Sicherheitsbulletins
Verwenden Sie diesen XML-Feed, um Sicherheitsbulletins für Cloud Service Mesh zu abonnieren.
Auf dieser Seite werden die Sicherheitsbulletins für Cloud Service Mesh aufgeführt.
GCP-2025-048
Veröffentlicht: 02.09.2025
Beschreibung | Schweregrad | Hinweise |
---|---|---|
„Use after free“ im DNS-Cache. Wie gehe ich am besten vor?Prüfen Sie, ob Ihre Cluster betroffen sindEs sind nur Cluster betroffen, in denen die clusterinterne Version 1.26 von Cloud Service Mesh ausgeführt wird. Wenn Sie ein verwaltetes Cloud Service Mesh verwenden, sind Sie nicht betroffen und müssen nichts weiter unternehmen. Möglichkeiten zur Behebung des ProblemsWenn Sie clusterinternes Cloud Service Mesh 1.26 verwenden, führen Sie ein Upgrade aller betroffenen Cluster auf 1.26.4-asm.1 durch. |
Hoch |
GCP-2024-065
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Happy Eyeballs: Validieren Sie, dass „additional_address“ IP-Adressen sind, anstatt beim Sortieren abzustürzen. Wie gehe ich am besten vor?Prüfen Sie, ob Ihre Cluster betroffen sindIhr Cluster ist betroffen, wenn Patchversionen vor:
Für In-Cluster-Cloud Service Mesh aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
Wenn Sie Cloud Service Mesh Version 1.20 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Version 1.21 oder höher durchführen. Bei verwaltetem Cloud Service Mesh ist keine Aktion erforderlich. Alle Versionen werden weiterhin unterstützt und Ihr System wird in den kommenden Wochen automatisch aktualisiert. |
Mittel |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
HTTP/1: „Sending overload“ stürzt ab, wenn die Anfrage zuvor zurückgesetzt wird. Wie gehe ich am besten vor?Prüfen Sie, ob Ihre Cluster betroffen sindIhr Cluster ist betroffen, wenn Patchversionen vor:
Für In-Cluster-Cloud Service Mesh aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
Wenn Sie Cloud Service Mesh Version 1.20 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Wenn Sie Cloud Service Mesh Version 1.20 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Führen Sie ein Upgrade auf Version 1.21 oder höher durch. Bei verwaltetem Cloud Service Mesh ist keine Aktion erforderlich. Alle Versionen werden weiterhin unterstützt und Ihr System wird in den kommenden Wochen automatisch aktualisiert. |
Hoch |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
HTTP/1.1: Mehrere Probleme mit envoy.reloadable_features.http1_balsa_delay_reset. Wie gehe ich am besten vor?Prüfen Sie, ob Ihre Cluster betroffen sindIhr Cluster ist betroffen, wenn Patchversionen vor:
Für In-Cluster Cloud Service Mesh aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
Wenn Sie Cloud Service Mesh Version 1.20 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Wenn Sie Cloud Service Mesh Version 1.20 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Führen Sie ein Upgrade auf Version 1.21 oder höher durch. Bei verwaltetem Cloud Service Mesh ist keine Aktion erforderlich. Alle Versionen werden weiterhin unterstützt und Ihr System wird in den kommenden Wochen automatisch aktualisiert. |
Hoch |
GCP-2024-052
Veröffentlicht: 19.09.2024
Beschreibung | Schweregrad | Hinweise |
---|---|---|
oghttp2-Absturz bei OnBeginHeadersForStream Wie gehe ich am besten vor?Prüfen Sie, ob Ihre Cluster betroffen sindNur Cluster mit Cloud Service Mesh v1.23 sind betroffen Möglichkeiten zur Behebung des ProblemsCloud Service Mesh 1.23.2-asm.2 enthält die Fehlerbehebung für dieses Problem. Sie müssen nichts weiter tun. |
Hoch |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Schädliche Log-Injektion über Zugriffslogs Wie gehe ich am besten vor?Prüfen Sie, ob Ihre Cluster betroffen sindAlle Cloud Service Mesh-Versionen sind von dieser CVE betroffen. Möglichkeiten zur Behebung des ProblemsAktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
|
Mittel |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Potenzial zum Manipulieren von „x-envoy“-Headern aus externen Quellen Wie gehe ich am besten vor?Prüfen Sie, ob Ihre Cluster betroffen sindAlle Cloud Service Mesh-Versionen sind von dieser CVE betroffen. Möglichkeiten zur Behebung des ProblemsAktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
|
Mittel |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
JWT-Filter stürzt beim Leeren des Route-Cache mit Remote-JWKs ab Wie gehe ich am besten vor?Prüfen Sie, ob Ihre Cluster betroffen sindAlle Cloud Service Mesh-Versionen sind von dieser CVE betroffen. Möglichkeiten zur Behebung des ProblemsAktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
|
Mittel |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Envoy stürzt bei LocalReply im asynchronen HTTP-Client ab Wie gehe ich am besten vor?Prüfen Sie, ob Ihre Cluster betroffen sindAlle Cloud Service Mesh-Versionen sind von dieser CVE betroffen. Möglichkeiten zur Behebung des ProblemsAktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
|
Mittel |
GCP-2024-032
Veröffentlicht: 24.06.2024
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Envoy akzeptiert fälschlicherweise die HTTP-200-Antwort für den Wechsel in den Upgrademodus. Wie gehe ich am besten vor?Prüfen Sie, ob Ihre Cluster betroffen sindAlle Cloud Service Mesh-Versionen sind von dieser CVE betroffen. Möglichkeiten zur Behebung des ProblemsWenn Sie verwaltetes Cloud Service Mesh ausführen, wird Ihr System in den kommenden Tagen automatisch aktualisiert. Aktualisieren Sie Ihren Cluster andernfalls auf eine der folgenden Patchversionen:
|
Mittel |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Absturz in EnvoyQuicServerStream::OnInitialHeadersComplete(). Wie gehe ich am besten vor?Prüfen Sie, ob Ihre Cluster betroffen sindAlle Cloud Service Mesh-Versionen sind von dieser CVE betroffen. Möglichkeiten zur Behebung des ProblemsWenn Sie verwaltetes Cloud Service Mesh ausführen, wird Ihr System in den kommenden Tagen automatisch aktualisiert. Aktualisieren Sie Ihren Cluster andernfalls auf eine der folgenden Patchversionen:
|
Mittel |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Absturz in QuicheDataReader::PeekVarInt62Length(). Wie gehe ich am besten vor?Prüfen Sie, ob Ihre Cluster betroffen sindAlle Cloud Service Mesh-Versionen sind von dieser CVE betroffen. Möglichkeiten zur Behebung des ProblemsWenn Sie verwaltetes Cloud Service Mesh ausführen, wird Ihr System in den kommenden Tagen automatisch aktualisiert. Aktualisieren Sie Ihren Cluster andernfalls auf eine der folgenden Patchversionen:
|
Mittel |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Endlosschleife beim Dekomprimieren von Brotli-Daten mit zusätzlicher Eingabe. Wie gehe ich am besten vor?Prüfen Sie, ob Ihre Cluster betroffen sindAlle Cloud Service Mesh-Versionen sind von dieser CVE betroffen. Möglichkeiten zur Behebung des ProblemsWenn Sie verwaltetes Cloud Service Mesh ausführen, wird Ihr System in den kommenden Tagen automatisch aktualisiert. Aktualisieren Sie Ihren Cluster andernfalls auf eine der folgenden Patchversionen:
|
Hoch |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Absturz (Use-after-Free) in EnvoyQuicServerStream. Wie gehe ich am besten vor?Prüfen Sie, ob Ihre Cluster betroffen sindAlle Cloud Service Mesh-Versionen sind von dieser CVE betroffen. Möglichkeiten zur Behebung des ProblemsWenn Sie verwaltetes Cloud Service Mesh ausführen, wird Ihr System in den kommenden Tagen automatisch aktualisiert. Aktualisieren Sie Ihren Cluster andernfalls auf eine der folgenden Patchversionen:
|
Mittel |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Absturz aufgrund einer nicht abgefangenen nlohmann-JSON-Ausnahme. Wie gehe ich am besten vor?Prüfen Sie, ob Ihre Cluster betroffen sindAlle Cloud Service Mesh-Versionen sind von dieser CVE betroffen. Möglichkeiten zur Behebung des ProblemsWenn Sie verwaltetes Cloud Service Mesh ausführen, wird Ihr System in den kommenden Tagen automatisch aktualisiert. Aktualisieren Sie Ihren Cluster andernfalls auf eine der folgenden Patchversionen:
|
Hoch |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Envoy-OOM-Vektor vom asynchronen HTTP-Client mit unbegrenztem Antwort-Zwischenspeicher für die Spiegelungsantwort. Wie gehe ich am besten vor?Prüfen Sie, ob Ihre Cluster betroffen sindAlle Cloud Service Mesh-Versionen sind von dieser CVE betroffen. Möglichkeiten zur Behebung des ProblemsWenn Sie verwaltetes Cloud Service Mesh ausführen, wird Ihr System in den kommenden Tagen automatisch aktualisiert. Aktualisieren Sie Ihren Cluster andernfalls auf eine der folgenden Patchversionen:
|
Mittel |
GCP-2024-023
Veröffentlicht: 24.04.2024
Beschreibung | Schweregrad | Hinweise |
---|---|---|
HTTP/2: Erschöpfter Arbeitsspeicher aufgrund einer CONTINUATION-Frame-Überflutung. Wie gehe ich am besten vor?Prüfen Sie, ob Ihre Cluster betroffen sindAlle Cloud Service Mesh-Versionen sind von dieser CVE betroffen. Möglichkeiten zur Behebung des ProblemsWenn Sie den verwalteten Cloud Service Mesh-Dienst verwenden, müssen Sie nichts weiter tun. Ihr System wird in den kommenden Tagen automatisch aktualisiert. Wenn Sie Cloud Service Mesh im Cluster ausführen, müssen Sie Ihren Cluster auf eine der folgenden Patchversionen aktualisieren:
Wenn Sie Cloud Service Mesh Version 1.17 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh v1.18 oder höher ausführen. |
Hoch |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
HTTP/2: CPU-Auslastung durch CONTINUATION-Frame-Überflutung Wie gehe ich am besten vor?Prüfen Sie, ob Ihre Cluster betroffen sindAlle Cloud Service Mesh-Versionen sind von dieser CVE betroffen. Möglichkeiten zur Behebung des ProblemsWenn Sie den verwalteten Cloud Service Mesh-Dienst verwenden, müssen Sie nichts weiter tun. Ihr System wird in den kommenden Tagen automatisch aktualisiert. Wenn Sie Cloud Service Mesh im Cluster ausführen, müssen Sie Ihren Cluster auf eine der folgenden Patchversionen aktualisieren:
Wenn Sie Cloud Service Mesh Version 1.17 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.18 oder höher ausführen. |
Mittel |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Abnormaler Programmabbruch bei Verwendung von Wie gehe ich am besten vor?Prüfen Sie, ob Ihre Cluster betroffen sindAlle Cloud Service Mesh-Versionen sind von dieser CVE betroffen. Möglichkeiten zur Behebung des ProblemsWenn Sie den verwalteten Cloud Service Mesh-Dienst verwenden, müssen Sie nichts weiter tun. Ihr System wird in den kommenden Tagen automatisch aktualisiert. Wenn Sie Cloud Service Mesh im Cluster ausführen, müssen Sie Ihren Cluster auf eine der folgenden Patchversionen aktualisieren:
Wenn Sie Cloud Service Mesh Version 1.17 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.18 oder höher ausführen. |
Hoch |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
HTTP/2-CONTINUATION-Frames können für DoS-Angriffe verwendet werden. Wie gehe ich am besten vor?Prüfen Sie, ob Ihre Cluster betroffen sindAlle Cloud Service Mesh-Versionen sind von dieser CVE betroffen. Möglichkeiten zur Behebung des ProblemsWenn Sie den verwalteten Cloud Service Mesh-Dienst verwenden, müssen Sie nichts weiter tun. Ihr System wird in den kommenden Tagen automatisch aktualisiert. Wenn Sie Cloud Service Mesh im Cluster ausführen, müssen Sie Ihren Cluster auf eine der folgenden Patchversionen aktualisieren:
Wenn Sie Cloud Service Mesh Version 1.17 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Führen Sie ein Upgrade auf Version v1.18 oder höher durch. |
Keine Angabe |
GCP-2024-007
Veröffentlicht: 08.02.2024
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Envoy stürzt ab, wenn es inaktiv ist, und innerhalb des Backoff-Intervalls kommt es zu einer Zeitüberschreitung der Anfragen pro Versuch. Wie gehe ich am besten vor?Wenn Sie den verwalteten Cloud Service Mesh-Dienst verwenden, müssen Sie nichts weiter tun. Ihr System wird in den kommenden Tagen automatisch aktualisiert. Wenn Sie Cloud Service Mesh im Cluster ausführen, müssen Sie Ihren Cluster auf eine der folgenden Patchversionen aktualisieren:
Wenn Sie Anthos Service Mesh Version 1.17 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden zwar auf Version 1.17 zurückportiert, Sie sollten aber ein Upgrade auf Version 1.18 oder höher durchführen. |
Hoch |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Übermäßige CPU-Auslastung, wenn der URI-Vorlagenabgleich mit einem regulären Ausdruck konfiguriert wird. Wie gehe ich am besten vor?Wenn Sie den verwalteten Cloud Service Mesh-Dienst verwenden, müssen Sie nichts weiter tun. Ihr System wird in den kommenden Tagen automatisch aktualisiert. Wenn Sie Cloud Service Mesh im Cluster ausführen, müssen Sie Ihren Cluster auf eine der folgenden Patchversionen aktualisieren:
Wenn Sie Anthos Service Mesh Version 1.17 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden zwar auf Version 1.17 zurückportiert, Sie sollten aber ein Upgrade auf Version 1.18 oder höher durchführen. |
Mittel |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Die externe Autorisierung kann umgangen werden, wenn der Proxy-Protokollfilter ungültige UTF‑8-Metadaten festlegt. Wie gehe ich am besten vor?Wenn Sie den verwalteten Cloud Service Mesh-Dienst verwenden, müssen Sie nichts weiter tun. Ihr System wird in den kommenden Tagen automatisch aktualisiert. Wenn Sie Cloud Service Mesh im Cluster ausführen, müssen Sie Ihren Cluster auf eine der folgenden Patchversionen aktualisieren:
Wenn Sie Anthos Service Mesh Version 1.17 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden zwar auf Version 1.17 zurückportiert, Sie sollten aber ein Upgrade auf Version 1.18 oder höher durchführen. |
Hoch |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Envoy stürzt ab, wenn ein Adresstyp verwendet wird, der vom Betriebssystem nicht unterstützt wird. Wie gehe ich am besten vor?Wenn Sie den verwalteten Cloud Service Mesh-Dienst verwenden, müssen Sie nichts weiter tun. Ihr System wird in den kommenden Tagen automatisch aktualisiert. Wenn Sie Cloud Service Mesh im Cluster ausführen, müssen Sie Ihren Cluster auf eine der folgenden Patchversionen aktualisieren:
Wenn Sie Anthos Service Mesh Version 1.17 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden zwar auf Version 1.17 zurückportiert, Sie sollten aber ein Upgrade auf Version 1.18 oder höher durchführen. |
Hoch |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Absturz im Proxy-Protokoll, wenn der Befehlstyp Wie gehe ich am besten vor?Wenn Sie den verwalteten Cloud Service Mesh-Dienst verwenden, müssen Sie nichts weiter tun. Ihr System wird in den kommenden Tagen automatisch aktualisiert. Wenn Sie Cloud Service Mesh im Cluster ausführen, müssen Sie Ihren Cluster auf eine der folgenden Patchversionen aktualisieren:
Wenn Sie Anthos Service Mesh Version 1.17 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden zwar auf Version 1.17 zurückportiert, Sie sollten aber ein Upgrade auf Version 1.18 oder höher durchführen. |
Hoch |
GCP-2023-031
Veröffentlicht: 10.10.2023
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Ein DoS-Angriff (Denial-of-Service) kann sich auf die Datenebene auswirken, wenn das HTTP/2-Protokoll verwendet wird. Wie gehe ich am besten vor?Prüfen Sie, ob Ihre Cluster betroffen sindIhr Cluster ist betroffen, wenn er Cloud Service Mesh-Patchversionen vor 1.18.4, 1.17.7 oder 1.16.7 verwendet. Möglichkeiten zur Behebung des ProblemsAktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
Wenn Sie verwaltetes Cloud Service Mesh ausführen, wird Ihr System innerhalb der nächsten Tage automatisch aktualisiert. Wenn Sie Cloud Service Mesh Version 1.15 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Version 1.16 oder höher durchführen. |
Hoch |
GCP-2023-021
Aktualisiert:26.07.2023
Veröffentlicht: 25.07.2022Beschreibung | Schweregrad | Hinweise |
---|---|---|
Ein schädlicher Client kann in bestimmten Szenarien Anmeldedaten mit dauerhafter Gültigkeit erstellen. Beispielsweise kann die Kombination aus Host und Ablaufzeit in der HMAC-Nutzlast immer im HMAC-Check des OAuth2-Filters gültig sein. Wie gehe ich am besten vor?Prüfen Sie, ob Ihre Cluster betroffen sindIhr Cluster ist betroffen, wenn er Cloud Service Mesh-Patchversionen vor
Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
Wenn Sie verwaltetes Cloud Service Mesh ausführen, wird Ihr System innerhalb der nächsten Tage automatisch aktualisiert. Wenn Sie Anthos Service Mesh 1.14 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf ASM 1.15 oder höher durchführen. |
Hoch |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
gRPC-Zugriffs-Logger, die den globalen Bereich des Listeners verwenden, können zu einem „Use-after-Free“-Absturz führen, wenn der Listener entleert wird. Dies kann durch ein LDS-Update mit derselben gRPC-Zugriffslogkonfiguration ausgelöst werden. Wie gehe ich am besten vor?Prüfen Sie, ob Ihre Cluster betroffen sindIhr Cluster ist betroffen, wenn er Cloud Service Mesh-Patchversionen vor
Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
Wenn Sie verwaltetes Cloud Service Mesh ausführen, wird Ihr System innerhalb der nächsten Tage automatisch aktualisiert. Wenn Sie Anthos Service Mesh 1.14 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf ASM 1.15 oder höher durchführen. |
Mittel |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Wenn der Wie gehe ich am besten vor?Prüfen Sie, ob Ihre Cluster betroffen sindIhr Cluster ist betroffen, wenn er Cloud Service Mesh-Patchversionen vor
Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
Wenn Sie verwaltetes Cloud Service Mesh ausführen, wird Ihr System innerhalb der nächsten Tage automatisch aktualisiert. Wenn Sie Anthos Service Mesh 1.14 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf ASM 1.15 oder höher durchführen. |
Mittel |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Angreifer können Anfragen mit gemischten Schemata senden, um einige Schema-Prüfungen in Envoy zu umgehen. Wenn beispielsweise eine Anfrage mit gemischtem Schema htTp an den OAuth2-Filter gesendet wird, wird sie die exakte Vergleichsprüfung für http nicht bestehen. Der Remote-Endpunkt wird darüber informiert, dass das Schema https ist. Dadurch werden möglicherweise OAuth2-Prüfungen umgangen, die speziell für HTTP-Anfragen gelten. Wie gehe ich am besten vor?Prüfen Sie, ob Ihre Cluster betroffen sindIhr Cluster ist betroffen, wenn er Cloud Service Mesh-Patchversionen vor
Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
Wenn Sie verwaltetes Cloud Service Mesh ausführen, wird Ihr System innerhalb der nächsten Tage automatisch aktualisiert. Wenn Sie Anthos Service Mesh 1.14 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf ASM 1.15 oder höher durchführen. |
Hoch |
GCP-2023-019
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Eine speziell entwickelte Antwort von einem nicht vertrauenswürdigen Upstream-Dienst kann durch Speichererschöpfung zu einem Denial-of-Service führen. Dies wird durch den HTTP/2-Codec von Envoy verursacht, der beim Empfang von RST_STREAM unmittelbar gefolgt von GOAWAY-Frames eines Upstream-Servers, eine Header-Map und Verwaltungsstrukturen undicht werden lassen kann. Wie gehe ich am besten vor?Prüfen Sie, ob Ihre Cluster betroffen sindIhr Cluster ist betroffen, wenn er Cloud Service Mesh-Patchversionen vor
Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
Wenn Sie verwaltetes Cloud Service Mesh ausführen, wird Ihr System innerhalb der nächsten Tage automatisch aktualisiert. Wenn Sie Anthos Service Mesh 1.14 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf ASM 1.15 oder höher durchführen. |
Hoch |
GCP-2023-002
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Wenn Envoy mit aktiviertem OAuth-Filter ausgeführt wird, kann ein böswilliger Akteur eine Anfrage erstellen, die zu einem Denial of Service führt, indem Envoy abstürzt. Wie gehe ich am besten vor?Prüfen Sie, ob Ihre Cluster betroffen sindIhre Cluster sind betroffen, wenn sie Cloud Service Mesh-Patchversionen vor den folgenden verwenden:
Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
Wenn Sie Cloud Service Mesh Version 1.13 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.14 oder höher durchführen. |
Mittel |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Der Angreifer kann diese Sicherheitslücke nutzen, um Authentifizierungsprüfungen zu umgehen, wenn „ext_authz“ verwendet wird. Wie gehe ich am besten vor?Prüfen Sie, ob Ihre Cluster betroffen sindIhre Cluster sind betroffen, wenn sie Cloud Service Mesh-Patchversionen vor den folgenden verwenden:
Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
Wenn Sie Cloud Service Mesh Version 1.13 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.14 oder höher durchführen. |
Mittel |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Die Envoy-Konfiguration muss auch eine Option zum Hinzufügen von Anfrageheadern enthalten, die mit Eingaben aus der Anfrage generiert wurden, z.B. dem SAN des Peer-Zertifikats. Wie gehe ich am besten vor?Prüfen Sie, ob Ihre Cluster betroffen sindIhre Cluster sind betroffen, wenn sie Cloud Service Mesh-Patchversionen vor den folgenden verwenden:
Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
Wenn Sie Cloud Service Mesh Version 1.13 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.14 oder höher durchführen. |
Hoch |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Angreifer können große Anfragetexte für Routen mit aktiviertem Lua-Filter senden und Abstürze auslösen. Wie gehe ich am besten vor?Prüfen Sie, ob Ihre Cluster betroffen sindIhre Cluster sind betroffen, wenn sie Cloud Service Mesh-Patchversionen vor den folgenden verwenden:
Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
Wenn Sie Cloud Service Mesh Version 1.13 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.14 oder höher durchführen. |
Mittel |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Angreifer können speziell entwickelte HTTP/2- oder HTTP/3-Anfragen senden, um Parsing-Fehler im HTTP/1-Upstream-Dienst auszulösen. Wie gehe ich am besten vor?Prüfen Sie, ob Ihre Cluster betroffen sindIhre Cluster sind betroffen, wenn sie Cloud Service Mesh-Patchversionen vor den folgenden verwenden:
Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
Wenn Sie Cloud Service Mesh Version 1.13 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.14 oder höher durchführen. |
Mittel |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Der Header „x-envoy-original-path“ sollte ein interner Header sein. Envoy entfernt diesen Header jedoch nicht aus der Anfrage, wenn sie von einem nicht vertrauenswürdigen Client gesendet wird. Wie gehe ich am besten vor?Prüfen Sie, ob Ihre Cluster betroffen sindIhre Cluster sind betroffen, wenn sie Cloud Service Mesh-Patchversionen vor den folgenden verwenden:
Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
Wenn Sie Cloud Service Mesh Version 1.13 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.14 oder höher durchführen. |
Hoch |
GCP-2022-020
Veröffentlicht: 05.10.2022Aktualisiert: 12.10.2022
Aktualisierung vom 12.10.2022: Link zur CVE-Beschreibung aktualisiert und Informationen zu automatischen Updates für verwaltetes Cloud Service Mesh hinzugefügt.
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Die Istio-Steuerungsebene Was soll ich tun?Prüfen Sie, ob Ihre Cluster betroffen sindIhr Cluster ist betroffen, wenn er Cloud Service Mesh-Patchversionen vor 1.14.4, 1.13.8 oder 1.12.9 verwendet. Möglichkeiten zur Behebung des ProblemsWenn Sie eigenständiges Cloud Service Mesh ausführen, aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
Wenn Sie verwaltetes Cloud Service Mesh ausführen, wird Ihr System innerhalb der nächsten Tage automatisch aktualisiert. Wenn Sie Cloud Service Mesh Version 1.11 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.12 oder höher ausführen. |
Hoch |
GCP-2022-015
Veröffentlicht: 09.06.2022Aktualisiert: 10.06.2022
Aktualisierung vom 10.06.2022: Aktualisierte Patchversionen für Cloud Service Mesh.
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Die Istio-Datenebene kann potenziell unsicher auf den Speicher zugreifen, wenn die Exchange- und Stats-Erweiterungen für Metadata aktiviert sind. Was soll ich tun?Prüfen Sie, ob Ihre Cluster betroffen sindIhr Cluster ist betroffen, wenn er Cloud Service Mesh-Patchversionen vor 1.13.4-asm.4, 1.12.7-asm.2 oder 1.11.8-asm.4 verwendet. Cloud Service Mesh-RisikominderungAktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
Wenn Sie Cloud Service Mesh Version 1.10 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.11 oder höher ausführen. Weitere Informationen finden Sie unter Upgrade von früheren Versionen (GKE) oder Upgrade von früheren Versionen (lokal). |
Hoch |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Daten können die zwischengelagerten Pufferlimits überschreiten, wenn ein böswilliger Angreifer eine kleine, stark komprimierte Nutzlast (auch als ZIP-Bomb-Angriff bezeichnet) übergibt. Was soll ich tun?Prüfen Sie, ob Ihre Cluster betroffen sindIhr Cluster ist betroffen, wenn er Cloud Service Mesh-Patchversionen vor 1.13.4-asm.4, 1.12.7-asm.2 oder 1.11.8-asm.4 verwendet. Cloud Service Mesh unterstützt zwar keine Envoy-Filter, Sie können jedoch betroffen sein, wenn Sie einen Filter zum Dekomprimieren verwenden. Cloud Service Mesh-RisikominderungAktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
Wenn Sie Cloud Service Mesh Version 1.10 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.11 oder höher ausführen. Weitere Informationen finden Sie unter Upgrade von früheren Versionen (GKE) oder Upgrade von früheren Versionen (lokal). Envoy-RisikominderungEnvoy-Nutzer, die ihre eigenen Envoy-Dienste verwalten, müssen die Envoy-Version 1.22.1 verwenden. Envoy-Nutzer, die ihre eigenen Envoy-Dateien verwalten, erstellen die Binärdateien aus einer Quelle wie GitHub und stellen sie bereit. Nutzer, die verwaltete Envoy-Dienste ausführen (Google Cloud stellt die Binärdateien von Envoy bereit), für die Cloud-Produkte auf 1.22.1 umgestellt werden, müssen keine Maßnahmen ergreifen. |
Hoch |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Potenzielle Entfernung des Nullzeigerverweises in Was soll ich tun?Prüfen Sie, ob Ihre Cluster betroffen sindIhr Cluster ist betroffen, wenn er Cloud Service Mesh-Patchversionen vor 1.13.4-asm.4, 1.12.7-asm.2 oder 1.11.8-asm.4 verwendet. Cloud Service Mesh-RisikominderungAktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
Wenn Sie Cloud Service Mesh Version 1.10 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.11 oder höher ausführen. Weitere Informationen finden Sie unter Upgrade von früheren Versionen (GKE) oder Upgrade von früheren Versionen (lokal). Envoy-RisikominderungEnvoy-Nutzer, die ihre eigenen Envoy-Dienste verwalten, müssen die Envoy-Version 1.22.1 verwenden. Envoy-Nutzer, die ihre eigenen Envoy-Dateien verwalten, erstellen die Binärdateien aus einer Quelle wie GitHub und stellen sie bereit. Nutzer, die verwaltete Envoy-Dienste ausführen (Google Cloud stellt die Binärdateien von Envoy bereit), für die Cloud-Produkte auf 1.22.1 umgestellt werden, müssen keine Maßnahmen ergreifen. |
Mittel |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
OAuth-Filter ermöglicht eine einfache Umgehung. Was soll ich tun?Prüfen Sie, ob Ihre Cluster betroffen sindIhr Cluster ist betroffen, wenn er Cloud Service Mesh-Patchversionen vor 1.13.4-asm.4, 1.12.7-asm.2 oder 1.11.8-asm.4 verwendet. Cloud Service Mesh unterstützt zwar keine Envoy-Filter, Sie können jedoch betroffen sein, wenn Sie einen OAuth-Filter verwenden. Cloud Service Mesh-RisikominderungAktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
Wenn Sie Cloud Service Mesh Version 1.10 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.11 oder höher ausführen. Weitere Informationen finden Sie unter Upgrade von früheren Versionen (GKE) oder Upgrade von früheren Versionen (lokal). Envoy-RisikominderungEnvoy-Nutzer, die ihre eigenen Envoy-Dienste verwalten und einen OAuth-Filter verwenden, müssen Envoy-Version 1.22.1 verwenden. Envoy-Nutzer, die ihre eigenen Envoy-Dateien verwalten, erstellen die Binärdateien aus einer Quelle wie GitHub und stellen sie bereit. Nutzer, die verwaltete Envoy-Dienste ausführen (Google Cloud stellt die Binärdateien von Envoy bereit), für die Cloud-Produkte auf 1.22.1 umgestellt werden, müssen keine Maßnahmen ergreifen. |
Kritisch |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Ein OAuth-Filter kann Arbeitsspeicher beschädigen (frühere Versionen) oder einen ASSERT() (spätere Versionen) auslösen. Was soll ich tun?Prüfen Sie, ob Ihre Cluster betroffen sindIhr Cluster ist betroffen, wenn er Cloud Service Mesh-Patchversionen vor 1.13.4-asm.4, 1.12.7-asm.2 oder 1.11.8-asm.4 verwendet. Cloud Service Mesh unterstützt zwar keine Envoy-Filter, Sie können jedoch betroffen sein, wenn Sie einen OAuth-Filter verwenden. Cloud Service Mesh-RisikominderungAktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
Wenn Sie Cloud Service Mesh Version 1.10 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.11 oder höher ausführen. Envoy-RisikominderungEnvoy-Nutzer, die ihre eigenen Envoy-Dienste verwalten und einen OAuth-Filter verwenden, müssen Envoy-Version 1.22.1 verwenden. Envoy-Nutzer, die ihre eigenen Envoy-Dateien verwalten, erstellen die Binärdateien aus einer Quelle wie GitHub und stellen sie bereit. Nutzer, die verwaltete Envoy-Dienste ausführen (Google Cloud stellt die Binärdateien von Envoy bereit), für die Cloud-Produkte auf 1.22.1 umgestellt werden, müssen keine Maßnahmen ergreifen. |
Hoch |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Interne Weiterleitungen schlagen bei Anfragen mit Text oder Anhängen fehl. Was soll ich tun?Prüfen Sie, ob Ihre Cluster betroffen sindIhr Cluster ist betroffen, wenn er Cloud Service Mesh-Patchversionen vor 1.13.4-asm.4, 1.12.7-asm.2 oder 1.11.8-asm.4 verwendet. Cloud Service Mesh-RisikominderungAktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
Wenn Sie Cloud Service Mesh Version 1.10 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.11 oder höher ausführen. Weitere Informationen finden Sie unter Upgrade von früheren Versionen (GKE) oder Upgrade von früheren Versionen (lokal). Envoy-RisikominderungEnvoy-Nutzer, die ihre eigenen Envoy-Dienste verwalten, müssen die Envoy-Version 1.22.1 verwenden. Envoy-Nutzer, die ihre eigenen Envoy-Dateien verwalten, erstellen die Binärdateien aus einer Quelle wie GitHub und stellen sie bereit. Nutzer, die verwaltete Envoy-Dienste ausführen (Google Cloud stellt die Binärdateien von Envoy bereit), für die Cloud-Produkte auf 1.22.1 umgestellt werden, müssen keine Maßnahmen ergreifen. |
Hoch |
GCP-2022-010
Veröffentlicht: 10.03.202Zuletzt aktualisiert: 16.03.2022
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Die Istio-Steuerungsebene (istiod) ist anfällig für einen Fehler bei der Anfrageverarbeitung. Dadurch kann ein böswilliger Angreifer, der eine spezielle Nachricht sendet, einen Absturz der Steuerungsebene verursachen, wenn der Validierungs-Webhook für einen Cluster öffentlich zugänglich gemacht wird. Dieser Endpunkt wird über TLS-Port 15017 bereitgestellt, erfordert jedoch keine Authentifizierung durch den Angreifer. Was soll ich tun?Prüfen Sie, ob Ihre Cluster betroffen sindAlle Cloud Service Mesh-Versionen sind von dieser CVE betroffen. Hinweis: Wenn Sie die verwaltete Steuerungsebene verwenden, wurde diese Sicherheitslücke bereits behoben und Sie sind nicht betroffen. Möglichkeiten zur Behebung des ProblemsAktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
Wenn Sie Cloud Service Mesh Version 1.9 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.10 oder höher ausführen. |
Hoch |
GCP-2022-007
Veröffentlicht: 22.02.2022Beschreibung | Schweregrad | Hinweise |
---|---|---|
Istiod stürzt ab, wenn Anfragen mit einem speziell konzipierten Was soll ich tun?Prüfen Sie, ob Ihre Cluster betroffen sindIhr Cluster ist betroffen, wenn die beiden folgenden Bedingungen zutreffen:
Hinweis: Wenn Sie die verwaltete Steuerungsebene verwenden, wurde diese Sicherheitslücke bereits behoben und Sie sind nicht betroffen. Möglichkeiten zur Behebung des ProblemsAktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
Wenn Sie Cloud Service Mesh Version 1.9 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.10 oder höher ausführen. |
Hoch |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Potenzielle Nullzeiger-Dereferenz, wenn eine Übereinstimmung mit dem JWT-Filter Was soll ich tun?Prüfen Sie, ob Ihre Cluster betroffen sindIhr Cluster ist betroffen, wenn die beiden folgenden Bedingungen zutreffen:
Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
Wenn Sie Cloud Service Mesh Version 1.9 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.10 oder höher ausführen. |
Mittel |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Use-after-Free, wenn Antwortfilter die Antwortdaten erhöhen und mehr Daten die nachgelagerten Pufferlimits überschreiten. Was soll ich tun?Prüfen Sie, ob Ihre Cluster betroffen sindIhr Cluster ist betroffen, wenn die beiden folgenden Bedingungen zutreffen:
Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
Wenn Sie Cloud Service Mesh Version 1.9 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.10 oder höher ausführen. |
Mittel |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Use-after-Free, wenn TCP über HTTP getunnelt wird, wenn die Downstream-Verbindung während des Upstream-Verbindungsaufbaus unterbrochen wird. Was soll ich tun?Prüfen Sie, ob Ihre Cluster betroffen sindIhr Cluster ist betroffen, wenn die beiden folgenden Bedingungen zutreffen:
Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
Wenn Sie Cloud Service Mesh Version 1.9 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.10 oder höher ausführen. |
Mittel |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Durch eine falsche Konfigurationsbehandlung kann die mTLS-Sitzung ohne erneute Validierung wiederverwendet werden, nachdem sich die Validierungseinstellungen geändert haben. Was soll ich tun?Prüfen Sie, ob Ihre Cluster betroffen sindIhr Cluster ist betroffen, wenn die beiden folgenden Bedingungen zutreffen:
Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
Wenn Sie Cloud Service Mesh Version 1.9 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.10 oder höher ausführen. |
Hoch |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Falsche Verarbeitung interner Weiterleitungen an Routen mit einem direkten Antworteintrag. Was soll ich tun?Prüfen Sie, ob Ihre Cluster betroffen sindIhr Cluster ist betroffen, wenn die beiden folgenden Bedingungen zutreffen:
Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
Wenn Sie Cloud Service Mesh Version 1.9 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.10 oder höher ausführen. |
Hoch |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Stacküberlastung, wenn ein Cluster über Cluster Discovery Service gelöscht wird. Was soll ich tun?Prüfen Sie, ob Ihre Cluster betroffen sindIhr Cluster ist betroffen, wenn die beiden folgenden Bedingungen zutreffen:
Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
Wenn Sie Cloud Service Mesh Version 1.9 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.10 oder höher ausführen. |
Mittel |
GCP-2021-016
Veröffentlicht: 24.08.2021Beschreibung | Schweregrad | Hinweise |
---|---|---|
Istio enthält eine remote ausnutzbare Sicherheitslücke, bei der eine HTTP-Anfrage mit einem Fragment (ein Abschnitt am Ende eines URI, der mit einem
Eine Istio-Autorisierungsrichtlinie lehnt beispielsweise Anfragen ab, die an den URI-Pfad Diese Korrektur hängt von einer Korrektur in Envoy ab, die mit CVE-2021-32779 verknüpft ist. Was soll ich tun?Prüfen Sie, ob Ihre Cluster betroffen sindIhr Cluster ist betroffen, wenn die beiden folgenden Bedingungen zutreffen:
Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
Bei den neuen Versionen wird der Fragmentteil des URI der Anfrage vor der Autorisierung und dem Routing entfernt. Dadurch wird verhindert, dass eine Anfrage mit einem Fragment im URI Autorisierungsrichtlinien umgeht, die auf dem URI ohne den Fragmentteil basieren. DeaktivierenWenn Sie dieses neue Verhalten deaktivieren, wird der Fragmentabschnitt im URI beibehalten. Um es zu deaktivieren, können Sie Ihre Installation so konfigurieren: apiVersion: install.istio.io/v1alpha1 kind: IstioOperator metadata: name: opt-out-fragment-cve-fix namespace: istio-system spec: meshConfig: defaultConfig: proxyMetadata: HTTP_STRIP_FRAGMENT_FROM_PATH_UNSAFE_IF_DISABLED: "false" Hinweis: Wenn Sie dieses Verhalten deaktivieren, ist Ihr Cluster anfällig für diese CVE-Sicherheitslücke. |
Hoch |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Istio enthält eine remote ausnutzbare Sicherheitslücke, bei der eine HTTP-Anfrage eine Istio-Autorisierungsrichtlinie potenziell umgehen kann, wenn Regeln basierend auf
In den anfälligen Versionen vergleicht die Istio-Autorisierungsrichtlinie den HTTP-Header Was soll ich tun?Prüfen Sie, ob Ihre Cluster betroffen sindIhr Cluster ist betroffen, wenn die beiden folgenden Bedingungen zutreffen:
Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
Dadurch wird sichergestellt, dass die HTTP-Header |
Hoch |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Envoy enthält eine remote ausnutzbare Sicherheitslücke, bei der eine HTTP-Anfrage mit mehreren Wertheadern eine unvollständige Prüfung der Autorisierungsrichtlinie durchführen kann, wenn die Erweiterung Was soll ich tun?Prüfen Sie, ob Ihre Cluster betroffen sindIhr Cluster ist betroffen, wenn die beiden folgenden Bedingungen zutreffen:
Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
|
Hoch |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Envoy enthält eine remote ausnutzbare Sicherheitslücke bezüglich der Envoy-Erweiterungen Was soll ich tun?Prüfen Sie, ob Ihre Cluster betroffen sindIhr Cluster ist betroffen, wenn die beiden folgenden Bedingungen zutreffen:
Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
|
Hoch |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Envoy enthält eine remote ausnutzbare Sicherheitslücke, bei der ein Envoy-Client geöffnet und dann eine große Anzahl von HTTP/2-Anfragen zurückgesetzt werden kann, was zu einer übermäßigen CPU-Auslastung führen kann. Was soll ich tun?Prüfen Sie, ob Ihre Cluster betroffen sindIhr Cluster ist betroffen, wenn er Cloud Service Mesh-Patchversionen vor 1.7.8-asm.10, 1.8.6-asm.8, 1.9.8-asm.1 und 1.10.4-asm.6 verwendet. Möglichkeiten zur Behebung des ProblemsAktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
Hinweis: Wenn Sie Cloud Service Mesh 1.8 oder eine frühere Version verwenden, führen Sie ein Upgrade auf die neuesten Patchversionen von Cloud Service Mesh 1.9 und höher durch, um diese Sicherheitslücke zu verringern. |
Hoch |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Envoy enthält eine remote ausnutzbare Sicherheitslücke, bei der ein nicht vertrauenswürdiger Upstream-Dienst dazu führen könnte, dass Envoy anormal beendet wird, indem er den Frame Was soll ich tun?Prüfen Sie, ob Ihre Cluster betroffen sindIhr Cluster ist betroffen, wenn er Cloud Service Mesh 1.10 mit einer Patchversion vor 1.10.4-asm.6 verwendet. Möglichkeiten zur Behebung des ProblemsAktualisieren Sie Ihren Cluster auf die folgende Patchversion:
|
Hoch |
GCP-2021-012
Veröffentlicht: 24.06.2021Beschreibung | Schweregrad | Hinweise |
---|---|---|
Das Istio-sichere
Normalerweise kann ein Gateway oder eine Arbeitslastbereitstellung nur auf TLS-Zertifikate und private Schlüssel zugreifen, die im Secret in seinem Namespace gespeichert sind. Aufgrund eines Programmfehlers in Wie gehe ich am besten vor?Prüfen Sie, ob Ihre Cluster betroffen sindIhr Cluster ist betroffen, wenn ALLE folgenden Bedingungen erfüllt sind:
Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
Wenn ein Upgrade nicht machbar ist, können Sie diese Sicherheitslücke minimieren, indem Sie das istiod -Caching deaktivieren.
Sie können das Caching deaktivieren, indem Sie die Umgebungsvariable istiod auf PILOT_ENABLE_XDS_CACHE=false setzen. Die Leistung des Systems und von istiod kann beeinträchtigt werden, wenn das XDS-Caching deaktiviert wird.
|
Hoch |
GCP-2021-008
Veröffentlich: 17. 05. 20201Beschreibung | Schweregrad | Hinweise |
---|---|---|
Istio enthält eine Sicherheitslücke, die aus der Ferne ausgenutzt werden kann, über die ein externer Client auf unerwartete Dienste im Cluster zugreifen kann. Dabei werden Autorisierungsprüfungen umgangen, wenn ein Gateway mit der Routingkonfiguration AUTO_PASSTHROUGH konfiguriert ist. Was soll ich tun?Prüfen Sie, ob Ihre Cluster betroffen sindDiese Sicherheitslücke betrifft nur die Verwendung des Gateway-Typs AUTO_PASSTHROUGH, die normalerweise nur in Multi-Cluster-Deployments mit mehreren Netzwerken verwendet wird. Ermitteln Sie mit dem folgenden Befehl den TLS-Modus aller Gateways im Cluster: kubectl get gateways.networking.istio.io -A -o \ "custom-columns=NAMESPACE:.metadata.namespace, \ NAME:.metadata.name,TLS_MODE:.spec.servers[*].tls.mode" Wenn in der Ausgabe AUTO_PASSTHROUGH-Gateways angezeigt werden, sind Sie möglicherweise betroffen. Möglichkeiten zur Behebung des ProblemsAktualisieren Sie Ihre Cluster auf die aktuelle Cloud Service Mesh-Version:
* Hinweis: Die Einführung der verwalteten Steuerungsebene von Cloud Service Mesh (nur in Versionen 1.9.x verfügbar) wird in den nächsten Tagen abgeschlossen. |
Hoch |
GCP-2021-007
Veröffentlich: 17. 05. 20201Beschreibung | Schweregrad | Hinweise |
---|---|---|
Istio enthält eine Sicherheitslücke, die aus der Ferne ausgenutzt werden kann und bei der ein HTTP-Anfragepfad mit mehreren Schrägstrichen oder mit maskierten Schrägstrichzeichen (%2F oder %5C) unter Umständen eine Istio-Autorisierungsrichtlinie umgehen kann, wenn pfadbasierte Autorisierungsregeln verwendet werden.
Es kann vorkommen, dass ein Administrator des Istio-Clusters eine Autorisierungs-DENY-Richtlinie definiert, um die Anfrage unter dem Pfad
Gemäß RFC 3986 sollte der Pfad Was soll ich tun?Prüfen Sie, ob Ihre Cluster betroffen sindIhr Cluster ist von dieser Sicherheitslücke betroffen, wenn Sie Autorisierungsrichtlinien mit den Mustern "ALLOW action + notPaths field" oder "DENY action + paths field" verwenden. Diese Muster sind anfällig für das unerwartete Umgehungen der Richtlinie und sollten daher so weit wie möglich aktualisiert werden, um das Sicherheitsproblem so schnell wie möglich zu beheben. Das folgende Beispiel zeigt eine anfällige Richtlinie, die das Muster "DENY action + paths field" verwendet: apiVersion: security.istio.io/v1beta1 kind: AuthorizationPolicy metadata: name: deny-path-admin spec: action: DENY rules: - to: - operation: paths: ["/admin"] Das folgende Beispiel zeigt eine weitere anfällige Richtlinie, die das Muster "ALLOW action + notPaths field" verwendet: apiVersion: security.istio.io/v1beta1 kind: AuthorizationPolicy metadata: name: allow-path-not-admin spec: action: ALLOW rules: - to: - operation: notPaths: ["/admin"] Ihr Cluster ist nicht von dieser Sicherheitslücke betroffen, wenn:
Für diese Fälle ist ein Upgrade optional. Aktualisieren Sie Ihre Cluster auf die aktuellste unterstützte Cloud Service Mesh-Version*. Diese Versionen unterstützen die Konfiguration der Envoy-Proxys im System mit weiteren Normalisierungsoptionen:
* Hinweis: Die Einführung der verwalteten Steuerungsebene von Cloud Service Mesh (nur in Versionen 1.9.x verfügbar) wird in den nächsten Tagen abgeschlossen. Folgen Sie dem Best Practices-Leitfaden zur Sicherheit in Istio, um Ihre Autorisierungsrichtlinien zu konfigurieren. |
Hoch |
GCP-2021-004
Veröffentlicht: 06. 05. 2021Beschreibung | Schweregrad | Hinweise |
---|---|---|
Die Projekte Envoy und Istio haben kürzlich mehrere Sicherheitslücken bekanntgegeben (CVE-2021-28682, CVE-2021-28683 und CVE-2021-29258), die es einem Angreifer ermöglichen, Envoy zum Absturz zu bringen sowie potenziell Teile des Clusters offline zu stellen und unzugänglich zu machen. Dies wirkt sich auf bereitgestellte Dienste wie Cloud Service Mesh aus. Wie gehe ich am besten vor?Aktualisieren Sie Ihr Cloud Service Mesh-Bundle auf eine der folgenden Patchversionen, um diese Sicherheitslücken zu beheben:
Weitere Informationen finden Sie in den Versionshinweisen zu Cloud Service Mesh. |
Hoch |