Buletin keamanan
Gunakan feed XML ini untuk berlangganan buletin keamanan Cloud Service Mesh.
Halaman ini mencantumkan buletin keamanan untuk Cloud Service Mesh.
GCP-2025-048
Dipublikasikan: 02-09-2025
Deskripsi | Keparahan | Catatan |
---|---|---|
Penggunaan setelah tersedia di cache DNS. Apa yang harus saya lakukan?Periksa apakah cluster Anda terpengaruhHanya cluster yang menjalankan Cloud Service Mesh versi 1.26 dalam cluster yang terpengaruh. Jika Anda menjalankan Cloud Service Mesh terkelola, Anda tidak akan terpengaruh dan tidak perlu melakukan tindakan apa pun. MitigasiJika Anda menjalankan Cloud Service Mesh 1.26 dalam cluster, upgrade semua cluster yang terpengaruh ke 1.26.4-asm.1. |
Tinggi |
GCP-2024-065
Deskripsi | Keparahan | Catatan |
---|---|---|
Happy Eyeballs: Validasi bahwa additional_address adalah alamat IP, bukan error saat mengurutkan. Apa yang harus saya lakukan?Periksa apakah cluster Anda terpengaruhCluster Anda terpengaruh jika versi patch lebih lama dari:
Untuk Cloud Service Mesh dalam cluster, Upgrade cluster Anda ke salah satu versi yang telah di-patch berikut:
Jika Anda menggunakan Cloud Service Mesh v1.20 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus mengupgrade ke versi 1.21 atau yang lebih baru. Untuk Cloud Service Mesh terkelola, Anda tidak perlu melakukan tindakan apa pun. Semua versi tetap didukung dan sistem Anda akan otomatis diupdate dalam beberapa minggu mendatang. |
Sedang |
Deskripsi | Keparahan | Catatan |
---|---|---|
HTTP/1: Terjadi error karena kelebihan beban saat permintaan direset sebelumnya. Apa yang harus saya lakukan?Periksa apakah cluster Anda terpengaruhCluster Anda terpengaruh jika versi patch lebih lama dari:
Untuk Cloud Service Mesh dalam cluster, Upgrade cluster Anda ke salah satu versi yang telah di-patch berikut:
Jika Anda menggunakan Cloud Service Mesh v1.20 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Jika Anda menggunakan Cloud Service Mesh v1.20 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus mengupgrade ke versi 1.21 atau yang lebih baru. Untuk Cloud Service Mesh terkelola, Anda tidak perlu melakukan tindakan apa pun. Semua versi tetap didukung dan sistem Anda akan otomatis diupdate dalam beberapa minggu mendatang. |
Tinggi |
Deskripsi | Keparahan | Catatan |
---|---|---|
HTTP/1.1 Beberapa masalah dengan envoy.reloadable_features.http1_balsa_delay_reset. Apa yang harus saya lakukan?Periksa apakah cluster Anda terpengaruhCluster Anda terpengaruh jika versi patch lebih lama dari:
Untuk Cloud Service Mesh dalam cluster, Upgrade cluster Anda ke salah satu versi yang telah di-patch berikut:
Jika Anda menggunakan Cloud Service Mesh v1.20 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Jika Anda menggunakan Cloud Service Mesh v1.20 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus mengupgrade ke versi 1.21 atau yang lebih baru. Untuk Cloud Service Mesh terkelola, Anda tidak perlu melakukan tindakan apa pun. Semua versi tetap didukung dan sistem Anda akan otomatis diupdate dalam beberapa minggu mendatang. |
Tinggi |
GCP-2024-052
Dipublikasikan: 19-09-2024
Deskripsi | Keparahan | Catatan |
---|---|---|
Error oghttp2 di OnBeginHeadersForStream Apa yang harus saya lakukan?Periksa apakah cluster Anda terpengaruhHanya cluster yang menjalankan Cloud Service Mesh v1.23 yang terpengaruh MitigasiCloud Service Mesh 1.23.2-asm.2 berisi perbaikan untuk masalah ini. Anda tidak perlu melakukan tindakan apa pun. |
Tinggi |
Deskripsi | Keparahan | Catatan |
---|---|---|
Injeksi log berbahaya melalui log akses Apa yang harus saya lakukan?Periksa apakah cluster Anda terpengaruhSemua versi Cloud Service Mesh terpengaruh oleh CVE ini. MitigasiUpgrade cluster Anda ke salah satu versi yang telah di-patch berikut:
|
Sedang |
Deskripsi | Keparahan | Catatan |
---|---|---|
Potensi memanipulasi header `x-envoy` dari sumber eksternal Apa yang harus saya lakukan?Periksa apakah cluster Anda terpengaruhSemua versi Cloud Service Mesh terpengaruh oleh CVE ini. MitigasiUpgrade cluster Anda ke salah satu versi yang telah di-patch berikut:
|
Sedang |
Deskripsi | Keparahan | Catatan |
---|---|---|
Error filter JWT dalam cache rute yang jelas dengan JWK jarak jauh Apa yang harus saya lakukan?Periksa apakah cluster Anda terpengaruhSemua versi Cloud Service Mesh terpengaruh oleh CVE ini. MitigasiUpgrade cluster Anda ke salah satu versi yang telah di-patch berikut:
|
Sedang |
Deskripsi | Keparahan | Catatan |
---|---|---|
Envoy mengalami error untuk LocalReply di klien asinkron http Apa yang harus saya lakukan?Periksa apakah cluster Anda terpengaruhSemua versi Cloud Service Mesh terpengaruh oleh CVE ini. MitigasiUpgrade cluster Anda ke salah satu versi yang telah di-patch berikut:
|
Sedang |
GCP-2024-032
Dipublikasikan: 24-06-2024
Deskripsi | Keparahan | Catatan |
---|---|---|
Envoy salah menerima respons HTTP 200 untuk memasuki mode upgrade. Apa yang harus saya lakukan?Periksa apakah cluster Anda terpengaruhSemua versi Cloud Service Mesh terpengaruh oleh CVE ini. MitigasiJika Anda menjalankan Cloud Service Mesh terkelola, sistem Anda akan otomatis diupdate dalam beberapa hari mendatang. Jika tidak, upgrade cluster Anda ke salah satu versi yang telah di-patch berikut:
|
Sedang |
Deskripsi | Keparahan | Catatan |
---|---|---|
Error di EnvoyQuicServerStream::OnInitialHeadersComplete(). Apa yang harus saya lakukan?Periksa apakah cluster Anda terpengaruhSemua versi Cloud Service Mesh terpengaruh oleh CVE ini. MitigasiJika Anda menjalankan Cloud Service Mesh terkelola, sistem Anda akan otomatis diupdate dalam beberapa hari mendatang. Jika tidak, upgrade cluster Anda ke salah satu versi yang telah di-patch berikut:
|
Sedang |
Deskripsi | Keparahan | Catatan |
---|---|---|
Error di QuicheDataReader::PeekVarInt62Length(). Apa yang harus saya lakukan?Periksa apakah cluster Anda terpengaruhSemua versi Cloud Service Mesh terpengaruh oleh CVE ini. MitigasiJika Anda menjalankan Cloud Service Mesh terkelola, sistem Anda akan otomatis diupdate dalam beberapa hari mendatang. Jika tidak, upgrade cluster Anda ke salah satu versi yang telah di-patch berikut:
|
Sedang |
Deskripsi | Keparahan | Catatan |
---|---|---|
Loop tanpa akhir saat mendekompresi data Brotli dengan input tambahan. Apa yang harus saya lakukan?Periksa apakah cluster Anda terpengaruhSemua versi Cloud Service Mesh terpengaruh oleh CVE ini. MitigasiJika Anda menjalankan Cloud Service Mesh terkelola, sistem Anda akan otomatis diupdate dalam beberapa hari mendatang. Jika tidak, upgrade cluster Anda ke salah satu versi yang telah di-patch berikut:
|
Tinggi |
Deskripsi | Keparahan | Catatan |
---|---|---|
Error (use-after-free) di EnvoyQuicServerStream. Apa yang harus saya lakukan?Periksa apakah cluster Anda terpengaruhSemua versi Cloud Service Mesh terpengaruh oleh CVE ini. MitigasiJika Anda menjalankan Cloud Service Mesh terkelola, sistem Anda akan otomatis diupdate dalam beberapa hari mendatang. Jika tidak, upgrade cluster Anda ke salah satu versi yang telah di-patch berikut:
|
Sedang |
Deskripsi | Keparahan | Catatan |
---|---|---|
Error karena pengecualian JSON nlohmann yang tidak tertangkap. Apa yang harus saya lakukan?Periksa apakah cluster Anda terpengaruhSemua versi Cloud Service Mesh terpengaruh oleh CVE ini. MitigasiJika Anda menjalankan Cloud Service Mesh terkelola, sistem Anda akan otomatis diupdate dalam beberapa hari mendatang. Jika tidak, upgrade cluster Anda ke salah satu versi yang telah di-patch berikut:
|
Tinggi |
Deskripsi | Keparahan | Catatan |
---|---|---|
Vektor OOM Envoy dari klien asinkron HTTP dengan buffer respons tanpa batas untuk respons mirror. Apa yang harus saya lakukan?Periksa apakah cluster Anda terpengaruhSemua versi Cloud Service Mesh terpengaruh oleh CVE ini. MitigasiJika Anda menjalankan Cloud Service Mesh terkelola, sistem Anda akan otomatis diupdate dalam beberapa hari mendatang. Jika tidak, upgrade cluster Anda ke salah satu versi yang telah di-patch berikut:
|
Sedang |
GCP-2024-023
Dipublikasikan: 24-04-2024
Deskripsi | Keparahan | Catatan |
---|---|---|
HTTP/2: kehabisan memori karena banjir frame CONTINUATION. Apa yang harus saya lakukan?Periksa apakah cluster Anda terpengaruhSemua versi Cloud Service Mesh terpengaruh oleh CVE ini. MitigasiJika Anda menjalankan Cloud Service Mesh terkelola, Anda tidak perlu melakukan tindakan apa pun. Sistem Anda akan diupdate secara otomatis dalam beberapa hari mendatang. Jika Anda menjalankan Cloud Service Mesh dalam cluster, Anda harus mengupgrade cluster ke salah satu versi yang telah di-patch berikut:
Jika Anda menggunakan Cloud Service Mesh v1.17 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus mengupgrade ke Cloud Service Mesh v1.18 atau yang lebih baru. |
Tinggi |
Deskripsi | Keparahan | Catatan |
---|---|---|
HTTP/2: Kehabisan CPU karena banjir frame CONTINUATION Apa yang harus saya lakukan?Periksa apakah cluster Anda terpengaruhSemua versi Cloud Service Mesh terpengaruh oleh CVE ini. MitigasiJika Anda menjalankan Cloud Service Mesh terkelola, Anda tidak perlu melakukan tindakan apa pun. Sistem Anda akan diupdate secara otomatis dalam beberapa hari mendatang. Jika Anda menjalankan Cloud Service Mesh dalam cluster, Anda harus mengupgrade cluster ke salah satu versi yang telah di-patch berikut:
Jika Anda menggunakan Cloud Service Mesh v1.17 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus mengupgrade ke Cloud Service Mesh 1.18 atau yang lebih baru. |
Sedang |
Deskripsi | Keparahan | Catatan |
---|---|---|
Penghentian tidak normal saat menggunakan Apa yang harus saya lakukan?Periksa apakah cluster Anda terpengaruhSemua versi Cloud Service Mesh terpengaruh oleh CVE ini. MitigasiJika Anda menjalankan Cloud Service Mesh terkelola, Anda tidak perlu melakukan tindakan apa pun. Sistem Anda akan diupdate secara otomatis dalam beberapa hari mendatang. Jika Anda menjalankan Cloud Service Mesh dalam cluster, Anda harus mengupgrade cluster ke salah satu versi yang telah di-patch berikut:
Jika Anda menggunakan Cloud Service Mesh v1.17 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus mengupgrade ke Cloud Service Mesh 1.18 atau yang lebih baru. |
Tinggi |
Deskripsi | Keparahan | Catatan |
---|---|---|
Frame LANJUTAN HTTP/2 dapat digunakan untuk serangan DoS. Apa yang harus saya lakukan?Periksa apakah cluster Anda terpengaruhSemua versi Cloud Service Mesh terpengaruh oleh CVE ini. MitigasiJika Anda menjalankan Cloud Service Mesh terkelola, Anda tidak perlu melakukan tindakan apa pun. Sistem Anda akan diupdate secara otomatis dalam beberapa hari mendatang. Jika Anda menjalankan Cloud Service Mesh dalam cluster, Anda harus mengupgrade cluster ke salah satu versi yang telah di-patch berikut:
Jika Anda menggunakan Cloud Service Mesh v1.17 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus mengupgrade ke versi v1.18 atau yang lebih baru. |
Tidak Tersedia |
GCP-2024-007
Dipublikasikan: 2024-02-08
Deskripsi | Keparahan | Catatan |
---|---|---|
Envoy mengalami error saat tidak ada aktivitas dan permintaan per percobaan mengalami waktu tunggu habis dalam interval backoff. Apa yang harus saya lakukan?Jika Anda menjalankan Cloud Service Mesh terkelola, Anda tidak perlu melakukan tindakan apa pun. Sistem Anda akan diupdate secara otomatis dalam beberapa hari mendatang. Jika Anda menjalankan Cloud Service Mesh dalam cluster, Anda harus mengupgrade cluster ke salah satu versi yang telah di-patch berikut:
Jika Anda menggunakan Anthos Service Mesh v1.17 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Meskipun perbaikan CVE ini telah di-backport ke 1.17, Anda harus mengupgrade ke 1.18 atau yang lebih baru. |
Tinggi |
Deskripsi | Keparahan | Catatan |
---|---|---|
Penggunaan CPU yang berlebihan saat pencocok template URI dikonfigurasi menggunakan regex. Apa yang harus saya lakukan?Jika Anda menjalankan Cloud Service Mesh terkelola, Anda tidak perlu melakukan tindakan apa pun. Sistem Anda akan diupdate secara otomatis dalam beberapa hari mendatang. Jika Anda menjalankan Cloud Service Mesh dalam cluster, Anda harus mengupgrade cluster ke salah satu versi yang telah di-patch berikut:
Jika Anda menggunakan Anthos Service Mesh v1.17 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Meskipun perbaikan CVE ini telah di-backport ke 1.17, Anda harus mengupgrade ke 1.18 atau yang lebih baru. |
Sedang |
Deskripsi | Keparahan | Catatan |
---|---|---|
Otorisasi eksternal dapat dilewati saat filter protokol Proxy menetapkan metadata UTF-8 yang tidak valid. Apa yang harus saya lakukan?Jika Anda menjalankan Cloud Service Mesh terkelola, Anda tidak perlu melakukan tindakan apa pun. Sistem Anda akan diupdate secara otomatis dalam beberapa hari mendatang. Jika Anda menjalankan Cloud Service Mesh dalam cluster, Anda harus mengupgrade cluster ke salah satu versi yang telah di-patch berikut:
Jika Anda menggunakan Anthos Service Mesh v1.17 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Meskipun perbaikan CVE ini telah di-backport ke 1.17, Anda harus mengupgrade ke 1.18 atau yang lebih baru. |
Tinggi |
Deskripsi | Keparahan | Catatan |
---|---|---|
Envoy mengalami error saat menggunakan jenis alamat yang tidak didukung oleh OS. Apa yang harus saya lakukan?Jika Anda menjalankan Cloud Service Mesh terkelola, Anda tidak perlu melakukan tindakan apa pun. Sistem Anda akan diupdate secara otomatis dalam beberapa hari mendatang. Jika Anda menjalankan Cloud Service Mesh dalam cluster, Anda harus mengupgrade cluster ke salah satu versi yang telah di-patch berikut:
Jika Anda menggunakan Anthos Service Mesh v1.17 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Meskipun perbaikan CVE ini telah di-backport ke 1.17, Anda harus mengupgrade ke 1.18 atau yang lebih baru. |
Tinggi |
Deskripsi | Keparahan | Catatan |
---|---|---|
Error di protokol proxy saat jenis perintah adalah Apa yang harus saya lakukan?Jika Anda menjalankan Cloud Service Mesh terkelola, Anda tidak perlu melakukan tindakan apa pun. Sistem Anda akan diupdate secara otomatis dalam beberapa hari mendatang. Jika Anda menjalankan Cloud Service Mesh dalam cluster, Anda harus mengupgrade cluster ke salah satu versi yang telah di-patch berikut:
Jika Anda menggunakan Anthos Service Mesh v1.17 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Meskipun perbaikan CVE ini telah di-backport ke 1.17, Anda harus mengupgrade ke 1.18 atau yang lebih baru. |
Tinggi |
GCP-2023-031
Dipublikasikan: 10-10-2023
Deskripsi | Keparahan | Catatan |
---|---|---|
Serangan penolakan layanan dapat memengaruhi bidang data saat menggunakan protokol HTTP/2. Apa yang harus saya lakukan?Periksa apakah cluster Anda terpengaruhCluster Anda terpengaruh jika menggunakan versi patch Cloud Service Mesh yang lebih lama dari 1.18.4, 1.17.7, atau 1.16.7. MitigasiUpgrade cluster Anda ke salah satu versi yang telah di-patch berikut:
Jika Anda menjalankan Cloud Service Mesh terkelola, sistem Anda akan otomatis diupdate dalam beberapa hari ke depan. Jika Anda menggunakan Cloud Service Mesh v1.15 atau yang lebih lama, rilis Anda telah mencapai akhir masa pakainya dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus mengupgrade ke v1.16 atau yang lebih baru. |
Tinggi |
GCP-2023-021
Updated:2023-07-26
Dipublikasikan: 25-07-2022Deskripsi | Keparahan | Catatan |
---|---|---|
Klien berbahaya dapat membuat kredensial dengan validitas permanen dalam beberapa skenario tertentu. Misalnya, kombinasi host dan waktu habis masa berlaku di payload HMAC dapat selalu valid dalam pemeriksaan HMAC filter OAuth2. Apa yang harus saya lakukan?Periksa apakah cluster Anda terpengaruhCluster Anda terpengaruh jika menggunakan versi patch Cloud Service Mesh yang lebih lama dari
Upgrade cluster Anda ke salah satu versi yang telah di-patch berikut:
Jika Anda menjalankan Cloud Service Mesh terkelola, sistem Anda akan otomatis diupdate dalam beberapa hari ke depan. Jika Anda menggunakan Anthos Service Mesh 1.14 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus mengupgrade ke ASM 1.15 atau yang lebih baru. |
Tinggi |
Deskripsi | Keparahan | Catatan |
---|---|---|
Pencatat log akses gRPC yang menggunakan cakupan global listener dapat menyebabkan error penggunaan setelah pembersihan saat listener dikosongkan. Hal ini dapat dipicu oleh update LDS dengan konfigurasi log akses gRPC yang sama. Apa yang harus saya lakukan?Periksa apakah cluster Anda terpengaruhCluster Anda terpengaruh jika menggunakan versi patch Cloud Service Mesh yang lebih lama dari
Upgrade cluster Anda ke salah satu versi yang telah di-patch berikut:
Jika Anda menjalankan Cloud Service Mesh terkelola, sistem Anda akan otomatis diupdate dalam beberapa hari ke depan. Jika Anda menggunakan Anthos Service Mesh 1.14 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus mengupgrade ke ASM 1.15 atau yang lebih baru. |
Sedang |
Deskripsi | Keparahan | Catatan |
---|---|---|
Jika header Apa yang harus saya lakukan?Periksa apakah cluster Anda terpengaruhCluster Anda terpengaruh jika menggunakan versi patch Cloud Service Mesh yang lebih lama dari
Upgrade cluster Anda ke salah satu versi yang telah di-patch berikut:
Jika Anda menjalankan Cloud Service Mesh terkelola, sistem Anda akan otomatis diupdate dalam beberapa hari ke depan. Jika Anda menggunakan Anthos Service Mesh 1.14 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus mengupgrade ke ASM 1.15 atau yang lebih baru. |
Sedang |
Deskripsi | Keparahan | Catatan |
---|---|---|
Penyerang dapat mengirim permintaan skema campuran untuk melewati beberapa pemeriksaan skema di Envoy. Misalnya, jika permintaan dengan skema campuran htTp dikirim ke filter OAuth2, permintaan tersebut akan gagal dalam pemeriksaan kecocokan persis untuk http, dan memberi tahu endpoint jarak jauh bahwa skemanya adalah https, sehingga berpotensi melewati pemeriksaan OAuth2 khusus untuk permintaan HTTP. Apa yang harus saya lakukan?Periksa apakah cluster Anda terpengaruhCluster Anda terpengaruh jika menggunakan versi patch Cloud Service Mesh yang lebih lama dari
Upgrade cluster Anda ke salah satu versi yang telah di-patch berikut:
Jika Anda menjalankan Cloud Service Mesh terkelola, sistem Anda akan otomatis diupdate dalam beberapa hari ke depan. Jika Anda menggunakan Anthos Service Mesh 1.14 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus mengupgrade ke ASM 1.15 atau yang lebih baru. |
Tinggi |
GCP-2023-019
Deskripsi | Keparahan | Catatan |
---|---|---|
Respons yang dibuat secara khusus dari layanan upstream yang tidak tepercaya dapat menyebabkan penolakan layanan melalui kehabisan memori. Hal ini disebabkan oleh codec HTTP/2 Envoy yang dapat membocorkan peta header dan struktur pembukuan saat menerima RST_STREAM yang segera diikuti oleh frame GOAWAY dari server upstream. Apa yang harus saya lakukan?Periksa apakah cluster Anda terpengaruhCluster Anda terpengaruh jika menggunakan versi patch Cloud Service Mesh yang lebih lama dari
Upgrade cluster Anda ke salah satu versi yang telah di-patch berikut:
Jika Anda menjalankan Cloud Service Mesh terkelola, sistem Anda akan otomatis diupdate dalam beberapa hari ke depan. Jika Anda menggunakan Anthos Service Mesh 1.14 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus mengupgrade ke ASM 1.15 atau yang lebih baru. |
Tinggi |
GCP-2023-002
Deskripsi | Keparahan | Catatan |
---|---|---|
Jika Envoy berjalan dengan filter OAuth yang diaktifkan dan diekspos, pihak yang tidak bertanggung jawab dapat membuat permintaan yang akan menyebabkan penolakan layanan dengan membuat Envoy error. Apa yang harus saya lakukan?Periksa apakah cluster Anda terpengaruhCluster Anda terpengaruh jika menggunakan versi patch Cloud Service Mesh yang lebih lama dari:
Upgrade cluster Anda ke salah satu versi yang telah di-patch berikut:
Jika Anda menggunakan Cloud Service Mesh v1.13 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus mengupgrade ke Cloud Service Mesh 1.14 atau yang lebih baru. |
Sedang |
Deskripsi | Keparahan | Catatan |
---|---|---|
Penyerang dapat menggunakan kerentanan ini untuk melewati pemeriksaan otorisasi saat ext_authz digunakan. Apa yang harus saya lakukan?Periksa apakah cluster Anda terpengaruhCluster Anda terpengaruh jika menggunakan versi patch Cloud Service Mesh yang lebih lama dari:
Upgrade cluster Anda ke salah satu versi yang telah di-patch berikut:
Jika Anda menggunakan Cloud Service Mesh v1.13 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus mengupgrade ke Cloud Service Mesh} 1.14 atau yang lebih baru. |
Sedang |
Deskripsi | Keparahan | Catatan |
---|---|---|
Konfigurasi Envoy juga harus menyertakan opsi untuk menambahkan header permintaan yang dibuat menggunakan input dari permintaan, yaitu SAN sertifikat peer. Apa yang harus saya lakukan?Periksa apakah cluster Anda terpengaruhCluster Anda terpengaruh jika menggunakan versi patch Cloud Service Mesh yang lebih lama dari:
Upgrade cluster Anda ke salah satu versi yang telah di-patch berikut:
Jika Anda menggunakan Cloud Service Mesh v1.13 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus mengupgrade ke Cloud Service Mesh 1.14 atau yang lebih baru. |
Tinggi |
Deskripsi | Keparahan | Catatan |
---|---|---|
Penyerang dapat mengirimkan isi permintaan besar untuk rute yang mengaktifkan filter Lua dan memicu error. Apa yang harus saya lakukan?Periksa apakah cluster Anda terpengaruhCluster Anda terpengaruh jika menggunakan versi patch Cloud Service Mesh yang lebih lama dari:
Upgrade cluster Anda ke salah satu versi yang telah di-patch berikut:
Jika Anda menggunakan Cloud Service Mesh v1.13 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus mengupgrade ke Cloud Service Mesh 1.14 atau yang lebih baru. |
Sedang |
Deskripsi | Keparahan | Catatan |
---|---|---|
Penyerang dapat mengirim permintaan HTTP/2 atau HTTP/3 yang dibuat secara khusus untuk memicu error penguraian pada layanan upstream HTTP/1. Apa yang harus saya lakukan?Periksa apakah cluster Anda terpengaruhCluster Anda terpengaruh jika menggunakan versi patch Cloud Service Mesh yang lebih lama dari:
Upgrade cluster Anda ke salah satu versi yang telah di-patch berikut:
Jika Anda menggunakan Cloud Service Mesh v1.13 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus mengupgrade ke Cloud Service Mesh 1.14 atau yang lebih baru. |
Sedang |
Deskripsi | Keparahan | Catatan |
---|---|---|
Header x-envoy-original-path seharusnya menjadi header internal, tetapi Envoy tidak menghapus header ini dari permintaan di awal pemrosesan permintaan saat dikirim dari klien yang tidak tepercaya. Apa yang harus saya lakukan?Periksa apakah cluster Anda terpengaruhCluster Anda terpengaruh jika menggunakan versi patch Cloud Service Mesh yang lebih lama dari:
Upgrade cluster Anda ke salah satu versi yang telah di-patch berikut:
Jika Anda menggunakan Cloud Service Mesh v1.13 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus mengupgrade ke Cloud Service Mesh 1.14 atau yang lebih baru. |
Tinggi |
GCP-2022-020
Dipublikasikan: 05-10-2022Diperbarui: 12-10-2022
Update 12-10-2022: Memperbarui link ke deskripsi CVE dan menambahkan informasi tentang update otomatis untuk Cloud Service Mesh terkelola.
Deskripsi | Keparahan | Catatan |
---|---|---|
Bidang kontrol Istio Apa yang harus saya lakukan?Periksa apakah cluster Anda terpengaruhCluster Anda terpengaruh jika menggunakan versi patch Cloud Service Mesh yang lebih lama dari 1.14.4, 1.13.8, atau 1.12.9. MitigasiJika Anda menjalankan Cloud Service Mesh mandiri, upgrade cluster Anda ke salah satu versi yang telah di-patch berikut:
Jika Anda menjalankan Cloud Service Mesh terkelola, sistem Anda akan otomatis diupdate dalam beberapa hari ke depan. Jika Anda menggunakan Cloud Service Mesh v1.11 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus mengupgrade ke Cloud Service Mesh 1.12 atau yang lebih baru. |
Tinggi |
GCP-2022-015
Dipublikasikan: 09-06-2022Diperbarui: 10-06-2022
Pembaruan 10-06-2022: Versi patch yang diperbarui untuk Cloud Service Mesh.
Deskripsi | Keparahan | Catatan |
---|---|---|
Bidang data Istio berpotensi mengakses memori secara tidak aman saat ekstensi Metadata Exchange dan Stats diaktifkan. Apa yang harus saya lakukan?Periksa apakah cluster Anda terpengaruhCluster Anda terpengaruh jika menggunakan versi patch Cloud Service Mesh yang lebih lama dari 1.13.4-asm.4, 1.12.7-asm.2, atau 1.11.8-asm.4. Mitigasi Cloud Service MeshUpgrade cluster Anda ke salah satu versi yang telah di-patch berikut:
Jika Anda menggunakan Cloud Service Mesh v1.10 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus mengupgrade ke Cloud Service Mesh 1.11 atau yang lebih baru. Untuk mengetahui informasi selengkapnya, lihat Mengupgrade dari versi sebelumnya (GKE atau Mengupgrade dari versi sebelumnya (on-premise). |
Tinggi |
Deskripsi | Keparahan | Catatan |
---|---|---|
Data dapat melebihi batas buffer perantara jika penyerang berbahaya meneruskan payload kecil yang sangat terkompresi (juga dikenal sebagai serangan bom zip). Apa yang harus saya lakukan?Periksa apakah cluster Anda terpengaruhCluster Anda terpengaruh jika menggunakan versi patch Cloud Service Mesh yang lebih lama dari 1.13.4-asm.4, 1.12.7-asm.2, atau 1.11.8-asm.4. Meskipun Cloud Service Mesh tidak mendukung filter Envoy, Anda dapat terpengaruh jika menggunakan filter dekompresi. Mitigasi Cloud Service MeshUpgrade cluster Anda ke salah satu versi yang telah di-patch berikut:
Jika Anda menggunakan Cloud Service Mesh v1.10 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus mengupgrade ke Cloud Service Mesh 1.11 atau yang lebih baru. Untuk mengetahui informasi selengkapnya, lihat Mengupgrade dari versi sebelumnya (GKE atau Mengupgrade dari versi sebelumnya (on-premise). Mitigasi EnvoyPengguna Envoy yang mengelola Envoy mereka sendiri harus memastikan bahwa mereka menggunakan rilis Envoy 1.22.1. Pengguna Envoy yang mengelola Envoy mereka sendiri membangun biner dari sumber seperti GitHub dan men-deploy-nya. Tidak ada tindakan yang perlu dilakukan oleh pengguna yang menjalankan Envoy terkelola (Google Cloud menyediakan binari Envoy), yang produk cloud-nya akan beralih ke 1.22.1. |
Tinggi |
Deskripsi | Keparahan | Catatan |
---|---|---|
Potensi dereferensi pointer null di Apa yang harus saya lakukan?Periksa apakah cluster Anda terpengaruhCluster Anda terpengaruh jika menggunakan versi patch Cloud Service Mesh yang lebih lama dari 1.13.4-asm.4, 1.12.7-asm.2, atau 1.11.8-asm.4. Mitigasi Cloud Service MeshUpgrade cluster Anda ke salah satu versi yang telah di-patch berikut:
Jika Anda menggunakan Cloud Service Mesh v1.10 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus mengupgrade ke Cloud Service Mesh 1.11 atau yang lebih baru. Untuk mengetahui informasi selengkapnya, lihat Mengupgrade dari versi sebelumnya (GKE atau Mengupgrade dari versi sebelumnya (on-premise). Mitigasi EnvoyPengguna Envoy yang mengelola Envoy mereka sendiri harus memastikan bahwa mereka menggunakan rilis Envoy 1.22.1. Pengguna Envoy yang mengelola Envoy mereka sendiri membangun biner dari sumber seperti GitHub dan men-deploy-nya. Tidak ada tindakan yang perlu dilakukan oleh pengguna yang menjalankan Envoy terkelola (Google Cloud menyediakan binari Envoy), yang produk cloud-nya akan beralih ke 1.22.1. |
Sedang |
Deskripsi | Keparahan | Catatan |
---|---|---|
Filter OAuth memungkinkan bypass sepele. Apa yang harus saya lakukan?Periksa apakah cluster Anda terpengaruhCluster Anda terpengaruh jika menggunakan versi patch Cloud Service Mesh yang lebih lama dari 1.13.4-asm.4, 1.12.7-asm.2, atau 1.11.8-asm.4. Meskipun Cloud Service Mesh tidak mendukung filter Envoy, Anda dapat terpengaruh jika menggunakan filter OAuth. Mitigasi Cloud Service MeshUpgrade cluster Anda ke salah satu versi yang telah di-patch berikut:
Jika Anda menggunakan Cloud Service Mesh v1.10 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus mengupgrade ke Cloud Service Mesh 1.11 atau yang lebih baru. Untuk mengetahui informasi selengkapnya, lihat Mengupgrade dari versi sebelumnya (GKE atau Mengupgrade dari versi sebelumnya (on-premise). Mitigasi EnvoyPengguna Envoy yang mengelola Envoy mereka sendiri dan menggunakan filter OAuth juga harus memastikan bahwa mereka menggunakan rilis Envoy 1.22.1. Pengguna Envoy yang mengelola Envoy mereka sendiri membangun biner dari sumber seperti GitHub dan men-deploy-nya. Tidak ada tindakan yang perlu dilakukan oleh pengguna yang menjalankan Envoy terkelola (Google Cloud menyediakan binari Envoy), yang produk cloud-nya akan beralih ke 1.22.1. |
Kritis |
Deskripsi | Keparahan | Catatan |
---|---|---|
Filter OAuth dapat merusak memori (versi sebelumnya) atau memicu ASSERT() (versi yang lebih baru). Apa yang harus saya lakukan?Periksa apakah cluster Anda terpengaruhCluster Anda terpengaruh jika menggunakan versi patch Cloud Service Mesh yang lebih lama dari 1.13.4-asm.4, 1.12.7-asm.2, atau 1.11.8-asm.4. Meskipun Cloud Service Mesh tidak mendukung filter Envoy, Anda dapat terpengaruh jika menggunakan filter OAuth. Mitigasi Cloud Service MeshUpgrade cluster Anda ke salah satu versi yang telah di-patch berikut:
Jika Anda menggunakan Cloud Service Mesh v1.10 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus mengupgrade ke Cloud Service Mesh 1.11 atau yang lebih baru. Mitigasi EnvoyPengguna Envoy yang mengelola Envoy mereka sendiri dan menggunakan filter OAuth juga harus memastikan bahwa mereka menggunakan rilis Envoy 1.22.1. Pengguna Envoy yang mengelola Envoy mereka sendiri membangun biner dari sumber seperti GitHub dan men-deploy-nya. Tidak ada tindakan yang perlu dilakukan oleh pengguna yang menjalankan Envoy terkelola (Google Cloud menyediakan binari Envoy), yang produk cloud-nya akan beralih ke 1.22.1. |
Tinggi |
Deskripsi | Keparahan | Catatan |
---|---|---|
Pengalihan internal error untuk permintaan dengan isi atau trailer. Apa yang harus saya lakukan?Periksa apakah cluster Anda terpengaruhCluster Anda terpengaruh jika menggunakan versi patch Cloud Service Mesh yang lebih lama dari 1.13.4-asm.4, 1.12.7-asm.2, atau 1.11.8-asm.4. Mitigasi Cloud Service MeshUpgrade cluster Anda ke salah satu versi yang telah di-patch berikut:
Jika Anda menggunakan Cloud Service Mesh v1.10 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus mengupgrade ke Cloud Service Mesh 1.11 atau yang lebih baru. Untuk mengetahui informasi selengkapnya, lihat Mengupgrade dari versi sebelumnya (GKE atau Mengupgrade dari versi sebelumnya (on-premise). Mitigasi EnvoyPengguna Envoy yang mengelola Envoy mereka sendiri harus memastikan bahwa mereka menggunakan rilis Envoy 1.22.1. Pengguna Envoy yang mengelola Envoy mereka sendiri membangun biner dari sumber seperti GitHub dan men-deploy-nya. Tidak ada tindakan yang perlu dilakukan oleh pengguna yang menjalankan Envoy terkelola (Google Cloud menyediakan binari Envoy), yang produk cloud-nya akan beralih ke 1.22.1. |
Tinggi |
GCP-2022-010
Dipublikasikan: 10-03-2022Diperbarui: 16-03-2022
Deskripsi | Keparahan | Catatan |
---|---|---|
Bidang kontrol Istio, istiod, rentan terhadap error pemrosesan permintaan, sehingga memungkinkan penyerang berbahaya yang mengirim pesan yang dibuat khusus menyebabkan bidang kontrol mengalami error saat webhook validasi untuk cluster diekspos secara publik. Endpoint ini ditayangkan melalui port TLS 15017, tetapi tidak memerlukan autentikasi apa pun dari penyerang. Apa yang harus saya lakukan?Periksa apakah cluster Anda terpengaruhSemua versi Cloud Service Mesh terpengaruh oleh CVE ini. Catatan: Jika Anda menggunakan Managed Control Plane, kerentanan ini telah diperbaiki dan Anda tidak akan terpengaruh. MitigasiUpgrade cluster Anda ke salah satu versi yang telah di-patch berikut:
Jika Anda menggunakan Cloud Service Mesh v1.9 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus mengupgrade ke Cloud Service Mesh 1.10 atau yang lebih baru. |
Tinggi |
GCP-2022-007
Dipublikasikan: 22-02-2022Deskripsi | Keparahan | Catatan |
---|---|---|
Istiod mengalami error saat menerima permintaan dengan header Apa yang harus saya lakukan?Periksa apakah cluster Anda terpengaruhCluster Anda akan terpengaruh jika kedua hal berikut terpenuhi:
Catatan: Jika Anda menggunakan Managed Control Plane, kerentanan ini telah diperbaiki dan Anda tidak akan terpengaruh. MitigasiUpgrade cluster Anda ke salah satu versi yang telah di-patch berikut:
Jika Anda menggunakan Cloud Service Mesh v1.9 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus mengupgrade ke Cloud Service Mesh 1.10 atau yang lebih baru. |
Tinggi |
Deskripsi | Keparahan | Catatan |
---|---|---|
Potensi dereferensi pointer null saat menggunakan pencocokan Apa yang harus saya lakukan?Periksa apakah cluster Anda terpengaruhCluster Anda akan terpengaruh jika kedua hal berikut terpenuhi:
Upgrade cluster Anda ke salah satu versi yang telah di-patch berikut:
Jika Anda menggunakan Cloud Service Mesh v1.9 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus mengupgrade ke Cloud Service Mesh 1.10 atau yang lebih baru. |
Sedang |
Deskripsi | Keparahan | Catatan |
---|---|---|
Penggunaan setelah pembebasan memori saat filter respons meningkatkan data respons, dan peningkatan data melampaui batas buffer hilir. Apa yang harus saya lakukan?Periksa apakah cluster Anda terpengaruhCluster Anda akan terpengaruh jika kedua hal berikut terpenuhi:
Upgrade cluster Anda ke salah satu versi yang telah di-patch berikut:
Jika Anda menggunakan Cloud Service Mesh v1.9 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus mengupgrade ke Cloud Service Mesh 1.10 atau yang lebih baru. |
Sedang |
Deskripsi | Keparahan | Catatan |
---|---|---|
Penggunaan setelah pembebasan memori saat melakukan tunneling TCP melalui HTTP, jika koneksi hilir terputus selama pembuatan koneksi hulu. Apa yang harus saya lakukan?Periksa apakah cluster Anda terpengaruhCluster Anda akan terpengaruh jika kedua hal berikut terpenuhi:
Upgrade cluster Anda ke salah satu versi yang telah di-patch berikut:
Jika Anda menggunakan Cloud Service Mesh v1.9 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus mengupgrade ke Cloud Service Mesh 1.10 atau yang lebih baru. |
Sedang |
Deskripsi | Keparahan | Catatan |
---|---|---|
Penanganan konfigurasi yang salah memungkinkan penggunaan ulang sesi mTLS tanpa validasi ulang setelah setelan validasi berubah. Apa yang harus saya lakukan?Periksa apakah cluster Anda terpengaruhCluster Anda akan terpengaruh jika kedua hal berikut terpenuhi:
Upgrade cluster Anda ke salah satu versi yang telah di-patch berikut:
Jika Anda menggunakan Cloud Service Mesh v1.9 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus mengupgrade ke Cloud Service Mesh 1.10 atau yang lebih baru. |
Tinggi |
Deskripsi | Keparahan | Catatan |
---|---|---|
Penanganan yang salah atas pengalihan internal ke rute dengan entri respons langsung. Apa yang harus saya lakukan?Periksa apakah cluster Anda terpengaruhCluster Anda akan terpengaruh jika kedua hal berikut terpenuhi:
Upgrade cluster Anda ke salah satu versi yang telah di-patch berikut:
Jika Anda menggunakan Cloud Service Mesh v1.9 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus mengupgrade ke Cloud Service Mesh 1.10 atau yang lebih baru. |
Tinggi |
Deskripsi | Keparahan | Catatan |
---|---|---|
Penipisan stack saat cluster dihapus melalui Layanan Penemuan Cluster. Apa yang harus saya lakukan?Periksa apakah cluster Anda terpengaruhCluster Anda akan terpengaruh jika kedua hal berikut terpenuhi:
Upgrade cluster Anda ke salah satu versi yang telah di-patch berikut:
Jika Anda menggunakan Cloud Service Mesh v1.9 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus mengupgrade ke Cloud Service Mesh 1.10 atau yang lebih baru. |
Sedang |
GCP-2021-016
Dipublikasikan: 24-08-2021Deskripsi | Keparahan | Catatan |
---|---|---|
Istio berisi kerentanan yang dapat dieksploitasi dari jarak jauh. Dalam kerentanan ini, permintaan HTTP dengan fragmen (bagian di akhir URI yang dimulai dengan karakter
Misalnya, kebijakan otorisasi Istio menolak permintaan yang dikirim ke jalur URI Perbaikan ini bergantung pada perbaikan di Envoy, yang terkait dengan CVE-2021-32779. Apa yang harus saya lakukan?Periksa apakah cluster Anda terpengaruhCluster Anda akan terpengaruh jika kedua hal berikut terpenuhi:
Upgrade cluster Anda ke salah satu versi yang telah di-patch berikut:
Dengan versi baru, bagian fragmen URI permintaan dihapus sebelum otorisasi dan perutean. Hal ini mencegah permintaan dengan fragmen di URI-nya melewati kebijakan otorisasi yang didasarkan pada URI tanpa bagian fragmen. Memilih tidak ikutJika Anda memilih tidak menggunakan perilaku baru ini, bagian fragmen di URI akan tetap ada. Untuk memilih tidak ikut, Anda dapat mengonfigurasi penginstalan seperti berikut: apiVersion: install.istio.io/v1alpha1 kind: IstioOperator metadata: name: opt-out-fragment-cve-fix namespace: istio-system spec: meshConfig: defaultConfig: proxyMetadata: HTTP_STRIP_FRAGMENT_FROM_PATH_UNSAFE_IF_DISABLED: "false" Catatan: Memilih tidak ikut perilaku ini membuat cluster Anda rentan terhadap CVE ini. |
Tinggi |
Deskripsi | Keparahan | Catatan |
---|---|---|
Istio berisi kerentanan yang dapat dieksploitasi dari jarak jauh, di mana permintaan HTTP berpotensi melewati kebijakan otorisasi Istio saat menggunakan aturan berdasarkan
Dalam versi yang rentan, kebijakan otorisasi Istio membandingkan header HTTP Apa yang harus saya lakukan?Periksa apakah cluster Anda terpengaruhCluster Anda akan terpengaruh jika kedua hal berikut terpenuhi:
Upgrade cluster Anda ke salah satu versi yang telah di-patch berikut:
Mitigasi ini memastikan bahwa header HTTP |
Tinggi |
Deskripsi | Keparahan | Catatan |
---|---|---|
Envoy berisi kerentanan yang dapat dieksploitasi dari jarak jauh sehingga permintaan HTTP dengan header beberapa nilai dapat melakukan pemeriksaan kebijakan otorisasi yang tidak lengkap saat ekstensi Apa yang harus saya lakukan?Periksa apakah cluster Anda terpengaruhCluster Anda akan terpengaruh jika kedua hal berikut terpenuhi:
Upgrade cluster Anda ke salah satu versi yang telah di-patch berikut:
|
Tinggi |
Deskripsi | Keparahan | Catatan |
---|---|---|
Envoy berisi kerentanan yang dapat dieksploitasi dari jarak jauh yang memengaruhi ekstensi Apa yang harus saya lakukan?Periksa apakah cluster Anda terpengaruhCluster Anda akan terpengaruh jika kedua hal berikut terpenuhi:
Upgrade cluster Anda ke salah satu versi yang telah di-patch berikut:
|
Tinggi |
Deskripsi | Keparahan | Catatan |
---|---|---|
Envoy berisi kerentanan yang dapat dieksploitasi dari jarak jauh. Jika klien Envoy membuka lalu mereset sejumlah besar permintaan HTTP/2, hal ini dapat menyebabkan konsumsi CPU yang berlebihan. Apa yang harus saya lakukan?Periksa apakah cluster Anda terpengaruhCluster Anda terpengaruh jika menggunakan versi patch Cloud Service Mesh yang lebih lama dari 1.7.8-asm.10, 1.8.6-asm.8, 1.9.8-asm.1, dan 1.10.4-asm.6. MitigasiUpgrade cluster Anda ke salah satu versi yang telah di-patch berikut:
Catatan: Jika Anda menggunakan Cloud Service Mesh 1.8 atau yang lebih lama, upgrade ke versi patch terbaru Cloud Service Mesh 1.9 dan yang lebih baru untuk mengurangi kerentanan ini. |
Tinggi |
Deskripsi | Keparahan | Catatan |
---|---|---|
Envoy berisi kerentanan yang dapat dieksploitasi dari jarak jauh, di mana layanan upstream yang tidak tepercaya dapat menyebabkan Envoy berhenti secara tidak normal dengan mengirimkan frame Apa yang harus saya lakukan?Periksa apakah cluster Anda terpengaruhCluster Anda terpengaruh jika menggunakan Cloud Service Mesh 1.10 dengan versi patch yang lebih lama dari 1.10.4-asm.6. MitigasiUpgrade cluster Anda ke versi patch berikut:
|
Tinggi |
GCP-2021-012
Dipublikasikan: 24-06-2021Deskripsi | Keparahan | Catatan |
---|---|---|
Workload Istio yang aman
Biasanya, deployment gateway atau workload hanya dapat mengakses sertifikat TLS dan kunci
pribadi yang disimpan dalam secret di dalam namespace-nya. Namun, bug di Apa yang harus saya lakukan?Periksa apakah cluster Anda terpengaruhCluster Anda terpengaruh jika SEMUA kondisi berikut terpenuhi:
Upgrade cluster Anda ke salah satu versi yang telah di-patch berikut:
Jika upgrade tidak memungkinkan, Anda dapat memitigasi kerentanan ini dengan menonaktifkan penyimpanan cache istiod .
Anda dapat menonaktifkan caching dengan menyetel variabel lingkungan istiod ke
PILOT_ENABLE_XDS_CACHE=false . Performa sistem dan istiod dapat terpengaruh karena tindakan ini menonaktifkan penyiapan XDS.
|
Tinggi |
GCP-2021-008
Dipublikasikan: 17-05-2021Deskripsi | Keparahan | Catatan |
---|---|---|
Istio berisi kerentanan yang dapat dieksploitasi dari jarak jauh di mana klien eksternal dapat mengakses layanan yang tidak terduga di cluster, melewati pemeriksaan otorisasi, saat gateway dikonfigurasi dengan konfigurasi perutean AUTO_PASSTHROUGH. Apa yang harus saya lakukan?Periksa apakah cluster Anda terpengaruhKerentanan ini hanya memengaruhi penggunaan jenis Gateway AUTO_PASSTHROUGH, yang biasanya hanya digunakan dalam deployment multi-jaringan dan multi-cluster. Deteksi mode TLS semua Gateway di cluster dengan perintah berikut: kubectl get gateways.networking.istio.io -A -o \ "custom-columns=NAMESPACE:.metadata.namespace, \ NAME:.metadata.name,TLS_MODE:.spec.servers[*].tls.mode" Jika output menampilkan Gateway AUTO_PASSTHROUGH, Anda mungkin terpengaruh. MitigasiUpdate cluster Anda ke versi Cloud Service Mesh terbaru:
* Catatan: Peluncuran Bidang Kontrol Terkelola Cloud Service Mesh (hanya tersedia di versi 1.9.x) akan selesai dalam beberapa hari ke depan. |
Tinggi |
GCP-2021-007
Dipublikasikan: 17-05-2021Deskripsi | Keparahan | Catatan |
---|---|---|
Istio berisi kerentanan yang dapat dieksploitasi dari jarak jauh, di mana jalur permintaan HTTP dengan beberapa garis miring atau karakter garis miring yang di-escape (%2F atau %5C) berpotensi melewati kebijakan otorisasi Istio saat aturan otorisasi berbasis jalur digunakan.
Dalam skenario saat administrator cluster Istio menentukan kebijakan otorisasi DENY untuk
menolak permintaan di jalur
Menurut
RFC 3986,
jalur Apa yang harus saya lakukan?Periksa apakah cluster Anda terpengaruhCluster Anda terpengaruh oleh kerentanan ini jika Anda memiliki kebijakan otorisasi yang menggunakan pola "tindakan ALLOW + kolom notPaths" atau "tindakan DENY + kolom paths". Pola ini rentan terhadap pengabaian kebijakan yang tidak terduga dan Anda harus mengupgrade untuk memperbaiki masalah keamanan ini sesegera mungkin. Berikut adalah contoh kebijakan rentan yang menggunakan pola "TOLAK tindakan + kolom jalur": apiVersion: security.istio.io/v1beta1 kind: AuthorizationPolicy metadata: name: deny-path-admin spec: action: DENY rules: - to: - operation: paths: ["/admin"] Berikut adalah contoh lain kebijakan rentan yang menggunakan pola "Izinkan tindakan + kolom notPaths": apiVersion: security.istio.io/v1beta1 kind: AuthorizationPolicy metadata: name: allow-path-not-admin spec: action: ALLOW rules: - to: - operation: notPaths: ["/admin"] Cluster Anda tidak terpengaruh oleh kerentanan ini jika:
Upgrade bersifat opsional untuk kasus ini. Update cluster Anda ke versi Cloud Service Mesh terbaru yang didukung*. Versi ini mendukung konfigurasi proxy Envoy dalam sistem dengan lebih banyak opsi normalisasi:
* Catatan: Peluncuran Bidang Kontrol Terkelola Cloud Service Mesh (hanya tersedia di versi 1.9.x) akan selesai dalam beberapa hari ke depan. Ikuti panduan praktik terbaik keamanan Istio untuk mengonfigurasi kebijakan otorisasi Anda. |
Tinggi |
GCP-2021-004
Dipublikasikan: 2021-05-06Deskripsi | Keparahan | Catatan |
---|---|---|
Project Envoy dan Istio baru-baru ini mengumumkan beberapa kerentanan keamanan baru (CVE-2021-28682, CVE-2021-28683, dan CVE-2021-29258), yang dapat memungkinkan penyerang membuat Envoy error dan berpotensi membuat bagian cluster offline dan tidak dapat dijangkau. Hal ini memengaruhi layanan yang diberikan seperti Cloud Service Mesh. Apa yang harus saya lakukan?Untuk memperbaiki kerentanan ini, upgrade paket Cloud Service Mesh Anda ke salah satu versi yang telah di-patch berikut:
Untuk mengetahui informasi selengkapnya, lihat catatan rilis Cloud Service Mesh. |
Tinggi |