Sicherheitsbulletins

„Use after free“ im DNS-Cache.

Wie gehe ich am besten vor?

Es sind nur Cluster betroffen, in denen die clusterinterne Version 1.26 von Cloud Service Mesh ausgeführt wird.

Wenn Sie ein verwaltetes Cloud Service Mesh verwenden, sind Sie nicht betroffen und müssen nichts weiter unternehmen.

Wenn Sie clusterinternes Cloud Service Mesh 1.26 verwenden, führen Sie ein Upgrade aller betroffenen Cluster auf 1.26.4-asm.1 durch.

Hoch

CVE-2025-54588

Happy Eyeballs: Validieren Sie, dass „additional_address“ IP-Adressen sind, anstatt beim Sortieren abzustürzen.

Wie gehe ich am besten vor?

Ihr Cluster ist betroffen, wenn Patchversionen vor:

• 1.23.4-asm.1
• 1.22.7-asm.1

Für In-Cluster-Cloud Service Mesh aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:

• 1.23.4-asm.1
• 1.22.7-asm.1

Wenn Sie Cloud Service Mesh Version 1.20 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Version 1.21 oder höher durchführen.

Bei verwaltetem Cloud Service Mesh ist keine Aktion erforderlich. Alle Versionen werden weiterhin unterstützt und Ihr System wird in den kommenden Wochen automatisch aktualisiert.

Mittel

CVE-2024-53269

HTTP/1: „Sending overload“ stürzt ab, wenn die Anfrage zuvor zurückgesetzt wird.

Wie gehe ich am besten vor?

Ihr Cluster ist betroffen, wenn Patchversionen vor:

• 1.23.4-asm.1
• 1.22.7-asm.1
• 1.21.5-asm.17
• 1.20.8-asm.14
• 1.19.10-asm.24

Für In-Cluster-Cloud Service Mesh aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:

• 1.23.4-asm.1
• 1.22.7-asm.1
• 1.21.5-asm.17

Wenn Sie Cloud Service Mesh Version 1.20 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Wenn Sie Cloud Service Mesh Version 1.20 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Führen Sie ein Upgrade auf Version 1.21 oder höher durch.

Bei verwaltetem Cloud Service Mesh ist keine Aktion erforderlich. Alle Versionen werden weiterhin unterstützt und Ihr System wird in den kommenden Wochen automatisch aktualisiert.

Hoch

CVE-2024-53270

HTTP/1.1: Mehrere Probleme mit envoy.reloadable_features.http1_balsa_delay_reset.

Wie gehe ich am besten vor?

Ihr Cluster ist betroffen, wenn Patchversionen vor:

• 1.23.4-asm.1

Für In-Cluster Cloud Service Mesh aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:

• 1.23.4-asm.1

Wenn Sie Cloud Service Mesh Version 1.20 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Wenn Sie Cloud Service Mesh Version 1.20 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Führen Sie ein Upgrade auf Version 1.21 oder höher durch.

Bei verwaltetem Cloud Service Mesh ist keine Aktion erforderlich. Alle Versionen werden weiterhin unterstützt und Ihr System wird in den kommenden Wochen automatisch aktualisiert.

Hoch

CVE-2024-53271

oghttp2-Absturz bei OnBeginHeadersForStream

Wie gehe ich am besten vor?

Nur Cluster mit Cloud Service Mesh v1.23 sind betroffen

Cloud Service Mesh 1.23.2-asm.2 enthält die Fehlerbehebung für dieses Problem. Sie müssen nichts weiter tun.

Hoch

CVE-2024-45807

Schädliche Log-Injektion über Zugriffslogs

Wie gehe ich am besten vor?

Alle Cloud Service Mesh-Versionen sind von dieser CVE betroffen.

Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:

• 1.20.8-asm.7
• 1.21.5-asm.7
• 1.22.5-asm.1
• 1.23.2-asm.2

Mittel

CVE-2024-45808

Potenzial zum Manipulieren von „x-envoy“-Headern aus externen Quellen

Wie gehe ich am besten vor?

Alle Cloud Service Mesh-Versionen sind von dieser CVE betroffen.

Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:

• 1.20.8-asm.7
• 1.21.5-asm.7
• 1.22.5-asm.1
• 1.23.2-asm.2

Mittel

CVE-2024-45806

JWT-Filter stürzt beim Leeren des Route-Cache mit Remote-JWKs ab

Wie gehe ich am besten vor?

Alle Cloud Service Mesh-Versionen sind von dieser CVE betroffen.

Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:

• 1.20.8-asm.7
• 1.21.5-asm.7
• 1.22.5-asm.1
• 1.23.2-asm.2

Mittel

CVE-2024-45809

Envoy stürzt bei LocalReply im asynchronen HTTP-Client ab

Wie gehe ich am besten vor?

Alle Cloud Service Mesh-Versionen sind von dieser CVE betroffen.

Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:

• 1.20.8-asm.7
• 1.21.5-asm.7
• 1.22.5-asm.1
• 1.23.2-asm.2

Mittel

CVE-2024-45810

Envoy akzeptiert fälschlicherweise die HTTP-200-Antwort für den Wechsel in den Upgrademodus.

Wie gehe ich am besten vor?

Alle Cloud Service Mesh-Versionen sind von dieser CVE betroffen.

Wenn Sie verwaltetes Cloud Service Mesh ausführen, wird Ihr System in den kommenden Tagen automatisch aktualisiert.

Aktualisieren Sie Ihren Cluster andernfalls auf eine der folgenden Patchversionen:

• v1.21.3-asm.3
• v1.20.7-asm.2
• v1.19.10-asm.6
• v1.18.7-asm.26
• Wenn Sie Cloud Service Mesh Version 1.17 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.18 oder höher durchführen.

Mittel

CVE-2024-23326

Absturz in EnvoyQuicServerStream::OnInitialHeadersComplete().

Wie gehe ich am besten vor?

Alle Cloud Service Mesh-Versionen sind von dieser CVE betroffen.

Wenn Sie verwaltetes Cloud Service Mesh ausführen, wird Ihr System in den kommenden Tagen automatisch aktualisiert.

Aktualisieren Sie Ihren Cluster andernfalls auf eine der folgenden Patchversionen:

• v1.21.3-asm.3
• v1.20.7-asm.2
• v1.19.10-asm.6
• v1.18.7-asm.26
• Wenn Sie Cloud Service Mesh Version 1.17 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.18 oder höher durchführen.

Mittel

CVE-2024-32974

Absturz in QuicheDataReader::PeekVarInt62Length().

Wie gehe ich am besten vor?

Alle Cloud Service Mesh-Versionen sind von dieser CVE betroffen.

Wenn Sie verwaltetes Cloud Service Mesh ausführen, wird Ihr System in den kommenden Tagen automatisch aktualisiert.

Aktualisieren Sie Ihren Cluster andernfalls auf eine der folgenden Patchversionen:

• v1.21.3-asm.3
• v1.20.7-asm.2
• v1.19.10-asm.6
• v1.18.7-asm.26
• Wenn Sie Cloud Service Mesh Version 1.17 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.18 oder höher durchführen.

Mittel

CVE-2024-32975

Endlosschleife beim Dekomprimieren von Brotli-Daten mit zusätzlicher Eingabe.

Wie gehe ich am besten vor?

Alle Cloud Service Mesh-Versionen sind von dieser CVE betroffen.

Wenn Sie verwaltetes Cloud Service Mesh ausführen, wird Ihr System in den kommenden Tagen automatisch aktualisiert.

Aktualisieren Sie Ihren Cluster andernfalls auf eine der folgenden Patchversionen:

• v1.21.3-asm.3
• v1.20.7-asm.2
• v1.19.10-asm.6
• v1.18.7-asm.26
• Wenn Sie Cloud Service Mesh Version 1.17 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.18 oder höher durchführen.

Hoch

CVE-2024-32976

Absturz (Use-after-Free) in EnvoyQuicServerStream.

Wie gehe ich am besten vor?

Alle Cloud Service Mesh-Versionen sind von dieser CVE betroffen.

Wenn Sie verwaltetes Cloud Service Mesh ausführen, wird Ihr System in den kommenden Tagen automatisch aktualisiert.

Aktualisieren Sie Ihren Cluster andernfalls auf eine der folgenden Patchversionen:

• v1.21.3-asm.3
• v1.20.7-asm.2
• v1.19.10-asm.6
• v1.18.7-asm.26
• Wenn Sie Cloud Service Mesh Version 1.17 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.18 oder höher durchführen.

Mittel

CVE-2024-34362

Absturz aufgrund einer nicht abgefangenen nlohmann-JSON-Ausnahme.

Wie gehe ich am besten vor?

Alle Cloud Service Mesh-Versionen sind von dieser CVE betroffen.

Wenn Sie verwaltetes Cloud Service Mesh ausführen, wird Ihr System in den kommenden Tagen automatisch aktualisiert.

Aktualisieren Sie Ihren Cluster andernfalls auf eine der folgenden Patchversionen:

• v1.21.3-asm.3
• v1.20.7-asm.2
• v1.19.10-asm.6
• v1.18.7-asm.26
• Wenn Sie Cloud Service Mesh Version 1.17 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.18 oder höher durchführen.

Hoch

CVE-2024-34363

Envoy-OOM-Vektor vom asynchronen HTTP-Client mit unbegrenztem Antwort-Zwischenspeicher für die Spiegelungsantwort.

Wie gehe ich am besten vor?

Alle Cloud Service Mesh-Versionen sind von dieser CVE betroffen.

Wenn Sie verwaltetes Cloud Service Mesh ausführen, wird Ihr System in den kommenden Tagen automatisch aktualisiert.

Aktualisieren Sie Ihren Cluster andernfalls auf eine der folgenden Patchversionen:

• v1.21.3-asm.3
• v1.20.7-asm.2
• v1.19.10-asm.6
• v1.18.7-asm.26
• Wenn Sie Cloud Service Mesh Version 1.17 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.18 oder höher durchführen.

Mittel

CVE-2024-34364

HTTP/2: Erschöpfter Arbeitsspeicher aufgrund einer CONTINUATION-Frame-Überflutung.

Wie gehe ich am besten vor?

Alle Cloud Service Mesh-Versionen sind von dieser CVE betroffen.

Wenn Sie den verwalteten Cloud Service Mesh-Dienst verwenden, müssen Sie nichts weiter tun. Ihr System wird in den kommenden Tagen automatisch aktualisiert.

Wenn Sie Cloud Service Mesh im Cluster ausführen, müssen Sie Ihren Cluster auf eine der folgenden Patchversionen aktualisieren:

• 1.20.6-asm.0
• 1.19.10-asm.0
• 1.18.7-asm.21

Wenn Sie Cloud Service Mesh Version 1.17 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh v1.18 oder höher ausführen.

Hoch

CVE-2024-27919

HTTP/2: CPU-Auslastung durch CONTINUATION-Frame-Überflutung

Wie gehe ich am besten vor?

Alle Cloud Service Mesh-Versionen sind von dieser CVE betroffen.

Wenn Sie den verwalteten Cloud Service Mesh-Dienst verwenden, müssen Sie nichts weiter tun. Ihr System wird in den kommenden Tagen automatisch aktualisiert.

Wenn Sie Cloud Service Mesh im Cluster ausführen, müssen Sie Ihren Cluster auf eine der folgenden Patchversionen aktualisieren:

• 1.20.6-asm.0
• 1.19.10-asm.0
• 1.18.7-asm.21

Wenn Sie Cloud Service Mesh Version 1.17 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.18 oder höher ausführen.

Mittel

CVE-2024-30255

Abnormaler Programmabbruch bei Verwendung von auto_sni mit einem „:authority“-Header von mehr als 255 Zeichen.

Wie gehe ich am besten vor?

Alle Cloud Service Mesh-Versionen sind von dieser CVE betroffen.

Wenn Sie den verwalteten Cloud Service Mesh-Dienst verwenden, müssen Sie nichts weiter tun. Ihr System wird in den kommenden Tagen automatisch aktualisiert.

Wenn Sie Cloud Service Mesh im Cluster ausführen, müssen Sie Ihren Cluster auf eine der folgenden Patchversionen aktualisieren:

• 1.20.6-asm.0
• 1.19.10-asm.0
• 1.18.7-asm.21

Wenn Sie Cloud Service Mesh Version 1.17 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.18 oder höher ausführen.

Hoch

CVE-2024-32475

HTTP/2-CONTINUATION-Frames können für DoS-Angriffe verwendet werden.

Wie gehe ich am besten vor?

Alle Cloud Service Mesh-Versionen sind von dieser CVE betroffen.

Wenn Sie den verwalteten Cloud Service Mesh-Dienst verwenden, müssen Sie nichts weiter tun. Ihr System wird in den kommenden Tagen automatisch aktualisiert.

Wenn Sie Cloud Service Mesh im Cluster ausführen, müssen Sie Ihren Cluster auf eine der folgenden Patchversionen aktualisieren:

• 1.20.6-asm.0
• 1.19.10-asm.0
• 1.18.7-asm.21

Wenn Sie Cloud Service Mesh Version 1.17 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Führen Sie ein Upgrade auf Version v1.18 oder höher durch.

Keine Angabe

CVE-2023-45288

Envoy stürzt ab, wenn es inaktiv ist, und innerhalb des Backoff-Intervalls kommt es zu einer Zeitüberschreitung der Anfragen pro Versuch.

Wie gehe ich am besten vor?

Wenn Sie den verwalteten Cloud Service Mesh-Dienst verwenden, müssen Sie nichts weiter tun. Ihr System wird in den kommenden Tagen automatisch aktualisiert.

Wenn Sie Cloud Service Mesh im Cluster ausführen, müssen Sie Ihren Cluster auf eine der folgenden Patchversionen aktualisieren:

• 1.20.3-asm.4
• 1.19.7-asm.3
• 1.18.7-asm.4
• 1.17.8-asm.20

Wenn Sie Anthos Service Mesh Version 1.17 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden zwar auf Version 1.17 zurückportiert, Sie sollten aber ein Upgrade auf Version 1.18 oder höher durchführen.

Hoch

CVE-2024-23322

Übermäßige CPU-Auslastung, wenn der URI-Vorlagenabgleich mit einem regulären Ausdruck konfiguriert wird.

Wie gehe ich am besten vor?

Wenn Sie den verwalteten Cloud Service Mesh-Dienst verwenden, müssen Sie nichts weiter tun. Ihr System wird in den kommenden Tagen automatisch aktualisiert.

Wenn Sie Cloud Service Mesh im Cluster ausführen, müssen Sie Ihren Cluster auf eine der folgenden Patchversionen aktualisieren:

• 1.20.3-asm.4
• 1.19.7-asm.3
• 1.18.7-asm.4
• 1.17.8-asm.20

Wenn Sie Anthos Service Mesh Version 1.17 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden zwar auf Version 1.17 zurückportiert, Sie sollten aber ein Upgrade auf Version 1.18 oder höher durchführen.

Mittel

CVE-2024-23323

Die externe Autorisierung kann umgangen werden, wenn der Proxy-Protokollfilter ungültige UTF‑8-Metadaten festlegt.

Wie gehe ich am besten vor?

Wenn Sie den verwalteten Cloud Service Mesh-Dienst verwenden, müssen Sie nichts weiter tun. Ihr System wird in den kommenden Tagen automatisch aktualisiert.

Wenn Sie Cloud Service Mesh im Cluster ausführen, müssen Sie Ihren Cluster auf eine der folgenden Patchversionen aktualisieren:

• 1.20.3-asm.4
• 1.19.7-asm.3
• 1.18.7-asm.4
• 1.17.8-asm.20

Wenn Sie Anthos Service Mesh Version 1.17 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden zwar auf Version 1.17 zurückportiert, Sie sollten aber ein Upgrade auf Version 1.18 oder höher durchführen.

Hoch

CVE-2024-23324

Envoy stürzt ab, wenn ein Adresstyp verwendet wird, der vom Betriebssystem nicht unterstützt wird.

Wie gehe ich am besten vor?

Wenn Sie den verwalteten Cloud Service Mesh-Dienst verwenden, müssen Sie nichts weiter tun. Ihr System wird in den kommenden Tagen automatisch aktualisiert.

Wenn Sie Cloud Service Mesh im Cluster ausführen, müssen Sie Ihren Cluster auf eine der folgenden Patchversionen aktualisieren:

• 1.20.3-asm.4
• 1.19.7-asm.3
• 1.18.7-asm.4
• 1.17.8-asm.20

Wenn Sie Anthos Service Mesh Version 1.17 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden zwar auf Version 1.17 zurückportiert, Sie sollten aber ein Upgrade auf Version 1.18 oder höher durchführen.

Hoch

CVE-2024-23325

Absturz im Proxy-Protokoll, wenn der Befehlstyp LOCAL ist.

Wie gehe ich am besten vor?

Wenn Sie den verwalteten Cloud Service Mesh-Dienst verwenden, müssen Sie nichts weiter tun. Ihr System wird in den kommenden Tagen automatisch aktualisiert.

Wenn Sie Cloud Service Mesh im Cluster ausführen, müssen Sie Ihren Cluster auf eine der folgenden Patchversionen aktualisieren:

• 1.20.3-asm.4
• 1.19.7-asm.3
• 1.18.7-asm.4
• 1.17.8-asm.20

Wenn Sie Anthos Service Mesh Version 1.17 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden zwar auf Version 1.17 zurückportiert, Sie sollten aber ein Upgrade auf Version 1.18 oder höher durchführen.

Hoch

CVE-2024-23327

Ein DoS-Angriff (Denial-of-Service) kann sich auf die Datenebene auswirken, wenn das HTTP/2-Protokoll verwendet wird.

Wie gehe ich am besten vor?

Ihr Cluster ist betroffen, wenn er Cloud Service Mesh-Patchversionen vor 1.18.4, 1.17.7 oder 1.16.7 verwendet.

Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:

• 1.18.4-asm.0
• 1.17.7-asm.0
• 1.16.7-asm.10

Wenn Sie verwaltetes Cloud Service Mesh ausführen, wird Ihr System innerhalb der nächsten Tage automatisch aktualisiert.

Wenn Sie Cloud Service Mesh Version 1.15 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Version 1.16 oder höher durchführen.

Hoch

CVE-2023-44487

Ein schädlicher Client kann in bestimmten Szenarien Anmeldedaten mit dauerhafter Gültigkeit erstellen. Beispielsweise kann die Kombination aus Host und Ablaufzeit in der HMAC-Nutzlast immer im HMAC-Check des OAuth2-Filters gültig sein.

Wie gehe ich am besten vor?

Ihr Cluster ist betroffen, wenn er Cloud Service Mesh-Patchversionen vor

• 1.17.4
• 1.16.6
• 1.15.7

Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:

• 1.17.5-asm.0
• 1.16.7-asm.0
• 1.15.7-asm.23

Wenn Sie verwaltetes Cloud Service Mesh ausführen, wird Ihr System innerhalb der nächsten Tage automatisch aktualisiert.

Wenn Sie Anthos Service Mesh 1.14 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf ASM 1.15 oder höher durchführen.

Hoch

CVE-2023-35941

gRPC-Zugriffs-Logger, die den globalen Bereich des Listeners verwenden, können zu einem „Use-after-Free“-Absturz führen, wenn der Listener entleert wird. Dies kann durch ein LDS-Update mit derselben gRPC-Zugriffslogkonfiguration ausgelöst werden.

Wie gehe ich am besten vor?

Ihr Cluster ist betroffen, wenn er Cloud Service Mesh-Patchversionen vor

• 1.17.4
• 1.16.6
• 1.15.7

Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:

• 1.17.5-asm.0
• 1.16.7-asm.0
• 1.15.7-asm.23

Wenn Sie verwaltetes Cloud Service Mesh ausführen, wird Ihr System innerhalb der nächsten Tage automatisch aktualisiert.

Wenn Sie Anthos Service Mesh 1.14 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf ASM 1.15 oder höher durchführen.

Mittel

CVE-2023-35942

Wenn der origin-Header so konfiguriert ist, dass er mit request_headers_to_remove: origin entfernt wird, führt der CORS-Filter zu einem Segfault und lässt Envoy abstürzen.

Wie gehe ich am besten vor?

Ihr Cluster ist betroffen, wenn er Cloud Service Mesh-Patchversionen vor

• 1.17.4
• 1.16.6
• 1.15.7

Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:

• 1.17.5-asm.0
• 1.16.7-asm.0
• 1.15.7-asm.23

Wenn Sie verwaltetes Cloud Service Mesh ausführen, wird Ihr System innerhalb der nächsten Tage automatisch aktualisiert.

Wenn Sie Anthos Service Mesh 1.14 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf ASM 1.15 oder höher durchführen.

Mittel

CVE-2023-35943

Angreifer können Anfragen mit gemischten Schemata senden, um einige Schema-Prüfungen in Envoy zu umgehen. Wenn beispielsweise eine Anfrage mit gemischtem Schema htTp an den OAuth2-Filter gesendet wird, wird sie die exakte Vergleichsprüfung für http nicht bestehen. Der Remote-Endpunkt wird darüber informiert, dass das Schema https ist. Dadurch werden möglicherweise OAuth2-Prüfungen umgangen, die speziell für HTTP-Anfragen gelten.

Wie gehe ich am besten vor?

Ihr Cluster ist betroffen, wenn er Cloud Service Mesh-Patchversionen vor

• 1.17.4
• 1.16.6
• 1.15.7

Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:

• 1.17.5-asm.0
• 1.16.7-asm.0
• 1.15.7-asm.23

Wenn Sie verwaltetes Cloud Service Mesh ausführen, wird Ihr System innerhalb der nächsten Tage automatisch aktualisiert.

Wenn Sie Anthos Service Mesh 1.14 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf ASM 1.15 oder höher durchführen.

Hoch

CVE-2023-35944

Eine speziell entwickelte Antwort von einem nicht vertrauenswürdigen Upstream-Dienst kann durch Speichererschöpfung zu einem Denial-of-Service führen. Dies wird durch den HTTP/2-Codec von Envoy verursacht, der beim Empfang von RST_STREAM unmittelbar gefolgt von GOAWAY-Frames eines Upstream-Servers, eine Header-Map und Verwaltungsstrukturen undicht werden lassen kann.

Wie gehe ich am besten vor?

Ihr Cluster ist betroffen, wenn er Cloud Service Mesh-Patchversionen vor

• 1.17.4
• 1.16.6
• 1.15.7

Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:

• 1.17.4-asm.2
• 1.16.6-asm.3
• 1.15.7-asm.21

Wenn Sie verwaltetes Cloud Service Mesh ausführen, wird Ihr System innerhalb der nächsten Tage automatisch aktualisiert.

Wenn Sie Anthos Service Mesh 1.14 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf ASM 1.15 oder höher durchführen.

Hoch

CVE-2023-35945

Wenn Envoy mit aktiviertem OAuth-Filter ausgeführt wird, kann ein böswilliger Akteur eine Anfrage erstellen, die zu einem Denial of Service führt, indem Envoy abstürzt.

Wie gehe ich am besten vor?

Ihre Cluster sind betroffen, wenn sie Cloud Service Mesh-Patchversionen vor den folgenden verwenden:

• 1.16.4
• 1.15.7
• 1.14.6

Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:

• 1.16.4-asm.2
• 1.15.7-asm.1
• 1.14.6-asm.11

Wenn Sie Cloud Service Mesh Version 1.13 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.14 oder höher durchführen.

Mittel

CVE-2023-27496

Der Angreifer kann diese Sicherheitslücke nutzen, um Authentifizierungsprüfungen zu umgehen, wenn „ext_authz“ verwendet wird.

Wie gehe ich am besten vor?

Ihre Cluster sind betroffen, wenn sie Cloud Service Mesh-Patchversionen vor den folgenden verwenden:

• 1.16.4
• 1.15.7
• 1.14.6

Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:

• 1.16.4-asm.2
• 1.15.7-asm.1
• 1.14.6-asm.11

Wenn Sie Cloud Service Mesh Version 1.13 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.14 oder höher durchführen.

Mittel

CVE-2023-27488

Die Envoy-Konfiguration muss auch eine Option zum Hinzufügen von Anfrageheadern enthalten, die mit Eingaben aus der Anfrage generiert wurden, z.B. dem SAN des Peer-Zertifikats.

Wie gehe ich am besten vor?

Ihre Cluster sind betroffen, wenn sie Cloud Service Mesh-Patchversionen vor den folgenden verwenden:

• 1.16.4
• 1.15.7
• 1.14.6

Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:

• 1.16.4-asm.2
• 1.15.7-asm.1
• 1.14.6-asm.11

Wenn Sie Cloud Service Mesh Version 1.13 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.14 oder höher durchführen.

Hoch

CVE-2023-27493

Angreifer können große Anfragetexte für Routen mit aktiviertem Lua-Filter senden und Abstürze auslösen.

Wie gehe ich am besten vor?

Ihre Cluster sind betroffen, wenn sie Cloud Service Mesh-Patchversionen vor den folgenden verwenden:

• 1.16.4
• 1.15.7
• 1.14.6

Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:

• 1.16.4-asm.2
• 1.15.7-asm.1
• 1.14.6-asm.11

Wenn Sie Cloud Service Mesh Version 1.13 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.14 oder höher durchführen.

Mittel

CVE-2023-27492

Angreifer können speziell entwickelte HTTP/2- oder HTTP/3-Anfragen senden, um Parsing-Fehler im HTTP/1-Upstream-Dienst auszulösen.

Wie gehe ich am besten vor?

Ihre Cluster sind betroffen, wenn sie Cloud Service Mesh-Patchversionen vor den folgenden verwenden:

• 1.16.4
• 1.15.7
• 1.14.6

Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:

• 1.16.4-asm.2
• 1.15.7-asm.1
• 1.14.6-asm.11

Wenn Sie Cloud Service Mesh Version 1.13 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.14 oder höher durchführen.

Mittel

CVE-2023-27491

Der Header „x-envoy-original-path“ sollte ein interner Header sein. Envoy entfernt diesen Header jedoch nicht aus der Anfrage, wenn sie von einem nicht vertrauenswürdigen Client gesendet wird.

Wie gehe ich am besten vor?

Ihre Cluster sind betroffen, wenn sie Cloud Service Mesh-Patchversionen vor den folgenden verwenden:

• 1.16.4
• 1.15.7
• 1.14.6

Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:

• 1.16.4-asm.2
• 1.15.7-asm.1
• 1.14.6-asm.11

Wenn Sie Cloud Service Mesh Version 1.13 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.14 oder höher durchführen.

Hoch

CVE-2023-27487

Die Istio-Steuerungsebene istiod ist anfällig für einen Fehler bei der Anfrageverarbeitung. Dadurch kann ein böswilliger Angreifer, der eine speziell entwickelte Nachricht sendet, einen Absturz der Steuerungsebene verursachen, wenn der Validierungs-Webhook für einen Cluster öffentlich zugänglich gemacht wird. Dieser Endpunkt wird über TLS-Port 15017 bereitgestellt, erfordert jedoch keine Authentifizierung durch den Angreifer.

Was soll ich tun?

Ihr Cluster ist betroffen, wenn er Cloud Service Mesh-Patchversionen vor 1.14.4, 1.13.8 oder 1.12.9 verwendet.

Wenn Sie eigenständiges Cloud Service Mesh ausführen, aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:

• Wenn Sie Anthos Service Mesh 1.14 verwenden, führen Sie ein Upgrade auf v1.14.4-asm.2 durch.
• Wenn Sie Anthos Service Mesh 1.13 verwenden, führen Sie ein Upgrade auf v1.13.8-asm.4 durch.
• Wenn Sie Anthos Service Mesh 1.12 verwenden, führen Sie ein Upgrade auf v1.12.9-asm.3 durch.

Wenn Sie verwaltetes Cloud Service Mesh ausführen, wird Ihr System innerhalb der nächsten Tage automatisch aktualisiert.

Wenn Sie Cloud Service Mesh Version 1.11 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.12 oder höher ausführen.

Hoch

CVE-2022-39278

Die Istio-Datenebene kann potenziell unsicher auf den Speicher zugreifen, wenn die Exchange- und Stats-Erweiterungen für Metadata aktiviert sind.

Was soll ich tun?

Ihr Cluster ist betroffen, wenn er Cloud Service Mesh-Patchversionen vor 1.13.4-asm.4, 1.12.7-asm.2 oder 1.11.8-asm.4 verwendet.

Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:

• 1.13.4-asm.4
• 1.12.7-asm.2
• 1.11.8-asm.4

Wenn Sie Cloud Service Mesh Version 1.10 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.11 oder höher ausführen. Weitere Informationen finden Sie unter Upgrade von früheren Versionen (GKE) oder Upgrade von früheren Versionen (lokal).

Hoch

CVE-2022-31045

Daten können die zwischengelagerten Pufferlimits überschreiten, wenn ein böswilliger Angreifer eine kleine, stark komprimierte Nutzlast (auch als ZIP-Bomb-Angriff bezeichnet) übergibt.

Was soll ich tun?

Ihr Cluster ist betroffen, wenn er Cloud Service Mesh-Patchversionen vor 1.13.4-asm.4, 1.12.7-asm.2 oder 1.11.8-asm.4 verwendet.

Cloud Service Mesh unterstützt zwar keine Envoy-Filter, Sie können jedoch betroffen sein, wenn Sie einen Filter zum Dekomprimieren verwenden.

Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:

• 1.13.4-asm.4
• 1.12.7-asm.2
• 1.11.8-asm.4

Wenn Sie Cloud Service Mesh Version 1.10 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.11 oder höher ausführen. Weitere Informationen finden Sie unter Upgrade von früheren Versionen (GKE) oder Upgrade von früheren Versionen (lokal).

Envoy-Nutzer, die ihre eigenen Envoy-Dienste verwalten, müssen die Envoy-Version 1.22.1 verwenden. Envoy-Nutzer, die ihre eigenen Envoy-Dateien verwalten, erstellen die Binärdateien aus einer Quelle wie GitHub und stellen sie bereit.

Nutzer, die verwaltete Envoy-Dienste ausführen (Google Cloud stellt die Binärdateien von Envoy bereit), für die Cloud-Produkte auf 1.22.1 umgestellt werden, müssen keine Maßnahmen ergreifen.

Hoch

CVE-2022-29225

Potenzielle Entfernung des Nullzeigerverweises in GrpcHealthCheckerImpl.

Was soll ich tun?

Ihr Cluster ist betroffen, wenn er Cloud Service Mesh-Patchversionen vor 1.13.4-asm.4, 1.12.7-asm.2 oder 1.11.8-asm.4 verwendet.

Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:

• 1.13.4-asm.4
• 1.12.7-asm.2
• 1.11.8-asm.4

Wenn Sie Cloud Service Mesh Version 1.10 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.11 oder höher ausführen. Weitere Informationen finden Sie unter Upgrade von früheren Versionen (GKE) oder Upgrade von früheren Versionen (lokal).

Envoy-Nutzer, die ihre eigenen Envoy-Dienste verwalten, müssen die Envoy-Version 1.22.1 verwenden. Envoy-Nutzer, die ihre eigenen Envoy-Dateien verwalten, erstellen die Binärdateien aus einer Quelle wie GitHub und stellen sie bereit.

Nutzer, die verwaltete Envoy-Dienste ausführen (Google Cloud stellt die Binärdateien von Envoy bereit), für die Cloud-Produkte auf 1.22.1 umgestellt werden, müssen keine Maßnahmen ergreifen.

Mittel

CVE-2021-29224

OAuth-Filter ermöglicht eine einfache Umgehung.

Was soll ich tun?

Ihr Cluster ist betroffen, wenn er Cloud Service Mesh-Patchversionen vor 1.13.4-asm.4, 1.12.7-asm.2 oder 1.11.8-asm.4 verwendet.

Cloud Service Mesh unterstützt zwar keine Envoy-Filter, Sie können jedoch betroffen sein, wenn Sie einen OAuth-Filter verwenden.

Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:

• 1.13.4-asm.4
• 1.12.7-asm.2
• 1.11.8-asm.4

Wenn Sie Cloud Service Mesh Version 1.10 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.11 oder höher ausführen. Weitere Informationen finden Sie unter Upgrade von früheren Versionen (GKE) oder Upgrade von früheren Versionen (lokal).

Envoy-Nutzer, die ihre eigenen Envoy-Dienste verwalten und einen OAuth-Filter verwenden, müssen Envoy-Version 1.22.1 verwenden. Envoy-Nutzer, die ihre eigenen Envoy-Dateien verwalten, erstellen die Binärdateien aus einer Quelle wie GitHub und stellen sie bereit.

Nutzer, die verwaltete Envoy-Dienste ausführen (Google Cloud stellt die Binärdateien von Envoy bereit), für die Cloud-Produkte auf 1.22.1 umgestellt werden, müssen keine Maßnahmen ergreifen.

Kritisch

CVE-2021-29226

Ein OAuth-Filter kann Arbeitsspeicher beschädigen (frühere Versionen) oder einen ASSERT() (spätere Versionen) auslösen.

Was soll ich tun?

Ihr Cluster ist betroffen, wenn er Cloud Service Mesh-Patchversionen vor 1.13.4-asm.4, 1.12.7-asm.2 oder 1.11.8-asm.4 verwendet.

Cloud Service Mesh unterstützt zwar keine Envoy-Filter, Sie können jedoch betroffen sein, wenn Sie einen OAuth-Filter verwenden.

Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:

• 1.13.4-asm.4
• 1.12.7-asm.2
• 1.11.8-asm.4

Wenn Sie Cloud Service Mesh Version 1.10 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.11 oder höher ausführen.

Envoy-Nutzer, die ihre eigenen Envoy-Dienste verwalten und einen OAuth-Filter verwenden, müssen Envoy-Version 1.22.1 verwenden. Envoy-Nutzer, die ihre eigenen Envoy-Dateien verwalten, erstellen die Binärdateien aus einer Quelle wie GitHub und stellen sie bereit.

Nutzer, die verwaltete Envoy-Dienste ausführen (Google Cloud stellt die Binärdateien von Envoy bereit), für die Cloud-Produkte auf 1.22.1 umgestellt werden, müssen keine Maßnahmen ergreifen.

Hoch

CVE-2022-29228

Interne Weiterleitungen schlagen bei Anfragen mit Text oder Anhängen fehl.

Was soll ich tun?

Ihr Cluster ist betroffen, wenn er Cloud Service Mesh-Patchversionen vor 1.13.4-asm.4, 1.12.7-asm.2 oder 1.11.8-asm.4 verwendet.

Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:

• 1.13.4-asm.4
• 1.12.7-asm.2
• 1.11.8-asm.4

Wenn Sie Cloud Service Mesh Version 1.10 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.11 oder höher ausführen. Weitere Informationen finden Sie unter Upgrade von früheren Versionen (GKE) oder Upgrade von früheren Versionen (lokal).

Envoy-Nutzer, die ihre eigenen Envoy-Dienste verwalten, müssen die Envoy-Version 1.22.1 verwenden. Envoy-Nutzer, die ihre eigenen Envoy-Dateien verwalten, erstellen die Binärdateien aus einer Quelle wie GitHub und stellen sie bereit.

Nutzer, die verwaltete Envoy-Dienste ausführen (Google Cloud stellt die Binärdateien von Envoy bereit), für die Cloud-Produkte auf 1.22.1 umgestellt werden, müssen keine Maßnahmen ergreifen.

Hoch

CVE-2022-29227

Die Istio-Steuerungsebene (istiod) ist anfällig für einen Fehler bei der Anfrageverarbeitung. Dadurch kann ein böswilliger Angreifer, der eine spezielle Nachricht sendet, einen Absturz der Steuerungsebene verursachen, wenn der Validierungs-Webhook für einen Cluster öffentlich zugänglich gemacht wird. Dieser Endpunkt wird über TLS-Port 15017 bereitgestellt, erfordert jedoch keine Authentifizierung durch den Angreifer.

Was soll ich tun?

Alle Cloud Service Mesh-Versionen sind von dieser CVE betroffen.

Hinweis: Wenn Sie die verwaltete Steuerungsebene verwenden, wurde diese Sicherheitslücke bereits behoben und Sie sind nicht betroffen.

Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:

• 1.12.5-asm.0
• 1.11.8-asm.0
• 1.10.6-asm.2

Wenn Sie Cloud Service Mesh Version 1.9 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.10 oder höher ausführen.

Hoch

CVE-2022-24726

Istiod stürzt ab, wenn Anfragen mit einem speziell konzipierten authorization-Header empfangen werden.

Was soll ich tun?

Ihr Cluster ist betroffen, wenn die beiden folgenden Bedingungen zutreffen:

• Er verwendet Cloud Service Mesh-Patchversionen vor 1.12.4-asm.1, 1.11.7-asm.1 oder 1.10.6-asm.1.

Hinweis: Wenn Sie die verwaltete Steuerungsebene verwenden, wurde diese Sicherheitslücke bereits behoben und Sie sind nicht betroffen.

Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:

• 1.12.4-asm.1
• 1.11.7-asm.1
• 1.10.6-asm.1

Wenn Sie Cloud Service Mesh Version 1.9 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.10 oder höher ausführen.

Hoch

CVE-2022-23635

Potenzielle Nullzeiger-Dereferenz, wenn eine Übereinstimmung mit dem JWT-Filter safe_regex verwendet wird.

Was soll ich tun?

Ihr Cluster ist betroffen, wenn die beiden folgenden Bedingungen zutreffen:

• Er verwendet Cloud Service Mesh-Patchversionen vor 1.12.4-asm.1, 1.11.7-asm.1 oder 1.10.6-asm.1.
• Obwohl Cloud Service Mesh keine Envoy-Filter unterstützt, können Sie betroffen sein, wenn Sie eine JWT-Filter-Regex verwenden.

Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:

• 1.12.4-asm.1
• 1.11.7-asm.1
• 1.10.6-asm.1

Wenn Sie Cloud Service Mesh Version 1.9 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.10 oder höher ausführen.

Mittel

CVE-2021-43824

Use-after-Free, wenn Antwortfilter die Antwortdaten erhöhen und mehr Daten die nachgelagerten Pufferlimits überschreiten.

Was soll ich tun?

Ihr Cluster ist betroffen, wenn die beiden folgenden Bedingungen zutreffen:

• Er verwendet Cloud Service Mesh-Patchversionen vor 1.12.4-asm.1, 1.11.7-asm.1 oder 1.10.6-asm.1.
• Cloud Service Mesh unterstützt zwar keine Envoy-Filter, Sie können jedoch betroffen sein, wenn Sie einen Filter zum Dekomprimieren verwenden.

Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:

• 1.12.4-asm.1
• 1.11.7-asm.1
• 1.10.6-asm.1

Wenn Sie Cloud Service Mesh Version 1.9 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.10 oder höher ausführen.

Mittel

CVE-2021-43825

Use-after-Free, wenn TCP über HTTP getunnelt wird, wenn die Downstream-Verbindung während des Upstream-Verbindungsaufbaus unterbrochen wird.

Was soll ich tun?

Ihr Cluster ist betroffen, wenn die beiden folgenden Bedingungen zutreffen:

• Er verwendet Cloud Service Mesh-Patchversionen vor 1.12.4-asm.1, 1.11.7-asm.1 oder 1.10.6-asm.1.
• Cloud Service Mesh unterstützt zwar keine Envoy-Filter, Sie können jedoch betroffen sein, wenn Sie einen Tunneling-Filter verwenden.

Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:

• 1.12.4-asm.1
• 1.11.7-asm.1
• 1.10.6-asm.1

Wenn Sie Cloud Service Mesh Version 1.9 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.10 oder höher ausführen.

Mittel

CVE-2021-43826

Durch eine falsche Konfigurationsbehandlung kann die mTLS-Sitzung ohne erneute Validierung wiederverwendet werden, nachdem sich die Validierungseinstellungen geändert haben.

Was soll ich tun?

Ihr Cluster ist betroffen, wenn die beiden folgenden Bedingungen zutreffen:

• Er verwendet Cloud Service Mesh-Patchversionen vor 1.12.4-asm.1, 1.11.7-asm.1 oder 1.10.6-asm.1.
• Alle Cloud Service Mesh-Dienste, die mTLS verwenden, sind von diesem CVE betroffen.

Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:

• 1.12.4-asm.1
• 1.11.7-asm.1
• 1.10.6-asm.1

Wenn Sie Cloud Service Mesh Version 1.9 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.10 oder höher ausführen.

Hoch

CVE-2022-21654

Falsche Verarbeitung interner Weiterleitungen an Routen mit einem direkten Antworteintrag.

Was soll ich tun?

Ihr Cluster ist betroffen, wenn die beiden folgenden Bedingungen zutreffen:

• Er verwendet Cloud Service Mesh-Patchversionen vor 1.12.4-asm.1, 1.11.7-asm.1 oder 1.10.6-asm.1.
• Cloud Service Mesh unterstützt zwar keine Envoy-Filter, Sie können jedoch betroffen sein, wenn Sie einen Filter für direkte Antworten verwenden.

Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:

• 1.12.4-asm.1
• 1.11.7-asm.1
• 1.10.6-asm.1

Wenn Sie Cloud Service Mesh Version 1.9 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.10 oder höher ausführen.

Hoch

CVE-2022-21655

Stacküberlastung, wenn ein Cluster über Cluster Discovery Service gelöscht wird.

Was soll ich tun?

Ihr Cluster ist betroffen, wenn die beiden folgenden Bedingungen zutreffen:

• Er verwendet Cloud Service Mesh-Patchversionen vor 1.12.4-asm.1 oder 1.11.7-asm.1.

Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:

• 1.12.4-asm.1
• 1.11.7-asm.1

Wenn Sie Cloud Service Mesh Version 1.9 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.10 oder höher ausführen.

Mittel

CVE-2022-23606

Istio enthält eine remote ausnutzbare Sicherheitslücke, bei der eine HTTP-Anfrage mit einem Fragment (ein Abschnitt am Ende eines URI, der mit einem #-Zeichen beginnt) im URI-Pfad die URI-pfadbasierten Autorisierungsrichtlinien umgehen kann.

Eine Istio-Autorisierungsrichtlinie lehnt beispielsweise Anfragen ab, die an den URI-Pfad /user/profile gesendet werden. In den anfälligen Versionen umgeht eine Anfrage mit dem URI-Pfad /user/profile#section1 die Ablehnungsrichtlinie und wird an das Backend weitergeleitet (mit dem normalisierten URI-Pfad /user/profile%23section1). Dies führt zu einem Sicherheitsvorfall.

Diese Korrektur hängt von einer Korrektur in Envoy ab, die mit CVE-2021-32779 verknüpft ist.

Was soll ich tun?

Ihr Cluster ist betroffen, wenn die beiden folgenden Bedingungen zutreffen:

• Er verwendet Cloud Service Mesh-Patchversionen vor 1.7.8-asm.10, 1.8.6-asm.8, 1.9.8-asm.1 und 1.10.4-asm.6.
• Er verwendet Autorisierungsrichtlinien mit DENY actions und operation.paths oder ALLOW actions und operation.notPaths.

Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:

• 1.10.4-asm.6
• 1.9.8-asm.1
• 1.8.6-asm.8
• 1.7.8-asm.10

Bei den neuen Versionen wird der Fragmentteil des URI der Anfrage vor der Autorisierung und dem Routing entfernt. Dadurch wird verhindert, dass eine Anfrage mit einem Fragment im URI Autorisierungsrichtlinien umgeht, die auf dem URI ohne den Fragmentteil basieren.

Wenn Sie dieses neue Verhalten deaktivieren, wird der Fragmentabschnitt im URI beibehalten. Um es zu deaktivieren, können Sie Ihre Installation so konfigurieren:

apiVersion: install.istio.io/v1alpha1
kind: IstioOperator
metadata:
  name: opt-out-fragment-cve-fix
  namespace: istio-system
spec:
  meshConfig:
    defaultConfig:
      proxyMetadata:
        HTTP_STRIP_FRAGMENT_FROM_PATH_UNSAFE_IF_DISABLED: "false"

Hinweis: Wenn Sie dieses Verhalten deaktivieren, ist Ihr Cluster anfällig für diese CVE-Sicherheitslücke.

Hoch

CVE-2021-39156

Istio enthält eine remote ausnutzbare Sicherheitslücke, bei der eine HTTP-Anfrage eine Istio-Autorisierungsrichtlinie potenziell umgehen kann, wenn Regeln basierend auf hosts und notHosts verwendet werden.

In den anfälligen Versionen vergleicht die Istio-Autorisierungsrichtlinie den HTTP-Header Host oder :authority unter Berücksichtigung der Groß- und Kleinschreibung, was nicht mit RFC 4343 übereinstimmt. Der Nutzer könnte beispielsweise eine Autorisierungsrichtlinie haben, die Anfragen mit dem Host secret.com ablehnt. Der Angreifer kann dies jedoch umgehen, indem er die Anfrage unter dem Hostnamen Secret.com sendet. Beim Routing wird der Traffic an das Backend für secret.com weitergeleitet, was zu einem Sicherheitsvorfall führt.

Was soll ich tun?

Ihr Cluster ist betroffen, wenn die beiden folgenden Bedingungen zutreffen:

• Er verwendet Cloud Service Mesh-Patchversionen vor 1.7.8-asm.10, 1.8.6-asm.8, 1.9.8-asm.1 und 1.10.4-asm.6.
• Er verwendet Autorisierungsrichtlinien mit DENY actions basierend auf operation.hosts oder ALLOW actions basierend auf operation.notHosts.

Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:

• 1.10.4-asm.6
• 1.9.8-asm.1
• 1.8.6-asm.8
• 1.7.8-asm.10

Dadurch wird sichergestellt, dass die HTTP-Header Host und :authority in den Autorisierungsrichtlinien anhand der Spezifikation hosts oder notHosts unabhängig von der Groß- und Kleinschreibung ausgewertet werden.

Hoch

CVE-2021-39155

Envoy enthält eine remote ausnutzbare Sicherheitslücke, bei der eine HTTP-Anfrage mit mehreren Wertheadern eine unvollständige Prüfung der Autorisierungsrichtlinie durchführen kann, wenn die Erweiterung ext_authz verwendet wird. Wenn ein Anfrageheader mehrere Werte enthält, sieht der externe Autorisierungsserver nur den letzten Wert des angegebenen Headers.

Was soll ich tun?

Ihr Cluster ist betroffen, wenn die beiden folgenden Bedingungen zutreffen:

• Er verwendet Cloud Service Mesh-Patchversionen vor 1.7.8-asm.10, 1.8.6-asm.8, 1.9.8-asm.1 und 1.10.4-asm.6.
• Er verwendet das Feature Externe Autorisierung.

Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:

• 1.10.4-asm.6
• 1.9.8-asm.1
• 1.8.6-asm.8
• 1.7.8-asm.10

Hoch

CVE-2021-32777

Envoy enthält eine remote ausnutzbare Sicherheitslücke bezüglich der Envoy-Erweiterungen decompressor, json-transcoder und grpc-web, die die Größe von Anfrage- oder Antworttexten ändern und erhöhen. Das Ändern und Erhöhen der Textgröße in der Envoy-Erweiterung über die interne Puffergröße hinaus kann dazu führen, dass Envoy auf den freigegebenen Speicher zugreift und anormal beendet wird.

Was soll ich tun?

Ihr Cluster ist betroffen, wenn die beiden folgenden Bedingungen zutreffen:

• Er verwendet Cloud Service Mesh-Patchversionen vor 1.7.8-asm.10, 1.8.6-asm.8, 1.9.8-asm.1 und 1.10.4-asm.6.
• Er verwendet EnvoyFilters.

Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:

• 1.10.4-asm.6
• 1.9.8-asm.1
• 1.8.6-asm.8
• 1.7.8-asm.10

Hoch

CVE-2021-32781

Envoy enthält eine remote ausnutzbare Sicherheitslücke, bei der ein Envoy-Client geöffnet und dann eine große Anzahl von HTTP/2-Anfragen zurückgesetzt werden kann, was zu einer übermäßigen CPU-Auslastung führen kann.

Was soll ich tun?

Ihr Cluster ist betroffen, wenn er Cloud Service Mesh-Patchversionen vor 1.7.8-asm.10, 1.8.6-asm.8, 1.9.8-asm.1 und 1.10.4-asm.6 verwendet.

Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:

• 1.10.4-asm.6
• 1.9.8-asm.1

Hinweis: Wenn Sie Cloud Service Mesh 1.8 oder eine frühere Version verwenden, führen Sie ein Upgrade auf die neuesten Patchversionen von Cloud Service Mesh 1.9 und höher durch, um diese Sicherheitslücke zu verringern.

Hoch

CVE-2021-32778

Envoy enthält eine remote ausnutzbare Sicherheitslücke, bei der ein nicht vertrauenswürdiger Upstream-Dienst dazu führen könnte, dass Envoy anormal beendet wird, indem er den Frame GOAWAY gefolgt vom Frame SETTINGS sendet, wobei der Parameter SETTINGS_MAX_CONCURRENT_STREAMS auf 0 gesetzt ist.

Was soll ich tun?

Ihr Cluster ist betroffen, wenn er Cloud Service Mesh 1.10 mit einer Patchversion vor 1.10.4-asm.6 verwendet.

Aktualisieren Sie Ihren Cluster auf die folgende Patchversion:

• 1.10.4-asm.6

Hoch

CVE-2021-32780

Das Istio-sichere Gateway oder Arbeitslasten, die die DestinationRule verwenden, können private TLS-Schlüssel und -Zertifikate aus Kubernetes-Secrets über die credentialName-Konfiguration laden. Ab Istio 1.8 werden die Secrets aus istiod gelesen und über XDS an Gateways und Arbeitslasten gesendet.

Normalerweise kann ein Gateway oder eine Arbeitslastbereitstellung nur auf TLS-Zertifikate und private Schlüssel zugreifen, die im Secret in seinem Namespace gespeichert sind. Aufgrund eines Programmfehlers in istiod kann ein Client, der auf die Istio XDS API zugreifen kann, jedoch alle TLS-Zertifikate und privaten Schlüssel abrufen, die in istiod im Cache gespeichert sind. Diese Sicherheitslücke betrifft nur die Nebenversionen 1.8 und 1.9 von Cloud Service Mesh.

Wie gehe ich am besten vor?

Ihr Cluster ist betroffen, wenn ALLE folgenden Bedingungen erfüllt sind:

• Er verwendet eine 1.9.x-Version vor 1.9.6-asm.1 oder eine 1.8.x-Version vor 1.8.6-asm.4.
• Er hat Gateways oder DestinationRules mit dem angegebenen Feld credentialName definiert.
• Das istiod-Flag PILOT_ENABLE_XDS_CACHE=false ist nicht angegeben.

Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:

• 1.9.6-asm.1
• 1.8.6-asm.4

Hoch

CVE-2021-34824

Istio enthält eine Sicherheitslücke, die aus der Ferne ausgenutzt werden kann, über die ein externer Client auf unerwartete Dienste im Cluster zugreifen kann. Dabei werden Autorisierungsprüfungen umgangen, wenn ein Gateway mit der Routingkonfiguration AUTO_PASSTHROUGH konfiguriert ist.

Was soll ich tun?

Diese Sicherheitslücke betrifft nur die Verwendung des Gateway-Typs AUTO_PASSTHROUGH, die normalerweise nur in Multi-Cluster-Deployments mit mehreren Netzwerken verwendet wird.

Ermitteln Sie mit dem folgenden Befehl den TLS-Modus aller Gateways im Cluster:

kubectl get gateways.networking.istio.io -A -o \
  "custom-columns=NAMESPACE:.metadata.namespace, \
  NAME:.metadata.name,TLS_MODE:.spec.servers[*].tls.mode"

Wenn in der Ausgabe AUTO_PASSTHROUGH-Gateways angezeigt werden, sind Sie möglicherweise betroffen.

Aktualisieren Sie Ihre Cluster auf die aktuelle Cloud Service Mesh-Version:

• 1.9.5-asm.2
• 1.8.6-asm.3
• 1.7.8-asm.8

* Hinweis: Die Einführung der verwalteten Steuerungsebene von Cloud Service Mesh (nur in Versionen 1.9.x verfügbar) wird in den nächsten Tagen abgeschlossen.

Hoch

CVE-2021-31921

Istio enthält eine Sicherheitslücke, die aus der Ferne ausgenutzt werden kann und bei der ein HTTP-Anfragepfad mit mehreren Schrägstrichen oder mit maskierten Schrägstrichzeichen (%2F oder %5C) unter Umständen eine Istio-Autorisierungsrichtlinie umgehen kann, wenn pfadbasierte Autorisierungsregeln verwendet werden.

Es kann vorkommen, dass ein Administrator des Istio-Clusters eine Autorisierungs-DENY-Richtlinie definiert, um die Anfrage unter dem Pfad "/admin" abzulehnen, und eine an den URL-Pfad "//admin" gesendete Anfrage NICHT von der Autorisierungsrichtlinie abgelehnt wird.

Gemäß RFC 3986 sollte der Pfad "//admin" mit mehreren Schrägstrichen als ein anderer Pfad als der "/admin" behandelt werden. Einige Back-End-Dienste normalisieren jedoch die URL-Pfade, indem sie mehrere Schrägstriche in einem einzigen Schrägstrich zusammenführen. Dies kann zu einer Umgehung der Autorisierungsrichtlinie ("//admin" entspricht nicht "/admin") führen und ein Nutzer kann auf die Ressource unter dem Pfad "/admin" im Back-End zugreifen.

Was soll ich tun?

Ihr Cluster ist von dieser Sicherheitslücke betroffen, wenn Sie Autorisierungsrichtlinien mit den Mustern "ALLOW action + notPaths field" oder "DENY action + paths field" verwenden. Diese Muster sind anfällig für das unerwartete Umgehungen der Richtlinie und sollten daher so weit wie möglich aktualisiert werden, um das Sicherheitsproblem so schnell wie möglich zu beheben.

Das folgende Beispiel zeigt eine anfällige Richtlinie, die das Muster "DENY action + paths field" verwendet:

apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: deny-path-admin
spec:
  action: DENY
  rules:
  - to:
    - operation:
        paths: ["/admin"]

Das folgende Beispiel zeigt eine weitere anfällige Richtlinie, die das Muster "ALLOW action + notPaths field" verwendet:

apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: allow-path-not-admin
spec:
  action: ALLOW
  rules:
  - to:
    - operation:
        notPaths: ["/admin"]

Ihr Cluster ist nicht von dieser Sicherheitslücke betroffen, wenn:

• Sie keine Autorisierungsrichtlinien haben.
• In Ihren Autorisierungsrichtlinien keine paths- oder notPaths-Felder definiert werden.
• In den Autorisierungsrichtlinien die Muster "ALLOW action + paths field" oder "DENY action + notPaths field" verwendet werden. Diese Muster könnten zu einer unerwarteten Ablehnung anstatt einer Richtlinienumgehung führen.

Für diese Fälle ist ein Upgrade optional.

Aktualisieren Sie Ihre Cluster auf die aktuellste unterstützte Cloud Service Mesh-Version*. Diese Versionen unterstützen die Konfiguration der Envoy-Proxys im System mit weiteren Normalisierungsoptionen:

• 1.9.5-asm.2
• 1.8.6-asm.3
• 1.7.8-asm.8

* Hinweis: Die Einführung der verwalteten Steuerungsebene von Cloud Service Mesh (nur in Versionen 1.9.x verfügbar) wird in den nächsten Tagen abgeschlossen.

Folgen Sie dem Best Practices-Leitfaden zur Sicherheit in Istio, um Ihre Autorisierungsrichtlinien zu konfigurieren.

Hoch

CVE-2021-31920

Die Projekte Envoy und Istio haben kürzlich mehrere Sicherheitslücken bekanntgegeben (CVE-2021-28682, CVE-2021-28683 und CVE-2021-29258), die es einem Angreifer ermöglichen, Envoy zum Absturz zu bringen sowie potenziell Teile des Clusters offline zu stellen und unzugänglich zu machen.

Dies wirkt sich auf bereitgestellte Dienste wie Cloud Service Mesh aus.

Wie gehe ich am besten vor?

Aktualisieren Sie Ihr Cloud Service Mesh-Bundle auf eine der folgenden Patchversionen, um diese Sicherheitslücken zu beheben:

• 1.9.3-asm.2
• 1.8.5-asm.2
• 1.7.8-asm.1
• 1.6.14-asm.2

Weitere Informationen finden Sie in den Versionshinweisen zu Cloud Service Mesh.

Hoch

CVE-2021-28682
CVE-2021-28683
CVE-2021-29258