.10, 1.8.6-asm.8, 1.9.8-asm.1, dan 1.10.4-asm.6. MitigasiUpgrade cluster Anda ke salah satu versi yang di-patch berikut:
Catatan: Jika Anda menggunakan Anthos Service Mesh 1.8 atau yang lebih lama, upgrade ke versi patch terbaru Anthos Service Mesh 1.9 dan yang lebih baru untuk mengurangi kerentanan ini. |
Tinggi |
Deskripsi | Keparahan | Notes |
---|---|---|
Envoy berisi kerentanan yang dapat dieksploitasi dari jarak jauh, yaitu layanan upstream yang tidak tepercaya dapat menyebabkan Envoy berhenti secara tidak normal dengan mengirimkan frame Apa yang harus saya lakukan?Periksa apakah cluster Anda terkena dampakCluster Anda akan terpengaruh jika menggunakan Anthos Service Mesh 1.10 dengan versi patch yang lebih lama dari 1.10.4-asm.6. MitigasiUpgrade cluster Anda ke versi patch berikut:
|
Tinggi |
GCP-2021-012
Dipublikasikan: 24-06-2021Deskripsi | Keparahan | Notes |
---|---|---|
Biasanya, deployment gateway atau workload hanya dapat mengakses sertifikat TLS dan kunci pribadi yang disimpan secara rahasia dalam namespace-nya. Namun, bug di Apa yang harus saya lakukan?Periksa apakah cluster Anda terkena dampakCluster Anda akan terpengaruh jika SEMUA kondisi berikut terpenuhi:
Upgrade cluster Anda ke salah satu versi yang di-patch berikut:
Jika upgrade tidak memungkinkan, Anda dapat mengurangi kerentanan ini dengan menonaktifkan penyimpanan istiod dalam cache.
Anda dapat menonaktifkan penyimpanan data ke dalam cache dengan menetapkan variabel lingkungan istiod ke PILOT_ENABLE_XDS_CACHE=false . Performa sistem dan istiod dapat terpengaruh karena tindakan ini menonaktifkan cache XDS.
|
Tinggi |
GCP-2021-008
Dipublikasikan: 17-05-2021Deskripsi | Keparahan | Notes |
---|---|---|
Istio memiliki kerentanan yang dapat dieksploitasi dari jarak jauh, yang memungkinkan klien eksternal mengakses layanan yang tidak terduga di cluster, yang mengabaikan pemeriksaan otorisasi, saat gateway dikonfigurasi dengan konfigurasi perutean AUTO_PASSPASS. Apa yang harus saya lakukan?Periksa apakah cluster Anda terkena dampakKerentanan ini hanya memengaruhi penggunaan jenis Gateway AUTO_PASSAD, yang biasanya hanya digunakan dalam deployment multi-cluster multi-jaringan. Deteksi mode TLS untuk semua Gateway dalam cluster dengan perintah berikut: kubectl get gateways.networking.istio.io -A -o \ "custom-columns=NAMESPACE:.metadata.namespace, \ NAME:.metadata.name,TLS_MODE:.spec.servers[*].tls.mode" Jika output menampilkan AUTO_PASSPASS Gateway, Anda dapat terkena dampaknya. MitigasiUpdate cluster Anda ke versi Anthos Service Mesh terbaru:
* Catatan: Peluncuran Managed Control Plane Anthos Service Mesh (hanya tersedia dalam versi 1.9.x) akan selesai dalam beberapa hari ke depan. |
Tinggi |
GCP-2021-007
Dipublikasikan: 17-05-2021Deskripsi | Keparahan | Notes |
---|---|---|
Istio memiliki kerentanan yang dapat dieksploitasi dari jarak jauh, yang membuat jalur permintaan HTTP dengan beberapa garis miring atau karakter garis miring yang di-escape (%2F atau %5C) berpotensi mengabaikan kebijakan otorisasi Istio saat aturan otorisasi berbasis jalur digunakan.
Dalam skenario di mana administrator cluster Istio menetapkan kebijakan Tolak otorisasi untuk menolak permintaan di jalur
Menurut
RFC 3986,
jalur Apa yang harus saya lakukan?Periksa apakah cluster Anda terkena dampakCluster Anda terkena dampak kerentanan ini jika memiliki kebijakan otorisasi yang menggunakan pola "ALLOW action + notPaths field" atau "DENY action + path field". Pola ini rentan terhadap pengabaian kebijakan yang tidak terduga dan Anda harus melakukan upgrade untuk memperbaiki masalah keamanan sesegera mungkin. Berikut adalah contoh kebijakan rentan yang menggunakan pola "TOLAK kolom tindakan + jalur" : apiVersion: security.istio.io/v1beta1 kind: AuthorizationPolicy metadata: name: deny-path-admin spec: action: DENY rules: - to: - operation: paths: ["/admin"] Berikut adalah contoh lain dari kebijakan rentan yang menggunakan pola "ALLOW action + notPaths field": apiVersion: security.istio.io/v1beta1 kind: AuthorizationPolicy metadata: name: allow-path-not-admin spec: action: ALLOW rules: - to: - operation: notPaths: ["/admin"] Cluster Anda tidak terpengaruh oleh kerentanan ini jika:
Upgrade bersifat opsional untuk kasus ini. Update cluster Anda ke versi Anthos Service Mesh terbaru yang didukung*. Versi ini mendukung konfigurasi proxy Envoy dalam sistem dengan opsi normalisasi lainnya:
* Catatan: Peluncuran Managed Control Plane Anthos Service Mesh (hanya tersedia dalam versi 1.9.x) akan selesai dalam beberapa hari ke depan. Ikuti panduan praktik terbaik keamanan Istio untuk mengonfigurasi kebijakan otorisasi Anda. |
Tinggi |
GCP-2021-004
Dipublikasikan: 06-05-2021Deskripsi | Keparahan | Notes |
---|---|---|
Project Envoy dan Istio baru-baru ini mengumumkan beberapa kerentanan keamanan baru (CVE-2021-28682, CVE-2021-28683, dan CVE-2021-29258), yang dapat memungkinkan penyerang membuat error pada Envoy dan berpotensi merender bagian cluster secara offline dan tidak dapat dijangkau. Hal ini memengaruhi layanan yang terkirim seperti Anthos Service Mesh. Apa yang harus saya lakukan?Untuk memperbaiki kerentanan ini, upgrade paket Anthos Service Mesh Anda ke salah satu versi yang di-patch berikut:
Untuk mengetahui informasi selengkapnya, lihat catatan rilis Anthos Service Mesh. |
Tinggi |