Sie lesen die Dokumentation für Anthos Service Mesh 1.9. Lesen Sie die aktuelle Dokumentation oder wählen Sie eine andere verfügbare Version aus:

Sicherheitsbulletins

Verwenden Sie diesen XML-Feed, um Sicherheitsbulletins für Anthos Service Mesh zu abonnieren. Abonnieren

Auf dieser Seite werden die Sicherheitsbulletins für Anthos Service Mesh aufgelistet.

GCP-2021-016

Veröffentlicht: 24.08.2021
Beschreibung Schweregrad Hinweise

Istio enthält eine remote ausnutzbare Sicherheitslücke, bei der eine HTTP-Anfrage mit einem Fragment (ein Abschnitt am Ende eines URI, der mit einem #-Zeichen beginnt) im URI-Pfad die URI-pfadbasierten Autorisierungsrichtlinien umgehen kann.

Eine Istio-Autorisierungsrichtlinie lehnt beispielsweise Anfragen ab, die an den URI-Pfad /user/profile gesendet werden. In den anfälligen Versionen umgeht eine Anfrage mit dem URI-Pfad /user/profile#section1 die Ablehnungsrichtlinie und wird an das Back-End weitergeleitet (mit dem normalisierten URI-Pfad /user/profile%23section1). Dies führt zu einem Sicherheitsvorfall.

Diese Korrektur hängt von einer Korrektur in Envoy ab, die mit CVE-2021-32779 verknüpft ist.

Was soll ich tun?

Prüfen Sie, ob Ihre Cluster betroffen sind

Ihr Cluster ist betroffen, wenn die beiden folgenden Bedingungen zutreffen:

Risikominderung

Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:

  • 1.10.4-asm.6
  • 1.9.8-asm.1
  • 1.8.6-asm.8
  • 1.7.8-asm.10

Bei den neuen Versionen wird der Fragmentteil des URI der Anfrage vor der Autorisierung und dem Routing entfernt. Dadurch wird verhindert, dass eine Anfrage mit einem Fragment im URI Autorisierungsrichtlinien umgeht, die auf dem URI ohne den Fragmentteil basieren.

Deaktivieren

Wenn Sie dieses neue Verhalten deaktivieren, wird der Fragmentabschnitt im URI beibehalten. Um es zu deaktivieren, können Sie Ihre Installation so konfigurieren:


apiVersion: install.istio.io/v1alpha1
kind: IstioOperator
metadata:
  name: opt-out-fragment-cve-fix
  namespace: istio-system
spec:
  meshConfig:
    defaultConfig:
      proxyMetadata:
        HTTP_STRIP_FRAGMENT_FROM_PATH_UNSAFE_IF_DISABLED: "false"

Hinweis: Wenn Sie dieses Verhalten deaktivieren, ist Ihr Cluster anfällig für diese CVE-Sicherheitslücke.

Hoch

CVE-2021-39156

Beschreibung Schweregrad Hinweise

Istio enthält eine remote ausnutzbare Sicherheitslücke, bei der eine HTTP-Anfrage eine Istio-Autorisierungsrichtlinie potenziell umgehen kann, wenn Regeln basierend auf hosts und notHosts verwendet werden.

In den anfälligen Versionen vergleicht die Istio-Autorisierungsrichtlinie den HTTP-Header Host oder :authority unter Berücksichtigung der Groß- und Kleinschreibung, was nicht mit RFC 4343 übereinstimmt. Der Nutzer könnte beispielsweise eine Autorisierungsrichtlinie haben, die Anfragen mit dem Host secret.com ablehnt. Der Angreifer kann dies jedoch umgehen, indem er die Anfrage unter dem Hostnamen Secret.com sendet. Beim Routing wird der Traffic an das Back-End für secret.com weitergeleitet, was zu einem Sicherheitsvorfall führt.

Was soll ich tun?

Prüfen Sie, ob Ihre Cluster betroffen sind

Ihr Cluster ist betroffen, wenn die beiden folgenden Bedingungen zutreffen:

Risikominderung

Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:

  • 1.10.4-asm.6
  • 1.9.8-asm.1
  • 1.8.6-asm.8
  • 1.7.8-asm.10

Dadurch wird sichergestellt, dass die HTTP-Header Host und :authority in den Autorisierungsrichtlinien anhand der Spezifikation hosts oder notHosts unabhängig von der Groß- und Kleinschreibung ausgewertet werden.

Hoch

CVE-2021-39155

Beschreibung Schweregrad Hinweise

Envoy enthält eine remote ausnutzbare Sicherheitslücke, bei der eine HTTP-Anfrage mit mehreren Wertheadern eine unvollständige Prüfung der Autorisierungsrichtlinie durchführen kann, wenn die Erweiterung ext_authz verwendet wird. Wenn ein Anfrageheader mehrere Werte enthält, sieht der externe Autorisierungsserver nur den letzten Wert des angegebenen Headers.

Was soll ich tun?

Prüfen Sie, ob Ihre Cluster betroffen sind

Ihr Cluster ist betroffen, wenn die beiden folgenden Bedingungen zutreffen:

  • Er verwendet die Anthos Service Mesh-Patchversionen vor 1.7.8-asm.10, 1.8.6-asm.8, 1.9.8-asm.1 und 1.10.4-asm.6.
  • Er verwendet das Feature Externe Autorisierung.
Risikominderung

Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:

  • 1.10.4-asm.6
  • 1.9.8-asm.1
  • 1.8.6-asm.8
  • 1.7.8-asm.10

Hoch

CVE-2021-32777

Beschreibung Schweregrad Hinweise

Envoy enthält eine remote ausnutzbare Sicherheitslücke bezüglich der Envoy-Erweiterungen decompressor, json-transcoder und grpc-web, die die Größe von Anfrage- oder Antworttexten ändern und erhöhen. Das Ändern und Erhöhen der Textgröße in der Envoy-Erweiterung über die interne Puffergröße hinaus kann dazu führen, dass Envoy auf den freigegebenen Speicher zugreift und anormal beendet wird.

Was soll ich tun?

Prüfen Sie, ob Ihre Cluster betroffen sind

Ihr Cluster ist betroffen, wenn die beiden folgenden Bedingungen zutreffen:

  • Er verwendet die Anthos Service Mesh-Patchversionen vor 1.7.8-asm.10, 1.8.6-asm.8, 1.9.8-asm.1 und 1.10.4-asm.6.
  • Er verwendet EnvoyFilters.
Risikominderung

Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:

  • 1.10.4-asm.6
  • 1.9.8-asm.1
  • 1.8.6-asm.8
  • 1.7.8-asm.10

Hoch

CVE-2021-32781

Beschreibung Schweregrad Hinweise

Envoy enthält eine remote ausnutzbare Sicherheitslücke, bei der ein Envoy-Client geöffnet und dann eine große Anzahl von HTTP/2-Anfragen zurückgesetzt werden kann, was zu einer übermäßigen CPU-Auslastung führen kann.

Was soll ich tun?

Prüfen Sie, ob Ihre Cluster betroffen sind

Ihr Cluster ist betroffen, wenn die Anthos Service Mesh-Patchversionen vor 1.7.8-asm.10, 1.8.6-asm.8, 1.9.8-asm.1 und 1.10.4-asm.6 verwendet werden.

Möglichkeiten zur Behebung des Problems

Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:

  • 1.10.4-asm.6
  • 1.9.8-asm.1

Hinweis: Wenn Sie Anthos Service Mesh 1.8 oder eine frühere Version verwenden, führen Sie ein Upgrade auf die neuesten Patchversionen von Anthos Service Mesh 1.9 und höher durch, um diese Sicherheitslücke zu verringern.

Hoch

CVE-2021-32778

Beschreibung Schweregrad Hinweise

Envoy enthält eine remote ausnutzbare Sicherheitslücke, bei der ein nicht vertrauenswürdiger Upstream-Dienst dazu führen könnte, dass Envoy anormal beendet wird, indem er den Frame GOAWAY gefolgt vom Frame SETTINGS sendet, wobei der Parameter SETTINGS_MAX_CONCURRENT_STREAMS auf 0 gesetzt ist.

Was soll ich tun?

Prüfen Sie, ob Ihre Cluster betroffen sind

Ihr Cluster ist betroffen, wenn er Anthos Service Mesh 1.10 mit einer Patchversion vor 1.10.4-asm.6 verwendet.

Möglichkeiten zur Behebung des Problems

Aktualisieren Sie Ihren Cluster auf die folgende Patchversion:

  • 1.10.4-asm.6

Hoch

CVE-2021-32780

GCP-2021-012

Veröffentlicht: 24.06.2021
Beschreibung Schweregrad Hinweise

Das Istio-sichere Gateway oder Arbeitslasten, die die DestinationRule verwenden, können private TLS-Schlüssel und -Zertifikate aus Kubernetes-Secrets über die credentialName-Konfiguration laden. Ab Istio 1.8 werden die Secrets aus istiod gelesen und über XDS an Gateways und Arbeitslasten gesendet.

Normalerweise kann ein Gateway oder eine Arbeitslastbereitstellung nur auf TLS-Zertifikate und private Schlüssel zugreifen, die im Secret in seinem Namespace gespeichert sind. Aufgrund eines Programmfehlers in istiod kann ein Client, der auf die Istio XDS API zugreifen kann, jedoch alle TLS-Zertifikate und privaten Schlüssel abrufen, die in istiod im Cache gespeichert sind. Diese Sicherheitslücke betrifft nur die Nebenversionen 1.8 und 1.9 von Anthos Service Mesh.

Was soll ich tun?

Prüfen Sie, ob Ihre Cluster betroffen sind

Ihr Cluster ist betroffen, wenn ALLE folgenden Bedingungen erfüllt sind:

  • Er verwendet eine 1.9.x-Version vor 1.9.6-asm.1 oder eine 1.8.x-Version vor 1.8.6-asm.4.
  • Er hat Gateways oder DestinationRules mit dem angegebenen Feld credentialName definiert.
  • Das istiod-Flag PILOT_ENABLE_XDS_CACHE=false ist nicht angegeben.
Risikominderung

Aktualisieren Sie Ihren Cluster auf eine der folgenden Patchversionen:

  • 1.9.6-asm.1
  • 1.8.6-asm.4

Wenn ein Upgrade nicht machbar ist, können Sie diese Sicherheitslücke minimieren, indem Sie das istiod-Caching deaktivieren. Sie können das Caching deaktivieren, indem Sie die Umgebungsvariable istiod auf PILOT_ENABLE_XDS_CACHE=false setzen. Die Leistung des Systems und von istiod kann beeinträchtigt werden, da das XDS-Caching deaktiviert wird.

Hoch

CVE-2021-34824

GCP-2021-008

Veröffentlich: 17. 05. 20201
Beschreibung Schweregrad Hinweise

Istio enthält eine Sicherheitslücke, die aus der Ferne ausgenutzt werden kann, über die ein externer Client auf unerwartete Dienste im Cluster zugreifen kann. Dabei werden Autorisierungsprüfungen umgangen, wenn ein Gateway mit der Routingkonfiguration AUTO_PASSTHROUGH konfiguriert ist.

Was soll ich tun?

Prüfen Sie, ob Ihre Cluster betroffen sind

Diese Sicherheitslücke betrifft nur die Verwendung des Gateway-Typs AUTO_PASSTHROUGH, die normalerweise nur in Multi-Cluster-Deployments mit mehreren Netzwerken verwendet wird.

Ermitteln Sie mit dem folgenden Befehl den TLS-Modus aller Gateways im Cluster:


kubectl get gateways.networking.istio.io -A -o \
  "custom-columns=NAMESPACE:.metadata.namespace, \
  NAME:.metadata.name,TLS_MODE:.spec.servers[*].tls.mode"

Wenn in der Ausgabe AUTO_PASSTHROUGH-Gateways angezeigt werden, sind Sie möglicherweise betroffen.

Möglichkeiten zur Behebung des Problems

Aktualisieren Sie Ihre Cluster auf die aktuelle Anthos Service Mesh-Versionen:

  • 1.9.5-asm.2
  • 1.8.6-asm.3
  • 1.7.8-asm.8

* Hinweis: Die Einführung der verwalteten Steuerungsebene von Anthos Service Mesh (nur in Versionen 1.9.x verfügbar) wird in den nächsten Tagen abgeschlossen.

Hoch

CVE-2021-31921

GCP-2021-007

Veröffentlich: 17. 05. 20201
Beschreibung Schweregrad Hinweise

Istio enthält eine Sicherheitslücke, die aus der Ferne ausgenutzt werden kann und bei der ein HTTP-Anfragepfad mit mehreren Schrägstrichen oder mit maskierten Schrägstrichzeichen (%2F oder %5C) unter Umständen eine Istio-Autorisierungsrichtlinie umgehen kann, wenn pfadbasierte Autorisierungsregeln verwendet werden.

Es kann vorkommen, dass ein Administrator des Istio-Clusters eine Autorisierungs-DENY-Richtlinie definiert, um die Anfrage unter dem Pfad "/admin" abzulehnen, und eine an den URL-Pfad "//admin" gesendete Anfrage NICHT von der Autorisierungsrichtlinie abgelehnt wird.

Gemäß RFC 3986 sollte der Pfad "//admin" mit mehreren Schrägstrichen als ein anderer Pfad als der "/admin" behandelt werden. Einige Back-End-Dienste normalisieren jedoch die URL-Pfade, indem sie mehrere Schrägstriche in einem einzigen Schrägstrich zusammenführen. Dies kann zu einer Umgehung der Autorisierungsrichtlinie ("//admin" entspricht nicht "/admin") führen und ein Nutzer kann auf die Ressource unter dem Pfad "/admin" im Back-End zugreifen.

Was soll ich tun?

Prüfen Sie, ob Ihre Cluster betroffen sind

Ihr Cluster ist von dieser Sicherheitslücke betroffen, wenn Sie Autorisierungsrichtlinien mit den Mustern "ALLOW action + notPaths field" oder "DENY action + paths field" verwenden. Diese Muster sind anfällig für das unerwartete Umgehungen der Richtlinie und sollten daher so weit wie möglich aktualisiert werden, um das Sicherheitsproblem so schnell wie möglich zu beheben.

Das folgende Beispiel zeigt eine anfällige Richtlinie, die das Muster "DENY action + paths field" verwendet:


apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: deny-path-admin
spec:
  action: DENY
  rules:
  - to:
    - operation:
        paths: ["/admin"]

Das folgende Beispiel zeigt eine weitere anfällige Richtlinie, die das Muster "ALLOW action + notPaths field" verwendet:


apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: allow-path-not-admin
spec:
  action: ALLOW
  rules:
  - to:
    - operation:
        notPaths: ["/admin"]

Ihr Cluster ist nicht von dieser Sicherheitslücke betroffen, wenn:

  • Sie keine Autorisierungsrichtlinien haben.
  • In Ihren Autorisierungsrichtlinien keine paths- oder notPaths-Felder definiert werden.
  • In den Autorisierungsrichtlinien die Muster "ALLOW action + paths field" oder "DENY action + notPaths field" verwendet werden. Diese Muster könnten zu einer unerwarteten Ablehnung anstatt einer Richtlinienumgehung führen.
  • Für diese Fälle ist ein Upgrade optional.

Risikominderung

Aktualisieren Sie Ihre Cluster auf die aktuellste, unterstützte Anthos Service Mesh-Version*. Diese Versionen unterstützen die Konfiguration der Envoy-Proxys im System mit weiteren Normalisierungsoptionen:

  • 1.9.5-asm.2
  • 1.8.6-asm.3
  • 1.7.8-asm.8

* Hinweis: Die Einführung der verwalteten Steuerungsebene von Anthos Service Mesh (nur in Versionen 1.9.x verfügbar) wird in den nächsten Tagen abgeschlossen.

Folgen Sie dem Best Practices-Leitfaden zur Sicherheit in Istio, um Ihre Autorisierungsrichtlinien zu konfigurieren.

Hoch

CVE-2021-31920

GCP-2021-004

Veröffentlicht: 06. 05. 2021
Beschreibung Schweregrad Hinweise

Die Projekte Envoy und Istio haben kürzlich mehrere Sicherheitslücken bekanntgegeben (CVE-2021-28682, CVE-2021-28683 und CVE-2021-29258), die es einem Angreifer ermöglichen, Envoy zum Absturz zu bringen sowie potenziell Teile des Clusters offline zu stellen und unzugänglich zu machen.

Dies wirkt sich auf bereitgestellte Dienste wie Anthos Service Mesh aus.

Was soll ich tun?

Aktualisieren Sie Ihr Anthos Service Mesh-Bundle auf eine der folgenden Patchversionen, um diese Sicherheitslücken zu beheben:

  • 1.9.3-asm.2
  • 1.8.5-asm.2
  • 1.7.8-asm.1
  • 1.6.14-asm.2

Weitere Informationen finden Sie in den Versionshinweisen zu Anthos Service Mesh.

Hoch

CVE-2021-28682
CVE-2021-28683
CVE-2021-29258