Boletins de segurança

Use after free na cache DNS.

O que devo fazer?

Apenas os clusters que executam a versão 1.26 do Cloud Service Mesh no cluster são afetados.

Se estiver a executar um Cloud Service Mesh gerido, não é afetado e não tem de tomar nenhuma medida.

Se estiver a executar o Cloud Service Mesh 1.26 no cluster, atualize todos os clusters afetados para a versão 1.26.4-asm.1.

Alto

CVE-2025-54588

Happy Eyeballs: valide se os endereços adicionais são endereços IP em vez de falharem ao ordenar.

O que devo fazer?

O seu cluster é afetado se as versões de patch forem anteriores a:

• 1.23.4-asm.1
• 1.22.7-asm.1

Para o Cloud Service Mesh no cluster, atualize o cluster para uma das seguintes versões corrigidas:

• 1.23.4-asm.1
• 1.22.7-asm.1

Se estiver a usar o Cloud Service Mesh v1.20 ou anterior, a sua versão atingiu o fim de vida e já não é suportada. Estas correções de CVE não foram portadas. Deve atualizar para a versão 1.21 ou posterior.

Para o Cloud Service Mesh gerido, não é necessária nenhuma ação. Todas as versões continuam a ser suportadas e o seu sistema vai ser atualizado automaticamente nas próximas semanas.

Médio

CVE-2024-53269

HTTP/1: falhas de envio de sobrecarga quando o pedido é reposto antecipadamente.

O que devo fazer?

O seu cluster é afetado se as versões de patch forem anteriores a:

• 1.23.4-asm.1
• 1.22.7-asm.1
• 1.21.5-asm.17
• 1.20.8-asm.14
• 1.19.10-asm.24

Para o Cloud Service Mesh no cluster, atualize o cluster para uma das seguintes versões com patches:

• 1.23.4-asm.1
• 1.22.7-asm.1
• 1.21.5-asm.17

Se estiver a usar o Cloud Service Mesh v1.20 ou anterior, a sua versão atingiu o fim de vida e já não é suportada. Se estiver a usar o Cloud Service Mesh v1.20 ou anterior, a sua versão atingiu o fim de vida e já não é suportada. Estas correções de CVE não foram portadas. Deve atualizar para a versão 1.21 ou posterior.

Para o Cloud Service Mesh gerido, não é necessária nenhuma ação. Todas as versões continuam a ser suportadas e o seu sistema vai ser atualizado automaticamente nas próximas semanas.

Alto

CVE-2024-53270

HTTP/1.1 Vários problemas com envoy.reloadable_features.http1_balsa_delay_reset.

O que devo fazer?

O seu cluster é afetado se as versões de patch forem anteriores a:

• 1.23.4-asm.1

Para o Cloud Service Mesh no cluster, atualize o cluster para uma das seguintes versões com patches:

• 1.23.4-asm.1

Se estiver a usar o Cloud Service Mesh v1.20 ou anterior, a sua versão atingiu o fim de vida e já não é suportada. Se estiver a usar o Cloud Service Mesh v1.20 ou anterior, a sua versão atingiu o fim de vida e já não é suportada. Estas correções de CVE não foram portadas. Deve atualizar para a versão 1.21 ou posterior.

Para o Cloud Service Mesh gerido, não é necessária nenhuma ação. Todas as versões permanecem suportadas e o seu sistema vai ser atualizado automaticamente nas próximas semanas.

Alto

CVE-2024-53271

Falha de oghttp2 em OnBeginHeadersForStream

O que devo fazer?

Apenas os clusters que executam o Cloud Service Mesh v1.23 são afetados

O Cloud Service Mesh 1.23.2-asm.2 contém a correção para este problema. Não é necessária qualquer ação da sua parte.

Alto

CVE-2024-45807

Injeção de registos maliciosa através de registos de acesso

O que devo fazer?

Todas as versões do Cloud Service Mesh são afetadas por esta CVE.

Atualize o cluster para uma das seguintes versões corrigidas:

• 1.20.8-asm.7
• 1.21.5-asm.7
• 1.22.5-asm.1
• 1.23.2-asm.2

Médio

CVE-2024-45808

Potencial de manipular cabeçalhos `x-envoy` de origens externas

O que devo fazer?

Todas as versões do Cloud Service Mesh são afetadas por esta CVE.

Atualize o cluster para uma das seguintes versões corrigidas:

• 1.20.8-asm.7
• 1.21.5-asm.7
• 1.22.5-asm.1
• 1.23.2-asm.2

Médio

CVE-2024-45806

Falha do filtro JWT na limpeza da cache de rotas com JWKs remotos

O que devo fazer?

Todas as versões do Cloud Service Mesh são afetadas por esta CVE.

Atualize o cluster para uma das seguintes versões corrigidas:

• 1.20.8-asm.7
• 1.21.5-asm.7
• 1.22.5-asm.1
• 1.23.2-asm.2

Médio

CVE-2024-45809

O Envoy falha para LocalReply no cliente assíncrono http

O que devo fazer?

Todas as versões do Cloud Service Mesh são afetadas por esta CVE.

Atualize o cluster para uma das seguintes versões corrigidas:

• 1.20.8-asm.7
• 1.21.5-asm.7
• 1.22.5-asm.1
• 1.23.2-asm.2

Médio

CVE-2024-45810

O Envoy aceita incorretamente a resposta HTTP 200 para entrar no modo de atualização.

O que devo fazer?

Todas as versões do Cloud Service Mesh são afetadas por esta CVE.

Se estiver a executar o Cloud Service Mesh gerido, o seu sistema vai ser atualizado automaticamente nos próximos dias.

Caso contrário, atualize o cluster para uma das seguintes versões corrigidas:

• v1.21.3-asm.3
• v1.20.7-asm.2
• v1.19.10-asm.6
• v1.18.7-asm.26
• Se estiver a usar o Cloud Service Mesh v1.17 ou inferior, a sua versão atingiu o fim de vida e já não é suportada. Estas correções de CVE não foram portadas. Deve atualizar para o Cloud Service Mesh 1.18 ou superior.

Médio

CVE-2024-23326

Falha em EnvoyQuicServerStream::OnInitialHeadersComplete().

O que devo fazer?

Todas as versões do Cloud Service Mesh são afetadas por esta CVE.

Se estiver a executar o Cloud Service Mesh gerido, o seu sistema vai ser atualizado automaticamente nos próximos dias.

Caso contrário, atualize o cluster para uma das seguintes versões corrigidas:

• v1.21.3-asm.3
• v1.20.7-asm.2
• v1.19.10-asm.6
• v1.18.7-asm.26
• Se estiver a usar o Cloud Service Mesh v1.17 ou inferior, a sua versão atingiu o fim de vida e já não é suportada. Estas correções de CVE não foram portadas. Deve atualizar para o Cloud Service Mesh 1.18 ou superior.

Médio

CVE-2024-32974

Falha em QuicheDataReader::PeekVarInt62Length().

O que devo fazer?

Todas as versões do Cloud Service Mesh são afetadas por esta CVE.

Se estiver a executar o Cloud Service Mesh gerido, o seu sistema vai ser atualizado automaticamente nos próximos dias.

Caso contrário, atualize o cluster para uma das seguintes versões corrigidas:

• v1.21.3-asm.3
• v1.20.7-asm.2
• v1.19.10-asm.6
• v1.18.7-asm.26
• Se estiver a usar o Cloud Service Mesh v1.17 ou inferior, a sua versão atingiu o fim de vida e já não é suportada. Estas correções de CVE não foram portadas. Deve atualizar para o Cloud Service Mesh 1.18 ou superior.

Médio

CVE-2024-32975

Ciclo infinito durante a descompressão de dados Brotli com entrada adicional.

O que devo fazer?

Todas as versões do Cloud Service Mesh são afetadas por esta CVE.

Se estiver a executar o Cloud Service Mesh gerido, o seu sistema vai ser atualizado automaticamente nos próximos dias.

Caso contrário, atualize o cluster para uma das seguintes versões corrigidas:

• v1.21.3-asm.3
• v1.20.7-asm.2
• v1.19.10-asm.6
• v1.18.7-asm.26
• Se estiver a usar o Cloud Service Mesh v1.17 ou inferior, a sua versão atingiu o fim de vida e já não é suportada. Estas correções de CVE não foram portadas. Deve atualizar para o Cloud Service Mesh 1.18 ou superior.

Alto

CVE-2024-32976

Falha de sistema (use-after-free) em EnvoyQuicServerStream.

O que devo fazer?

Todas as versões do Cloud Service Mesh são afetadas por esta CVE.

Se estiver a executar o Cloud Service Mesh gerido, o seu sistema vai ser atualizado automaticamente nos próximos dias.

Caso contrário, atualize o cluster para uma das seguintes versões corrigidas:

• v1.21.3-asm.3
• v1.20.7-asm.2
• v1.19.10-asm.6
• v1.18.7-asm.26
• Se estiver a usar o Cloud Service Mesh v1.17 ou inferior, a sua versão atingiu o fim de vida e já não é suportada. Estas correções de CVE não foram portadas. Deve atualizar para o Cloud Service Mesh 1.18 ou superior.

Médio

CVE-2024-34362

Falha devido a exceção JSON nlohmann não detetada.

O que devo fazer?

Todas as versões do Cloud Service Mesh são afetadas por esta CVE.

Se estiver a executar o Cloud Service Mesh gerido, o seu sistema vai ser atualizado automaticamente nos próximos dias.

Caso contrário, atualize o cluster para uma das seguintes versões corrigidas:

• v1.21.3-asm.3
• v1.20.7-asm.2
• v1.19.10-asm.6
• v1.18.7-asm.26
• Se estiver a usar o Cloud Service Mesh v1.17 ou inferior, a sua versão atingiu o fim de vida e já não é suportada. Estas correções de CVE não foram portadas. Deve atualizar para o Cloud Service Mesh 1.18 ou superior.

Alto

CVE-2024-34363

Vetor OOM do Envoy do cliente HTTP assíncrono com buffer de resposta ilimitado para resposta de espelho.

O que devo fazer?

Todas as versões do Cloud Service Mesh são afetadas por esta CVE.

Se estiver a executar o Cloud Service Mesh gerido, o seu sistema vai ser atualizado automaticamente nos próximos dias.

Caso contrário, atualize o cluster para uma das seguintes versões corrigidas:

• v1.21.3-asm.3
• v1.20.7-asm.2
• v1.19.10-asm.6
• v1.18.7-asm.26
• Se estiver a usar o Cloud Service Mesh v1.17 ou inferior, a sua versão atingiu o fim de vida e já não é suportada. Estas correções de CVE não foram portadas. Deve atualizar para o Cloud Service Mesh 1.18 ou superior.

Médio

CVE-2024-34364

HTTP/2: esgotamento da memória devido a um excesso de frames CONTINUATION.

O que devo fazer?

Todas as versões do Cloud Service Mesh são afetadas por esta CVE.

Se estiver a executar o Cloud Service Mesh gerido, não é necessária nenhuma ação. O seu sistema vai ser atualizado automaticamente nos próximos dias.

Se estiver a executar o Cloud Service Mesh no cluster, tem de atualizar o cluster para uma das seguintes versões corrigidas:

• 1.20.6-asm.0
• 1.19.10-asm.0
• 1.18.7-asm.21

Se estiver a usar o Cloud Service Mesh v1.17 ou inferior, a sua versão atingiu o fim de vida e já não é suportada. Estas correções de CVE não foram portadas. Deve atualizar para o Cloud Service Mesh v1.18 ou posterior.

Alto

CVE-2024-27919

HTTP/2: esgotamento da CPU devido a excesso de frames CONTINUATION

O que devo fazer?

Todas as versões do Cloud Service Mesh são afetadas por esta CVE.

Se estiver a executar o Cloud Service Mesh gerido, não é necessária nenhuma ação. O seu sistema vai ser atualizado automaticamente nos próximos dias.

Se estiver a executar o Cloud Service Mesh no cluster, tem de atualizar o cluster para uma das seguintes versões corrigidas:

• 1.20.6-asm.0
• 1.19.10-asm.0
• 1.18.7-asm.21

Se estiver a usar o Cloud Service Mesh v1.17 ou inferior, a sua versão atingiu o fim de vida e já não é suportada. Estas correções de CVE não foram portadas. Deve atualizar para o Cloud Service Mesh 1.18 ou posterior.

Médio

CVE-2024-30255

Terminação anormal quando usa auto_sni com o cabeçalho ":authority" com mais de 255 carateres.

O que devo fazer?

Todas as versões do Cloud Service Mesh são afetadas por esta CVE.

Se estiver a executar o Cloud Service Mesh gerido, não é necessária nenhuma ação. O seu sistema vai ser atualizado automaticamente nos próximos dias.

Se estiver a executar o Cloud Service Mesh no cluster, tem de atualizar o cluster para uma das seguintes versões corrigidas:

• 1.20.6-asm.0
• 1.19.10-asm.0
• 1.18.7-asm.21

Se estiver a usar o Cloud Service Mesh v1.17 ou inferior, a sua versão atingiu o fim de vida e já não é suportada. Estas correções de CVE não foram portadas. Deve atualizar para o Cloud Service Mesh 1.18 ou superior.

Alto

CVE-2024-32475

Os frames CONTINUATION HTTP/2 podem ser usados para ataques DoS.

O que devo fazer?

Todas as versões do Cloud Service Mesh são afetadas por esta CVE.

Se estiver a executar o Cloud Service Mesh gerido, não é necessária nenhuma ação. O seu sistema vai ser atualizado automaticamente nos próximos dias.

Se estiver a executar o Cloud Service Mesh no cluster, tem de atualizar o cluster para uma das seguintes versões corrigidas:

• 1.20.6-asm.0
• 1.19.10-asm.0
• 1.18.7-asm.21

Se estiver a usar o Cloud Service Mesh v1.17 ou inferior, a sua versão atingiu o fim de vida útil e já não é suportada. Estas correções de CVE não foram portadas. Deve atualizar para a versão v1.18 ou posterior.

Não fornecido

CVE-2023-45288

O Envoy falha quando está inativo e ocorrem pedidos por tempo limite de tentativa dentro do intervalo de retirada.

O que devo fazer?

Se estiver a executar o Cloud Service Mesh gerido, não é necessária nenhuma ação. O seu sistema vai ser atualizado automaticamente nos próximos dias.

Se estiver a executar o Cloud Service Mesh no cluster, tem de atualizar o cluster para uma das seguintes versões corrigidas:

• 1.20.3-asm.4
• 1.19.7-asm.3
• 1.18.7-asm.4
• 1.17.8-asm.20

Se estiver a usar o Anthos Service Mesh v1.17 ou anterior, a sua versão atingiu o fim de vida e já não é suportada. Embora estas correções de CVE tenham sido portadas para a versão 1.17, deve atualizar para a versão 1.18 ou posterior.

Alto

CVE-2024-23322

Utilização excessiva da CPU quando a correspondência de modelos de URI está configurada com regex.

O que devo fazer?

Se estiver a executar o Cloud Service Mesh gerido, não é necessária nenhuma ação. O seu sistema vai ser atualizado automaticamente nos próximos dias.

Se estiver a executar o Cloud Service Mesh no cluster, tem de atualizar o cluster para uma das seguintes versões corrigidas:

• 1.20.3-asm.4
• 1.19.7-asm.3
• 1.18.7-asm.4
• 1.17.8-asm.20

Se estiver a usar o Anthos Service Mesh v1.17 ou anterior, a sua versão atingiu o fim de vida e já não é suportada. Embora estas correções de CVE tenham sido portadas para a versão 1.17, deve atualizar para a versão 1.18 ou posterior.

Médio

CVE-2024-23323

A autorização externa pode ser ignorada quando o filtro do protocolo proxy define metadados UTF-8 inválidos.

O que devo fazer?

Se estiver a executar o Cloud Service Mesh gerido, não é necessária nenhuma ação. O seu sistema vai ser atualizado automaticamente nos próximos dias.

Se estiver a executar o Cloud Service Mesh no cluster, tem de atualizar o cluster para uma das seguintes versões corrigidas:

• 1.20.3-asm.4
• 1.19.7-asm.3
• 1.18.7-asm.4
• 1.17.8-asm.20

Se estiver a usar o Anthos Service Mesh v1.17 ou anterior, a sua versão atingiu o fim de vida e já não é suportada. Embora estas correções de CVE tenham sido portadas para a versão 1.17, deve atualizar para a versão 1.18 ou posterior.

Alto

CVE-2024-23324

O Envoy falha quando usa um tipo de endereço que não é suportado pelo SO.

O que devo fazer?

Se estiver a executar o Cloud Service Mesh gerido, não é necessária nenhuma ação. O seu sistema vai ser atualizado automaticamente nos próximos dias.

Se estiver a executar o Cloud Service Mesh no cluster, tem de atualizar o cluster para uma das seguintes versões corrigidas:

• 1.20.3-asm.4
• 1.19.7-asm.3
• 1.18.7-asm.4
• 1.17.8-asm.20

Se estiver a usar o Anthos Service Mesh v1.17 ou anterior, a sua versão atingiu o fim de vida e já não é suportada. Embora estas correções de CVE tenham sido portadas para a versão 1.17, deve atualizar para a versão 1.18 ou posterior.

Alto

CVE-2024-23325

Falha no protocolo de proxy quando o tipo de comando é LOCAL.

O que devo fazer?

Se estiver a executar o Cloud Service Mesh gerido, não é necessária nenhuma ação. O seu sistema vai ser atualizado automaticamente nos próximos dias.

Se estiver a executar o Cloud Service Mesh no cluster, tem de atualizar o cluster para uma das seguintes versões corrigidas:

• 1.20.3-asm.4
• 1.19.7-asm.3
• 1.18.7-asm.4
• 1.17.8-asm.20

Se estiver a usar o Anthos Service Mesh v1.17 ou anterior, a sua versão atingiu o fim de vida e já não é suportada. Embora estas correções de CVE tenham sido portadas para a versão 1.17, deve atualizar para a versão 1.18 ou posterior.

Alto

CVE-2024-23327

Um ataque de negação de serviço pode afetar o plano de dados quando usa o protocolo HTTP/2.

O que devo fazer?

O seu cluster é afetado se usar versões de patch do Cloud Service Mesh anteriores a 1.18.4, 1.17.7 ou 1.16.7.

Atualize o cluster para uma das seguintes versões corrigidas:

• 1.18.4-asm.0
• 1.17.7-asm.0
• 1.16.7-asm.10

Se estiver a executar o Cloud Service Mesh gerido, o seu sistema é atualizado automaticamente nos próximos dias.

Se estiver a usar o Cloud Service Mesh v1.15 ou inferior, a sua versão atingiu o fim de vida e já não é suportada. Estas correções de CVE não foram portadas. Deve atualizar para a versão 1.16 ou superior.

Alto

CVE-2023-44487

Um cliente malicioso consegue criar credenciais com validade permanente em alguns cenários específicos. Por exemplo, a combinação do anfitrião e da hora de validade na carga útil HMAC pode ser sempre válida na verificação HMAC do filtro OAuth2.

O que devo fazer?

O seu cluster é afetado se usar versões de patch do Cloud Service Mesh anteriores a

• 1.17.4
• 1.16.6
• 1.15.7

Atualize o cluster para uma das seguintes versões corrigidas:

• 1.17.5-asm.0
• 1.16.7-asm.0
• 1.15.7-asm.23

Se estiver a executar o Cloud Service Mesh gerido, o seu sistema é atualizado automaticamente nos próximos dias.

Se estiver a usar o Anthos Service Mesh 1.14 ou inferior, a sua versão atingiu o fim de vida e já não é suportada. Estas correções de CVE não foram portadas. Deve atualizar para o ASM 1.15 ou superior.

Alto

CVE-2023-35941

Os registadores de acesso gRPC que usam o âmbito global do ouvinte podem causar uma falha de sistema de utilização após libertação quando o ouvinte é esgotado. Isto pode ser acionado por uma atualização do LDS com a mesma configuração do registo de acesso gRPC.

O que devo fazer?

O seu cluster é afetado se usar versões de patch do Cloud Service Mesh anteriores a

• 1.17.4
• 1.16.6
• 1.15.7

Atualize o cluster para uma das seguintes versões corrigidas:

• 1.17.5-asm.0
• 1.16.7-asm.0
• 1.15.7-asm.23

Se estiver a executar o Cloud Service Mesh gerido, o seu sistema é atualizado automaticamente nos próximos dias.

Se estiver a usar o Anthos Service Mesh 1.14 ou inferior, a sua versão atingiu o fim de vida e já não é suportada. Estas correções de CVE não foram portadas. Deve atualizar para o ASM 1.15 ou superior.

Médio

CVE-2023-35942

Se o cabeçalho origin estiver configurado para ser removido com request_headers_to_remove: origin, o filtro CORS vai gerar uma falha de segmentação e falhar no Envoy.

O que devo fazer?

O seu cluster é afetado se usar versões de patch do Cloud Service Mesh anteriores a

• 1.17.4
• 1.16.6
• 1.15.7

Atualize o cluster para uma das seguintes versões corrigidas:

• 1.17.5-asm.0
• 1.16.7-asm.0
• 1.15.7-asm.23

Se estiver a executar o Cloud Service Mesh gerido, o seu sistema é atualizado automaticamente nos próximos dias.

Se estiver a usar o Anthos Service Mesh 1.14 ou inferior, a sua versão atingiu o fim de vida e já não é suportada. Estas correções de CVE não foram portadas. Deve atualizar para o ASM 1.15 ou superior.

Médio

CVE-2023-35943

Os atacantes podem enviar pedidos de esquemas mistos para ignorar algumas verificações de esquemas no Envoy. Por exemplo, se for enviado um pedido com o esquema misto htTp para o filtro OAuth2, este não passa nas verificações de correspondência exata para http e informa o ponto final remoto de que o esquema é https, contornando, assim, potencialmente as verificações OAuth2 específicas dos pedidos HTTP.

O que devo fazer?

O seu cluster é afetado se usar versões de patch do Cloud Service Mesh anteriores a

• 1.17.4
• 1.16.6
• 1.15.7

Atualize o cluster para uma das seguintes versões corrigidas:

• 1.17.5-asm.0
• 1.16.7-asm.0
• 1.15.7-asm.23

Se estiver a executar o Cloud Service Mesh gerido, o seu sistema é atualizado automaticamente nos próximos dias.

Se estiver a usar o Anthos Service Mesh 1.14 ou inferior, a sua versão atingiu o fim de vida e já não é suportada. Estas correções de CVE não foram portadas. Deve atualizar para o ASM 1.15 ou superior.

Alto

CVE-2023-35944

Uma resposta especificamente criada a partir de um serviço a montante não fidedigno pode causar uma negação de serviço através do esgotamento da memória. Isto é causado pelo codec HTTP/2 do Envoy, que pode divulgar um mapa de cabeçalhos e estruturas de contabilidade após receber RST_STREAM imediatamente seguido dos frames GOAWAY de um servidor a montante.

O que devo fazer?

O seu cluster é afetado se usar versões de patch do Cloud Service Mesh anteriores a

• 1.17.4
• 1.16.6
• 1.15.7

Atualize o cluster para uma das seguintes versões corrigidas:

• 1.17.4-asm.2
• 1.16.6-asm.3
• 1.15.7-asm.21

Se estiver a executar o Cloud Service Mesh gerido, o seu sistema é atualizado automaticamente nos próximos dias.

Se estiver a usar o Anthos Service Mesh 1.14 ou inferior, a sua versão atingiu o fim de vida e já não é suportada. Estas correções de CVE não foram portadas. Deve atualizar para o ASM 1.15 ou superior.

Alto

CVE-2023-35945

Se o Envoy estiver a ser executado com o filtro OAuth ativado exposto, um ator malicioso pode criar um pedido que cause uma negação de serviço ao bloquear o Envoy.

O que devo fazer?

Os seus clusters são afetados se usarem versões de patch do Cloud Service Mesh anteriores a:

• 1.16.4
• 1.15.7
• 1.14.6

Atualize o cluster para uma das seguintes versões corrigidas:

• 1.16.4-asm.2
• 1.15.7-asm.1
• 1.14.6-asm.11

Se estiver a usar o Cloud Service Mesh v1.13 ou inferior, a sua versão atingiu o fim de vida e já não é suportada. Estas correções de CVE não foram portadas. Deve atualizar para o Cloud Service Mesh 1.14 ou superior.

Médio

CVE-2023-27496

O atacante pode usar esta vulnerabilidade para ignorar as verificações de autenticação quando o ext_authz é usado.

O que devo fazer?

Os seus clusters são afetados se usarem versões de patch do Cloud Service Mesh anteriores a:

• 1.16.4
• 1.15.7
• 1.14.6

Atualize o cluster para uma das seguintes versões corrigidas:

• 1.16.4-asm.2
• 1.15.7-asm.1
• 1.14.6-asm.11

Se estiver a usar o Cloud Service Mesh v1.13 ou inferior, a sua versão atingiu o fim de vida e já não é suportada. Estas correções de CVE não foram portadas. Deve atualizar para o Cloud Service Mesh} 1.14 ou superior.

Médio

CVE-2023-27488

A configuração do Envoy também tem de incluir uma opção para adicionar cabeçalhos de pedidos que foram gerados com base em entradas do pedido, ou seja, o SAN do certificado de pares.

O que devo fazer?

Os seus clusters são afetados se usarem versões de patch do Cloud Service Mesh anteriores a:

• 1.16.4
• 1.15.7
• 1.14.6

Atualize o cluster para uma das seguintes versões corrigidas:

• 1.16.4-asm.2
• 1.15.7-asm.1
• 1.14.6-asm.11

Se estiver a usar o Cloud Service Mesh v1.13 ou inferior, a sua versão atingiu o fim de vida e já não é suportada. Estas correções de CVE não foram portadas. Deve atualizar para o Cloud Service Mesh 1.14 ou superior.

Alto

CVE-2023-27493

Os atacantes podem enviar grandes corpos de pedidos para rotas com o filtro Lua ativado e acionar falhas de sistema.

O que devo fazer?

Os seus clusters são afetados se usarem versões de patch do Cloud Service Mesh anteriores a:

• 1.16.4
• 1.15.7
• 1.14.6

Atualize o cluster para uma das seguintes versões corrigidas:

• 1.16.4-asm.2
• 1.15.7-asm.1
• 1.14.6-asm.11

Se estiver a usar o Cloud Service Mesh v1.13 ou inferior, a sua versão atingiu o fim de vida e já não é suportada. Estas correções de CVE não foram portadas. Deve atualizar para o Cloud Service Mesh 1.14 ou superior.

Médio

CVE-2023-27492

Os atacantes podem enviar pedidos HTTP/2 ou HTTP/3 especificamente criados para acionar erros de análise no serviço upstream HTTP/1.

O que devo fazer?

Os seus clusters são afetados se usarem versões de patch do Cloud Service Mesh anteriores a:

• 1.16.4
• 1.15.7
• 1.14.6

Atualize o cluster para uma das seguintes versões corrigidas:

• 1.16.4-asm.2
• 1.15.7-asm.1
• 1.14.6-asm.11

Se estiver a usar o Cloud Service Mesh v1.13 ou inferior, a sua versão atingiu o fim de vida e já não é suportada. Estas correções de CVE não foram portadas. Deve atualizar para o Cloud Service Mesh 1.14 ou superior.

Médio

CVE-2023-27491

O cabeçalho x-envoy-original-path deve ser um cabeçalho interno, mas o Envoy não remove este cabeçalho do pedido no início do processamento do pedido quando é enviado por um cliente não fidedigno.

O que devo fazer?

Os seus clusters são afetados se usarem versões de patch do Cloud Service Mesh anteriores a:

• 1.16.4
• 1.15.7
• 1.14.6

Atualize o cluster para uma das seguintes versões corrigidas:

• 1.16.4-asm.2
• 1.15.7-asm.1
• 1.14.6-asm.11

Se estiver a usar o Cloud Service Mesh v1.13 ou inferior, a sua versão atingiu o fim de vida e já não é suportada. Estas correções de CVE não foram portadas. Deve atualizar para o Cloud Service Mesh 1.14 ou superior.

Alto

CVE-2023-27487

O plano de controlo do Istio istiod é vulnerável a um erro de processamento de pedidos, o que permite que um atacante malicioso envie uma mensagem especialmente criada que resulta na falha do plano de controlo quando o webhook de validação de um cluster é exposto publicamente. Este ponto final é servido através da porta TLS 15017, mas não requer autenticação do atacante.

O que devo fazer?

O seu cluster é afetado se usar versões de patch do Cloud Service Mesh anteriores a 1.14.4, 1.13.8 ou 1.12.9.

Se estiver a executar o Cloud Service Mesh autónomo, atualize o cluster para uma das seguintes versões corrigidas:

• Se estiver a usar o Anthos Service Mesh 1.14, atualize para a versão 1.14.4-asm.2
• Se estiver a usar o Anthos Service Mesh 1.13, atualize para a versão 1.13.8-asm.4
• Se estiver a usar o Anthos Service Mesh 1.12, atualize para a versão 1.12.9-asm.3

Se estiver a executar o Cloud Service Mesh gerido, o seu sistema vai ser atualizado automaticamente nos próximos dias.

Se estiver a usar o Cloud Service Mesh v1.11 ou inferior, a sua versão atingiu o fim de vida e já não é suportada. Estas correções de CVE não foram portadas. Deve atualizar para o Cloud Service Mesh 1.12 ou posterior.

Alto

CVE-2022-39278

O plano de dados do Istio pode potencialmente aceder à memória de forma insegura quando as extensões de troca de metadados e estatísticas estão ativadas.

O que devo fazer?

O seu cluster é afetado se usar versões de patch do Cloud Service Mesh anteriores a 1.13.4-asm.4, 1.12.7-asm.2 ou 1.11.8-asm.4.

Atualize o cluster para uma das seguintes versões corrigidas:

• 1.13.4-asm.4
• 1.12.7-asm.2
• 1.11.8-asm.4

Se estiver a usar o Cloud Service Mesh v1.10 ou anterior, a sua versão atingiu o fim de vida e já não é suportada. Estas correções de CVE não foram portadas. Deve atualizar para o Cloud Service Mesh 1.11 ou posterior. Para mais informações, consulte os artigos Atualizar a partir de versões anteriores (GKE) ou Atualizar a partir de versões anteriores (no local).

Alto

CVE-2022-31045

Os dados podem exceder os limites do buffer intermédio se um atacante malicioso passar um pequeno payload altamente comprimido (também conhecido como ataque de bomba ZIP).

O que devo fazer?

O seu cluster é afetado se usar versões de patch do Cloud Service Mesh anteriores a 1.13.4-asm.4, 1.12.7-asm.2 ou 1.11.8-asm.4.

Embora o Cloud Service Mesh não suporte filtros do Envoy, pode ser afetado se usar um filtro de descompressão.

Atualize o cluster para uma das seguintes versões corrigidas:

• 1.13.4-asm.4
• 1.12.7-asm.2
• 1.11.8-asm.4

Se estiver a usar o Cloud Service Mesh v1.10 ou anterior, a sua versão atingiu o fim de vida e já não é suportada. Estas correções de CVE não foram portadas. Deve atualizar para o Cloud Service Mesh 1.11 ou posterior. Para mais informações, consulte os artigos Atualizar a partir de versões anteriores (GKE) ou Atualizar a partir de versões anteriores (no local).

Os utilizadores do Envoy que gerem os seus próprios Envoys devem garantir que estão a usar a versão 1.22.1 do Envoy. Os utilizadores do Envoy que gerem os seus próprios Envoys criam os ficheiros binários a partir de uma origem como o GitHub e implementam-nos.

Os utilizadores que executam Envoys geridos (Google Cloud fornece os binários do Envoy) não têm de tomar nenhuma medida, pois os produtos na nuvem vão mudar para a versão 1.22.1.

Alto

CVE-2022-29225

Potencial desreferenciação de ponteiro nulo em GrpcHealthCheckerImpl.

O que devo fazer?

O seu cluster é afetado se usar versões de patch do Cloud Service Mesh anteriores a 1.13.4-asm.4, 1.12.7-asm.2 ou 1.11.8-asm.4.

Atualize o cluster para uma das seguintes versões corrigidas:

• 1.13.4-asm.4
• 1.12.7-asm.2
• 1.11.8-asm.4

Se estiver a usar o Cloud Service Mesh v1.10 ou anterior, a sua versão atingiu o fim de vida e já não é suportada. Estas correções de CVE não foram portadas. Deve atualizar para o Cloud Service Mesh 1.11 ou posterior. Para mais informações, consulte os artigos Atualizar a partir de versões anteriores (GKE) ou Atualizar a partir de versões anteriores (no local).

Os utilizadores do Envoy que gerem os seus próprios Envoys devem garantir que estão a usar a versão 1.22.1 do Envoy. Os utilizadores do Envoy que gerem os seus próprios Envoys criam os ficheiros binários a partir de uma origem como o GitHub e implementam-nos.

Os utilizadores que executam Envoys geridos (Google Cloud fornece os binários do Envoy) não têm de tomar nenhuma medida, pois os produtos na nuvem vão mudar para a versão 1.22.1.

Médio

CVE-2021-29224

O filtro OAuth permite a circunvenção trivial.

O que devo fazer?

O seu cluster é afetado se usar versões de patch do Cloud Service Mesh anteriores a 1.13.4-asm.4, 1.12.7-asm.2 ou 1.11.8-asm.4.

Embora o Cloud Service Mesh não suporte filtros do Envoy, pode ser afetado se usar um filtro OAuth.

Atualize o cluster para uma das seguintes versões corrigidas:

• 1.13.4-asm.4
• 1.12.7-asm.2
• 1.11.8-asm.4

Se estiver a usar o Cloud Service Mesh v1.10 ou anterior, a sua versão atingiu o fim de vida e já não é suportada. Estas correções de CVE não foram portadas. Deve atualizar para o Cloud Service Mesh 1.11 ou posterior. Para mais informações, consulte os artigos Atualizar a partir de versões anteriores (GKE) ou Atualizar a partir de versões anteriores (no local).

Os utilizadores do Envoy que gerem os seus próprios Envoys também usam o filtro OAuth e devem garantir que estão a usar a versão 1.22.1 do Envoy. Os utilizadores do Envoy que gerem os seus próprios Envoys criam os ficheiros binários a partir de uma fonte como o GitHub e implementam-nos.

Os utilizadores que executam Envoys geridos (Google Cloud fornece os binários do Envoy) não têm de tomar nenhuma medida, pois os produtos na nuvem vão mudar para a versão 1.22.1.

Crítico

CVE-2021-29226

O filtro OAuth pode danificar a memória (versões anteriores) ou acionar um ASSERT() (versões posteriores).

O que devo fazer?

O seu cluster é afetado se usar versões de patch do Cloud Service Mesh anteriores a 1.13.4-asm.4, 1.12.7-asm.2 ou 1.11.8-asm.4.

Embora o Cloud Service Mesh não suporte filtros do Envoy, pode ser afetado se usar um filtro OAuth.

Atualize o cluster para uma das seguintes versões corrigidas:

• 1.13.4-asm.4
• 1.12.7-asm.2
• 1.11.8-asm.4

Se estiver a usar o Cloud Service Mesh v1.10 ou anterior, a sua versão atingiu o fim de vida e já não é suportada. Estas correções de CVE não foram portadas. Deve atualizar para o Cloud Service Mesh 1.11 ou posterior.

Os utilizadores do Envoy que gerem os seus próprios Envoys também usam o filtro OAuth e devem garantir que estão a usar a versão 1.22.1 do Envoy. Os utilizadores do Envoy que gerem os seus próprios Envoys criam os ficheiros binários a partir de uma fonte como o GitHub e implementam-nos.

Os utilizadores que executam Envoys geridos (Google Cloud fornece os binários do Envoy) não têm de tomar nenhuma medida, pois os produtos na nuvem vão mudar para a versão 1.22.1.

Alto

CVE-2022-29228

Os redirecionamentos internos falham para pedidos com corpo ou trailers.

O que devo fazer?

O seu cluster é afetado se usar versões de patch do Cloud Service Mesh anteriores a 1.13.4-asm.4, 1.12.7-asm.2 ou 1.11.8-asm.4.

Atualize o cluster para uma das seguintes versões corrigidas:

• 1.13.4-asm.4
• 1.12.7-asm.2
• 1.11.8-asm.4

Se estiver a usar o Cloud Service Mesh v1.10 ou anterior, a sua versão atingiu o fim de vida e já não é suportada. Estas correções de CVE não foram portadas. Deve atualizar para o Cloud Service Mesh 1.11 ou posterior. Para mais informações, consulte os artigos Atualizar a partir de versões anteriores (GKE) ou Atualizar a partir de versões anteriores (no local).

Os utilizadores do Envoy que gerem os seus próprios Envoys devem garantir que estão a usar a versão 1.22.1 do Envoy. Os utilizadores do Envoy que gerem os seus próprios Envoys criam os ficheiros binários a partir de uma origem como o GitHub e implementam-nos.

Os utilizadores que executam Envoys geridos (Google Cloud fornece os binários do Envoy) não têm de tomar nenhuma medida, pois os produtos na nuvem vão mudar para a versão 1.22.1.

Alto

CVE-2022-29227

O plano de controlo do Istio, o istiod, é vulnerável a um erro de processamento de pedidos, o que permite que um atacante malicioso envie uma mensagem especialmente criada que resulta na falha do plano de controlo quando o webhook de validação de um cluster é exposto publicamente. Este ponto final é servido através da porta TLS 15017, mas não requer autenticação do atacante.

O que devo fazer?

Todas as versões do Cloud Service Mesh são afetadas por esta CVE.

Nota: se estiver a usar o plano de controlo gerido, esta vulnerabilidade já foi corrigida e não tem qualquer impacto em si.

Atualize o cluster para uma das seguintes versões corrigidas:

• 1.12.5-asm.0
• 1.11.8-asm.0
• 1.10.6-asm.2

Se estiver a usar o Cloud Service Mesh v1.9 ou inferior, a sua versão atingiu o fim de vida útil e já não é suportada. Estas correções de CVE não foram portadas. Deve atualizar para o Cloud Service Mesh 1.10 ou superior.

Alto

CVE-2022-24726

O Istiod falha ao receber pedidos com um cabeçalho authorization especialmente criado.

O que devo fazer?

O seu cluster é afetado se ambas as seguintes afirmações forem verdadeiras:

• Usa versões de patch do Cloud Service Mesh anteriores a: 1.12.4-asm.1, 1.11.7-asm.1, ou 1.10.6-asm.1.

Nota: se estiver a usar o plano de controlo gerido, esta vulnerabilidade já foi corrigida e não tem qualquer impacto em si.

Atualize o cluster para uma das seguintes versões corrigidas:

• 1.12.4-asm.1
• 1.11.7-asm.1
• 1.10.6-asm.1

Se estiver a usar o Cloud Service Mesh v1.9 ou inferior, a sua versão atingiu o fim de vida útil e já não é suportada. Estas correções de CVE não foram portadas. Deve atualizar para o Cloud Service Mesh 1.10 ou superior.

Alto

CVE-2022-23635

Potencial desreferenciação de ponteiro nulo quando usa a correspondência do filtro JWT safe_regex.

O que devo fazer?

O seu cluster é afetado se ambas as seguintes afirmações forem verdadeiras:

• Usa versões de patch do Cloud Service Mesh anteriores a: 1.12.4-asm.1, 1.11.7-asm.1, ou 1.10.6-asm.1.
• Embora o Cloud Service Mesh não suporte filtros do Envoy, pode ser afetado se usar a regex do filtro JWT.

Atualize o cluster para uma das seguintes versões corrigidas:

• 1.12.4-asm.1
• 1.11.7-asm.1
• 1.10.6-asm.1

Se estiver a usar o Cloud Service Mesh v1.9 ou inferior, a sua versão atingiu o fim de vida e já não é suportada. Estas correções de CVE não foram portadas. Deve atualizar para o Cloud Service Mesh 1.10 ou superior.

Médio

CVE-2021-43824

Use-after-free quando os filtros de resposta aumentam os dados de resposta e o aumento dos dados excede os limites de buffer a jusante.

O que devo fazer?

O seu cluster é afetado se ambas as seguintes afirmações forem verdadeiras:

• Usa versões de patch do Cloud Service Mesh anteriores a: 1.12.4-asm.1, 1.11.7-asm.1, ou 1.10.6-asm.1.
• Embora o Cloud Service Mesh não suporte filtros do Envoy, pode ser afetado se usar um filtro de descompressão.

Atualize o cluster para uma das seguintes versões corrigidas:

• 1.12.4-asm.1
• 1.11.7-asm.1
• 1.10.6-asm.1

Se estiver a usar o Cloud Service Mesh v1.9 ou inferior, a sua versão atingiu o fim de vida e já não é suportada. Estas correções de CVE não foram portadas. Deve atualizar para o Cloud Service Mesh 1.10 ou superior.

Médio

CVE-2021-43825

Use-after-free quando o TCP é encaminhado através de HTTP, se a ligação a jusante for interrompida durante o estabelecimento da ligação a montante.

O que devo fazer?

O seu cluster é afetado se ambas as seguintes afirmações forem verdadeiras:

• Usa versões de patch do Cloud Service Mesh anteriores a: 1.12.4-asm.1, 1.11.7-asm.1, ou 1.10.6-asm.1.
• Embora o Cloud Service Mesh não suporte filtros do Envoy, pode ser afetado se usar um filtro de túneis.

Atualize o cluster para uma das seguintes versões corrigidas:

• 1.12.4-asm.1
• 1.11.7-asm.1
• 1.10.6-asm.1

Se estiver a usar o Cloud Service Mesh v1.9 ou inferior, a sua versão atingiu o fim de vida e já não é suportada. Estas correções de CVE não foram portadas. Deve atualizar para o Cloud Service Mesh 1.10 ou superior.

Médio

CVE-2021-43826

O processamento incorreto da configuração permite a reutilização da sessão mTLS sem revalidação após a alteração das definições de validação.

O que devo fazer?

O seu cluster é afetado se ambas as seguintes afirmações forem verdadeiras:

• Usa versões de patch do Cloud Service Mesh anteriores a: 1.12.4-asm.1, 1.11.7-asm.1, ou 1.10.6-asm.1.
• Todos os serviços do Cloud Service Mesh que usam mTLS são afetados por esta CVE.

Atualize o cluster para uma das seguintes versões corrigidas:

• 1.12.4-asm.1
• 1.11.7-asm.1
• 1.10.6-asm.1

Se estiver a usar o Cloud Service Mesh v1.9 ou inferior, a sua versão atingiu o fim de vida e já não é suportada. Estas correções de CVE não foram portadas. Deve atualizar para o Cloud Service Mesh 1.10 ou superior.

Alto

CVE-2022-21654

Processamento incorreto de redirecionamentos internos para rotas com uma entrada de resposta direta.

O que devo fazer?

O seu cluster é afetado se ambas as seguintes afirmações forem verdadeiras:

• Usa versões de patch do Cloud Service Mesh anteriores a: 1.12.4-asm.1, 1.11.7-asm.1, ou 1.10.6-asm.1.
• Embora o Cloud Service Mesh não suporte filtros do Envoy, pode ser afetado se usar um filtro de resposta direta.

Atualize o cluster para uma das seguintes versões corrigidas:

• 1.12.4-asm.1
• 1.11.7-asm.1
• 1.10.6-asm.1

Se estiver a usar o Cloud Service Mesh v1.9 ou inferior, a sua versão atingiu o fim de vida e já não é suportada. Estas correções de CVE não foram portadas. Deve atualizar para o Cloud Service Mesh 1.10 ou superior.

Alto

CVE-2022-21655

Esgotamento da pilha quando um cluster é eliminado através do serviço de descoberta de clusters.

O que devo fazer?

O seu cluster é afetado se ambas as seguintes afirmações forem verdadeiras:

• Usa versões de patch da Cloud Service Mesh anteriores a 1.12.4-asm.1 ou 1.11.7-asm.1.

Atualize o cluster para uma das seguintes versões corrigidas:

• 1.12.4-asm.1
• 1.11.7-asm.1

Se estiver a usar o Cloud Service Mesh v1.9 ou inferior, a sua versão atingiu o fim de vida e já não é suportada. Estas correções de CVE não foram portadas. Deve atualizar para o Cloud Service Mesh 1.10 ou superior.

Médio

CVE-2022-23606

O Istio contém uma vulnerabilidade explorável remotamente em que um pedido HTTP com um fragmento (uma secção no final de um URI que começa com um caráter #) no caminho do URI pode ignorar as políticas de autorização baseadas no caminho do URI do Istio.

Por exemplo, uma política de autorização do Istio recusa pedidos enviados para o caminho do URI /user/profile. Nas versões vulneráveis, um pedido com o caminho do URI /user/profile#section1 ignora a política de recusa e é encaminhado para o back-end (com o caminho do URI normalizado /user/profile%23section1), o que leva a um incidente de segurança.

Esta correção depende de uma correção no Envoy, que está associada à CVE-2021-32779.

O que devo fazer?

O seu cluster é afetado se ambas as seguintes afirmações forem verdadeiras:

• Usa versões de patch do Cloud Service Mesh anteriores a 1.7.8-asm.10, 1.8.6-asm.8, 1.9.8-asm.1 e 1.10.4-asm.6.
• Usa políticas de autorização com DENY actions e operation.paths, ou ALLOW actions e operation.notPaths.

Atualize o cluster para uma das seguintes versões corrigidas:

• 1.10.4-asm.6
• 1.9.8-asm.1
• 1.8.6-asm.8
• 1.7.8-asm.10

Com as novas versões, a parte do fragmento do URI do pedido é removida antes da autorização e do encaminhamento. Isto impede que um pedido com um fragmento no respetivo URI contorne as políticas de autorização baseadas no URI sem a parte do fragmento.

Se desativar este novo comportamento, a secção de fragmentos no URI é mantida. Para desativar esta opção, pode configurar a instalação da seguinte forma:

apiVersion: install.istio.io/v1alpha1
kind: IstioOperator
metadata:
  name: opt-out-fragment-cve-fix
  namespace: istio-system
spec:
  meshConfig:
    defaultConfig:
      proxyMetadata:
        HTTP_STRIP_FRAGMENT_FROM_PATH_UNSAFE_IF_DISABLED: "false"

Nota: a desativação deste comportamento torna o seu cluster vulnerável a esta CVE.

Alto

CVE-2021-39156

O Istio contém uma vulnerabilidade explorável remotamente em que um pedido HTTP pode ignorar potencialmente uma política de autorização do Istio quando usa regras baseadas em hosts ou notHosts.

Nas versões vulneráveis, a política de autorização do Istio compara os cabeçalhos HTTP Host ou :authority de forma sensível a maiúsculas e minúsculas, o que é inconsistente com a RFC 4343. Por exemplo, o utilizador pode ter uma política de autorização que rejeita pedidos com o anfitrião secret.com, mas o atacante pode contornar esta situação enviando o pedido no nome de anfitrião Secret.com. O fluxo de encaminhamento encaminha o tráfego para o back-end de secret.com, o que provoca um incidente de segurança.

O que devo fazer?

O seu cluster é afetado se ambas as seguintes afirmações forem verdadeiras:

• Usa versões de patch do Cloud Service Mesh anteriores a 1.7.8-asm.10, 1.8.6-asm.8, 1.9.8-asm.1 e 1.10.4-asm.6.
• Usa políticas de autorização com DENY actions com base em operation.hosts ou ALLOW actions com base em operation.notHosts.

Atualize o cluster para uma das seguintes versões corrigidas:

• 1.10.4-asm.6
• 1.9.8-asm.1
• 1.8.6-asm.8
• 1.7.8-asm.10

Esta mitigação garante que os cabeçalhos HTTP Host ou :authority são avaliados em relação às especificações hosts ou notHosts nas políticas de autorização de forma não sensível a maiúsculas e minúsculas.

Alto

CVE-2021-39155

O Envoy contém uma vulnerabilidade explorável remotamente que um pedido HTTP com cabeçalhos de vários valores pode fazer uma verificação incompleta da política de autorização quando a extensão ext_authz é usada. Quando um cabeçalho de pedido contém vários valores, o servidor de autorização externo apenas vê o último valor do cabeçalho indicado.

O que devo fazer?

O seu cluster é afetado se ambas as seguintes afirmações forem verdadeiras:

• Usa versões de patch do Cloud Service Mesh anteriores a 1.7.8-asm.10, 1.8.6-asm.8, 1.9.8-asm.1 e 1.10.4-asm.6.
• Usa a funcionalidade Autorização externa.

Atualize o cluster para uma das seguintes versões corrigidas:

• 1.10.4-asm.6
• 1.9.8-asm.1
• 1.8.6-asm.8
• 1.7.8-asm.10

Alto

CVE-2021-32777

O Envoy contém uma vulnerabilidade explorável remotamente que afeta as extensões decompressor, json-transcoder ou grpc-web do Envoy, ou extensões proprietárias que modificam e aumentam o tamanho dos corpos de pedidos ou respostas. Modificar e aumentar o tamanho do corpo numa extensão do Envoy para além do tamanho do buffer interno pode fazer com que o Envoy aceda à memória desalocada e termine de forma anormal.

O que devo fazer?

O seu cluster é afetado se ambas as seguintes afirmações forem verdadeiras:

• Usa versões de patch do Cloud Service Mesh anteriores a 1.7.8-asm.10, 1.8.6-asm.8, 1.9.8-asm.1 e 1.10.4-asm.6.
• Usa EnvoyFilters.

Atualize o cluster para uma das seguintes versões corrigidas:

• 1.10.4-asm.6
• 1.9.8-asm.1
• 1.8.6-asm.8
• 1.7.8-asm.10

Alto

CVE-2021-32781

O Envoy contém uma vulnerabilidade explorável remotamente em que um cliente do Envoy que abre e, em seguida, repõe um grande número de pedidos HTTP/2 pode levar a um consumo excessivo da CPU.

O que devo fazer?

O seu cluster é afetado se usar versões de patch do Cloud Service Mesh anteriores a 1.7.8-asm.10, 1.8.6-asm.8, 1.9.8-asm.1 e 1.10.4-asm.6.

Atualize o cluster para uma das seguintes versões corrigidas:

• 1.10.4-asm.6
• 1.9.8-asm.1

Nota: se estiver a usar o Cloud Service Mesh 1.8 ou anterior, atualize para as versões de patch mais recentes do Cloud Service Mesh 1.9 e superior para mitigar esta vulnerabilidade.

Alto

CVE-2021-32778

O Envoy contém uma vulnerabilidade explorável remotamente em que um serviço a montante não fidedigno pode fazer com que o Envoy termine de forma anormal enviando a frame GOAWAY seguida da frame SETTINGS com o parâmetro SETTINGS_MAX_CONCURRENT_STREAMS definido como 0.

O que devo fazer?

O seu cluster é afetado se usar o Cloud Service Mesh 1.10 com uma versão de patch anterior a 1.10.4-asm.6.

Atualize o cluster para a seguinte versão de patch:

• 1.10.4-asm.6

Alto

CVE-2021-32780

As cargas de trabalho seguras do IstioGateway ou que usam o DestinationRule podem carregar chaves privadas e certificados TLS a partir de segredos do Kubernetes através da configuração credentialName. A partir do Istio 1.8 e superior, os segredos são lidos a partir de istiod e transmitidos a gateways e cargas de trabalho através do XDS.

Normalmente, uma implementação de gateway ou carga de trabalho só pode aceder a certificados TLS e chaves privadas armazenados no segredo dentro do respetivo espaço de nomes. No entanto, um erro no istiod permite que um cliente autorizado a aceder à API Istio XDS obtenha qualquer certificado TLS e chaves privadas em cache no istiod. Esta vulnerabilidade de segurança afeta apenas as versões secundárias 1.8 e 1.9 do Cloud Service Mesh.

O que devo fazer?

O seu cluster é afetado se TODAS as seguintes condições forem verdadeiras:

• Está a usar uma versão 1.9.x anterior à 1.9.6-asm.1 ou uma versão 1.8.x anterior à 1.8.6-asm.4.
• Tem Gateways definido ou DestinationRules com o campo credentialName especificado.
• Não especifica a etiqueta istiodPILOT_ENABLE_XDS_CACHE=false.

Atualize o cluster para uma das seguintes versões corrigidas:

• 1.9.6-asm.1
• 1.8.6-asm.4

Alto

CVE-2021-34824

O Istio contém uma vulnerabilidade explorável remotamente em que um cliente externo pode aceder a serviços inesperados no cluster, ignorando as verificações de autorização, quando um gateway é configurado com a configuração de encaminhamento AUTO_PASSTHROUGH.

O que devo fazer?

Esta vulnerabilidade afeta apenas a utilização do tipo de gateway AUTO_PASSTHROUGH, que é normalmente usado apenas em implementações de várias redes e vários clusters.

Detete o modo TLS de todos os gateways no cluster com o seguinte comando:

kubectl get gateways.networking.istio.io -A -o \
  "custom-columns=NAMESPACE:.metadata.namespace, \
  NAME:.metadata.name,TLS_MODE:.spec.servers[*].tls.mode"

Se o resultado mostrar gateways AUTO_PASSTHROUGH, pode ser afetado.

Atualize os seus clusters para as versões mais recentes do Cloud Service Mesh:

• 1.9.5-asm.2
• 1.8.6-asm.3
• 1.7.8-asm.8

* Nota: a implementação da malha de serviços na nuvem plano de controlo gerido (disponível apenas nas versões 1.9.x) vai ser concluída nos próximos dias.

Alto

CVE-2021-31921

O Istio contém uma vulnerabilidade explorável remotamente em que um caminho de pedido HTTP com várias barras invertidas ou carateres de barra invertida com escape (%2F ou %5C) pode potencialmente ignorar uma política de autorização do Istio quando são usadas regras de autorização baseadas no caminho.

Num cenário em que um administrador do cluster do Istio define uma política de AUTORIZAÇÃO DENY para rejeitar o pedido no caminho "/admin", um pedido enviado para o caminho do URL "//admin" NÃO é rejeitado pela política de autorização.

De acordo com o RFC 3986, o caminho "//admin" com várias barras invertidas deve ser tecnicamente tratado como um caminho diferente do "/admin". No entanto, alguns serviços de back-end optam por normalizar os caminhos de URL ao unir várias barras invertidas numa única barra invertida. Isto pode resultar numa ignorância da política de autorização ("//admin" não corresponde a "/admin") e um utilizador pode aceder ao recurso no caminho "/admin" no backend.

O que devo fazer?

O seu cluster é afetado por esta vulnerabilidade se tiver políticas de autorização que usem padrões "ALLOW action + notPaths field" ou "DENY action + paths field". Estes padrões são vulneráveis a desvios inesperados de políticas e deve fazer a atualização para corrigir o problema de segurança assim que possível.

Segue-se um exemplo de uma política vulnerável que usa o padrão "ação DENY + campo paths":

apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: deny-path-admin
spec:
  action: DENY
  rules:
  - to:
    - operation:
        paths: ["/admin"]

Segue-se outro exemplo de uma política vulnerável que usa o padrão "ação ALLOW + campo notPaths":

apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: allow-path-not-admin
spec:
  action: ALLOW
  rules:
  - to:
    - operation:
        notPaths: ["/admin"]

O seu cluster não é afetado por esta vulnerabilidade se:

• Não tem políticas de autorização.
• As suas políticas de autorização não definem os campos paths nem notPaths.
• As suas políticas de autorização usam padrões "ALLOW action + paths field" ou "DENY action + notPaths field". Estes padrões só podem causar uma rejeição inesperada em vez de ignorar as políticas.

A atualização é opcional nestes casos.

Atualize os seus clusters para as versões mais recentes suportadas do Cloud Service Mesh*. Estas versões suportam a configuração dos proxies Envoy no sistema com mais opções de normalização:

• 1.9.5-asm.2
• 1.8.6-asm.3
• 1.7.8-asm.8

* Nota: a implementação da malha de serviços na nuvem plano de controlo gerido (disponível apenas nas versões 1.9.x) vai ser concluída nos próximos dias.

Siga o guia de práticas recomendadas de segurança do Istio para configurar as suas políticas de autorização.

Alto

CVE-2021-31920

Os projetos Envoy e Istio anunciaram recentemente várias novas vulnerabilidades de segurança (CVE-2021-28682, CVE-2021-28683 e CVE-2021-29258), que podem permitir que um atacante bloqueie o Envoy e, potencialmente, torne partes do cluster indisponíveis e inacessíveis.

Isto afeta os serviços fornecidos, como a Cloud Service Mesh.

O que devo fazer?

Para corrigir estas vulnerabilidades, atualize o pacote do Cloud Service Mesh para uma das seguintes versões corrigidas:

• 1.9.3-asm.2
• 1.8.5-asm.2
• 1.7.8-asm.1
• 1.6.14-asm.2

Para mais informações, consulte as notas de lançamento do Cloud Service Mesh.

Alto

CVE-2021-28682
CVE-2021-28683
CVE-2021-29258