Buletin keamanan

Envoy salah menerima respons HTTP 200 saat memasuki mode upgrade.

Apa yang harus saya lakukan?

Semua versi Cloud Service Mesh terpengaruh oleh CVE ini.

Jika Anda menjalankan Cloud Service Mesh terkelola, sistem Anda akan otomatis diupdate dalam beberapa hari mendatang.

Jika tidak, upgrade cluster Anda ke salah satu versi yang telah di-patch berikut:

• v1.21.3-asm.3
• v1.20.7-asm.2
• v1.19.10-asm.6
• v1.18.7-asm.26
• Jika Anda menggunakan Cloud Service Mesh v1.17 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus mengupgrade ke Cloud Service Mesh 1.18 atau yang lebih baru.

Sedang

CVE-2024-23326

Error di EnvoyQuicServerStream::OnInitialHeadersComplete().

Apa yang harus saya lakukan?

Semua versi Cloud Service Mesh terpengaruh oleh CVE ini.

Jika Anda menjalankan Cloud Service Mesh terkelola, sistem Anda akan otomatis diupdate dalam beberapa hari mendatang.

Jika tidak, upgrade cluster Anda ke salah satu versi yang telah di-patch berikut:

• v1.21.3-asm.3
• v1.20.7-asm.2
• v1.19.10-asm.6
• v1.18.7-asm.26
• Jika Anda menggunakan Cloud Service Mesh v1.17 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus mengupgrade ke Cloud Service Mesh 1.18 atau yang lebih baru.

Sedang

CVE-2024-32974

Error di QuicheDataReader::PeekVarInt62Length().

Apa yang harus saya lakukan?

Semua versi Cloud Service Mesh terpengaruh oleh CVE ini.

Jika Anda menjalankan Cloud Service Mesh terkelola, sistem Anda akan otomatis diupdate dalam beberapa hari mendatang.

Jika tidak, upgrade cluster Anda ke salah satu versi yang telah di-patch berikut:

• v1.21.3-asm.3
• v1.20.7-asm.2
• v1.19.10-asm.6
• v1.18.7-asm.26
• Jika Anda menggunakan Cloud Service Mesh v1.17 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus mengupgrade ke Cloud Service Mesh 1.18 atau yang lebih baru.

Sedang

CVE-2024-32975

Melakukan loop tanpa henti saat mendekompresi data Brotli dengan input tambahan.

Apa yang harus saya lakukan?

Semua versi Cloud Service Mesh terpengaruh oleh CVE ini.

Jika Anda menjalankan Cloud Service Mesh terkelola, sistem Anda akan otomatis diupdate dalam beberapa hari mendatang.

Jika tidak, upgrade cluster Anda ke salah satu versi yang telah di-patch berikut:

• v1.21.3-asm.3
• v1.20.7-asm.2
• v1.19.10-asm.6
• v1.18.7-asm.26
• Jika Anda menggunakan Cloud Service Mesh v1.17 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus mengupgrade ke Cloud Service Mesh 1.18 atau yang lebih baru.

Tinggi

CVE-2024-32976

Error (gunakan setelah gratis) di EnvoyQuicServerStream.

Apa yang harus saya lakukan?

Semua versi Cloud Service Mesh terpengaruh oleh CVE ini.

Jika Anda menjalankan Cloud Service Mesh terkelola, sistem Anda akan otomatis diupdate dalam beberapa hari mendatang.

Jika tidak, upgrade cluster Anda ke salah satu versi yang telah di-patch berikut:

• v1.21.3-asm.3
• v1.20.7-asm.2
• v1.19.10-asm.6
• v1.18.7-asm.26
• Jika Anda menggunakan Cloud Service Mesh v1.17 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus mengupgrade ke Cloud Service Mesh 1.18 atau yang lebih baru.

Sedang

CVE-2024-34362

Error karena pengecualian JSON nlohmann yang tidak tertangkap.

Apa yang harus saya lakukan?

Semua versi Cloud Service Mesh terpengaruh oleh CVE ini.

Jika Anda menjalankan Cloud Service Mesh terkelola, sistem Anda akan otomatis diupdate dalam beberapa hari mendatang.

Jika tidak, upgrade cluster Anda ke salah satu versi yang telah di-patch berikut:

• v1.21.3-asm.3
• v1.20.7-asm.2
• v1.19.10-asm.6
• v1.18.7-asm.26
• Jika Anda menggunakan Cloud Service Mesh v1.17 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus mengupgrade ke Cloud Service Mesh 1.18 atau yang lebih baru.

Tinggi

CVE-2024-34363

Vektor OOM Envoy dari klien asinkron HTTP dengan buffer respons tak terbatas untuk respons pencerminan.

Apa yang harus saya lakukan?

Semua versi Cloud Service Mesh terpengaruh oleh CVE ini.

Jika Anda menjalankan Cloud Service Mesh terkelola, sistem Anda akan otomatis diupdate dalam beberapa hari mendatang.

Jika tidak, upgrade cluster Anda ke salah satu versi yang telah di-patch berikut:

• v1.21.3-asm.3
• v1.20.7-asm.2
• v1.19.10-asm.6
• v1.18.7-asm.26
• Jika Anda menggunakan Cloud Service Mesh v1.17 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus mengupgrade ke Cloud Service Mesh 1.18 atau yang lebih baru.

Sedang

CVE-2024-34364

HTTP/2: kehabisan memori karena banjir frame CONTINUATION.

Apa yang harus saya lakukan?

Semua versi Cloud Service Mesh terpengaruh oleh CVE ini.

Jika menjalankan Cloud Service Mesh terkelola, Anda tidak perlu melakukan tindakan apa pun. Sistem Anda akan diperbarui secara otomatis dalam beberapa hari mendatang.

Jika menjalankan Cloud Service Mesh dalam cluster, Anda harus mengupgrade cluster ke cluster dari versi yang di-patch berikut:

• 1.20.6-asm.0
• 1.19.10-asm.0
• 1.18.7-asm.21

Jika Anda menggunakan Cloud Service Mesh v1.17 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus meng-upgrade ke Cloud Service Mesh v1.18 atau yang lebih baru.

Tinggi

CVE-2024-27919

HTTP/2: Kehabisan CPU karena banjir frame CONTINUATION

Apa yang harus saya lakukan?

Semua versi Cloud Service Mesh terpengaruh oleh CVE ini.

Jika menjalankan Cloud Service Mesh terkelola, Anda tidak perlu melakukan tindakan apa pun. Sistem Anda akan diperbarui secara otomatis dalam beberapa hari mendatang.

Jika menjalankan Cloud Service Mesh dalam cluster, Anda harus mengupgrade cluster ke cluster dari versi yang di-patch berikut:

• 1.20.6-asm.0
• 1.19.10-asm.0
• 1.18.7-asm.21

Jika Anda menggunakan Cloud Service Mesh v1.17 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus meng-upgrade ke Cloud Service Mesh 1.18 atau yang lebih baru.

Sedang

CVE-2024-30255

Penghentian abnormal saat menggunakan auto_sni dengan ':authority' {i>header<i} lebih dari 255 karakter.

Apa yang harus saya lakukan?

Semua versi Cloud Service Mesh terpengaruh oleh CVE ini.

Jika menjalankan Cloud Service Mesh terkelola, Anda tidak perlu melakukan tindakan apa pun. Sistem Anda akan diperbarui secara otomatis dalam beberapa hari mendatang.

Jika menjalankan Cloud Service Mesh dalam cluster, Anda harus mengupgrade cluster ke cluster dari versi yang di-patch berikut:

• 1.20.6-asm.0
• 1.19.10-asm.0
• 1.18.7-asm.21

Jika Anda menggunakan Cloud Service Mesh v1.17 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus meng-upgrade ke Cloud Service Mesh 1.18 atau yang lebih baru.

Tinggi

CVE-2024-32475

Frame CONTINUATION HTTP/2 dapat digunakan untuk serangan DoS.

Apa yang harus saya lakukan?

Semua versi Cloud Service Mesh terpengaruh oleh CVE ini.

Jika menjalankan Cloud Service Mesh terkelola, Anda tidak perlu melakukan tindakan apa pun. Sistem Anda akan diperbarui secara otomatis dalam beberapa hari mendatang.

Jika menjalankan Cloud Service Mesh dalam cluster, Anda harus mengupgrade cluster ke cluster dari versi yang di-patch berikut:

• 1.20.6-asm.0
• 1.19.10-asm.0
• 1.18.7-asm.21

Jika Anda menggunakan Cloud Service Mesh v1.17 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus melakukan upgrade ke versi v1.18 atau yang lebih baru.

Tidak Tersedia

CVE-2023-45288

Envoy mengalami error saat tidak ada aktivitas dan waktu tunggu permintaan per percobaan terjadi dalam interval backoff.

Apa yang harus saya lakukan?

Jika menjalankan Cloud Service Mesh terkelola, Anda tidak perlu melakukan tindakan apa pun. Sistem Anda akan diperbarui secara otomatis dalam beberapa hari mendatang.

Jika menjalankan Cloud Service Mesh dalam cluster, Anda harus mengupgrade cluster ke cluster dari versi yang di-patch berikut:

• 1.20.3-asm.4
• 1.19.7-asm.3
• 1.18.7-asm.4
• 1.17.8-asm.20

Jika Anda menggunakan Anthos Service Mesh v1.17 atau yang lebih lama, rilis Anda telah mencapai akhir aktif dan tidak lagi didukung. Meskipun perbaikan CVE ini telah di-backport ke 1.17, Anda harus diupgrade ke versi 1.18 atau yang lebih baru.

Tinggi

CVE-2024-23322

Penggunaan CPU yang berlebihan saat pencocok template URI dikonfigurasi menggunakan ekspresi reguler.

Apa yang harus saya lakukan?

Jika menjalankan Cloud Service Mesh terkelola, Anda tidak perlu melakukan tindakan apa pun. Sistem Anda akan diperbarui secara otomatis dalam beberapa hari mendatang.

Jika menjalankan Cloud Service Mesh dalam cluster, Anda harus mengupgrade cluster ke cluster dari versi yang di-patch berikut:

• 1.20.3-asm.4
• 1.19.7-asm.3
• 1.18.7-asm.4
• 1.17.8-asm.20

Jika Anda menggunakan Anthos Service Mesh v1.17 atau yang lebih lama, rilis Anda telah mencapai akhir aktif dan tidak lagi didukung. Meskipun perbaikan CVE ini telah di-backport ke 1.17, Anda harus diupgrade ke versi 1.18 atau yang lebih baru.

Sedang

CVE-2024-23323

Otorisasi eksternal dapat diabaikan saat filter protokol Proxy menetapkan metadata UTF-8 yang tidak valid.

Apa yang harus saya lakukan?

Jika menjalankan Cloud Service Mesh terkelola, Anda tidak perlu melakukan tindakan apa pun. Sistem Anda akan diperbarui secara otomatis dalam beberapa hari mendatang.

Jika menjalankan Cloud Service Mesh dalam cluster, Anda harus mengupgrade cluster ke cluster dari versi yang di-patch berikut:

• 1.20.3-asm.4
• 1.19.7-asm.3
• 1.18.7-asm.4
• 1.17.8-asm.20

Jika Anda menggunakan Anthos Service Mesh v1.17 atau yang lebih lama, rilis Anda telah mencapai akhir aktif dan tidak lagi didukung. Meskipun perbaikan CVE ini telah di-backport ke 1.17, Anda harus diupgrade ke versi 1.18 atau yang lebih baru.

Tinggi

CVE-2024-23324

Envoy mengalami error saat menggunakan jenis alamat yang tidak didukung oleh OS.

Apa yang harus saya lakukan?

Jika menjalankan Cloud Service Mesh terkelola, Anda tidak perlu melakukan tindakan apa pun. Sistem Anda akan diperbarui secara otomatis dalam beberapa hari mendatang.

Jika menjalankan Cloud Service Mesh dalam cluster, Anda harus mengupgrade cluster ke cluster dari versi yang di-patch berikut:

• 1.20.3-asm.4
• 1.19.7-asm.3
• 1.18.7-asm.4
• 1.17.8-asm.20

Jika Anda menggunakan Anthos Service Mesh v1.17 atau yang lebih lama, rilis Anda telah mencapai akhir aktif dan tidak lagi didukung. Meskipun perbaikan CVE ini telah di-backport ke 1.17, Anda harus diupgrade ke versi 1.18 atau yang lebih baru.

Tinggi

CVE-2024-23325

Error pada protokol proxy saat jenis perintah adalah LOCAL.

Apa yang harus saya lakukan?

Jika menjalankan Cloud Service Mesh terkelola, Anda tidak perlu melakukan tindakan apa pun. Sistem Anda akan diperbarui secara otomatis dalam beberapa hari mendatang.

Jika menjalankan Cloud Service Mesh dalam cluster, Anda harus mengupgrade cluster ke cluster dari versi yang di-patch berikut:

• 1.20.3-asm.4
• 1.19.7-asm.3
• 1.18.7-asm.4
• 1.17.8-asm.20

Jika Anda menggunakan Anthos Service Mesh v1.17 atau yang lebih lama, rilis Anda telah mencapai akhir aktif dan tidak lagi didukung. Meskipun perbaikan CVE ini telah di-backport ke 1.17, Anda harus diupgrade ke versi 1.18 atau yang lebih baru.

Tinggi

CVE-2024-23327

Serangan denial of service dapat memengaruhi bidang data saat menggunakan protokol HTTP/2.

Apa yang harus saya lakukan?

Cluster Anda akan terpengaruh jika menggunakan versi patch Cloud Service Mesh yang lebih awal dari 1.18.4, 1.17.7, atau 1.16.7.

Upgrade cluster Anda ke salah satu versi yang di-patch berikut:

• 1.18.4-asm.0
• 1.17.7-asm.0
• 1.16.7-asm.10

Jika Anda menjalankan Cloud Service Mesh terkelola, sistem Anda akan otomatis diupdate dalam beberapa hari ke depan.

Jika menggunakan Cloud Service Mesh v1.15 atau yang lebih lama, rilis Anda telah mencapai akhir aktif dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda seharusnya upgrade ke v1.16 atau yang lebih baru.

Tinggi

CVE-2023-44487

Dalam beberapa skenario, klien yang berniat jahat dapat membuat kredensial dengan validitas permanen. Misalnya, kombinasi host dan waktu habis masa berlaku dalam payload HMAC dapat selalu valid dalam pemeriksaan HMAC filter OAuth2.

Apa yang harus saya lakukan?

Cluster Anda akan terpengaruh jika menggunakan versi patch Cloud Service Mesh yang lebih awal dari

• 1.17.4
• 1.16.6
• 1.15.7

Upgrade cluster Anda ke salah satu versi yang di-patch berikut:

• 1.17.5-asm.0
• 1.16.7-asm.0
• 1.15.7-asm.23

Jika Anda menjalankan Cloud Service Mesh terkelola, sistem Anda akan otomatis diupdate dalam beberapa hari ke depan.

Jika Anda menggunakan Anthos Service Mesh 1.14 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus mengupgrade ke ASM 1.15 atau yang lebih baru.

Tinggi

CVE-2023-35941

Pencatat akses gRPC yang menggunakan cakupan global pemroses dapat menyebabkan error use-after-free saat pemroses habis. Hal ini dapat dipicu oleh update LDS dengan konfigurasi log akses gRPC yang sama.

Apa yang harus saya lakukan?

Cluster Anda akan terpengaruh jika menggunakan versi patch Cloud Service Mesh yang lebih awal dari

• 1.17.4
• 1.16.6
• 1.15.7

Upgrade cluster Anda ke salah satu versi yang di-patch berikut:

• 1.17.5-asm.0
• 1.16.7-asm.0
• 1.15.7-asm.23

Jika Anda menjalankan Cloud Service Mesh terkelola, sistem Anda akan otomatis diupdate dalam beberapa hari ke depan.

Jika Anda menggunakan Anthos Service Mesh 1.14 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus mengupgrade ke ASM 1.15 atau yang lebih baru.

Sedang

CVE-2023-35942

Jika header origin dikonfigurasi untuk dihapus dengan request_headers_to_remove: origin, filter CORS akan mengalami segfault dan membuat error Envoy.

Apa yang harus saya lakukan?

Cluster Anda akan terpengaruh jika menggunakan versi patch Cloud Service Mesh yang lebih awal dari

• 1.17.4
• 1.16.6
• 1.15.7

Upgrade cluster Anda ke salah satu versi yang di-patch berikut:

• 1.17.5-asm.0
• 1.16.7-asm.0
• 1.15.7-asm.23

Jika Anda menjalankan Cloud Service Mesh terkelola, sistem Anda akan otomatis diupdate dalam beberapa hari ke depan.

Jika Anda menggunakan Anthos Service Mesh 1.14 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus mengupgrade ke ASM 1.15 atau yang lebih baru.

Sedang

CVE-2023-35943

Penyerang dapat mengirim permintaan skema campuran untuk melewati beberapa pemeriksaan skema di Envoy. Misalnya, jika permintaan dengan htTp skema campuran dikirim ke filter OAuth2, permintaan tersebut akan gagal dalam pemeriksaan pencocokan persis untuk http, dan memberi tahu endpoint jarak jauh bahwa skemanya adalah https, sehingga berpotensi mengabaikan pemeriksaan OAuth2 khusus untuk permintaan HTTP.

Apa yang harus saya lakukan?

Cluster Anda akan terpengaruh jika menggunakan versi patch Cloud Service Mesh yang lebih awal dari

• 1.17.4
• 1.16.6
• 1.15.7

Upgrade cluster Anda ke salah satu versi yang di-patch berikut:

• 1.17.5-asm.0
• 1.16.7-asm.0
• 1.15.7-asm.23

Jika Anda menjalankan Cloud Service Mesh terkelola, sistem Anda akan otomatis diupdate dalam beberapa hari ke depan.

Jika Anda menggunakan Anthos Service Mesh 1.14 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus mengupgrade ke ASM 1.15 atau yang lebih baru.

Tinggi

CVE-2023-35944

Respons yang dibuat secara khusus dari layanan upstream tidak tepercaya dapat menyebabkan penolakan karena kehabisan memori. Hal ini disebabkan oleh codec HTTP/2 Envoy yang mungkin bocor peta tajuk dan struktur pembukuan setelah menerima RST_STREAM segera diikuti oleh {i>frame<i} GOAWAY dari server hulu.

Apa yang harus saya lakukan?

Cluster Anda akan terpengaruh jika menggunakan versi patch Cloud Service Mesh yang lebih awal dari

• 1.17.4
• 1.16.6
• 1.15.7

Upgrade cluster Anda ke salah satu versi yang di-patch berikut:

• 1.17.4-asm.2
• 1.16.6-asm.3
• 1.15.7-asm.21

Jika Anda menjalankan Cloud Service Mesh terkelola, sistem Anda akan otomatis diupdate dalam beberapa hari ke depan.

Jika Anda menggunakan Anthos Service Mesh 1.14 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus mengupgrade ke ASM 1.15 atau yang lebih baru.

Tinggi

CVE-2023-35945

Jika Envoy berjalan dengan filter OAuth yang diaktifkan terekspos, pelaku kejahatan dapat membuat permintaan yang akan menyebabkan denial of service dengan membuat Envoy error.

Apa yang harus saya lakukan?

Cluster Anda akan terpengaruh jika menggunakan versi patch Cloud Service Mesh yang lebih awal:

• 1.16.4
• 1.15.7
• 1.14.6

Upgrade cluster Anda ke salah satu versi yang di-patch berikut:

• 1.16.4-asm.2
• 1.15.7-asm.1
• 1.14.6-asm.11

Jika Anda menggunakan Cloud Service Mesh v1.13 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus mengupgrade ke Cloud Service Mesh 1.14 atau yang lebih baru.

Sedang

CVE-2023-27496

Penyerang dapat menggunakan kerentanan ini untuk melewati pemeriksaan autentikasi saat ext_authz digunakan.

Apa yang harus saya lakukan?

Cluster Anda akan terpengaruh jika menggunakan versi patch Cloud Service Mesh yang lebih awal:

• 1.16.4
• 1.15.7
• 1.14.6

Upgrade cluster Anda ke salah satu versi yang di-patch berikut:

• 1.16.4-asm.2
• 1.15.7-asm.1
• 1.14.6-asm.11

Jika Anda menggunakan Cloud Service Mesh v1.13 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Sebaiknya upgrade ke Cloud Service Mesh} 1.14 atau yang lebih baru.

Sedang

CVE-2023-27488

Konfigurasi Envoy juga harus menyertakan opsi untuk menambahkan header permintaan yang dibuat menggunakan input dari permintaan, yaitu sertifikat peer SAN.

Apa yang harus saya lakukan?

Cluster Anda akan terpengaruh jika menggunakan versi patch Cloud Service Mesh yang lebih awal:

• 1.16.4
• 1.15.7
• 1.14.6

Upgrade cluster Anda ke salah satu versi yang di-patch berikut:

• 1.16.4-asm.2
• 1.15.7-asm.1
• 1.14.6-asm.11

Jika Anda menggunakan Cloud Service Mesh v1.13 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus mengupgrade ke Cloud Service Mesh 1.14 atau yang lebih baru.

Tinggi

CVE-2023-27493

Penyerang bisa mengirim isi permintaan yang besar untuk rute yang mengaktifkan filter Lua dan memicu error.

Apa yang harus saya lakukan?

Cluster Anda akan terpengaruh jika menggunakan versi patch Cloud Service Mesh yang lebih awal:

• 1.16.4
• 1.15.7
• 1.14.6

Upgrade cluster Anda ke salah satu versi yang di-patch berikut:

• 1.16.4-asm.2
• 1.15.7-asm.1
• 1.14.6-asm.11

Jika Anda menggunakan Cloud Service Mesh v1.13 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus mengupgrade ke Cloud Service Mesh 1.14 atau yang lebih baru.

Sedang

CVE-2023-27492

Penyerang dapat mengirim permintaan HTTP/2 atau HTTP/3 yang dibuat khusus untuk memicu kesalahan penguraian pada layanan upstream HTTP/1.

Apa yang harus saya lakukan?

Cluster Anda akan terpengaruh jika menggunakan versi patch Cloud Service Mesh yang lebih awal:

• 1.16.4
• 1.15.7
• 1.14.6

Upgrade cluster Anda ke salah satu versi yang di-patch berikut:

• 1.16.4-asm.2
• 1.15.7-asm.1
• 1.14.6-asm.11

Jika Anda menggunakan Cloud Service Mesh v1.13 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus mengupgrade ke Cloud Service Mesh 1.14 atau yang lebih baru.

Sedang

CVE-2023-27491

Header x-envoy-original-path harus berupa header internal, tetapi Envoy tidak menghapus header ini dari permintaan di awal pemrosesan permintaan saat dikirim dari klien yang tidak tepercaya.

Apa yang harus saya lakukan?

Cluster Anda akan terpengaruh jika menggunakan versi patch Cloud Service Mesh yang lebih awal:

• 1.16.4
• 1.15.7
• 1.14.6

Upgrade cluster Anda ke salah satu versi yang di-patch berikut:

• 1.16.4-asm.2
• 1.15.7-asm.1
• 1.14.6-asm.11

Jika Anda menggunakan Cloud Service Mesh v1.13 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus mengupgrade ke Cloud Service Mesh 1.14 atau yang lebih baru.

Tinggi

CVE-2023-27487

Bidang kontrol Istio istiod rentan terhadap error pemrosesan permintaan, yang memungkinkan penyerang berbahaya yang mengirim pesan yang dibuat khusus yang mengakibatkan masuknya bidang kontrol mengalami error saat webhook yang memvalidasi untuk cluster diekspos secara publik. Endpoint ini adalah disajikan melalui TLS porta 15017, tetapi tidak memerlukan otentikasi apa pun dari penyerang.

Apa yang harus saya lakukan?

Cluster Anda akan terpengaruh jika menggunakan versi patch Cloud Service Mesh yang lebih lama dari 1.14.4, 1.13.8, atau 1.12.9.

Jika Anda menjalankan Cloud Service Mesh mandiri, upgrade cluster Anda ke salah satu versi yang di-patch berikut:

• Jika Anda menggunakan Anthos Service Mesh 1.14, upgrade ke v1.14.4-asm.2
• Jika Anda menggunakan Anthos Service Mesh 1.13, upgrade ke v1.13.8-asm.4
• Jika Anda menggunakan Anthos Service Mesh 1.12, upgrade ke v1.12.9-asm.3

Jika Anda menjalankan Cloud Service Mesh terkelola, sistem Anda akan otomatis akan diperbarui dalam beberapa hari ke depan.

Jika Anda menggunakan Cloud Service Mesh v1.11 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus meng-upgrade ke Cloud Service Mesh 1.12 atau yang lebih baru.

Tinggi

CVE-2022-39278

Bidang data Istio berpotensi mengakses memori secara tidak aman saat ekstensi Metadata Exchange dan Stats diaktifkan.

Apa yang harus saya lakukan?

Cluster Anda akan terpengaruh jika menggunakan versi patch Cloud Service Mesh yang lebih awal dari 1.13.4-asm.4, 1.12.7-asm.2, atau 1.11.8-asm.4.

Upgrade cluster Anda ke salah satu versi yang di-patch berikut:

• 1.13.4-asm.4
• 1.12.7-asm.2
• 1.11.8-asm.4

Jika Anda menggunakan Cloud Service Mesh v1.10 atau yang lebih lama, rilis telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus melakukan upgrade ke Cloud Service Mesh 1.11 atau yang lebih baru. Untuk mengetahui informasi selengkapnya, lihat Mengupgrade dari versi sebelumnya (GKE) atau Mengupgrade dari versi sebelumnya (lokal).

Tinggi

CVE-2022-31045

Data dapat melampaui batas buffer perantara jika penyerang berbahaya melewati payload kecil yang sangat terkompresi (juga dikenal sebagai serangan bom zip).

Apa yang harus saya lakukan?

Cluster Anda akan terpengaruh jika menggunakan versi patch Cloud Service Mesh yang lebih awal dari 1.13.4-asm.4, 1.12.7-asm.2, atau 1.11.8-asm.4.

Meskipun Cloud Service Mesh tidak mendukung filter Envoy, Anda dapat terpengaruh jika menggunakan filter dekompresi.

Upgrade cluster Anda ke salah satu versi yang di-patch berikut:

• 1.13.4-asm.4
• 1.12.7-asm.2
• 1.11.8-asm.4

Jika Anda menggunakan Cloud Service Mesh v1.10 atau yang lebih lama, rilis telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus melakukan upgrade ke Cloud Service Mesh 1.11 atau yang lebih baru. Untuk mengetahui informasi selengkapnya, lihat Mengupgrade dari versi sebelumnya (GKE) atau Mengupgrade dari versi sebelumnya (lokal).

Pengguna Envoy yang mengelola Envoy mereka sendiri harus memastikan bahwa mereka menggunakan rilis Envoy 1.22.1. Pengguna Envoy yang mengelola Envoy mereka sendiri membangun biner dari sumber seperti GitHub dan men-deploy mereka.

Pengguna yang menjalankan Envoys terkelola tidak perlu melakukan tindakan apa pun (Google Cloud menyediakan biner Envoy), di mana produk cloud akan beralih ke 1.22.1.

Tinggi

CVE-2022-29225

Potensi penurunan referensi pointer null di GrpcHealthCheckerImpl.

Apa yang harus saya lakukan?

Cluster Anda akan terpengaruh jika menggunakan versi patch Cloud Service Mesh yang lebih awal dari 1.13.4-asm.4, 1.12.7-asm.2, atau 1.11.8-asm.4.

Upgrade cluster Anda ke salah satu versi yang di-patch berikut:

• 1.13.4-asm.4
• 1.12.7-asm.2
• 1.11.8-asm.4

Jika Anda menggunakan Cloud Service Mesh v1.10 atau yang lebih lama, rilis telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus melakukan upgrade ke Cloud Service Mesh 1.11 atau yang lebih baru. Untuk mengetahui informasi selengkapnya, lihat Mengupgrade dari versi sebelumnya (GKE) atau Mengupgrade dari versi sebelumnya (lokal).

Pengguna Envoy yang mengelola Envoy mereka sendiri harus memastikan bahwa mereka menggunakan rilis Envoy 1.22.1. Pengguna Envoy yang mengelola Envoy mereka sendiri membangun biner dari sumber seperti GitHub dan men-deploy mereka.

Pengguna yang menjalankan Envoys terkelola tidak perlu melakukan tindakan apa pun (Google Cloud menyediakan biner Envoy), di mana produk cloud akan beralih ke 1.22.1.

Sedang

CVE-2021-29224

Filter OAuth memungkinkan pengabaian trivial.

Apa yang harus saya lakukan?

Cluster Anda akan terpengaruh jika menggunakan versi patch Cloud Service Mesh yang lebih awal dari 1.13.4-asm.4, 1.12.7-asm.2, atau 1.11.8-asm.4.

Meskipun Cloud Service Mesh tidak mendukung filter Envoy, Anda dapat terpengaruh jika menggunakan filter OAuth.

Upgrade cluster Anda ke salah satu versi yang di-patch berikut:

• 1.13.4-asm.4
• 1.12.7-asm.2
• 1.11.8-asm.4

Jika Anda menggunakan Cloud Service Mesh v1.10 atau yang lebih lama, rilis telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus melakukan upgrade ke Cloud Service Mesh 1.11 atau yang lebih baru. Untuk mengetahui informasi selengkapnya, lihat Mengupgrade dari versi sebelumnya (GKE) atau Mengupgrade dari versi sebelumnya (lokal).

Pengguna Envoy yang mengelola Envoy mereka sendiri juga menggunakan filter OAuth harus memastikan bahwa mereka menggunakan Envoy rilis 1.22.1. Pengguna Envoy yang mengelola Envoys mereka sendiri membangun biner dari sumber seperti GitHub dan men-deploy-nya.

Pengguna yang menjalankan Envoys terkelola tidak perlu melakukan tindakan apa pun (Google Cloud menyediakan biner Envoy), di mana produk cloud akan beralih ke 1.22.1.

Kritis

CVE-2021-29226

Filter OAuth dapat merusak memori (versi sebelumnya) atau memicu ASSERT() (versi yang lebih baru).

Apa yang harus saya lakukan?

Cluster Anda akan terpengaruh jika menggunakan versi patch Cloud Service Mesh yang lebih awal dari 1.13.4-asm.4, 1.12.7-asm.2, atau 1.11.8-asm.4.

Meskipun Cloud Service Mesh tidak mendukung filter Envoy, Anda dapat terpengaruh jika menggunakan filter OAuth.

Upgrade cluster Anda ke salah satu versi yang di-patch berikut:

• 1.13.4-asm.4
• 1.12.7-asm.2
• 1.11.8-asm.4

Jika Anda menggunakan Cloud Service Mesh v1.10 atau yang lebih lama, rilis telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus melakukan upgrade ke Cloud Service Mesh 1.11 atau yang lebih baru.

Pengguna Envoy yang mengelola Envoy mereka sendiri juga menggunakan filter OAuth harus memastikan bahwa mereka menggunakan Envoy rilis 1.22.1. Pengguna Envoy yang mengelola Envoys mereka sendiri membangun biner dari sumber seperti GitHub dan men-deploy-nya.

Pengguna yang menjalankan Envoys terkelola tidak perlu melakukan tindakan apa pun (Google Cloud menyediakan biner Envoy), di mana produk cloud akan beralih ke 1.22.1.

Tinggi

CVE-2022-29228

Pengalihan internal mengalami error untuk permintaan dengan isi atau cuplikan.

Apa yang harus saya lakukan?

Cluster Anda akan terpengaruh jika menggunakan versi patch Cloud Service Mesh yang lebih awal dari 1.13.4-asm.4, 1.12.7-asm.2, atau 1.11.8-asm.4.

Upgrade cluster Anda ke salah satu versi yang di-patch berikut:

• 1.13.4-asm.4
• 1.12.7-asm.2
• 1.11.8-asm.4

Jika Anda menggunakan Cloud Service Mesh v1.10 atau yang lebih lama, rilis telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus melakukan upgrade ke Cloud Service Mesh 1.11 atau yang lebih baru. Untuk mengetahui informasi selengkapnya, lihat Mengupgrade dari versi sebelumnya (GKE) atau Mengupgrade dari versi sebelumnya (lokal).

Pengguna Envoy yang mengelola Envoy mereka sendiri harus memastikan bahwa mereka menggunakan rilis Envoy 1.22.1. Pengguna Envoy yang mengelola Envoy mereka sendiri membangun biner dari sumber seperti GitHub dan men-deploy mereka.

Pengguna yang menjalankan Envoys terkelola tidak perlu melakukan tindakan apa pun (Google Cloud menyediakan biner Envoy), di mana produk cloud akan beralih ke 1.22.1.

Tinggi

CVE-2022-29227

Bidang kontrol Istio, istiod, rentan terhadap error pemrosesan permintaan, yang memungkinkan penyerang berbahaya yang mengirim pesan yang dibuat khusus yang menyebabkan masuk ke dalam mengalami error saat webhook yang memvalidasi untuk cluster diekspos secara publik. Endpoint ini adalah disajikan melalui TLS porta 15017 tetapi tidak memerlukan otentikasi apa pun dari penyerang.

Apa yang harus saya lakukan?

Semua versi Cloud Service Mesh terpengaruh oleh CVE ini.

Catatan: Jika Anda menggunakan Bidang Kontrol Terkelola, kerentanan ini telah diperbaiki dan Anda tidak akan terpengaruh.

Upgrade cluster Anda ke salah satu versi yang di-patch berikut:

• 1.12.5-asm.0
• 1.11.8-asm.0
• 1.10.6-asm.2

Jika Anda menggunakan Cloud Service Mesh v1.9 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus melakukan upgrade ke Cloud Service Mesh 1.10 atau yang lebih baru.

Tinggi

CVE-2022-24726

Istio mengalami error saat menerima permintaan dengan authorization yang dibuat khusus {i>header<i}.

Apa yang harus saya lakukan?

Cluster Anda akan terpengaruh jika kedua hal berikut berlaku:

• Patch ini menggunakan versi patch Cloud Service Mesh yang lebih awal dari 1.12.4-asm.1, 1.11.7-asm.1, atau 1.10.6-asm.1.

Catatan: Jika Anda menggunakan Bidang Kontrol Terkelola, kerentanan ini telah diperbaiki dan Anda tidak akan terpengaruh.

Upgrade cluster Anda ke salah satu versi yang di-patch berikut:

• 1.12.4-asm.1
• 1.11.7-asm.1
• 1.10.6-asm.1

Jika Anda menggunakan Cloud Service Mesh v1.9 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus melakukan upgrade ke Cloud Service Mesh 1.10 atau yang lebih baru.

Tinggi

CVE-2022-23635

Potensi pembatalan referensi pointer null saat menggunakan pencocokan safe_regex filter JWT.

Apa yang harus saya lakukan?

Cluster Anda akan terpengaruh jika kedua hal berikut berlaku:

• Patch ini menggunakan versi patch Cloud Service Mesh yang lebih awal dari 1.12.4-asm.1, 1.11.7-asm.1, atau 1.10.6-asm.1.
• Meskipun Cloud Service Mesh tidak mendukung filter Envoy, Anda dapat terpengaruh jika menggunakan Ekspresi reguler filter JWT.

Upgrade cluster Anda ke salah satu versi yang di-patch berikut:

• 1.12.4-asm.1
• 1.11.7-asm.1
• 1.10.6-asm.1

Jika Anda menggunakan Cloud Service Mesh v1.9 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus meng-upgrade ke Cloud Service Mesh 1.10 atau yang lebih baru.

Sedang

CVE-2021-43824

Gunakan setelah gratis saat filter respons meningkatkan data respons, dan peningkatan data melebihi batas buffer downstream.

Apa yang harus saya lakukan?

Cluster Anda akan terpengaruh jika kedua hal berikut berlaku:

• Patch ini menggunakan versi patch Cloud Service Mesh yang lebih awal dari 1.12.4-asm.1, 1.11.7-asm.1, atau 1.10.6-asm.1.
• Meskipun Cloud Service Mesh tidak mendukung filter Envoy, Anda dapat terpengaruh jika menggunakan {i>decompress filter<i}.

Upgrade cluster Anda ke salah satu versi yang di-patch berikut:

• 1.12.4-asm.1
• 1.11.7-asm.1
• 1.10.6-asm.1

Jika Anda menggunakan Cloud Service Mesh v1.9 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus meng-upgrade ke Cloud Service Mesh 1.10 atau yang lebih baru.

Sedang

CVE-2021-43825

Use-after-free saat tunneling TCP melalui HTTP, jika downstream terputus selama upstream pembentukan koneksi.

Apa yang harus saya lakukan?

Cluster Anda akan terpengaruh jika kedua hal berikut berlaku:

• Patch ini menggunakan versi patch Cloud Service Mesh yang lebih awal dari 1.12.4-asm.1, 1.11.7-asm.1, atau 1.10.6-asm.1.
• Meskipun Cloud Service Mesh tidak mendukung filter Envoy, Anda dapat terpengaruh jika menggunakan filter tunneling.

Upgrade cluster Anda ke salah satu versi yang di-patch berikut:

• 1.12.4-asm.1
• 1.11.7-asm.1
• 1.10.6-asm.1

Jika Anda menggunakan Cloud Service Mesh v1.9 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus meng-upgrade ke Cloud Service Mesh 1.10 atau yang lebih baru.

Sedang

CVE-2021-43826

Penanganan konfigurasi yang salah memungkinkan sesi mTLS digunakan kembali tanpa validasi ulang setelah pengaturan validasi telah berubah.

Apa yang harus saya lakukan?

Cluster Anda akan terpengaruh jika kedua hal berikut berlaku:

• Patch ini menggunakan versi patch Cloud Service Mesh yang lebih awal dari 1.12.4-asm.1, 1.11.7-asm.1, atau 1.10.6-asm.1.
• Semua layanan Cloud Service Mesh yang menggunakan mTLS terpengaruh oleh CVE ini.

Upgrade cluster Anda ke salah satu versi yang di-patch berikut:

• 1.12.4-asm.1
• 1.11.7-asm.1
• 1.10.6-asm.1

Jika Anda menggunakan Cloud Service Mesh v1.9 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus meng-upgrade ke Cloud Service Mesh 1.10 atau yang lebih baru.

Tinggi

CVE-2022-21654

Penanganan pengalihan internal yang salah ke rute dengan entri respons langsung.

Apa yang harus saya lakukan?

Cluster Anda akan terpengaruh jika kedua hal berikut berlaku:

• Patch ini menggunakan versi patch Cloud Service Mesh yang lebih awal dari 1.12.4-asm.1, 1.11.7-asm.1, atau 1.10.6-asm.1.
• Meskipun Cloud Service Mesh tidak mendukung filter Envoy, Anda dapat terpengaruh jika menggunakan filter respons langsung.

Upgrade cluster Anda ke salah satu versi yang di-patch berikut:

• 1.12.4-asm.1
• 1.11.7-asm.1
• 1.10.6-asm.1

Jika Anda menggunakan Cloud Service Mesh v1.9 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus meng-upgrade ke Cloud Service Mesh 1.10 atau yang lebih baru.

Tinggi

CVE-2022-21655

Kehabisan stack saat cluster dihapus melalui Layanan Penemuan Cluster.

Apa yang harus saya lakukan?

Cluster Anda akan terpengaruh jika kedua hal berikut berlaku:

• Patch ini menggunakan versi patch Cloud Service Mesh yang lebih awal dari 1.12.4-asm.1 atau 1.11.7-asm.1.

Upgrade cluster Anda ke salah satu versi yang di-patch berikut:

• 1.12.4-asm.1
• 1.11.7-asm.1

Jika Anda menggunakan Cloud Service Mesh v1.9 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus meng-upgrade ke Cloud Service Mesh 1.10 atau yang lebih baru.

Sedang

CVE-2022-23606

Istio berisi kerentanan yang dapat dieksploitasi dari jarak jauh saat permintaan HTTP dengan fragmen (bagian di akhir URI yang diawali dengan karakter #) di jalur URI dapat mengabaikan kebijakan otorisasi berbasis jalur URI Istio.

Misalnya, kebijakan otorisasi Istio menolak permintaan yang dikirim ke jalur URI /user/profile. Pada versi yang rentan, permintaan dengan jalur URI /user/profile#section1 mengabaikan kebijakan penolakan dan merutekan ke backend (dengan jalur URI yang dinormalisasi /user/profile%23section1), yang menyebabkan insiden keamanan.

Perbaikan ini bergantung pada perbaikan di Envoy, yang terkait dengan CVE-2021-32779.

Apa yang harus saya lakukan?

Cluster Anda akan terpengaruh jika kedua hal berikut berlaku:

• Patch ini menggunakan versi patch Cloud Service Mesh yang lebih lama dari 1.7.8-asm.10, 1.8.6-asm.8, 1.9.8-asm.1, dan 1.10.4-asm.6.
• Kebijakan otorisasi tersebut menggunakan kebijakan otorisasi dengan DENY actions dan operation.paths, atau ALLOW actions dan operation.notPaths.

Upgrade cluster Anda ke salah satu versi yang di-patch berikut:

• 1.10.4-asm.6
• 1.9.8-asm.1
• 1.8.6-asm.8
• 1.7.8-asm.10

Dengan versi baru, bagian fragmen URI permintaan akan dihapus sebelum otorisasi dan perutean. Tindakan ini mencegah permintaan dengan fragmen dalam URI-nya agar tidak melewati kebijakan otorisasi yang didasarkan pada URI tanpa bagian fragmen tersebut.

Jika Anda memilih tidak ikut perilaku baru ini, bagian fragmen di URI akan dipertahankan. Untuk menonaktifkannya, Anda dapat mengonfigurasi penginstalan sebagai berikut:

apiVersion: install.istio.io/v1alpha1
kind: IstioOperator
metadata:
  name: opt-out-fragment-cve-fix
  namespace: istio-system
spec:
  meshConfig:
    defaultConfig:
      proxyMetadata:
        HTTP_STRIP_FRAGMENT_FROM_PATH_UNSAFE_IF_DISABLED: "false"

Catatan: Memilih tidak ikut perilaku ini akan membuat cluster Anda rentan terhadap CVE ini.

Tinggi

CVE-2021-39156

Istio berisi kerentanan yang dapat dieksploitasi dari jarak jauh, di mana permintaan HTTP berpotensi mengabaikan kebijakan otorisasi Istio saat menggunakan aturan berdasarkan hosts atau notHosts.

Pada versi yang rentan, kebijakan otorisasi Istio membandingkan header HTTP Host atau :authority dengan cara yang peka huruf besar/kecil, yang tidak konsisten dengan RFC 4343. Misalnya, pengguna dapat memiliki kebijakan otorisasi yang menolak permintaan dengan host secret.com, tetapi penyerang dapat mengabaikannya dengan mengirim permintaan pada nama host Secret.com. Alur pemilihan rute mengarahkan traffic ke backend untuk secret.com, yang menyebabkan insiden keamanan.

Apa yang harus saya lakukan?

Cluster Anda akan terpengaruh jika kedua hal berikut berlaku:

• Patch ini menggunakan versi patch Cloud Service Mesh yang lebih lama dari 1.7.8-asm.10, 1.8.6-asm.8, 1.9.8-asm.1, dan 1.10.4-asm.6.
• Google Chat menggunakan kebijakan otorisasi dengan DENY actions berdasarkan operation.hosts atau ALLOW actions berdasarkan operation.notHosts.

Upgrade cluster Anda ke salah satu versi yang di-patch berikut:

• 1.10.4-asm.6
• 1.9.8-asm.1
• 1.8.6-asm.8
• 1.7.8-asm.10

Mitigasi ini memastikan header HTTP Host atau :authority dievaluasi berdasarkan spesifikasi hosts atau notHosts dalam kebijakan otorisasi dengan cara yang tidak peka huruf besar/kecil.

Tinggi

CVE-2021-39155

Envoy berisi kerentanan yang dapat dieksploitasi dari jarak jauh sehingga permintaan HTTP dengan beberapa header nilai dapat melakukan pemeriksaan kebijakan otorisasi yang tidak lengkap saat ekstensi ext_authz digunakan. Jika header permintaan berisi beberapa nilai, server otorisasi eksternal hanya akan melihat nilai terakhir dari header yang diberikan.

Apa yang harus saya lakukan?

Cluster Anda akan terpengaruh jika kedua hal berikut berlaku:

• Patch ini menggunakan versi patch Cloud Service Mesh yang lebih lama dari 1.7.8-asm.10, 1.8.6-asm.8, 1.9.8-asm.1, dan 1.10.4-asm.6.
• Otorisasi tersebut menggunakan fitur Otorisasi Eksternal.

Upgrade cluster Anda ke salah satu versi yang di-patch berikut:

• 1.10.4-asm.6
• 1.9.8-asm.1
• 1.8.6-asm.8
• 1.7.8-asm.10

Tinggi

CVE-2021-32777

Envoy berisi kerentanan yang dapat dieksploitasi dari jarak jauh yang memengaruhi ekstensi decompressor, json-transcoder, atau grpc-web Envoy atau ekstensi eksklusif yang memodifikasi dan meningkatkan ukuran isi permintaan atau respons. Memodifikasi dan meningkatkan ukuran bodi di ekstensi Envoy di luar ukuran buffer internal dapat menyebabkan Envoy mengakses memori yang tidak dialokasikan dan berhenti secara tidak normal.

Apa yang harus saya lakukan?

Cluster Anda akan terpengaruh jika kedua hal berikut berlaku:

• Patch ini menggunakan versi patch Cloud Service Mesh yang lebih lama dari 1.7.8-asm.10, 1.8.6-asm.8, 1.9.8-asm.1, dan 1.10.4-asm.6.
• Arsitektur aplikasi menggunakan EnvoyFilters.

Upgrade cluster Anda ke salah satu versi yang di-patch berikut:

• 1.10.4-asm.6
• 1.9.8-asm.1
• 1.8.6-asm.8
• 1.7.8-asm.10

Tinggi

CVE-2021-32781

Envoy berisi kerentanan yang dapat dieksploitasi dari jarak jauh, yaitu ketika klien Envoy membuka lalu mereset sejumlah besar permintaan HTTP/2 dapat menyebabkan konsumsi CPU yang berlebihan.

Apa yang harus saya lakukan?

Cluster Anda akan terpengaruh jika menggunakan versi patch Cloud Service Mesh yang lebih lama dari 1.7.8-asm.10, 1.8.6-asm.8, 1.9.8-asm.1, dan 1.10.4-asm.6.

Upgrade cluster Anda ke salah satu versi yang di-patch berikut:

• 1.10.4-asm.6
• 1.9.8-asm.1

Catatan: Jika Anda menggunakan Cloud Service Mesh 1.8 atau yang lebih lama, upgrade ke versi patch terbaru Cloud Service Mesh 1.9 dan yang lebih baru untuk mengurangi kerentanan ini.

Tinggi

CVE-2021-32778

Envoy berisi kerentanan yang dapat dieksploitasi dari jarak jauh, yaitu layanan upstream yang tidak tepercaya dapat menyebabkan Envoy berhenti secara tidak normal dengan mengirimkan frame GOAWAY diikuti oleh frame SETTINGS dengan parameter SETTINGS_MAX_CONCURRENT_STREAMS yang disetel ke 0.

Apa yang harus saya lakukan?

Cluster Anda akan terpengaruh jika menggunakan Cloud Service Mesh 1.10 dengan versi patch yang lebih lama dari 1.10.4-asm.6.

Upgrade cluster Anda ke versi patch berikut:

• 1.10.4-asm.6

Tinggi

CVE-2021-32780

Istio Secure Gateway atau menggunakan DestinationRule dapat memuat sertifikat dan kunci pribadi TLS dari secret Kubernetes melalui credentialName konfigurasi Anda. Dari Istio 1.8 dan yang lebih baru, rahasianya dibaca dari istiod dan disampaikan ke gateway dan beban kerja melalui XDS.

Biasanya, deployment gateway atau workload hanya dapat mengakses sertifikat TLS dan kunci yang disimpan dalam rahasia dalam namespace-nya. Namun, bug di istiod memungkinkan klien yang diotorisasi untuk mengakses Istio XDS API guna mengambil sertifikat TLS dan kunci pribadi di-cache di istiod. Kerentanan keamanan ini hanya berdampak pada minor 1.8 dan 1.9 Cloud Service Mesh.

Apa yang harus saya lakukan?

Cluster Anda akan terpengaruh jika SEMUA kondisi berikut terpenuhi:

• Ini menggunakan versi 1.9.x sebelum 1.9.6-asm.1 atau 1.8.x sebelum 1.8.6-asm.4.
• Gateways telah ditentukan atau DestinationRules dengan kolom credentialName yang ditentukan.
• Perintah ini tidak menentukan flag istiod PILOT_ENABLE_XDS_CACHE=false.

Upgrade cluster Anda ke salah satu versi yang di-patch berikut:

• 1.9.6-asm.1
• 1.8.6-asm.4

Tinggi

CVE-2021-34824

Istio berisi kerentanan yang dapat dieksploitasi dari jarak jauh yang dapat diakses oleh klien eksternal layanan tak terduga di cluster, yang melewati pemeriksaan otorisasi, ketika gateway dikonfigurasi dengan konfigurasi perutean AUTO_PASS grup.

Apa yang harus saya lakukan?

Kerentanan ini hanya memengaruhi penggunaan jenis Gateway AUTO_PASS konteks, yang dan biasanya hanya digunakan dalam deployment multi-jaringan dan multi-cluster.

Deteksi mode TLS semua Gateway di cluster dengan perintah berikut:

kubectl get gateways.networking.istio.io -A -o \
  "custom-columns=NAMESPACE:.metadata.namespace, \
  NAME:.metadata.name,TLS_MODE:.spec.servers[*].tls.mode"

Jika output menampilkan Gateway AUTO_PASS grup apa pun, Anda mungkin akan terpengaruh.

Update cluster Anda ke versi Cloud Service Mesh terbaru:

• 1.9.5-asm.2
• 1.8.6-asm.3
• 1.7.8-asm.8

* Catatan: Peluncuran Cloud Service Mesh Bidang Kontrol Terkelola (hanya tersedia dalam versi 1.9.x) akan selesai dalam beberapa hari ke depan.

Tinggi

CVE-2021-31921

Istio berisi kerentanan yang dapat dieksploitasi dari jarak jauh, di mana jalur permintaan HTTP dengan garis miring atau karakter garis miring yang di-escape (%2F atau %5C) berpotensi mengabaikan Istio kebijakan otorisasi ketika aturan otorisasi berbasis jalur digunakan.

Dalam skenario di mana administrator cluster Istio menetapkan kebijakan DENY otorisasi untuk menolak permintaan di jalur "/admin", permintaan dikirim ke jalur URL "//admin" TIDAK akan ditolak oleh kebijakan otorisasi.

Menurut RFC 3986, jalur "//admin" dengan beberapa garis miring secara teknis harus diperlakukan sebagai jalur yang berbeda dari "/admin". Namun, beberapa layanan backend memilih normalkan jalur URL dengan menggabungkan beberapa garis miring menjadi satu garis miring. Hal ini dapat mengakibatkan mengabaikan kebijakan otorisasi ("//admin" tidak cocok "/admin"), dan pengguna dapat mengakses resource di jalur "/admin" dalam backend.

Apa yang harus saya lakukan?

Cluster Anda terpengaruh oleh kerentanan ini jika Anda memiliki kebijakan otorisasi "ALLOW action + notPaths field" atau "TOLAK kolom tindakan + jalur" pola-pola tersebut. Pola-pola ini rentan terhadap pengabaian kebijakan yang tidak terduga dan Anda harus meningkatkan versi untuk memperbaiki masalah keamanan SEGERA.

Berikut adalah contoh kebijakan rentan yang menggunakan "TOLAK kolom tindakan + jalur" pola:

apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: deny-path-admin
spec:
  action: DENY
  rules:
  - to:
    - operation:
        paths: ["/admin"]

Berikut adalah contoh lain dari kebijakan rentan yang menggunakan "ALLOW action + notPaths" bidang" pola:

apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: allow-path-not-admin
spec:
  action: ALLOW
  rules:
  - to:
    - operation:
        notPaths: ["/admin"]

Cluster Anda tidak terpengaruh oleh kerentanan ini jika:

• Anda tidak memiliki kebijakan otorisasi.
• Kebijakan otorisasi Anda tidak menentukan kolom paths atau notPaths.
• Kebijakan otorisasi Anda menggunakan "kolom IZINKAN tindakan + jalur" atau "TOLAK aksi + notPaths bidang" pola-pola tersebut. Pola ini hanya dapat menyebabkan penolakan tak terduga, bukan kebijakan pengabaian.

Upgrade bersifat opsional untuk kasus ini.

Update cluster Anda ke versi Cloud Service Mesh terbaru yang didukung*. Versi ini mendukung mengonfigurasi proxy Envoy dalam sistem dengan opsi normalisasi lainnya:

• 1.9.5-asm.2
• 1.8.6-asm.3
• 1.7.8-asm.8

* Catatan: Peluncuran Cloud Service Mesh Bidang Kontrol Terkelola (hanya tersedia dalam versi 1.9.x) akan selesai dalam beberapa hari ke depan.

Ikuti Panduan praktik terbaik keamanan Istio untuk mengonfigurasi kebijakan otorisasi.

Tinggi

CVE-2021-31920

Project Envoy dan Istio baru-baru ini diumumkan beberapa kerentanan keamanan baru (CVE-2021-28682, CVE-2021-28683, dan CVE-2021-29258), yang dapat memungkinkan penyerang membuat error Envoy dan berpotensi merender bagian cluster secara offline dan tidak dapat dijangkau.

Hal ini memengaruhi layanan yang dikirimkan seperti Cloud Service Mesh.

Apa yang harus saya lakukan?

Untuk memperbaiki kerentanan ini, upgrade paket Cloud Service Mesh Anda ke salah satu versi yang di-patch berikut:

• 1.9.3-asm.2
• 1.8.5-asm.2
• 1.7.8-asm.1
• 1.6.14-asm.2

Untuk mengetahui informasi selengkapnya, lihat catatan rilis Cloud Service Mesh.

Tinggi

CVE-2021-28682
CVE-2021-28683
CVE-2021-29258