Sicherheitsbulletins
Verwenden Sie diesen XML-Feed, um Sicherheitsbulletins für Cloud Service Mesh zu abonnieren.
Auf dieser Seite werden die Sicherheitsbulletins für Cloud Service Mesh aufgelistet.
GCP-2024-052
Beschreibung | Schweregrad | Hinweise |
---|---|---|
oghttp2-Absturz auf OnBeginHeadersForStream Wie gehe ich am besten vor?Prüfen Sie, ob Ihre Cluster betroffen sindNur Cluster mit Cloud Service Mesh v1.23 sind betroffen Möglichkeiten zur Behebung des ProblemsCloud Service Mesh 1.23.2-asm.2 enthält die Behebung dieses Problems. Sie müssen nichts weiter tun. |
Hoch |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Einschleusung schädlicher Protokolle über Zugriffsprotokolle Wie gehe ich am besten vor?Prüfen Sie, ob Ihre Cluster betroffen sindAlle Cloud Service Mesh-Versionen sind von diesem CVE betroffen. Möglichkeiten zur Behebung des ProblemsAktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
|
Mittel |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Möglichkeit zur Manipulation von „x-envoy“-Headern aus externen Quellen Wie gehe ich am besten vor?Prüfen Sie, ob Ihre Cluster betroffen sindAlle Cloud Service Mesh-Versionen sind von diesem CVE betroffen. Möglichkeiten zur Behebung des ProblemsAktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
|
Mittel |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
JWT-Filterabsturz im Leeren des Routen-Cache mit Remote-JWKs Wie gehe ich am besten vor?Prüfen Sie, ob Ihre Cluster betroffen sindAlle Cloud Service Mesh-Versionen sind von diesem CVE betroffen. Möglichkeiten zur Behebung des ProblemsAktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
|
Mittel |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Envoy stürzt bei LocalReply im asynchronen HTTP-Client ab Wie gehe ich am besten vor?Prüfen Sie, ob Ihre Cluster betroffen sindAlle Cloud Service Mesh-Versionen sind von diesem CVE betroffen. Möglichkeiten zur Behebung des ProblemsAktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
|
Mittel |
GCP-2024-032
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Envoy akzeptiert fälschlicherweise die HTTP 200-Antwort für den Wechsel in den Upgrademodus. Wie gehe ich am besten vor?Prüfen Sie, ob Ihre Cluster betroffen sindAlle Cloud Service Mesh-Versionen sind von diesem CVE betroffen. Möglichkeiten zur Behebung des ProblemsWenn Sie ein verwaltetes Cloud Service Mesh ausführen, wird Ihr System automatisch aktualisiert in den nächsten Tagen. Andernfalls führen Sie ein Upgrade Ihres Clusters auf eine der folgenden Patchversionen durch:
|
Mittel |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Absturz in EnvoyQuicServerStream::OnInitialHeadersComplete(). Wie gehe ich am besten vor?Prüfen Sie, ob Ihre Cluster betroffen sindAlle Cloud Service Mesh-Versionen sind von diesem CVE betroffen. Möglichkeiten zur Behebung des ProblemsWenn Sie ein verwaltetes Cloud Service Mesh ausführen, wird Ihr System automatisch aktualisiert in den nächsten Tagen. Andernfalls führen Sie ein Upgrade Ihres Clusters auf eine der folgenden Patchversionen durch:
|
Mittel |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Absturz in QuicheDataReader::PeekVarInt62Length(). Wie gehe ich am besten vor?Prüfen Sie, ob Ihre Cluster betroffen sindAlle Cloud Service Mesh-Versionen sind von diesem CVE betroffen. Möglichkeiten zur Behebung des ProblemsWenn Sie ein verwaltetes Cloud Service Mesh ausführen, wird Ihr System automatisch aktualisiert in den nächsten Tagen. Aktualisieren Sie Ihren Cluster andernfalls auf eine der folgenden Patchversionen:
|
Mittel |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Endlose Schleife beim Dekomprimieren von Brotli-Daten mit zusätzlicher Eingabe Wie gehe ich am besten vor?Prüfen Sie, ob Ihre Cluster betroffen sindAlle Cloud Service Mesh-Versionen sind von diesem CVE betroffen. Möglichkeiten zur Behebung des ProblemsWenn Sie ein verwaltetes Cloud Service Mesh ausführen, wird Ihr System automatisch aktualisiert in den nächsten Tagen. Aktualisieren Sie Ihren Cluster andernfalls auf eine der folgenden Patchversionen:
|
Hoch |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Absturz (Use-After-Free) in EnvoyQuicServerStream. Wie gehe ich am besten vor?Prüfen Sie, ob Ihre Cluster betroffen sindAlle Cloud Service Mesh-Versionen sind von diesem CVE betroffen. Möglichkeiten zur Behebung des ProblemsWenn Sie ein verwaltetes Cloud Service Mesh ausführen, wird Ihr System automatisch aktualisiert in den nächsten Tagen. Aktualisieren Sie Ihren Cluster andernfalls auf eine der folgenden Patchversionen:
|
Mittel |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Absturz aufgrund einer nicht abgefangenen nlohmann-JSON-Ausnahme. Wie gehe ich am besten vor?Prüfen Sie, ob Ihre Cluster betroffen sindAlle Cloud Service Mesh-Versionen sind von diesem CVE betroffen. Möglichkeiten zur Behebung des ProblemsWenn Sie ein verwaltetes Cloud Service Mesh ausführen, wird Ihr System automatisch aktualisiert in den nächsten Tagen. Aktualisieren Sie Ihren Cluster andernfalls auf eine der folgenden Patchversionen:
|
Hoch |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Envoy-OOM-Vektor von einem asynchronen HTTP-Client mit unbegrenztem Antwortbuffer für die Spiegelantwort. Wie gehe ich am besten vor?Prüfen Sie, ob Ihre Cluster betroffen sindAlle Cloud Service Mesh-Versionen sind von diesem CVE betroffen. Möglichkeiten zur Behebung des ProblemsWenn Sie ein verwaltetes Cloud Service Mesh ausführen, wird Ihr System automatisch aktualisiert in den nächsten Tagen. Aktualisieren Sie Ihren Cluster andernfalls auf eine der folgenden Patchversionen:
|
Mittel |
GCP-2024-023
Veröffentlicht: 24.04.2024
Beschreibung | Schweregrad | Hinweise |
---|---|---|
HTTP/2: Speicherausschöpfung durch CONTINUATION-Frame-Flood. Wie gehe ich am besten vor?Prüfen Sie, ob Ihre Cluster betroffen sindAlle Cloud Service Mesh-Versionen sind von diesem CVE betroffen. Möglichkeiten zur Behebung des ProblemsWenn Sie das verwaltete Cloud Service Mesh ausführen, sind keine Maßnahmen erforderlich. Ihr System wird in den nächsten Tagen automatisch aktualisiert. Wenn Sie Cloud Service Mesh im Cluster ausführen, müssen Sie Ihren Cluster auf einen Cluster upgraden der folgenden Patchversionen:
Wenn Sie Cloud Service Mesh Version 1.17 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.18 oder höher ausführen. |
Hoch |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
HTTP/2: CPU-Auslastung aufgrund von CONTINUATION-Frame-Flood Wie gehe ich am besten vor?Prüfen Sie, ob Ihre Cluster betroffen sindAlle Cloud Service Mesh-Versionen sind von diesem CVE betroffen. Möglichkeiten zur Behebung des ProblemsWenn Sie das verwaltete Cloud Service Mesh ausführen, sind keine Maßnahmen erforderlich. Ihr System wird in den nächsten Tagen automatisch aktualisiert. Wenn Sie Cloud Service Mesh im Cluster ausführen, müssen Sie Ihren Cluster auf einen Cluster upgraden der folgenden Patchversionen:
Wenn Sie Cloud Service Mesh Version 1.17 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.18 oder höher. |
Mittel |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Abnormale Beendigung bei Verwendung von Wie gehe ich am besten vor?Prüfen Sie, ob Ihre Cluster betroffen sindAlle Cloud Service Mesh-Versionen sind von diesem CVE betroffen. Möglichkeiten zur Behebung des ProblemsWenn Sie das verwaltete Cloud Service Mesh ausführen, sind keine Maßnahmen erforderlich. Ihr System wird in den nächsten Tagen automatisch aktualisiert. Wenn Sie Cloud Service Mesh im Cluster ausführen, müssen Sie Ihren Cluster auf einen Cluster upgraden der folgenden Patchversionen:
Wenn Sie Cloud Service Mesh Version 1.17 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.18 oder höher. |
Hoch |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
HTTP/2-CONTINUATION-Frames können für DoS-Angriffe genutzt werden. Wie gehe ich am besten vor?Prüfen Sie, ob Ihre Cluster betroffen sindAlle Cloud Service Mesh-Versionen sind von diesem CVE betroffen. Möglichkeiten zur Behebung des ProblemsWenn Sie das verwaltete Cloud Service Mesh ausführen, sind keine Maßnahmen erforderlich. Ihr System wird in den nächsten Tagen automatisch aktualisiert. Wenn Sie Cloud Service Mesh im Cluster ausführen, müssen Sie Ihren Cluster auf einen Cluster upgraden der folgenden Patchversionen:
Wenn Sie Cloud Service Mesh v1.17 oder niedriger verwenden, hat Ihr Release das End of Life erreicht und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade ausführen Version 1.18 oder höher. |
Nicht angegeben |
GCP-2024-007
Veröffentlicht: 08.02.2024
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Envoy stürzt bei Inaktivität ab und das Zeitlimit für Anfragen pro Versuch tritt innerhalb des Backoff-Intervalls auf. Wie gehe ich am besten vor?Wenn Sie ein verwaltetes Cloud Service Mesh verwenden, müssen Sie nichts weiter tun. Ihr System wird in den nächsten Tagen automatisch aktualisiert. Wenn Sie Cloud Service Mesh im Cluster ausführen, müssen Sie Ihren Cluster auf eine der folgenden Patchversionen aktualisieren:
Wenn Sie Anthos Service Mesh v1.17 oder früher verwenden, hat Ihr Release das Ende dieser und wird nicht mehr unterstützt. Diese CVE-Behebungen wurden zwar auf 1.17 zurückportiert, Sie auf Version 1.18 oder höher aktualisieren. |
Hoch |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Übermäßige CPU-Auslastung, wenn der URI-Vorlagenabgleich mit einem regulären Ausdruck konfiguriert ist Wie gehe ich am besten vor?Wenn Sie ein verwaltetes Cloud Service Mesh verwenden, müssen Sie nichts weiter tun. Ihr System wird in den nächsten Tagen automatisch aktualisiert. Wenn Sie Cloud Service Mesh im Cluster ausführen, müssen Sie Ihren Cluster auf eine der folgenden Patchversionen aktualisieren:
Wenn Sie Anthos Service Mesh v1.17 oder früher verwenden, hat Ihr Release das Ende dieser und wird nicht mehr unterstützt. Diese CVE-Behebungen wurden zwar auf 1.17 zurückportiert, Sie auf Version 1.18 oder höher aktualisieren. |
Mittel |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Die externe Autorisierung kann umgangen werden, wenn der Proxy-Protokollfilter ungültige UTF-8-Metadaten festlegt. Wie gehe ich am besten vor?Wenn Sie ein verwaltetes Cloud Service Mesh verwenden, müssen Sie nichts weiter tun. Ihr System wird in den nächsten Tagen automatisch aktualisiert. Wenn Sie Cloud Service Mesh im Cluster ausführen, müssen Sie Ihren Cluster auf eine der folgenden Patchversionen aktualisieren:
Wenn Sie Anthos Service Mesh v1.17 oder früher verwenden, hat Ihr Release das Ende dieser und wird nicht mehr unterstützt. Diese CVE-Behebungen wurden zwar auf 1.17 zurückportiert, Sie auf Version 1.18 oder höher aktualisieren. |
Hoch |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Envoy stürzt ab, wenn ein Adresstyp verwendet wird, der vom Betriebssystem nicht unterstützt wird. Wie gehe ich am besten vor?Wenn Sie ein verwaltetes Cloud Service Mesh verwenden, müssen Sie nichts weiter tun. Ihr System wird in den nächsten Tagen automatisch aktualisiert. Wenn Sie Cloud Service Mesh im Cluster ausführen, müssen Sie Ihren Cluster auf eine der folgenden Patchversionen aktualisieren:
Wenn Sie Anthos Service Mesh v1.17 oder früher verwenden, hat Ihr Release das Ende dieser und wird nicht mehr unterstützt. Diese CVE-Behebungen wurden zwar auf 1.17 zurückportiert, Sie auf Version 1.18 oder höher aktualisieren. |
Hoch |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Absturz des Proxy-Protokolls, wenn der Befehlstyp Wie gehe ich am besten vor?Wenn Sie ein verwaltetes Cloud Service Mesh verwenden, müssen Sie nichts weiter tun. Ihr System wird in den nächsten Tagen automatisch aktualisiert. Wenn Sie Cloud Service Mesh im Cluster ausführen, müssen Sie Ihren Cluster auf eine der folgenden Patchversionen aktualisieren:
Wenn Sie Anthos Service Mesh v1.17 oder früher verwenden, hat Ihr Release das Ende dieser und wird nicht mehr unterstützt. Diese CVE-Behebungen wurden zwar auf 1.17 zurückportiert, Sie auf Version 1.18 oder höher aktualisieren. |
Hoch |
GCP-2023-031
Veröffentlicht: 10.10.2023
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Ein Denial-of-Service-Angriff kann sich bei Verwendung des HTTP/2-Protokolls auf die Datenebene auswirken. Wie gehe ich am besten vor?Prüfen Sie, ob Ihre Cluster betroffen sindIhr Cluster ist betroffen, wenn er Cloud Service Mesh-Patchversionen vor dem verwendet 1.18.4, 1.17.7 oder 1.16.7. Möglichkeiten zur Behebung des ProblemsAktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
Wenn Sie ein verwaltetes Cloud Service Mesh ausführen, wird Ihr System automatisch aktualisiert in den nächsten Tagen. Wenn Sie Cloud Service Mesh Version 1.15 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Version 1.16 oder höher ausführen. |
Hoch |
GCP-2023-021
Updated:2023-07-26
Veröffentlicht: 25.07.2022Beschreibung | Schweregrad | Hinweise |
---|---|---|
Ein bösartiger Client kann in bestimmten Szenarien Anmeldedaten mit dauerhafter Gültigkeit erstellen. Beispielsweise kann die Kombination aus Host und Ablaufzeit in der HMAC-Nutzlast in der HMAC-Prüfung des OAuth2-Filters immer gültig sein. Wie gehe ich am besten vor?Prüfen Sie, ob Ihre Cluster betroffen sindIhr Cluster ist betroffen, wenn er Cloud Service Mesh-Patchversionen vor
Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
Wenn Sie verwaltetes Cloud Service Mesh ausführen, wird Ihr System innerhalb der nächsten Tage automatisch aktualisiert. Wenn Sie Anthos Service Mesh 1.14 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf ASM 1.15 oder höher ausführen. |
Hoch |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
gRPC-Zugriffslogger, die den globalen Gültigkeitsbereich des Listeners verwenden, können einen „Use-after-free“-Absturz verursachen, wenn der Listener geleert wird. Dies kann durch eine LDS-Aktualisierung mit derselben gRPC-Zugriffslogkonfiguration ausgelöst werden. Wie gehe ich am besten vor?Prüfen Sie, ob Ihre Cluster betroffen sindIhr Cluster ist betroffen, wenn er Cloud Service Mesh-Patchversionen vor
Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
Wenn Sie verwaltetes Cloud Service Mesh ausführen, wird Ihr System innerhalb der nächsten Tage automatisch aktualisiert. Wenn Sie Anthos Service Mesh 1.14 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf ASM 1.15 oder höher ausführen. |
Mittel |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Wenn der Wie gehe ich am besten vor?Prüfen Sie, ob Ihre Cluster betroffen sindIhr Cluster ist betroffen, wenn er Cloud Service Mesh-Patchversionen vor
Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
Wenn Sie verwaltetes Cloud Service Mesh ausführen, wird Ihr System innerhalb der nächsten Tage automatisch aktualisiert. Wenn Sie Anthos Service Mesh 1.14 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf ASM 1.15 oder höher ausführen. |
Mittel |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Angreifer können Anfragen mit gemischten Schemata senden, um einige Schemaprüfungen in Envoy zu umgehen. Wenn beispielsweise eine Anfrage mit dem gemischten Schema htTp an den OAuth2-Filter gesendet wird, schlägt die Prüfung auf exakte Übereinstimmung für HTTP fehl und der Remote-Endpunkt wird informiert, dass das Schema HTTPS ist. Dadurch werden möglicherweise die für HTTP-Anfragen spezifischen OAuth2-Prüfungen umgangen. Wie gehe ich am besten vor?Prüfen Sie, ob Ihre Cluster betroffen sindIhr Cluster ist betroffen, wenn er Cloud Service Mesh-Patchversionen vor
Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
Wenn Sie verwaltetes Cloud Service Mesh ausführen, wird Ihr System innerhalb der nächsten Tage automatisch aktualisiert. Wenn Sie Anthos Service Mesh 1.14 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf ASM 1.15 oder höher ausführen. |
Hoch |
GCP-2023-019
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Eine speziell erstellte Antwort von einem nicht vertrauenswürdigen Upstream-Dienst kann zur Ablehnung von mit Speicherausschöpfung umgehen. Dies wird durch den HTTP/2-Codec von Envoy verursacht, der möglicherweise ein Datenleck eine Header Map und Buchhaltungsstrukturen nach dem Empfang von RST_STREAM, gefolgt von die GOAWAY-Frames von einem vorgelagerten Server. Wie gehe ich am besten vor?Prüfen Sie, ob Ihre Cluster betroffen sindIhr Cluster ist betroffen, wenn er Cloud Service Mesh-Patchversionen vor
Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
Wenn Sie das verwaltete Cloud Service Mesh ausführen, wird Ihr System automatisch aktualisiert in den nächsten Tagen. Wenn Sie Anthos Service Mesh 1.14 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf ASM 1.15 oder höher ausführen. |
Hoch |
GCP-2023-002
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Wenn Envoy mit aktiviertem OAuth-Filter ausgeführt wird, könnte ein böswilliger Akteur eine Anfrage erstellen, die durch einen Absturz von Envoy zu einem Denial of Service führt. Wie gehe ich am besten vor?Prüfen Sie, ob Ihre Cluster betroffen sindIhre Cluster sind betroffen, wenn sie Cloud Service Mesh-Patchversionen früher verwenden als:
Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
Wenn Sie Cloud Service Mesh v1.13 oder niedriger verwenden, hat Ihr Release das Ende des Produktzyklus erreicht und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.14 oder höher ausführen. |
Mittel |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Der Angreifer kann diese Sicherheitslücke nutzen, um Authentifizierungsprüfungen zu umgehen, wenn „ext_authz“ verwendet wird. Wie gehe ich am besten vor?Prüfen Sie, ob Ihre Cluster betroffen sindIhre Cluster sind betroffen, wenn sie Cloud Service Mesh-Patchversionen früher verwenden als:
Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
Wenn Sie Cloud Service Mesh v1.13 oder niedriger verwenden, hat Ihr Release das Ende des Produktzyklus erreicht und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh} 1.14 oder höher ausführen. |
Mittel |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Die Envoy-Konfiguration muss auch eine Option zum Hinzufügen von Anfrageheadern enthalten, die mithilfe von Eingaben aus der Anfrage generiert wurden, d.h. dem SAN des Peer-Zertifikats. Wie gehe ich am besten vor?Prüfen Sie, ob Ihre Cluster betroffen sindIhre Cluster sind betroffen, wenn sie Cloud Service Mesh-Patchversionen früher verwenden als:
Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
Wenn Sie Cloud Service Mesh v1.13 oder niedriger verwenden, hat Ihr Release das Ende des Produktzyklus erreicht und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.14 oder höher ausführen. |
Hoch |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Angreifer können große Anfragetexte für Routen senden, für die der Lua-Filter aktiviert ist, und Abstürze auslösen. Wie gehe ich am besten vor?Prüfen Sie, ob Ihre Cluster betroffen sindIhre Cluster sind betroffen, wenn sie Cloud Service Mesh-Patchversionen früher verwenden als:
Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
Wenn Sie Cloud Service Mesh v1.13 oder niedriger verwenden, hat Ihr Release das Ende des Produktzyklus erreicht und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.14 oder höher ausführen. |
Mittel |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Angreifer können speziell entwickelte HTTP/2- oder HTTP/3-Anfragen senden, um Parsing-Fehler im HTTP/1-Upstream-Dienst auszulösen. Wie gehe ich am besten vor?Prüfen Sie, ob Ihre Cluster betroffen sindIhre Cluster sind betroffen, wenn sie Cloud Service Mesh-Patchversionen früher verwenden als:
Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
Wenn Sie Cloud Service Mesh v1.13 oder niedriger verwenden, hat Ihr Release das Ende des Produktzyklus erreicht und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.14 oder höher ausführen. |
Mittel |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Der Header „x-envoy-original-path“ sollte ein interner Header sein. Envoy entfernt diesen Header jedoch nicht zu Beginn der Anfrageverarbeitung aus der Anfrage, wenn sie von einem nicht vertrauenswürdigen Client gesendet wird. Wie gehe ich am besten vor?Prüfen Sie, ob Ihre Cluster betroffen sindIhre Cluster sind betroffen, wenn sie Cloud Service Mesh-Patchversionen früher verwenden als:
Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
Wenn Sie Cloud Service Mesh v1.13 oder niedriger verwenden, hat Ihr Release das Ende des Produktzyklus erreicht und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.14 oder höher ausführen. |
Hoch |
GCP-2022-020
Veröffentlicht: 05.10.2022Aktualisiert: 12.10.2022
12.10.2022-Update: Link zur CVE-Beschreibung aktualisiert und Informationen über automatische Updates für verwaltetes Cloud Service Mesh hinzugefügt.
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Die Istio-Steuerungsebene Was soll ich tun?Prüfen Sie, ob Ihre Cluster betroffen sindIhr Cluster ist betroffen, wenn er Cloud Service Mesh-Patchversionen vor 1.14.4 verwendet. 1.13.8 oder 1.12.9. Möglichkeiten zur Behebung des ProblemsWenn Sie eigenständiges Cloud Service Mesh ausführen, aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
Wenn Sie das verwaltete Cloud Service Mesh ausführen, wird Ihr System automatisch in den nächsten Tagen aktualisiert. Wenn Sie Cloud Service Mesh Version 1.11 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.12 oder höher ausführen. |
Hoch |
GCP-2022-015
Veröffentlicht: 09. 06. 2022Zuletzt aktualisiert: 10. 06. 2022
10. 06. 2022-Update: Aktualisierte Patchversionen für Cloud Service Mesh.
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Die Istio-Datenebene kann potenziell unsicher auf den Speicher zugreifen, wenn die Exchange- und Stats-Erweiterungen für Metadata aktiviert sind. Was soll ich tun?Prüfen Sie, ob Ihre Cluster betroffen sindIhr Cluster ist betroffen, wenn er eine Cloud Service Mesh-Patchversion vor 1.13.4-asm.4, 1.12.7-asm.2 oder 1.11.8-asm.4 verwendet. Cloud Service Mesh-RisikominderungAktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
Wenn Sie Cloud Service Mesh Version 1.10 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.11 oder höher durchführen. Weitere Informationen finden Sie unter Upgrade von früheren Versionen (GKE) oder Upgrade von früheren Versionen (lokal). |
Hoch |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Daten können die zwischengelagerten Pufferlimits überschreiten, wenn ein böswilliger Angreifer eine kleine, stark komprimierte Nutzlast (auch als ZIP-Bomb-Angriff bezeichnet) übergibt. Was soll ich tun?Prüfen Sie, ob Ihre Cluster betroffen sindIhr Cluster ist betroffen, wenn er Cloud Service Mesh-Patchversionen vor dem verwendet 1.13.4-asm.4, 1.12.7-asm.2 oder 1.11.8-asm.4. Cloud Service Mesh unterstützt zwar keine Envoy-Filter, Sie können jedoch betroffen sein, wenn Sie einen Filter zum Dekomprimieren verwenden. Cloud Service Mesh-RisikominderungAktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
Wenn Sie Cloud Service Mesh Version 1.10 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.11 oder höher ausführen. Weitere Informationen finden Sie unter Upgrade von früheren Versionen (GKE) oder Upgrade von früheren Versionen (lokal). Envoy-RisikominderungEnvoy-Nutzer, die ihre eigenen Envoy-Dienste verwalten, müssen die Envoy-Version 1.22.1 verwenden. Envoy-Nutzer, die ihre eigenen Envoy-Dateien verwalten, erstellen die Binärdateien aus einer Quelle wie GitHub und stellen sie bereit. Nutzer, die verwaltete Envoy-Dienste ausführen (Google Cloud stellt die Binärdateien von Envoy bereit), für die Cloud-Produkte auf 1.22.1 umgestellt werden, müssen keine Maßnahmen ergreifen. |
Hoch |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Potenzielle Entfernung des Nullzeigerverweises in Was soll ich tun?Prüfen Sie, ob Ihre Cluster betroffen sindIhr Cluster ist betroffen, wenn er eine Cloud Service Mesh-Patchversion vor 1.13.4-asm.4, 1.12.7-asm.2 oder 1.11.8-asm.4 verwendet. Cloud Service Mesh-RisikominderungAktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
Wenn Sie Cloud Service Mesh v1.10 oder früher verwenden, hat Ihr Release das Ende des Produktzyklus erreicht und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.11 oder höher ausführen. Weitere Informationen finden Sie unter Upgrade von früheren Versionen (GKE) oder Upgrade von früheren Versionen (lokal). Envoy-RisikominderungEnvoy-Nutzer, die ihre eigenen Envoy-Dienste verwalten, müssen die Envoy-Version 1.22.1 verwenden. Envoy-Nutzer, die ihre eigenen Envoy-Dateien verwalten, erstellen die Binärdateien aus einer Quelle wie GitHub und stellen sie bereit. Nutzer, die verwaltete Envoy-Dienste ausführen (Google Cloud stellt die Binärdateien von Envoy bereit), für die Cloud-Produkte auf 1.22.1 umgestellt werden, müssen keine Maßnahmen ergreifen. |
Mittel |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
OAuth-Filter ermöglicht eine einfache Umgehung. Was soll ich tun?Prüfen Sie, ob Ihre Cluster betroffen sindIhr Cluster ist betroffen, wenn er eine Cloud Service Mesh-Patchversion vor 1.13.4-asm.4, 1.12.7-asm.2 oder 1.11.8-asm.4 verwendet. Cloud Service Mesh unterstützt zwar keine Envoy-Filter, Sie können jedoch betroffen sein, wenn Sie einen OAuth-Filter verwenden. Cloud Service Mesh-RisikominderungAktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
Wenn Sie Cloud Service Mesh Version 1.10 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.11 oder höher ausführen. Weitere Informationen finden Sie unter Upgrade von früheren Versionen (GKE) oder Upgrade von früheren Versionen (lokal). Envoy-RisikominderungEnvoy-Nutzer, die ihre eigenen Envoy-Dienste verwalten und einen OAuth-Filter verwenden, müssen Envoy-Version 1.22.1 verwenden. Envoy-Nutzer, die ihre eigenen Envoy-Dateien verwalten, erstellen die Binärdateien aus einer Quelle wie GitHub und stellen sie bereit. Nutzer, die verwaltete Envoy-Dienste ausführen (Google Cloud stellt die Binärdateien von Envoy bereit), für die Cloud-Produkte auf 1.22.1 umgestellt werden, müssen keine Maßnahmen ergreifen. |
Kritisch |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Ein OAuth-Filter kann Arbeitsspeicher beschädigen (frühere Versionen) oder einen ASSERT() (spätere Versionen) auslösen. Was soll ich tun?Prüfen Sie, ob Ihre Cluster betroffen sindIhr Cluster ist betroffen, wenn er eine Cloud Service Mesh-Patchversion vor 1.13.4-asm.4, 1.12.7-asm.2 oder 1.11.8-asm.4 verwendet. Obwohl Cloud Service Mesh keine Envoy-Filter unterstützt, könnten Sie betroffen sein, wenn Sie einen OAuth-Filter verwenden. Cloud Service Mesh-RisikominderungAktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
Wenn Sie Cloud Service Mesh Version 1.10 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.11 oder höher ausführen. Envoy-RisikominderungEnvoy-Nutzer, die ihre eigenen Envoy-Dienste verwalten und einen OAuth-Filter verwenden, müssen Envoy-Version 1.22.1 verwenden. Envoy-Nutzer, die ihre eigenen Envoy-Dateien verwalten, erstellen die Binärdateien aus einer Quelle wie GitHub und stellen sie bereit. Nutzer, die verwaltete Envoy-Dienste ausführen (Google Cloud stellt die Binärdateien von Envoy bereit), für die Cloud-Produkte auf 1.22.1 umgestellt werden, müssen keine Maßnahmen ergreifen. |
Hoch |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Interne Weiterleitungen schlagen bei Anfragen mit Text oder Anhängen fehl. Was soll ich tun?Prüfen Sie, ob Ihre Cluster betroffen sindIhr Cluster ist betroffen, wenn er eine Cloud Service Mesh-Patchversion vor 1.13.4-asm.4, 1.12.7-asm.2 oder 1.11.8-asm.4 verwendet. Cloud Service Mesh-RisikominderungAktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
Wenn Sie Cloud Service Mesh Version 1.10 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.11 oder höher durchführen. Weitere Informationen finden Sie unter Upgrade von früheren Versionen (GKE) oder Upgrade von früheren Versionen (lokal). Envoy-RisikominderungEnvoy-Nutzer, die ihre eigenen Envoy-Dienste verwalten, müssen die Envoy-Version 1.22.1 verwenden. Envoy-Nutzer, die ihre eigenen Envoy-Dateien verwalten, erstellen die Binärdateien aus einer Quelle wie GitHub und stellen sie bereit. Nutzer, die verwaltete Envoy-Dienste ausführen (Google Cloud stellt die Binärdateien von Envoy bereit), für die Cloud-Produkte auf 1.22.1 umgestellt werden, müssen keine Maßnahmen ergreifen. |
Hoch |
GCP-2022-010
Veröffentlicht: 10.03.202Zuletzt aktualisiert: 16.03.2022
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Die Istio-Steuerungsebene (istiod) ist anfällig für einen Fehler bei der Anfrageverarbeitung. Dadurch kann ein böswilliger Angreifer, der eine spezielle Nachricht sendet, einen Absturz der Steuerungsebene verursachen, wenn der Validierungs-Webhook für einen Cluster öffentlich zugänglich gemacht wird. Dieser Endpunkt wird über TLS-Port 15017 bereitgestellt, erfordert jedoch keine Authentifizierung durch den Angreifer. Was soll ich tun?Prüfen Sie, ob Ihre Cluster betroffen sindAlle Cloud Service Mesh-Versionen sind von diesem CVE betroffen. Hinweis: Wenn Sie die verwaltete Steuerungsebene verwenden, wurde diese Sicherheitslücke bereits behoben und Sie sind nicht betroffen. Möglichkeiten zur Behebung des ProblemsAktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
Wenn Sie Cloud Service Mesh v1.9 oder niedriger verwenden, hat Ihr Release das End of Life erreicht und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.10 oder höher ausführen. |
Hoch |
GCP-2022-007
Veröffentlicht: 22.02.2022Beschreibung | Schweregrad | Hinweise |
---|---|---|
Istiod stürzt ab, wenn Anfragen mit einem speziell konzipierten Was soll ich tun?Prüfen Sie, ob Ihre Cluster betroffen sindIhr Cluster ist betroffen, wenn die beiden folgenden Bedingungen zutreffen:
Hinweis: Wenn Sie die verwaltete Steuerungsebene verwenden, wurde diese Sicherheitslücke bereits behoben und Sie sind nicht betroffen. Möglichkeiten zur Behebung des ProblemsAktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
Wenn Sie Cloud Service Mesh v1.9 oder niedriger verwenden, hat Ihr Release das End of Life erreicht und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade ausführen Cloud Service Mesh 1.10 oder höher. |
Hoch |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Potenzielle Nullzeiger-Dereferenz, wenn eine Übereinstimmung mit dem JWT-Filter Was soll ich tun?Prüfen Sie, ob Ihre Cluster betroffen sindIhr Cluster ist betroffen, wenn die beiden folgenden Bedingungen zutreffen:
Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
Wenn Sie Cloud Service Mesh v1.9 oder niedriger verwenden, hat Ihr Release das Ende des Produktzyklus erreicht und ist nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.10 oder höher. |
Mittel |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Use-after-Free, wenn Antwortfilter die Antwortdaten erhöhen und mehr Daten die nachgelagerten Pufferlimits überschreiten. Was soll ich tun?Prüfen Sie, ob Ihre Cluster betroffen sindIhr Cluster ist betroffen, wenn die beiden folgenden Bedingungen zutreffen:
Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
Wenn Sie Cloud Service Mesh v1.9 oder niedriger verwenden, hat Ihr Release das Ende des Produktzyklus erreicht und ist nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.10 oder höher. |
Mittel |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Use-after-Free, wenn TCP über HTTP getunnelt wird, wenn die Downstream-Verbindung während des Upstream-Verbindungsaufbaus unterbrochen wird. Was soll ich tun?Prüfen Sie, ob Ihre Cluster betroffen sindIhr Cluster ist betroffen, wenn die beiden folgenden Bedingungen zutreffen:
Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
Wenn Sie Cloud Service Mesh v1.9 oder niedriger verwenden, hat Ihr Release das Ende des Produktzyklus erreicht und ist nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.10 oder höher. |
Mittel |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Durch eine falsche Konfigurationsbehandlung kann die mTLS-Sitzung ohne erneute Validierung wiederverwendet werden, nachdem sich die Validierungseinstellungen geändert haben. Was soll ich tun?Prüfen Sie, ob Ihre Cluster betroffen sindIhr Cluster ist betroffen, wenn die beiden folgenden Bedingungen zutreffen:
Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
Wenn Sie Cloud Service Mesh v1.9 oder niedriger verwenden, hat Ihr Release das Ende des Produktzyklus erreicht und ist nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.10 oder höher. |
Hoch |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Falsche Verarbeitung interner Weiterleitungen an Routen mit einem direkten Antworteintrag. Was soll ich tun?Prüfen Sie, ob Ihre Cluster betroffen sindIhr Cluster ist betroffen, wenn die beiden folgenden Bedingungen zutreffen:
Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
Wenn Sie Cloud Service Mesh v1.9 oder niedriger verwenden, hat Ihr Release das Ende des Produktzyklus erreicht und ist nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.10 oder höher. |
Hoch |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Stacküberlastung, wenn ein Cluster über Cluster Discovery Service gelöscht wird. Was soll ich tun?Prüfen Sie, ob Ihre Cluster betroffen sindIhr Cluster ist betroffen, wenn die beiden folgenden Bedingungen zutreffen:
Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
Wenn Sie Cloud Service Mesh v1.9 oder niedriger verwenden, hat Ihr Release das Ende des Produktzyklus erreicht und ist nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf Cloud Service Mesh 1.10 oder höher ausführen. |
Mittel |
GCP-2021-016
Veröffentlicht: 24.08.2021Beschreibung | Schweregrad | Hinweise |
---|---|---|
Istio enthält eine remote ausnutzbare Sicherheitslücke, bei der eine HTTP-Anfrage mit einem Fragment (ein Abschnitt am Ende eines URI, der mit einem
Eine Istio-Autorisierungsrichtlinie lehnt beispielsweise Anfragen ab, die an den URI-Pfad Diese Korrektur hängt von einer Korrektur in Envoy ab, die mit CVE-2021-32779 verknüpft ist. Was soll ich tun?Prüfen Sie, ob Ihre Cluster betroffen sindIhr Cluster ist betroffen, wenn die beiden folgenden Bedingungen zutreffen:
Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
Bei den neuen Versionen wird der Fragmentteil des URI der Anfrage vor der Autorisierung und dem Routing entfernt. Dadurch wird verhindert, dass eine Anfrage mit einem Fragment im URI Autorisierungsrichtlinien umgeht, die auf dem URI ohne den Fragmentteil basieren. DeaktivierenWenn Sie dieses neue Verhalten deaktivieren, wird der Fragmentabschnitt im URI beibehalten. Um es zu deaktivieren, können Sie Ihre Installation so konfigurieren: apiVersion: install.istio.io/v1alpha1 kind: IstioOperator metadata: name: opt-out-fragment-cve-fix namespace: istio-system spec: meshConfig: defaultConfig: proxyMetadata: HTTP_STRIP_FRAGMENT_FROM_PATH_UNSAFE_IF_DISABLED: "false" Hinweis: Wenn Sie dieses Verhalten deaktivieren, ist Ihr Cluster anfällig für diese CVE-Sicherheitslücke. |
Hoch |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Istio enthält eine remote ausnutzbare Sicherheitslücke, bei der eine HTTP-Anfrage eine Istio-Autorisierungsrichtlinie potenziell umgehen kann, wenn Regeln basierend auf
In den anfälligen Versionen vergleicht die Istio-Autorisierungsrichtlinie den HTTP-Header Was soll ich tun?Prüfen Sie, ob Ihre Cluster betroffen sindIhr Cluster ist betroffen, wenn die beiden folgenden Bedingungen zutreffen:
Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
Dadurch wird sichergestellt, dass die HTTP-Header |
Hoch |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Envoy enthält eine remote ausnutzbare Sicherheitslücke, bei der eine HTTP-Anfrage mit mehreren Wertheadern eine unvollständige Prüfung der Autorisierungsrichtlinie durchführen kann, wenn die Erweiterung Was soll ich tun?Prüfen Sie, ob Ihre Cluster betroffen sindIhr Cluster ist betroffen, wenn die beiden folgenden Bedingungen zutreffen:
Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
|
Hoch |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Envoy enthält eine remote ausnutzbare Sicherheitslücke bezüglich der Envoy-Erweiterungen Was soll ich tun?Prüfen Sie, ob Ihre Cluster betroffen sindIhr Cluster ist betroffen, wenn die beiden folgenden Bedingungen zutreffen:
Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
|
Hoch |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Envoy enthält eine remote ausnutzbare Sicherheitslücke, bei der ein Envoy-Client geöffnet und dann eine große Anzahl von HTTP/2-Anfragen zurückgesetzt werden kann, was zu einer übermäßigen CPU-Auslastung führen kann. Was soll ich tun?Prüfen Sie, ob Ihre Cluster betroffen sindIhr Cluster ist betroffen, wenn die Cloud Service Mesh-Patchversionen vor 1.7.8-asm.10, 1.8.6-asm.8, 1.9.8-asm.1 und 1.10.4-asm.6 verwendet werden. Möglichkeiten zur Behebung des ProblemsAktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
Hinweis: Wenn Sie Cloud Service Mesh 1.8 oder eine frühere Version verwenden, führen Sie ein Upgrade auf die neuesten Patchversionen von Cloud Service Mesh 1.9 und höher durch, um diese Sicherheitslücke zu verringern. |
Hoch |
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Envoy enthält eine remote ausnutzbare Sicherheitslücke, bei der ein nicht vertrauenswürdiger Upstream-Dienst dazu führen könnte, dass Envoy anormal beendet wird, indem er den Frame Was soll ich tun?Prüfen Sie, ob Ihre Cluster betroffen sindIhr Cluster ist betroffen, wenn er Cloud Service Mesh 1.10 mit einer Patchversion vor 1.10.4-asm.6 verwendet. Möglichkeiten zur Behebung des ProblemsAktualisieren Sie Ihren Cluster auf die folgende Patchversion:
|
Hoch |
GCP-2021-012
Veröffentlicht: 24.06.2021Beschreibung | Schweregrad | Hinweise |
---|---|---|
Das Istio-sichere
Normalerweise kann ein Gateway oder eine Arbeitslastbereitstellung nur auf TLS-Zertifikate und private Schlüssel zugreifen, die im Secret in seinem Namespace gespeichert sind. Aufgrund eines Programmfehlers in Wie gehe ich am besten vor?Prüfen Sie, ob Ihre Cluster betroffen sindIhr Cluster ist betroffen, wenn ALLE folgenden Bedingungen erfüllt sind:
Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:
Wenn ein Upgrade nicht machbar ist, können Sie diese Sicherheitslücke minimieren, indem Sie das istiod -Caching deaktivieren.
Sie können das Caching deaktivieren, indem Sie die Umgebungsvariable istiod auf PILOT_ENABLE_XDS_CACHE=false setzen. Die Leistung des Systems und von istiod kann beeinträchtigt werden, wenn das XDS-Caching deaktiviert wird.
|
Hoch |
GCP-2021-008
Veröffentlich: 17. 05. 20201Beschreibung | Schweregrad | Hinweise |
---|---|---|
Istio enthält eine Sicherheitslücke, die aus der Ferne ausgenutzt werden kann, über die ein externer Client auf unerwartete Dienste im Cluster zugreifen kann. Dabei werden Autorisierungsprüfungen umgangen, wenn ein Gateway mit der Routingkonfiguration AUTO_PASSTHROUGH konfiguriert ist. Was soll ich tun?Prüfen Sie, ob Ihre Cluster betroffen sindDiese Sicherheitslücke betrifft nur die Verwendung des Gateway-Typs AUTO_PASSTHROUGH, die normalerweise nur in Multi-Cluster-Deployments mit mehreren Netzwerken verwendet wird. Ermitteln Sie mit dem folgenden Befehl den TLS-Modus aller Gateways im Cluster: kubectl get gateways.networking.istio.io -A -o \ "custom-columns=NAMESPACE:.metadata.namespace, \ NAME:.metadata.name,TLS_MODE:.spec.servers[*].tls.mode" Wenn in der Ausgabe AUTO_PASSTHROUGH-Gateways angezeigt werden, sind Sie möglicherweise betroffen. Möglichkeiten zur Behebung des ProblemsAktualisieren Sie Ihre Cluster auf die neuesten Cloud Service Mesh-Versionen:
* Hinweis: Das Roll-out des Cloud Service Mesh Verwaltete Steuerungsebene (nur verfügbar) in 1.9.x-Versionen) wird in den nächsten Tagen abgeschlossen. |
Hoch |
GCP-2021-007
Veröffentlich: 17. 05. 20201Beschreibung | Schweregrad | Hinweise |
---|---|---|
Istio enthält eine Sicherheitslücke, die aus der Ferne ausgenutzt werden kann und bei der ein HTTP-Anfragepfad mit mehreren Schrägstrichen oder mit maskierten Schrägstrichzeichen (%2F oder %5C) unter Umständen eine Istio-Autorisierungsrichtlinie umgehen kann, wenn pfadbasierte Autorisierungsregeln verwendet werden.
Es kann vorkommen, dass ein Administrator des Istio-Clusters eine Autorisierungs-DENY-Richtlinie definiert, um die Anfrage unter dem Pfad
Gemäß RFC 3986 sollte der Pfad Was soll ich tun?Prüfen Sie, ob Ihre Cluster betroffen sindIhr Cluster ist von dieser Sicherheitslücke betroffen, wenn Sie Autorisierungsrichtlinien mit den Mustern "ALLOW action + notPaths field" oder "DENY action + paths field" verwenden. Diese Muster sind anfällig für das unerwartete Umgehungen der Richtlinie und sollten daher so weit wie möglich aktualisiert werden, um das Sicherheitsproblem so schnell wie möglich zu beheben. Das folgende Beispiel zeigt eine anfällige Richtlinie, die das Muster "DENY action + paths field" verwendet: apiVersion: security.istio.io/v1beta1 kind: AuthorizationPolicy metadata: name: deny-path-admin spec: action: DENY rules: - to: - operation: paths: ["/admin"] Das folgende Beispiel zeigt eine weitere anfällige Richtlinie, die das Muster "ALLOW action + notPaths field" verwendet: apiVersion: security.istio.io/v1beta1 kind: AuthorizationPolicy metadata: name: allow-path-not-admin spec: action: ALLOW rules: - to: - operation: notPaths: ["/admin"] Ihr Cluster ist nicht von dieser Sicherheitslücke betroffen, wenn:
Für diese Fälle ist ein Upgrade optional. Aktualisieren Sie Ihre Cluster auf die aktuellste, unterstützte Cloud Service Mesh-Version*. Diese Versionen unterstützen die Konfiguration der Envoy-Proxys im System mit weiteren Normalisierungsoptionen:
* Hinweis: Die Einführung der verwalteten Steuerungsebene von Cloud Service Mesh (nur in Versionen 1.9.x verfügbar) wird in den nächsten Tagen abgeschlossen. Folgen Sie dem Best Practices-Leitfaden zur Sicherheit in Istio, um Ihre Autorisierungsrichtlinien zu konfigurieren. |
Hoch |
GCP-2021-004
Veröffentlicht: 06. 05. 2021Beschreibung | Schweregrad | Hinweise |
---|---|---|
Die Projekte Envoy und Istio haben kürzlich mehrere Sicherheitslücken bekanntgegeben (CVE-2021-28682, CVE-2021-28683 und CVE-2021-29258), die es einem Angreifer ermöglichen, Envoy zum Absturz zu bringen sowie potenziell Teile des Clusters offline zu stellen und unzugänglich zu machen. Dies wirkt sich auf bereitgestellte Dienste wie das Cloud Service Mesh aus. Wie gehe ich am besten vor?Aktualisieren Sie Ihr Cloud Service Mesh-Bundle auf eine der folgenden Patchversionen, um diese Sicherheitslücken zu beheben:
Weitere Informationen finden Sie in den Versionshinweisen zu Cloud Service Mesh. |
Hoch |