Boletines de seguridad

Usa este feed XML para suscribirte a los boletines de seguridad de Cloud Service Mesh. Suscribirse

En esta página, se enumeran los boletines de seguridad de Cloud Service Mesh.

GCP-2024-052

Descripción Gravedad Notas

oghttp2 falla en OnBeginHeadersForStream

¿Qué debo hacer?

Verifica si tus clústeres se ven afectados

Solo se ven afectados los clústeres que ejecutan la versión 1.23 de Cloud Service Mesh

Mitigación

Cloud Service Mesh 1.23.2-asm.2 contiene la solución para este problema. No es necesario que realices ninguna acción.

Alta

CVE-2024-45807

Descripción Gravedad Notas

Inyección de registros maliciosos a través de registros de acceso

¿Qué debo hacer?

Verifica si tus clústeres se ven afectados

Todas las versiones de Cloud Service Mesh se ven afectadas por esta CVE.

Mitigación

Actualiza el clúster a una de las siguientes versiones de parche:

  • 1.20.8-asm.7
  • 1.21.5-asm.7
  • 1.22.5-asm.1
  • 1.23.2-asm.2

Media

CVE-2024-45808

Descripción Gravedad Notas

Posibilidad de manipular encabezados "x-envoy" desde fuentes externas

¿Qué debo hacer?

Verifica si tus clústeres se ven afectados

Todas las versiones de Cloud Service Mesh se ven afectadas por esta CVE.

Mitigación

Actualiza el clúster a una de las siguientes versiones de parche:

  • 1.20.8-asm.7
  • 1.21.5-asm.7
  • 1.22.5-asm.1
  • 1.23.2-asm.2

Media

CVE-2024-45806

Descripción Gravedad Notas

El filtro de JWT falla cuando se borra la caché de ruta con JWK remotos.

¿Qué debo hacer?

Verifica si tus clústeres se ven afectados

Todas las versiones de Cloud Service Mesh se ven afectadas por esta CVE.

Mitigación

Actualiza el clúster a una de las siguientes versiones de parche:

  • 1.20.8-asm.7
  • 1.21.5-asm.7
  • 1.22.5-asm.1
  • 1.23.2-asm.2

Media

CVE-2024-45809

Descripción Gravedad Notas

Envoy falla para LocalReply en el cliente asíncrono de HTTP.

¿Qué debo hacer?

Verifica si tus clústeres se ven afectados

Todas las versiones de Cloud Service Mesh se ven afectadas por esta CVE.

Mitigación

Actualiza el clúster a una de las siguientes versiones de parche:

  • 1.20.8-asm.7
  • 1.21.5-asm.7
  • 1.22.5-asm.1
  • 1.23.2-asm.2

Media

CVE-2024-45810

GCP-2024-032

Descripción Gravedad Notas

Envoy acepta de forma incorrecta la respuesta HTTP 200 para ingresar al modo de actualización.

¿Qué debo hacer?

Verifica si tus clústeres se ven afectados

Todas las versiones de Cloud Service Mesh se ven afectadas por esta CVE.

Mitigación

Si ejecutas Cloud Service Mesh administrado, tu sistema se actualizará automáticamente durante los próximos días.

De lo contrario, actualiza el clúster a una de las siguientes versiones con parches:

  • v1.21.3-asm.3
  • v1.20.7-asm.2
  • v1.19.10-asm.6
  • v1.18.7-asm.26
  • Si usas Cloud Service Mesh 1.17 o una versión anterior, significa que tu versión llegó al final del ciclo de vida y ya no es compatible. Estas correcciones de CVE no se portaron a versiones anteriores. Debes actualizar a Cloud Service Mesh 1.18 o una versión posterior.

Media

CVE-2024-23326

Descripción Gravedad Notas

Se produce una falla en EnvoyQuicServerStream::OnInitialHeadersComplete().

¿Qué debo hacer?

Verifica si tus clústeres se ven afectados

Todas las versiones de Cloud Service Mesh se ven afectadas por esta CVE.

Mitigación

Si ejecutas Cloud Service Mesh administrado, tu sistema se actualizará automáticamente durante los próximos días.

De lo contrario, actualiza el clúster a una de las siguientes versiones con parches:

  • v1.21.3-asm.3
  • v1.20.7-asm.2
  • v1.19.10-asm.6
  • v1.18.7-asm.26
  • Si usas Cloud Service Mesh 1.17 o una versión anterior, significa que tu versión llegó al final del ciclo de vida y ya no es compatible. Estas correcciones de CVE no se portaron a versiones anteriores. Debes actualizar a Cloud Service Mesh 1.18 o una versión posterior.

Media

CVE-2024-32974

Descripción Gravedad Notas

Falla en QuicheDataReader::PeekVarInt62Length().

¿Qué debo hacer?

Verifica si tus clústeres se ven afectados

Todas las versiones de Cloud Service Mesh se ven afectadas por esta CVE.

Mitigación

Si ejecutas Cloud Service Mesh administrado, tu sistema se actualizará automáticamente durante los próximos días.

De lo contrario, actualiza tu clúster a una de las siguientes versiones con parche:

  • v1.21.3-asm.3
  • v1.20.7-asm.2
  • v1.19.10-asm.6
  • v1.18.7-asm.26
  • Si usas Cloud Service Mesh 1.17 o una versión anterior, significa que tu versión llegó al final del ciclo de vida y ya no es compatible. Estas correcciones de CVE no se portaron a versiones anteriores. Debes actualizar a Cloud Service Mesh 1.18 o una versión posterior.

Media

CVE-2024-32975

Descripción Gravedad Notas

Se realiza un bucle sin fin mientras se descomprimen los datos de Brotli con entradas adicionales.

¿Qué debo hacer?

Verifica si tus clústeres se ven afectados

Todas las versiones de Cloud Service Mesh se ven afectadas por esta CVE.

Mitigación

Si ejecutas Cloud Service Mesh administrado, tu sistema se actualizará automáticamente durante los próximos días.

De lo contrario, actualiza tu clúster a una de las siguientes versiones con parche:

  • v1.21.3-asm.3
  • v1.20.7-asm.2
  • v1.19.10-asm.6
  • v1.18.7-asm.26
  • Si usas Cloud Service Mesh 1.17 o una versión anterior, significa que tu versión llegó al final del ciclo de vida y ya no es compatible. Estas correcciones de CVE no se portaron a versiones anteriores. Debes actualizar a Cloud Service Mesh 1.18 o una versión posterior.

Alta

CVE-2024-32976

Descripción Gravedad Notas

Falla (uso después de la liberación) en EnvoyQuicServerStream.

¿Qué debo hacer?

Verifica si tus clústeres se ven afectados

Todas las versiones de Cloud Service Mesh se ven afectadas por esta CVE.

Mitigación

Si ejecutas Cloud Service Mesh administrado, tu sistema se actualizará automáticamente durante los próximos días.

De lo contrario, actualiza tu clúster a una de las siguientes versiones con parche:

  • v1.21.3-asm.3
  • v1.20.7-asm.2
  • v1.19.10-asm.6
  • v1.18.7-asm.26
  • Si usas Cloud Service Mesh 1.17 o una versión anterior, significa que tu versión llegó al final del ciclo de vida y ya no es compatible. Estas correcciones de CVE no se portaron a versiones anteriores. Debes actualizar a Cloud Service Mesh 1.18 o una versión posterior.

Media

CVE-2024-34362

Descripción Gravedad Notas

Se produce una falla debido a una excepción de JSON de nlohmann no detectada.

¿Qué debo hacer?

Verifica si tus clústeres se ven afectados

Todas las versiones de Cloud Service Mesh se ven afectadas por esta CVE.

Mitigación

Si ejecutas Cloud Service Mesh administrado, tu sistema se actualizará automáticamente durante los próximos días.

De lo contrario, actualiza tu clúster a una de las siguientes versiones con parche:

  • v1.21.3-asm.3
  • v1.20.7-asm.2
  • v1.19.10-asm.6
  • v1.18.7-asm.26
  • Si usas Cloud Service Mesh 1.17 o una versión anterior, significa que tu versión llegó al final del ciclo de vida y ya no es compatible. Estas correcciones de CVE no se portaron a versiones anteriores. Debes actualizar a Cloud Service Mesh 1.18 o una versión posterior.

Alta

CVE-2024-34363

Descripción Gravedad Notas

Vector de OOM de Envoy del cliente asíncrono HTTP con búfer de respuesta ilimitado para la respuesta del espejo.

¿Qué debo hacer?

Verifica si tus clústeres se ven afectados

Todas las versiones de Cloud Service Mesh se ven afectadas por esta CVE.

Mitigación

Si ejecutas Cloud Service Mesh administrado, tu sistema se actualizará automáticamente durante los próximos días.

De lo contrario, actualiza tu clúster a una de las siguientes versiones con parche:

  • v1.21.3-asm.3
  • v1.20.7-asm.2
  • v1.19.10-asm.6
  • v1.18.7-asm.26
  • Si usas Cloud Service Mesh 1.17 o una versión anterior, significa que tu versión llegó al final del ciclo de vida y ya no es compatible. Estas correcciones de CVE no se portaron a versiones anteriores. Debes actualizar a Cloud Service Mesh 1.18 o una versión posterior.

Media

CVE-2024-34364

GCP-2024-023

Fecha de publicación: 24/04/2024

Descripción Gravedad Notas

HTTP/2: agotamiento de la memoria debido a un desbordamiento de marcos de CONTINUATION

¿Qué debo hacer?

Verifica si tus clústeres se ven afectados

Todas las versiones de Cloud Service Mesh se ven afectadas por esta CVE.

Mitigación

Si ejecutas Cloud Service Mesh administrado, no se requiere ninguna acción. Tu sistema será se actualizará automáticamente en los próximos días.

Si ejecutas Cloud Service Mesh en un clúster, debes actualizar tu clúster a uno de las siguientes versiones de parche:

  • 1.20.6-asm.0
  • 1.19.10-asm.0
  • 1.18.7-asm.21

Si usas Cloud Service Mesh 1.17 o una versión anterior, significa que tu versión llegó al final del ciclo de vida y ya no se admite. Estas correcciones de CVE no se portaron a versiones anteriores. Deberías actualizar a Cloud Service Mesh v1.18 o una versión posterior

Alta

CVE-2024-27919

Descripción Gravedad Notas

HTTP/2: Agotamiento de la CPU debido a una inundación de tramas de CONTINUATION

¿Qué debo hacer?

Verifica si tus clústeres se ven afectados

Todas las versiones de Cloud Service Mesh se ven afectadas por esta CVE.

Mitigación

Si ejecutas Cloud Service Mesh administrado, no se requiere ninguna acción. Tu sistema será se actualizará automáticamente en los próximos días.

Si ejecutas Cloud Service Mesh en un clúster, debes actualizar tu clúster a uno de las siguientes versiones de parche:

  • 1.20.6-asm.0
  • 1.19.10-asm.0
  • 1.18.7-asm.21

Si usas Cloud Service Mesh 1.17 o una versión anterior, significa que tu versión llegó al final del ciclo de vida y ya no se admite. Estas correcciones de CVE no se portaron a versiones anteriores. Debes actualizar a Cloud Service Mesh 1.18 o una versión posterior.

Media

CVE-2024-30255

Descripción Gravedad Notas

Finalización anormal cuando se usa auto_sni con ':authority' encabezado de más de 255 caracteres.

¿Qué debo hacer?

Verifica si tus clústeres se ven afectados

Todas las versiones de Cloud Service Mesh se ven afectadas por esta CVE.

Mitigación

Si ejecutas Cloud Service Mesh administrado, no se requiere ninguna acción. Tu sistema será se actualizará automáticamente en los próximos días.

Si ejecutas Cloud Service Mesh en un clúster, debes actualizar tu clúster a uno de las siguientes versiones de parche:

  • 1.20.6-asm.0
  • 1.19.10-asm.0
  • 1.18.7-asm.21

Si usas Cloud Service Mesh 1.17 o una versión anterior, significa que tu versión llegó al final del ciclo de vida y está ya no es compatible. Estas correcciones de CVE no se portaron a versiones anteriores. Deberías actualizar a Cloud Service Mesh 1.18 o una versión posterior

Alta

CVE-2024-32475

Descripción Gravedad Notas

Los cuadros de CONTINUACIÓN de HTTP/2 se pueden usar para ataques DoS.

¿Qué debo hacer?

Verifica si tus clústeres se ven afectados

Todas las versiones de Cloud Service Mesh se ven afectadas por esta CVE.

Mitigación

Si ejecutas Cloud Service Mesh administrado, no se requiere ninguna acción. Tu sistema será se actualizará automáticamente en los próximos días.

Si ejecutas Cloud Service Mesh en un clúster, debes actualizar tu clúster a uno de las siguientes versiones de parche:

  • 1.20.6-asm.0
  • 1.19.10-asm.0
  • 1.18.7-asm.21

Si usas Cloud Service Mesh 1.17 o una versión anterior, significa que tu versión llegó al final del ciclo de vida. y ya no es compatible. Estas correcciones de CVE no se portaron a versiones anteriores. Debes actualizar a la versión v1.18 o una posterior.

No proporcionado

CVE-2023-45288

GCP-2024-007

Fecha de publicación: 8 de febrero de 2024

Descripción Gravedad Notas

Envoy falla cuando hay tiempos inactivos y de espera de solicitudes por intento en el intervalo de retirada.

¿Qué debo hacer?

Si ejecutas Cloud Service Mesh administrado, no se requiere ninguna acción. Tu sistema será se actualizará automáticamente en los próximos días.

Si ejecutas Cloud Service Mesh en un clúster, debes actualizar tu clúster a uno de las siguientes versiones de parche:

  • 1.20.3-asm.4
  • 1.19.7-asm.3
  • 1.18.7-asm.4
  • 1.17.8-asm.20

Si usas Anthos Service Mesh 1.17 o una versión anterior, significa que tu versión llegó al final del vida y ya no es compatible. Si bien estas correcciones de CVE se portaron a la versión 1.17, debes actualizar a la versión 1.18 o una posterior.

Alta

CVE-2024-23322

Descripción Gravedad Notas

Se produce un uso excesivo de la CPU cuando el comparador de plantillas de URI se configura a través de una regex.

¿Qué debo hacer?

Si ejecutas Cloud Service Mesh administrado, no se requiere ninguna acción. Tu sistema será se actualizará automáticamente en los próximos días.

Si ejecutas Cloud Service Mesh en un clúster, debes actualizar tu clúster a uno de las siguientes versiones de parche:

  • 1.20.3-asm.4
  • 1.19.7-asm.3
  • 1.18.7-asm.4
  • 1.17.8-asm.20

Si usas Anthos Service Mesh 1.17 o una versión anterior, significa que tu versión llegó al final del vida y ya no es compatible. Si bien estas correcciones de CVE se portaron a la versión 1.17, debes actualizar a la versión 1.18 o una posterior.

Media

CVE-2024-23323

Descripción Gravedad Notas

Se puede omitir la autorización externa cuando el filtro de protocolo del proxy establece metadatos UTF-8 no válidos.

¿Qué debo hacer?

Si ejecutas Cloud Service Mesh administrado, no se requiere ninguna acción. Tu sistema será se actualizará automáticamente en los próximos días.

Si ejecutas Cloud Service Mesh en un clúster, debes actualizar tu clúster a uno de las siguientes versiones de parche:

  • 1.20.3-asm.4
  • 1.19.7-asm.3
  • 1.18.7-asm.4
  • 1.17.8-asm.20

Si usas Anthos Service Mesh 1.17 o una versión anterior, significa que tu versión llegó al final del vida y ya no es compatible. Si bien estas correcciones de CVE se portaron a la versión 1.17, debes actualizar a la versión 1.18 o una posterior.

Alta

CVE-2024-23324

Descripción Gravedad Notas

Envoy falla cuando se utiliza un tipo de dirección que no es compatible con el SO.

¿Qué debo hacer?

Si ejecutas Cloud Service Mesh administrado, no se requiere ninguna acción. Tu sistema será se actualizará automáticamente en los próximos días.

Si ejecutas Cloud Service Mesh en un clúster, debes actualizar tu clúster a uno de las siguientes versiones de parche:

  • 1.20.3-asm.4
  • 1.19.7-asm.3
  • 1.18.7-asm.4
  • 1.17.8-asm.20

Si usas Anthos Service Mesh 1.17 o una versión anterior, significa que tu versión llegó al final del vida y ya no es compatible. Si bien estas correcciones de CVE se portaron a la versión 1.17, debes actualizar a la versión 1.18 o una posterior.

Alta

CVE-2024-23325

Descripción Gravedad Notas

Se produce una falla en el protocolo del proxy cuando el tipo de comando es LOCAL.

¿Qué debo hacer?

Si ejecutas Cloud Service Mesh administrado, no se requiere ninguna acción. Tu sistema será se actualizará automáticamente en los próximos días.

Si ejecutas Cloud Service Mesh en un clúster, debes actualizar tu clúster a uno de las siguientes versiones de parche:

  • 1.20.3-asm.4
  • 1.19.7-asm.3
  • 1.18.7-asm.4
  • 1.17.8-asm.20

Si usas Anthos Service Mesh 1.17 o una versión anterior, significa que tu versión llegó al final del vida y ya no es compatible. Si bien estas correcciones de CVE se portaron a la versión 1.17, debes actualizar a la versión 1.18 o una posterior.

Alta

CVE-2024-23327

GCP-2023-031

Fecha de publicación: 10/10/2023

Descripción Gravedad Notas

Un ataque de denegación del servicio puede afectar el plano de datos cuando se usa el protocolo HTTP/2.

¿Qué debo hacer?

Verifica si tus clústeres se ven afectados

Tu clúster se verá afectado si usa versiones de parche de Cloud Service Mesh anteriores a 1.18.4, 1.17.7 o 1.16.7.

Mitigación

Actualiza el clúster a una de las siguientes versiones de parche:

  • 1.18.4-asm.0
  • 1.17.7-asm.0
  • 1.16.7-asm.10

Si ejecutas Cloud Service Mesh administrado, tu sistema se actualizará automáticamente en los próximos días.

Si usas Cloud Service Mesh v1.15 o una versión anterior, tu versión llegó al final del ciclo de vida y ya no es compatible. Estas correcciones de CVE no se portaron a versiones anteriores. Debes actualizar a la versión 1.16 o una posterior.

Alta

CVE-2023-44487

GCP-2023-021

Updated:2023-07-26

Fecha de publicación: 25/07/2022
Descripción Gravedad Notas

Un cliente malicioso puede crear credenciales con validez permanente en algunas situaciones específicas. Por ejemplo, la combinación de host y fecha de vencimiento en la carga útil de HMAC puede ser siempre válida en la verificación de HMAC del filtro OAuth2.

¿Qué debo hacer?

Verifica si tus clústeres se ven afectados

Tu clúster se verá afectado si usa versiones de parche de Cloud Service Mesh anteriores a

  • 1.17.4
  • 1.16.6
  • 1.15.7
Mitigación

Actualiza el clúster a una de las siguientes versiones de parche:

  • 1.17.5-asm.0
  • 1.16.7-asm.0
  • 1.15.7-asm.23

Si ejecutas Cloud Service Mesh administrado, tu sistema se actualizará automáticamente en los próximos días.

Si usas Anthos Service Mesh 1.14 o una versión anterior, significa que tu versión llegó al final del ciclo de vida y ya no es compatible. Estas correcciones de CVE no se portaron a versiones anteriores. Debes actualizar a ASM 1.15 o una versión posterior.

Alta

CVE-2023-35941

Descripción Gravedad Notas

Los registradores de acceso de gRPC que usan el alcance global del objeto de escucha pueden provocar una falla de uso después de la liberación cuando se agota el objeto de escucha. Esto se puede activar mediante una actualización de LDS con la misma configuración de registro de acceso de gRPC.

¿Qué debo hacer?

Verifica si tus clústeres se ven afectados

Tu clúster se verá afectado si usa versiones de parche de Cloud Service Mesh anteriores a

  • 1.17.4
  • 1.16.6
  • 1.15.7
Mitigación

Actualiza el clúster a una de las siguientes versiones de parche:

  • 1.17.5-asm.0
  • 1.16.7-asm.0
  • 1.15.7-asm.23

Si ejecutas Cloud Service Mesh administrado, tu sistema se actualizará automáticamente en los próximos días.

Si usas Anthos Service Mesh 1.14 o una versión anterior, tu versión llegó al final del ciclo de vida y ya no es compatible. Estas correcciones de CVE no se portaron a versiones anteriores. Debes actualizar a ASM 1.15 o una versión posterior.

Media

CVE-2023-35942

Descripción Gravedad Notas

Si el encabezado origin está configurado para quitarse con request_headers_to_remove: origin, el filtro de CORS generará un error de segmentación y fallará en Envoy.

¿Qué debo hacer?

Verifica si tus clústeres se ven afectados

Tu clúster se verá afectado si usa versiones de parche de Cloud Service Mesh anteriores a

  • 1.17.4
  • 1.16.6
  • 1.15.7
Mitigación

Actualiza el clúster a una de las siguientes versiones de parche:

  • 1.17.5-asm.0
  • 1.16.7-asm.0
  • 1.15.7-asm.23

Si ejecutas Cloud Service Mesh administrado, tu sistema se actualizará automáticamente en los próximos días.

Si usas Anthos Service Mesh 1.14 o una versión anterior, tu versión llegó al final del ciclo de vida y ya no es compatible. Estas correcciones de CVE no se portaron a versiones anteriores. Debes actualizar a ASM 1.15 o una versión posterior.

Media

CVE-2023-35943

Descripción Gravedad Notas

Los atacantes pueden enviar solicitudes de esquemas mixtos para eludir algunas verificaciones de esquemas en Envoy. Por ejemplo, si se envía una solicitud con un esquema htTp mixto al filtro de OAuth2, no aprobará las verificaciones de coincidencia exacta para http y le informará al extremo remoto que el esquema es https, lo que podría omitir las verificaciones de OAuth2 específicas de las solicitudes HTTP.

¿Qué debo hacer?

Verifica si tus clústeres se ven afectados

Tu clúster se verá afectado si usa versiones de parche de Cloud Service Mesh anteriores a

  • 1.17.4
  • 1.16.6
  • 1.15.7
Mitigación

Actualiza el clúster a una de las siguientes versiones de parche:

  • 1.17.5-asm.0
  • 1.16.7-asm.0
  • 1.15.7-asm.23

Si ejecutas Cloud Service Mesh administrado, tu sistema se actualizará automáticamente en los próximos días.

Si usas Anthos Service Mesh 1.14 o una versión anterior, significa que tu versión llegó al final del ciclo de vida y ya no es compatible. Estas correcciones de CVE no se portaron a versiones anteriores. Debes actualizar a ASM 1.15 o una versión posterior.

Alta

CVE-2023-35944

GCP-2023-019

Descripción Gravedad Notas

Una respuesta creada específicamente de un servicio ascendente no confiable puede causar un rechazo del servicio debido al agotamiento de la memoria. Esto se debe al códec HTTP/2 de Envoy, que puede filtrar un mapa de encabezados y estructuras de contabilización cuando recibe RST_STREAM inmediatamente seguido de los fotogramas GOAWAY de un servidor upstream.

¿Qué debo hacer?

Verifica si tus clústeres se ven afectados

Tu clúster se verá afectado si usa versiones de parche de Cloud Service Mesh anteriores a

  • 1.17.4
  • 1.16.6
  • 1.15.7
Mitigación

Actualiza el clúster a una de las siguientes versiones de parche:

  • 1.17.4-asm.2
  • 1.16.6-asm.3
  • 1.15.7-asm.21

Si ejecutas Cloud Service Mesh administrado, tu sistema se actualizará automáticamente en los próximos días.

Si usas Anthos Service Mesh 1.14 o una versión anterior, significa que tu versión llegó al final del ciclo de vida y ya no es compatible. Estas correcciones de CVE no se portaron a versiones anteriores. Debes actualizar a ASM 1.15 o una versión posterior.

Alta

CVE-2023-35945

GCP-2023-002

Descripción Gravedad Notas

Si Envoy se ejecuta con el filtro OAuth habilitado y en exposición, un agente malicioso podría crear una solicitud que provocaría una denegación del servicio si generara fallas en Envoy.

¿Qué debo hacer?

Verifica si tus clústeres se ven afectados

Tus clústeres se ven afectados si usan versiones de parche de Cloud Service Mesh anteriores a las siguientes:

  • 1.16.4
  • 1.15.7
  • 1.14.6
Mitigación

Actualiza el clúster a una de las siguientes versiones de parche:

  • 1.16.4-asm.2
  • 1.15.7-asm.1
  • 1.14.6-asm.11

Si usas Cloud Service Mesh v1.13 o una versión anterior, tu versión llegó al final del ciclo de vida y ya no es compatible. Estas correcciones de CVE no se portaron a versiones anteriores. Debes actualizar a Cloud Service Mesh 1.14 o una versión posterior.

Media

CVE-2023-27496

Descripción Gravedad Notas

El atacante puede usar esta vulnerabilidad para omitir las verificaciones de autenticación cuando se usa ext_authz.

¿Qué debo hacer?

Verifica si tus clústeres se ven afectados

Tus clústeres se ven afectados si usan versiones de parche de Cloud Service Mesh anteriores a las siguientes:

  • 1.16.4
  • 1.15.7
  • 1.14.6
Mitigación

Actualiza el clúster a una de las siguientes versiones de parche:

  • 1.16.4-asm.2
  • 1.15.7-asm.1
  • 1.14.6-asm.11

Si usas Cloud Service Mesh v1.13 o una versión anterior, tu versión llegó al final del ciclo de vida y ya no es compatible. Estas correcciones de CVE no se portaron a versiones anteriores. Debes actualizar a Cloud Service Mesh} 1.14 o una versión posterior.

Media

CVE-2023-27488

Descripción Gravedad Notas

La configuración de Envoy también debe incluir una opción para agregar encabezados de solicitud que se generaron con entradas de la solicitud, es decir, la SAN del certificado del par.

¿Qué debo hacer?

Verifica si tus clústeres se ven afectados

Tus clústeres se ven afectados si usan versiones de parche de Cloud Service Mesh anteriores a las siguientes:

  • 1.16.4
  • 1.15.7
  • 1.14.6
Mitigación

Actualiza el clúster a una de las siguientes versiones de parche:

  • 1.16.4-asm.2
  • 1.15.7-asm.1
  • 1.14.6-asm.11

Si usas Cloud Service Mesh 1.13 o una versión anterior, significa que tu versión llegó al final del ciclo de vida y ya no es compatible. Estas correcciones de CVE no se portaron a versiones anteriores. Debes actualizar a Cloud Service Mesh 1.14 o una versión posterior.

Alta

CVE-2023-27493

Descripción Gravedad Notas

Los atacantes pueden enviar cuerpos de solicitud grandes para las rutas que tienen habilitado el filtro Lua y activar fallas.

¿Qué debo hacer?

Verifica si tus clústeres se ven afectados

Tus clústeres se ven afectados si usan versiones de parche de Cloud Service Mesh anteriores a las siguientes:

  • 1.16.4
  • 1.15.7
  • 1.14.6
Mitigación

Actualiza el clúster a una de las siguientes versiones de parche:

  • 1.16.4-asm.2
  • 1.15.7-asm.1
  • 1.14.6-asm.11

Si usas Cloud Service Mesh v1.13 o una versión anterior, tu versión llegó al final del ciclo de vida y ya no es compatible. Estas correcciones de CVE no se portaron a versiones anteriores. Debes actualizar a Cloud Service Mesh 1.14 o una versión posterior.

Media

CVE-2023-27492

Descripción Gravedad Notas

Los atacantes pueden enviar solicitudes HTTP/2 o HTTP/3 creadas específicamente para activar errores de análisis en el servicio upstream HTTP/1.

¿Qué debo hacer?

Verifica si tus clústeres se ven afectados

Tus clústeres se ven afectados si usan versiones de parche de Cloud Service Mesh anteriores a las siguientes:

  • 1.16.4
  • 1.15.7
  • 1.14.6
Mitigación

Actualiza el clúster a una de las siguientes versiones de parche:

  • 1.16.4-asm.2
  • 1.15.7-asm.1
  • 1.14.6-asm.11

Si usas Cloud Service Mesh v1.13 o una versión anterior, tu versión llegó al final del ciclo de vida y ya no es compatible. Estas correcciones de CVE no se portaron a versiones anteriores. Debes actualizar a Cloud Service Mesh 1.14 o una versión posterior.

Media

CVE-2023-27491

Descripción Gravedad Notas

El encabezado x-envoy-original-path debe ser un encabezado interno, pero Envoy no lo quita de la solicitud al comienzo del procesamiento de la solicitud cuando se envía desde un cliente no confiable.

¿Qué debo hacer?

Verifica si tus clústeres se ven afectados

Tus clústeres se ven afectados si usan versiones de parche de Cloud Service Mesh anteriores a las siguientes:

  • 1.16.4
  • 1.15.7
  • 1.14.6
Mitigación

Actualiza el clúster a una de las siguientes versiones de parche:

  • 1.16.4-asm.2
  • 1.15.7-asm.1
  • 1.14.6-asm.11

Si usas Cloud Service Mesh 1.13 o una versión anterior, significa que tu versión llegó al final del ciclo de vida y ya no es compatible. Estas correcciones de CVE no se portaron a versiones anteriores. Debes actualizar a Cloud Service Mesh 1.14 o una versión posterior.

Alta

CVE-2023-27487

GCP-2022-020

Fecha de publicación: 5 de octubre de 2022
Última actualización: 12 de octubre de 2022
Actualización del 12 de octubre de 2022: Se actualizó el vínculo a la descripción de CVE y se agregó información sobre actualizaciones automáticas para Cloud Service Mesh administrado.
Descripción Gravedad Notas

El istiod del plano de control de Istio es vulnerable a un error de procesamiento de solicitudes, lo que permite que un atacante malicioso envíe un mensaje creado especialmente a fin de que el plano de control falle cuando el webhook de validación para un clúster se expone públicamente. Este extremo se entrega a través del puerto TLS 15017, pero no requiere ninguna autenticación del atacante.

¿Qué debo hacer?

Verifica si tus clústeres se ven afectados

Tu clúster se verá afectado si usa versiones de parches de Cloud Service Mesh anteriores a la 1.14.4. 1.13.8 o 1.12.9.

Mitigación

Si ejecutas Cloud Service Mesh independiente, actualiza tu clúster a una de las siguientes versiones con parche:

  • Si usas Anthos Service Mesh 1.14, actualiza a v1.14.4-asm.2.
  • Si usas Anthos Service Mesh 1.13, actualiza a v1.13.8-asm.4.
  • Si usas Anthos Service Mesh 1.12, actualiza a v1.12.9-asm.3.

Si ejecutas Cloud Service Mesh administrado, tu sistema se actualizará automáticamente en los próximos días.

Si usas Cloud Service Mesh v1.11 o una versión anterior, tu versión llegó al final del ciclo de vida y ya no es compatible. Estas correcciones de CVE no se portaron a versiones anteriores. Debes actualizar a Cloud Service Mesh 1.12 o una versión posterior.

Alta

CVE-2022-39278

GCP-2022-015

Fecha de publicación: 9/6/2022
Última actualización: 10/06/2022
Actualización del 10/06/2022: Se actualizaron las versiones de parche para Cloud Service Mesh.
Descripción Gravedad Notas

El plano de datos de Istio puede acceder a la memoria de forma insegura cuando se habilitan las extensiones de estadísticas e intercambio de metadatos.

¿Qué debo hacer?

Verifica si tus clústeres se ven afectados

Tu clúster se verá afectado si usa versiones de parche de Cloud Service Mesh anteriores a 1.13.4-asm.4, 1.12.7-asm.2 o 1.11.8-asm.4.

Mitigación de Cloud Service Mesh

Actualiza el clúster a una de las siguientes versiones de parche:

  • 1.13.4-asm.4
  • 1.12.7-asm.2
  • 1.11.8-asm.4

Si usas Cloud Service Mesh 1.10 o una versión anterior, tu versión llegó al final del ciclo de vida y ya no es compatible. Estas correcciones de CVE no se portaron a versiones anteriores. Debes actualizar a Cloud Service Mesh 1.11 o una versión posterior. Para obtener más información, consulta Actualiza desde versiones anteriores (GKE) o Actualiza desde versiones anteriores (locales).

Alta

CVE-2022-31045

Descripción Gravedad Notas

Los datos pueden exceder los límites de búfer intermedios si un atacante malicioso pasa una carga útil pequeña altamente comprimida (también conocida como ataque de bomba zip).

¿Qué debo hacer?

Verifica si tus clústeres se ven afectados

Tu clúster se ve afectado si usa versiones de parche de Cloud Service Mesh anteriores a 1.13.4-asm.4, 1.12.7-asm.2 o 1.11.8-asm.4.

Aunque Cloud Service Mesh no es compatible con los filtros de Envoy, podrías verte afectado si usas un filtro de descompresión.

Mitigación de la malla de servicios de Cloud

Actualiza el clúster a una de las siguientes versiones de parche:

  • 1.13.4-asm.4
  • 1.12.7-asm.2
  • 1.11.8-asm.4

Si usas Cloud Service Mesh 1.10 o una versión anterior, tu versión llegó al final del ciclo de vida y ya no es compatible. Estas correcciones de CVE no se portaron a versiones anteriores. Debes actualizar a Cloud Service Mesh 1.11 o una versión posterior. Para obtener más información, consulta Actualiza desde versiones anteriores (GKE) o Actualiza desde versiones anteriores (locales).

Mitigación de Envoy

Los usuarios de Envoy que administran sus propios Envoys deben asegurarse de usar la versión 1.22.1 de Envoy. Los usuarios de Envoy que administran sus propios Envoys compilan los objetos binarios desde una fuente como GitHub y los implementan.

No deben realizar ninguna acción los usuarios que ejecutan Envoys administrados (Google Cloud proporciona los objetos binarios de Envoy), para los que los productos de la nube cambiarán a la versión 1.22.1.

Alta

CVE-2022-29225

Descripción Gravedad Notas

Posible eliminación de referencia de puntero nulo en GrpcHealthCheckerImpl.

¿Qué debo hacer?

Verifica si tus clústeres se ven afectados

Tu clúster se verá afectado si usa versiones de parche de Cloud Service Mesh anteriores a 1.13.4-asm.4, 1.12.7-asm.2 o 1.11.8-asm.4.

Mitigación de Cloud Service Mesh

Actualiza el clúster a una de las siguientes versiones de parche:

  • 1.13.4-asm.4
  • 1.12.7-asm.2
  • 1.11.8-asm.4

Si usas Cloud Service Mesh v1.10 o una versión anterior, tu versión llegó al final del ciclo de vida y ya no es compatible. Estas correcciones de CVE no se portaron a versiones anteriores. Debes actualizar a Cloud Service Mesh 1.11 o una versión posterior. Para obtener más información, consulta Actualiza desde versiones anteriores (GKE) o Actualiza desde versiones anteriores (locales).

Mitigación de Envoy

Los usuarios de Envoy que administran sus propios Envoys deben asegurarse de usar la versión 1.22.1 de Envoy. Los usuarios de Envoy que administran sus propios Envoys compilan los objetos binarios desde una fuente como GitHub y los implementan.

No deben realizar ninguna acción los usuarios que ejecutan Envoys administrados (Google Cloud proporciona los objetos binarios de Envoy), para los que los productos de la nube cambiarán a la versión 1.22.1.

Media

CVE-2021-29224

Descripción Gravedad Notas

El filtro OAuth permite la omisión trivial.

¿Qué debo hacer?

Verifica si tus clústeres se ven afectados

Tu clúster se ve afectado si usa versiones de parche de Cloud Service Mesh anteriores a 1.13.4-asm.4, 1.12.7-asm.2 o 1.11.8-asm.4.

Aunque Cloud Service Mesh no admite filtros de Envoy, es posible que te veas afectado si usas un filtro de OAuth.

Mitigación de Cloud Service Mesh

Actualiza el clúster a una de las siguientes versiones de parche:

  • 1.13.4-asm.4
  • 1.12.7-asm.2
  • 1.11.8-asm.4

Si usas Cloud Service Mesh v1.10 o una versión anterior, tu versión llegó al final del ciclo de vida y ya no es compatible. Estas correcciones de CVE no se portaron a versiones anteriores. Debes actualizar a Cloud Service Mesh 1.11 o una versión posterior. Para obtener más información, consulta Actualiza desde versiones anteriores (GKE) o Actualiza desde versiones anteriores (locales).

Mitigación de Envoy

Los usuarios de Envoy que administran sus propios Envoy y también usan el filtro de OAuth deben asegurarse de usar la versión 1.22.1 de Envoy. Los usuarios de Envoy que administran sus propios Envoys compilan los objetos binarios desde una fuente como GitHub y los implementan.

No deben realizar ninguna acción los usuarios que ejecutan Envoys administrados (Google Cloud proporciona los objetos binarios de Envoy), para los que los productos de la nube cambiarán a la versión 1.22.1.

Crítico

CVE-2021-29226

Descripción Gravedad Notas

El filtro OAuth puede dañar la memoria (versiones anteriores) o activar un ASSERT() (versiones posteriores).

¿Qué debo hacer?

Verifica si tus clústeres se ven afectados

Tu clúster se ve afectado si usa versiones de parche de Cloud Service Mesh anteriores a 1.13.4-asm.4, 1.12.7-asm.2 o 1.11.8-asm.4.

Aunque Cloud Service Mesh no es compatible con los filtros de Envoy, podrías verte afectado si usas un filtro de OAuth.

Mitigación de Cloud Service Mesh

Actualiza el clúster a una de las siguientes versiones de parche:

  • 1.13.4-asm.4
  • 1.12.7-asm.2
  • 1.11.8-asm.4

Si usas Cloud Service Mesh v1.10 o una versión anterior, tu versión llegó al final del ciclo de vida y ya no es compatible. Estas correcciones de CVE no se portaron a versiones anteriores. Debes actualizar a Cloud Service Mesh 1.11 o una versión posterior.

Mitigación de Envoy

Los usuarios de Envoy que administran sus propios Envoy y también usan el filtro de OAuth deben asegurarse de usar la versión 1.22.1 de Envoy. Los usuarios de Envoy que administran sus propios Envoys compilan los objetos binarios desde una fuente como GitHub y los implementan.

No deben realizar ninguna acción los usuarios que ejecutan Envoys administrados (Google Cloud proporciona los objetos binarios de Envoy), para los que los productos de la nube cambiarán a la versión 1.22.1.

Alta

CVE-2022-29228

Descripción Gravedad Notas

Los redireccionamientos internos fallan para las solicitudes con cuerpo o trailers.

¿Qué debo hacer?

Verifica si tus clústeres se ven afectados

Tu clúster se verá afectado si usa versiones de parche de Cloud Service Mesh anteriores a 1.13.4-asm.4, 1.12.7-asm.2 o 1.11.8-asm.4.

Mitigación de Cloud Service Mesh

Actualiza el clúster a una de las siguientes versiones de parche:

  • 1.13.4-asm.4
  • 1.12.7-asm.2
  • 1.11.8-asm.4

Si usas Cloud Service Mesh v1.10 o una versión anterior, tu versión llegó al final del ciclo de vida y ya no es compatible. Estas correcciones de CVE no se portaron a versiones anteriores. Debes actualizar a Cloud Service Mesh 1.11 o una versión posterior. Para obtener más información, consulta Actualiza desde versiones anteriores (GKE) o Actualiza desde versiones anteriores (locales).

Mitigación de Envoy

Los usuarios de Envoy que administran sus propios Envoys deben asegurarse de usar la versión 1.22.1 de Envoy. Los usuarios de Envoy que administran sus propios Envoys compilan los objetos binarios desde una fuente como GitHub y los implementan.

No deben realizar ninguna acción los usuarios que ejecutan Envoys administrados (Google Cloud proporciona los objetos binarios de Envoy), para los que los productos de la nube cambiarán a la versión 1.22.1.

Alta

CVE-2022-29227

GCP-2022-010

Fecha de publicación: 10/03/2022
Última actualización: 16/03/2022
Descripción Gravedad Notas

El plano de control de Istio, istiod, es vulnerable a un error de procesamiento de solicitudes, lo que permite que un atacante malicioso envíe un mensaje creado especialmente a fin de que el plano de control falle cuando el webhook de validación para un clúster se expone públicamente. Este extremo se entrega a través del puerto TLS 15017, pero no requiere ninguna autenticación del atacante.

¿Qué debo hacer?

Verifica si tus clústeres se ven afectados

Todas las versiones de Cloud Service Mesh se ven afectadas por esta CVE.

Nota: Si usas el plano de control administrado, esta vulnerabilidad ya se corrigió y no te verás afectado.

Mitigación

Actualiza el clúster a una de las siguientes versiones de parche:

  • 1.12.5-asm.0
  • 1.11.8-asm.0
  • 1.10.6-asm.2

Si usas Cloud Service Mesh v1.9 o una versión anterior, debes saber que esa versión llegó al final del ciclo de vida y ya no es compatible. Estas correcciones de CVE no se portaron a versiones anteriores. Debes actualizar a Cloud Service Mesh 1.10 o una versión posterior.

Alta

CVE-2022-24726

GCP-2022-007

Publicado: 22/02/2022
Descripción Gravedad Notas

Istiod falla cuando recibe solicitudes con un encabezado authorization creado especialmente.

¿Qué debo hacer?

Verifica si tus clústeres se ven afectados

Tu clúster se ve afectado si se cumplen las siguientes condiciones:

  • Usa versiones de parche de Cloud Service Mesh anteriores a 1.12.4-asm.1, 1.11.7-asm.1 o 1.10.6-asm.1.

Nota: Si usas el plano de control administrado, esta vulnerabilidad ya se corrigió y no te verás afectado.

Mitigación

Actualiza el clúster a una de las siguientes versiones de parche:

  • 1.12.4-asm.1
  • 1.11.7-asm.1
  • 1.10.6-asm.1

Si usas Cloud Service Mesh v1.9 o una versión anterior, debes saber que esa versión llegó al final del ciclo de vida y ya no es compatible. Estas correcciones de CVE no se portaron a versiones anteriores. Debes actualizar a Cloud Service Mesh 1.10 o una versión posterior.

Alta

CVE-2022-23635

Descripción Gravedad Notas

Posible eliminación de referencia de puntero nulo cuando se usa la coincidencia del filtro safe_regex de JWT.

¿Qué debo hacer?

Verifica si tus clústeres se ven afectados

Tu clúster se ve afectado si se cumplen las siguientes condiciones:

  • Usa versiones de parches de Cloud Service Mesh anteriores a 1.12.4-asm.1, 1.11.7-asm.1, o 1.10.6-asm.1.
  • Aunque Cloud Service Mesh no admite filtros de Envoy, podrías verte afectado si usas regex del filtro de JWT.
Mitigación

Actualiza el clúster a una de las siguientes versiones de parche:

  • 1.12.4-asm.1
  • 1.11.7-asm.1
  • 1.10.6-asm.1

Si usas Cloud Service Mesh 1.9 o una versión anterior, significa que tu versión llegó al final del ciclo de vida y está ya no es compatible. Estas correcciones de CVE no se portaron a versiones anteriores. Deberías actualizar a Cloud Service Mesh 1.10 o una versión posterior

Media

CVE-2021-43824

Descripción Gravedad Notas

Uso gratuito después de que los filtros de respuesta aumentan los datos de respuesta, y el aumento de los datos supera los límites de búfer descendente.

¿Qué debo hacer?

Verifica si tus clústeres se ven afectados

Tu clúster se ve afectado si se cumplen las siguientes condiciones:

  • Usa versiones de parches de Cloud Service Mesh anteriores a 1.12.4-asm.1, 1.11.7-asm.1, o 1.10.6-asm.1.
  • Aunque Cloud Service Mesh no admite filtros de Envoy, es posible que te veas afectado si usas un filtro de descompresión.
Mitigación

Actualiza el clúster a una de las siguientes versiones de parche:

  • 1.12.4-asm.1
  • 1.11.7-asm.1
  • 1.10.6-asm.1

Si usas Cloud Service Mesh 1.9 o una versión anterior, significa que tu versión llegó al final del ciclo de vida y está ya no es compatible. Estas correcciones de CVE no se portaron a versiones anteriores. Deberías actualizar a Cloud Service Mesh 1.10 o una versión posterior

Media

CVE-2021-43825

Descripción Gravedad Notas

Uso gratuito después de establecer una tunelización de TCP a HTTP, si la conexión descendente se desconecta durante el establecimiento de la conexión ascendente.

¿Qué debo hacer?

Verifica si tus clústeres se ven afectados

Tu clúster se ve afectado si se cumplen las siguientes condiciones:

  • Usa versiones de parches de Cloud Service Mesh anteriores a 1.12.4-asm.1, 1.11.7-asm.1, o 1.10.6-asm.1.
  • Aunque Cloud Service Mesh no admite filtros de Envoy, es posible que te veas afectado si usas un filtro de tunelización.
Mitigación

Actualiza el clúster a una de las siguientes versiones de parche:

  • 1.12.4-asm.1
  • 1.11.7-asm.1
  • 1.10.6-asm.1

Si usas Cloud Service Mesh 1.9 o una versión anterior, significa que tu versión llegó al final del ciclo de vida y está ya no es compatible. Estas correcciones de CVE no se portaron a versiones anteriores. Deberías actualizar a Cloud Service Mesh 1.10 o una versión posterior

Media

CVE-2021-43826

Descripción Gravedad Notas

Un control de configuración incorrecto permite la reutilización de la sesión de mTLS sin revalidación después de que haya cambiado la configuración de validación.

¿Qué debo hacer?

Verifica si tus clústeres se ven afectados

Tu clúster se ve afectado si se cumplen las siguientes condiciones:

  • Usa versiones de parche de Cloud Service Mesh anteriores a 1.12.4-asm.1, 1.11.7-asm.1 o 1.10.6-asm.1.
  • Todos los servicios de Cloud Service Mesh que usan mTLS se ven afectados por esta CVE.
Mitigación

Actualiza el clúster a una de las siguientes versiones de parche:

  • 1.12.4-asm.1
  • 1.11.7-asm.1
  • 1.10.6-asm.1

Si usas Cloud Service Mesh 1.9 o una versión anterior, significa que tu versión llegó al final del ciclo de vida y está ya no es compatible. Estas correcciones de CVE no se portaron a versiones anteriores. Deberías actualizar a Cloud Service Mesh 1.10 o una versión posterior

Alta

CVE-2022-21654

Descripción Gravedad Notas

Control incorrecto de redireccionamientos internos a rutas con una entrada de respuesta directa.

¿Qué debo hacer?

Verifica si tus clústeres se ven afectados

Tu clúster se ve afectado si se cumplen las siguientes condiciones:

  • Usa versiones de parches de Cloud Service Mesh anteriores a 1.12.4-asm.1, 1.11.7-asm.1, o 1.10.6-asm.1.
  • Aunque Cloud Service Mesh no admite filtros de Envoy, es posible que te veas afectado si usas un filtro de respuesta directa.
Mitigación

Actualiza el clúster a una de las siguientes versiones de parche:

  • 1.12.4-asm.1
  • 1.11.7-asm.1
  • 1.10.6-asm.1

Si usas Cloud Service Mesh 1.9 o una versión anterior, significa que tu versión llegó al final del ciclo de vida y está ya no es compatible. Estas correcciones de CVE no se portaron a versiones anteriores. Deberías actualizar a Cloud Service Mesh 1.10 o una versión posterior

Alta

CVE-2022-21655

Descripción Gravedad Notas

Agotamiento de la pila cuando se borra un clúster mediante el servicio de descubrimiento de clústeres.

¿Qué debo hacer?

Verifica si tus clústeres se ven afectados

Tu clúster se ve afectado si se cumplen las siguientes condiciones:

  • Usa versiones de parche de Cloud Service Mesh anteriores a 1.12.4-asm.1 o 1.11.7-asm.1.
Mitigación

Actualiza el clúster a una de las siguientes versiones de parche:

  • 1.12.4-asm.1
  • 1.11.7-asm.1

Si usas Cloud Service Mesh v1.9 o una versión anterior, debes saber que esa versión llegó al final del ciclo de vida y ya no es compatible. Estas correcciones de CVE no se portaron a versiones anteriores. Debes actualizar a Cloud Service Mesh 1.10 o una versión posterior.

Media

CVE-2022-23606

GCP-2021-016

Publicada: 24 de agosto de 2021
Descripción Gravedad Notas

Istio contiene una vulnerabilidad que se puede usar a nivel remoto en la que una solicitud HTTP con un fragmento (una sección al final de un URI que comienza con un carácter #) en la ruta del URI podría omitir las políticas de autorización de la ruta basada en URI de Istio.

Por ejemplo, una política de autorización de Istio rechaza las solicitudes enviadas a la ruta del URI /user/profile. En las versiones vulnerables, una solicitud con la ruta de acceso de URI /user/profile#section1 omite la política de denegación y se enruta al backend (con la ruta de URI normalizada /user/profile%23section1), lo que genera un incidente de seguridad.

Esta corrección depende de una corrección en Envoy, que está asociada con CVE-2021-32779.

¿Qué debo hacer?

Verifica si tus clústeres se ven afectados

Tu clúster se ve afectado si se cumplen las siguientes condiciones:

Mitigación

Actualiza el clúster a una de las siguientes versiones de parche:

  • 1.10.4-asm.6
  • 1.9.8-asm.1
  • 1.8.6-asm.8
  • 1.7.8-asm.10

Con las versiones nuevas, la parte del fragmento del URI de la solicitud se quita antes de la autorización y el enrutamiento. Esto evita que una solicitud con un fragmento en su URI omita las políticas de autorización basadas en el URI sin la parte del fragmento.

Inhabilitar

Si inhabilitas este comportamiento nuevo, se conserva la sección de fragmentos del URI. Para inhabilitarlo, puedes configurar la instalación de la siguiente manera:

apiVersion: install.istio.io/v1alpha1
kind: IstioOperator
metadata:
  name: opt-out-fragment-cve-fix
  namespace: istio-system
spec:
  meshConfig:
    defaultConfig:
      proxyMetadata:
        HTTP_STRIP_FRAGMENT_FROM_PATH_UNSAFE_IF_DISABLED: "false"

Nota: Si inhabilitas este comportamiento, tu clúster será vulnerable a esta CVE.

Alto

CVE-2021-39156

Descripción Gravedad Notas

Istio contiene una vulnerabilidad que se puede usar de forma remota, en la que una solicitud HTTP podría omitir una política de autorización de Istio cuando se usan reglas basadas en hosts o notHosts.

En las versiones vulnerables, la política de autorización de Istio compara los encabezados HTTP Host o :authority sin distinguir entre mayúsculas y minúsculas, lo que no concuerda con RFC 4343. Por ejemplo, el usuario podría tener una política de autorización que rechace las solicitudes con el host secret.com, pero el atacante puede omitir esto mediante el envío de la solicitud en el nombre de host Secret.com. El flujo de enrutamiento enruta el tráfico al backend de secret.com, lo que provoca un incidente de seguridad.

¿Qué debo hacer?

Verifica si tus clústeres se ven afectados

Tu clúster se ve afectado si se cumplen las siguientes condiciones:

Mitigación

Actualiza el clúster a una de las siguientes versiones de parche:

  • 1.10.4-asm.6
  • 1.9.8-asm.1
  • 1.8.6-asm.8
  • 1.7.8-asm.10

Esta mitigación garantiza que los encabezados HTTP Host o :authority se evalúen según las especificaciones hosts o notHosts en las políticas de autorización para que no distingan entre mayúsculas y minúsculas.

Alto

CVE-2021-39155

Descripción Gravedad Notas

Envoy contiene una vulnerabilidad que se puede usar de forma remota y que una solicitud HTTP con varios encabezados de valor puede realizar una verificación de política de autorización incompleta cuando se usa la extensión ext_authz. Cuando un encabezado de solicitud contiene varios valores, el servidor de autorización externo solo verá el último valor del encabezado especificado.

¿Qué debo hacer?

Verifica si tus clústeres se ven afectados

Tu clúster se ve afectado si se cumplen las siguientes condiciones:

  • Usa versiones de parche de Cloud Service Mesh anteriores a 1.7.8-asm.10, 1.8.6-asm.8, 1.9.8-asm.1 y 1.10.4-asm.6.
  • Usa la función de autorización externa.
Mitigación

Actualiza el clúster a una de las siguientes versiones de parche:

  • 1.10.4-asm.6
  • 1.9.8-asm.1
  • 1.8.6-asm.8
  • 1.7.8-asm.10

Alto

CVE-2021-32777

Descripción Gravedad Notas

Envoy contiene una vulnerabilidad que se puede usar de forma remota y afecta a las extensiones decompressor, json-transcoder o grpc-web de Envoy, o que modifican y aumentan el tamaño de los cuerpos de las solicitudes o respuestas. Modifica y aumenta el tamaño del cuerpo en la extensión de Envoy más allá del tamaño del búfer interno podría provocar que Envoy acceda a la memoria desasignada y finalice de forma anormal.

¿Qué debo hacer?

Verifica si tus clústeres se ven afectados

Tu clúster se ve afectado si se cumplen las siguientes condiciones:

  • Usa versiones de parches de Cloud Service Mesh anteriores a 1.7.8-asm.10, 1.8.6-asm.8, 1.9.8-asm.1 y 1.10.4-asm.6.
  • Usa EnvoyFilters.
Mitigación

Actualiza el clúster a una de las siguientes versiones de parche:

  • 1.10.4-asm.6
  • 1.9.8-asm.1
  • 1.8.6-asm.8
  • 1.7.8-asm.10

Alto

CVE-2021-32781

Descripción Gravedad Notas

Envoy contiene una vulnerabilidad que se puede aprovechar de forma remota, en la que un cliente de Envoy que abre y, luego, restablece una gran cantidad de solicitudes HTTP/2 puede generar un consumo excesivo de CPU.

¿Qué debo hacer?

Verifica si tus clústeres se ven afectados

Tu clúster se ve afectado si usa versiones de parches de Cloud Service Mesh anteriores a 1.7.8-asm.10, 1.8.6-asm.8, 1.9.8-asm.1 y 1.10.4-asm.6.

Mitigación

Actualiza el clúster a una de las siguientes versiones de parche:

  • 1.10.4-asm.6
  • 1.9.8-asm.1

Nota: Si usas Cloud Service Mesh 1.8 o una versión anterior, actualiza a las versiones de parche más recientes de Cloud Service Mesh 1.9 y versiones posteriores para mitigar esta vulnerabilidad.

Alta

CVE-2021-32778

Descripción Gravedad Notas

Envoy contiene una vulnerabilidad que se puede aprovechar de forma remota, en la que un servicio ascendente no confiable podría provocar que Envoy finalice de forma anormal mediante el envío del marco GOAWAY seguido del marco SETTINGS con el parámetro SETTINGS_MAX_CONCURRENT_STREAMS establecido en 0.

¿Qué debo hacer?

Verifica si tus clústeres se ven afectados

Tu clúster se ve afectado si usa Cloud Service Mesh 1.10 con una versión de parche anterior a la 1.10.4-asm.6.

Mitigación

Actualiza tu clúster a la siguiente versión de parche:

  • 1.10.4-asm.6

Alto

CVE-2021-32780

GCP-2021-012

Publicado el 24 de junio de 2021
Descripción Gravedad Notas

La Gateway segura de Istio o las cargas de trabajo que usan DestinationRule pueden cargar certificados y claves privadas TLS desde los secretos de Kubernetes a través de la configuración credentialName. En Istio 1.8 y versiones posteriores, los secretos se leen desde istiod y se transmiten a las puertas de enlace y las cargas de trabajo a través de XDS.

Por lo general, una implementación de carga de trabajo o puerta de enlace solo puede acceder a certificados y claves privadas TLS almacenados en el secreto de su espacio de nombres. Sin embargo, un error en istiod permite que un cliente con autorización para acceder a la API de Istio XDS recupere cualquier certificado y clave privada TLS almacenados en caché en istiod. Esta vulnerabilidad de seguridad solo afecta a las versiones menores de 1.8 y 1.9. de servicio de Cloud Service Mesh.

¿Qué debo hacer?

Verifica si tus clústeres se ven afectados

Tu clúster se ve afectado si se cumplen TODAS las condiciones que se indican a continuación:

  • Usa una versión 1.9.x anterior a 1.9.6-asm.1 o una versión 1.8.x anterior a 1.8.6-asm.4.
  • Definió Gateways o DestinationRules con el campo credentialName especificado.
  • No especifica la marca istiod PILOT_ENABLE_XDS_CACHE=false.
Mitigación

Actualiza el clúster a una de las siguientes versiones de parche:

  • 1.9.6-asm.1
  • 1.8.6-asm.4

Si no es posible actualizar, puedes mitigar esta vulnerabilidad inhabilitando el almacenamiento en caché istiod. Para inhabilitar el almacenamiento en caché, configura la variable de entorno istiod como PILOT_ENABLE_XDS_CACHE=false. El rendimiento del sistema y de istiod puede verse afectado porque esta acción inhabilita el almacenamiento en caché de XDS.

Alto

CVE-2021-34824

GCP-2021-008

Fecha de publicación: 17 de mayo de 2021
Descripción Gravedad Notas

Istio contiene una vulnerabilidad que se puede aprovechar de forma remota, en la que un cliente externo puede acceder a servicios inesperados en el clúster y, así, omitir las verificaciones de autorización cuando una puerta de enlace se configura con la configuración de enrutamiento AUTO_PASSTHROUGH.

¿Qué debo hacer?

Verifica si tus clústeres se ven afectados

Esta vulnerabilidad solo afecta el uso del tipo de puerta de enlace AUTO_PASSTHROUGH, que suele usarse solo en implementaciones de varias redes y varios clústeres.

Usa el siguiente comando para detectar el modo TLS de todas las puertas de enlace del clúster:

kubectl get gateways.networking.istio.io -A -o \
  "custom-columns=NAMESPACE:.metadata.namespace, \
  NAME:.metadata.name,TLS_MODE:.spec.servers[*].tls.mode"

Si el resultado muestra alguna puerta de enlace AUTO_PASSTHROUGH, es posible que se vea afectado.

Mitigación

Actualiza tus clústeres a las versiones más recientes de Cloud Service Mesh:

  • 1.9.5-asm.2
  • 1.8.6-asm.3
  • 1.7.8-asm.8

* Nota: El lanzamiento de la malla de servicios de Cloud Plano de control administrado (disponible solo en versiones 1.9.x) se completará en los próximos días.

Alta

CVE-2021-31921

GCP-2021-007

Fecha de publicación: 17 de mayo de 2021
Descripción Gravedad Notas

Istio contiene una vulnerabilidad con capacidad de accesibilidad remota en la que una ruta de acceso de HTTP con múltiples barras o caracteres de barra con escape (%2F or %5C) podría omitir una política de autorización de Istio cuando se usan reglas de autorización basadas en la ruta.

En una situación en la que un administrador de clúster de Istio define una política de DENEGACIÓN de autorización para rechazar la solicitud a la ruta "/admin", la política de autorización NO rechazará una solicitud enviada a la ruta de URL "//admin".

Según el RFC 3986, la ruta "//admin" con varias barras técnicamente debe tratarse como una ruta diferente a "/admin". Sin embargo, algunos servicios de backend eligen normalizar las rutas de URL mediante la combinación de varias barras en una sola barra. Esto puede ocasionar una omisión de la política de autorización ("//admin" no coincide con "/admin") y un usuario puede acceder al recurso en la ruta "/admin" del backend.

¿Qué debo hacer?

Verifica si tus clústeres se ven afectados

Esta vulnerabilidad afecta a tu clúster si tienes políticas de autorización que usen patrones “ALLOW action + notPaths field” o “DENY action + paths field”. Estos patrones son vulnerables a omisiones de políticas inesperadas, y debes actualizar para solucionar el problema de seguridad lo antes posible.

El siguiente es un ejemplo de una política vulnerable que usa el patrón "DENY action + paths field":

apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: deny-path-admin
spec:
  action: DENY
  rules:
  - to:
    - operation:
        paths: ["/admin"]

El siguiente es otro ejemplo de política vulnerable que usa el patrón "ALLOW action + notPaths field":

apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: allow-path-not-admin
spec:
  action: ALLOW
  rules:
  - to:
    - operation:
        notPaths: ["/admin"]

Esta vulnerabilidad no afecta a tu clúster si ocurre lo siguiente:

  • No tienes políticas de autorización.
  • Las políticas de autorización no definen campos paths o notPaths.
  • Tus políticas de autorización usan patrones “ALLOW action + paths field” o patrones de “DENY action + notPaths field”. Estos patrones solo podrían provocar un rechazo inesperado en lugar de omisiones de políticas.
  • La actualización es opcional para estos casos.

Mitigación

Actualiza los clústeres a las versiones compatibles más recientes de Cloud Service Mesh.* Estas versiones admiten la configuración de los proxies de Envoy en el sistema con más opciones de normalización:

  • 1.9.5-asm.2
  • 1.8.6-asm.3
  • 1.7.8-asm.8

* Nota: El lanzamiento del plano de control administrado de Cloud Service Mesh (disponible solo en las versiones 1.9.x) se completará en los próximos días.

Sigue la guía de prácticas recomendadas de seguridad de Istio para configurar tus políticas de autorización.

Alto

CVE-2021-31920

GCP-2021-004

Fecha de publicación: 6 de mayo de 2021
Descripción Gravedad Notas

Recientemente, los proyectos de Envoy y Istio anunciaron varias vulnerabilidades de seguridad nuevas (CVE-2021-28682, CVE-2021-28683 y CVE-2021-29258), que podrían permitir que un atacante bloquee Envoy y, posiblemente, renderizar partes del clúster inaccesible y sin conexión

Esto afecta a los servicios entregados, como Cloud Service Mesh.

¿Qué debo hacer?

Para corregir estas vulnerabilidades, actualiza tu paquete de la malla de servicios de Cloud a una de las siguientes versiones de parche:

  • 1.9.3-asm.2
  • 1.8.5-asm.2
  • 1.7.8-asm.1
  • 1.6.14-asm.2

Para obtener más información, consulta las notas de la versión de Cloud Service Mesh.

Alta

CVE-2021-28682
CVE-2021-28683
CVE-2021-29258