安全性公告

Envoy 的 HTTP/2 下游要求處理程序存在安全漏洞，未經驗證的遠端用戶端可藉此觸發過度耗用記憶體，可能導致 Envoy 程序因記憶體不足而終止，並造成阻斷服務。

該怎麼辦？

所有 Cloud Service Mesh 版本都會受到這項 CVE 影響。

如果是叢集內 Cloud Service Mesh，請將叢集升級至下列修補版本之一：

• 1.28.7-asm.4
• 1.27.9-asm.5
• 1.26.8-asm.11

如果您使用 Cloud Service Mesh 1.25 版或更早版本，該版本已停用，不再提供支援。這個 CVE 修正程式尚未向後移植。升級至 v1.26 以上版本。

如為代管 Cloud Service Mesh，請按照 MSA 中的指示操作。所有版本仍會受到支援，系統會在未來幾週內自動更新。

高

CVE-2026-47774

修正 RBAC 中的多值標頭略過問題。

該怎麼辦？

所有 Cloud Service Mesh 版本都會受到這項 CVE 影響。

如果是叢集內 Cloud Service Mesh，請將叢集升級至下列其中一個修補版本：

• 1.28.5-asm.9
• 1.27.8-asm.7
• 1.26.8-asm.3

如果您使用 Cloud Service Mesh 1.25 版或更早版本，該版本已停用，不再提供支援。這些 CVE 修正程式尚未反向移植。升級至 1.26 以上版本。

如為代管 Cloud Service Mesh，請按照 MSA 中的指示操作。所有版本仍會受到支援，系統會在未來幾週內自動更新。

高

CVE-2026-26308

修正可能導致字串空值終止符損毀的差一錯誤寫入問題。

該怎麼辦？

所有 Cloud Service Mesh 版本都會受到這項 CVE 影響。

如果是叢集內 Cloud Service Mesh，請將叢集升級至下列其中一個修補版本：

• 1.28.5-asm.9
• 1.27.8-asm.7
• 1.26.8-asm.3

如果您使用 Cloud Service Mesh 1.25 版或更早版本，該版本已停用，不再提供支援。這些 CVE 修正程式尚未反向移植。升級至 1.26 以上版本。

如為代管 Cloud Service Mesh，請按照 MSA 中的指示操作。所有版本仍會受到支援，系統會在未來幾週內自動更新。

中

CVE-2026-26309

修正以範圍 IPv6 位址呼叫 `getAddressWithPort()` 時發生的當機問題。

該怎麼辦？

所有 Cloud Service Mesh 版本都會受到這項 CVE 影響。

如果是叢集內 Cloud Service Mesh，請將叢集升級至下列其中一個修補版本：

• 1.28.5-asm.9
• 1.27.8-asm.7
• 1.26.8-asm.3

如果您使用 Cloud Service Mesh 1.25 版或更早版本，該版本已停用，不再提供支援。這些 CVE 修正程式尚未反向移植。升級至 1.26 以上版本。

如為代管 Cloud Service Mesh，請按照 MSA 中的指示操作。所有版本仍會受到支援，系統會在未來幾週內自動更新。

中

CVE-2026-26310

確保在下游重設後，decode* 方法會遭到封鎖。

該怎麼辦？

所有 Cloud Service Mesh 版本都會受到這項 CVE 影響。

如果是叢集內 Cloud Service Mesh，請將叢集升級至下列其中一個修補版本：

• 1.28.5-asm.9
• 1.27.8-asm.7
• 1.26.8-asm.3

如果您使用 Cloud Service Mesh 1.25 版或更早版本，該版本已停用，不再提供支援。這些 CVE 修正程式尚未反向移植。升級至 1.26 以上版本。

如為代管 Cloud Service Mesh，請按照 MSA 中的指示操作。所有版本仍會受到支援，系統會在未來幾週內自動更新。

中

CVE-2026-26311

修正回應階段限制可能導致當機的錯誤。

該怎麼辦？

只有叢內 Cloud Service Mesh 1.28.2-asm.4 版會受到這個 CVE 影響。

這項 CVE 不會影響代管控制層的 Cloud Service Mesh。

如果是叢集內 Cloud Service Mesh，請將叢集升級至下列修補版本：>1.28.5-asm.9。

如果是受管理的 Cloud Service Mesh，則不需要採取任何行動。這項 CVE 不會影響代管控制層的 Cloud Service Mesh。

中

CVE-2026-26330

修正 JSON Web Key Set 私密金鑰外洩漏洞。

該怎麼辦？

所有 Cloud Service Mesh 版本都會受到這項 CVE 影響。

如果是叢集內 Cloud Service Mesh，請將叢集升級至下列其中一個修補版本：

• 1.28.5-asm.9
• 1.27.8-asm.7
• 1.26.8-asm.3

如果您使用 Cloud Service Mesh 1.25 版或更早版本，該版本已停用，不再提供支援。這些 CVE 修正程式尚未反向移植。升級至 1.26 以上版本。

如為代管 Cloud Service Mesh，請按照 MSA 中的指示操作。所有版本仍會受到支援，系統會在未來幾週內自動更新。

高

CVE-2026-31837

修正偵錯端點允許跨命名空間 Proxy 資料存取權的錯誤

該怎麼辦？

只有叢集內 Cloud Service Mesh 1.27 和 1.28 版會受到這個 CVE 影響。

如果是叢集內 Cloud Service Mesh，請將叢集升級至下列其中一個修補版本：

• 1.28.5-asm.9
• 1.27.8-asm.7

如果您使用 Cloud Service Mesh 1.25 版或更早版本，該版本已停用，不再提供支援。這些 CVE 修正程式尚未反向移植。升級至 1.26 以上版本。

如果是受管理的 Cloud Service Mesh，則不需要採取任何行動。這項 CVE 不會影響代管控制層的 Cloud Service Mesh。

中

CVE-2026-31838

match_typed_subject_alt_names 的 TLS 憑證比對器可能會誤將含有內嵌空位元組的憑證視為無效。

該怎麼辦？

如果叢集使用的叢內 Cloud Service Mesh 修補版本早於下列版本，就會受到影響：

• 1.27.4-asm.1
• 1.26.7-asm.1
• 1.25.6-asm.1

這項 CVE 不會影響採用代管控制層的 Cloud Service Mesh。

如果是叢集內 Cloud Service Mesh，請將叢集升級至下列修補版本之一：

• 1.27.4-asm.1
• 1.26.7-asm.1
• 1.25.6-asm.1

如果您使用 Cloud Service Mesh 1.24 版或更早版本，該版本已停用，不再提供支援。這些 CVE 修正程式尚未反向移植。升級至 1.25 以上版本。

如果是受管理的 Cloud Service Mesh，則不需要採取任何行動。這項 CVE 不會影響採用代管控制層的 Cloud Service Mesh。

中

CVE-2025-66220

設定 JWT 驗證並擷取遠端 JWKS 時，Envoy 會當機。

該怎麼辦？

如果叢集使用的叢內 Cloud Service Mesh 修補版本早於下列版本，就會受到影響：

• 1.27.4-asm.1
• 1.26.7-asm.1
• 1.25.6-asm.1

如果叢集使用的代管 Cloud Service Mesh 版本早於下列版本，就會受到影響：

• 1.21.6-asm.7
• 1.20.8-asm.59
• 1.19.10-asm.54

如果是叢集內 Cloud Service Mesh，請將叢集升級至下列其中一個修補版本：

• 1.27.4-asm.1
• 1.26.7-asm.1
• 1.25.6-asm.1

如果您使用 Cloud Service Mesh 1.24 版或更早版本，該版本已停用，不再提供支援。這些 CVE 修正程式尚未反向移植。升級至 1.25 以上版本。

如要瞭解 代管 Cloud Service Mesh，請按照 MSA 中的指示操作。所有版本仍會受到支援，且系統會在未來幾週內自動更新。

中

CVE-2025-64527

升級 CONNECT 後，可能從早期資料進行要求走私。

該怎麼辦？

如果叢集使用的叢內 Cloud Service Mesh 修補版本早於下列版本，就會受到影響：

• 1.27.4-asm.1
• 1.26.7-asm.1
• 1.25.6-asm.1

這項 CVE 不會影響採用代管控制層的 Cloud Service Mesh。

如果是叢集內 Cloud Service Mesh，請將叢集升級至下列修補版本之一：

• 1.27.4-asm.1
• 1.26.7-asm.1
• 1.25.6-asm.1

如果您使用 Cloud Service Mesh 1.24 版或更早版本，該版本已停用，不再提供支援。這些 CVE 修正程式尚未反向移植。升級至 1.25 以上版本。

如果是受管理的 Cloud Service Mesh，則不需要採取任何行動。這項 CVE 不會影響採用代管控制層的 Cloud Service Mesh。

中

CVE-2025-64763

處理大量回應主體時，Lua 篩選器可能會導致 Envoy 停止運作。

該怎麼辦？

如果修補程式版本早於下列版本，叢集就會受到影響：

• 1.27.2-asm.1
• 1.26.5-asm.1
• 1.25.5-asm.9

如果您使用 Cloud Service Mesh 1.24 版或更早版本，該版本已停用，不再提供支援。這些 CVE 修正程式尚未反向移植。升級至 1.25 以上版本。

如果是叢集內 Cloud Service Mesh，請將叢集升級至下列其中一個修補版本：

• 1.27.2-asm.1
• 1.26.5-asm.1
• 1.25.5-asm.9

如果是受管理的 Cloud Service Mesh，則不需要採取任何行動。所有版本仍會受到支援，系統會在未來幾週內自動更新。

中

CVE-2025-62504

大型要求或回應可能會導致 TCP 連線集區當機。

該怎麼辦？

如果修補程式版本早於下列版本，叢集就會受到影響：

• 1.27.2-asm.1
• 1.26.5-asm.1
• 1.25.5-asm.9

如果您使用 Cloud Service Mesh 1.24 版或更早版本，該版本已停用，不再提供支援。這些 CVE 修正程式尚未反向移植。升級至 1.25 以上版本。

如果是叢集內 Cloud Service Mesh，請將叢集升級至下列其中一個修補版本：

• 1.27.2-asm.1
• 1.26.5-asm.1
• 1.25.5-asm.9

如果是受管理的 Cloud Service Mesh，則不需要採取任何行動。所有版本仍會受到支援，系統會在未來幾週內自動更新。

中

CVE-2025-62409

DNS 快取中的釋放後使用情況。

該怎麼辦？

只有執行叢內 Cloud Service Mesh 1.26 版的叢集會受到影響。

如果您執行的是代管的 Cloud Service Mesh，則不會受到影響，也不必採取任何行動。

如果您在叢集內執行 Cloud Service Mesh 1.26，請將受影響的叢集升級至 1.26.4-asm.1。

高

CVE-2025-54588

Happy Eyeballs：驗證 additional_address 是否為 IP 位址，而非在排序時當機。

該怎麼辦？

如果修補程式版本早於下列版本，叢集就會受到影響：

• 1.23.4-asm.1
• 1.22.7-asm.1

如果是叢集內 Cloud Service Mesh，請將叢集升級至下列修補版本之一：

• 1.23.4-asm.1
• 1.22.7-asm.1

如果您使用 Cloud Service Mesh 1.20 版或更早版本，該版本已停用，不再提供支援。這些 CVE 修正程式尚未反向移植。建議升級至 1.21 以上版本。

如果是受管理的 Cloud Service Mesh，則不需要採取任何行動。所有版本仍會受到支援，且系統會在未來幾週內自動更新。

中

CVE-2024-53269

HTTP/1：如果事先重設要求，傳送過多要求時會發生當機情形。

該怎麼辦？

如果修補程式版本早於下列版本，叢集就會受到影響：

• 1.23.4-asm.1
• 1.22.7-asm.1
• 1.21.5-asm.17
• 1.20.8-asm.14
• 1.19.10-asm.24

如果是叢集內 Cloud Service Mesh，請將叢集升級至下列其中一個修補版本：

• 1.23.4-asm.1
• 1.22.7-asm.1
• 1.21.5-asm.17

如果您使用 Cloud Service Mesh 1.20 版或更早版本，該版本已停用，不再提供支援。如果您使用 Cloud Service Mesh 1.20 版或更早版本，該版本已停用，不再提供支援。這些 CVE 修正程式尚未反向移植。請升級至 1.21 以上版本。

如果是受管理的 Cloud Service Mesh，則不需要採取任何行動。所有版本仍會受到支援，且系統會在未來幾週內自動更新。

高

CVE-2024-53270

HTTP/1.1 Envoy.reloadable_features.http1_balsa_delay_reset 發生多個問題。

該怎麼辦？

如果修補程式版本早於下列版本，叢集就會受到影響：

• 1.23.4-asm.1

如果是叢集內 Cloud Service Mesh，請將叢集升級至下列其中一個修補版本：

• 1.23.4-asm.1

如果您使用 Cloud Service Mesh 1.20 版或更早版本，該版本已停用，不再提供支援。如果您使用 Cloud Service Mesh 1.20 版或更早版本，該版本已停用，不再提供支援。這些 CVE 修正程式尚未反向移植。請升級至 1.21 以上版本。

如果是受管理的 Cloud Service Mesh，則不需要採取任何行動。所有版本仍會受到支援，且系統會在未來幾週內自動更新。

高

CVE-2024-53271

oghttp2 crash on OnBeginHeadersForStream

該怎麼辦？

只有執行 Cloud Service Mesh 1.23 版的叢集會受到影響

Cloud Service Mesh 1.23.2-asm.2 包含這個問題的修正程式。您無須採取任何行動。

高

CVE-2024-45807

透過存取記錄注入惡意記錄

該怎麼辦？

所有 Cloud Service Mesh 版本都會受到這個 CVE 影響。

將叢集升級至下列其中一個修補版本：

• 1.20.8-asm.7
• 1.21.5-asm.7
• 1.22.5-asm.1
• 1.23.2-asm.2

中

CVE-2024-45808

可從外部來源操控 `x-envoy` 標頭

該怎麼辦？

所有 Cloud Service Mesh 版本都會受到這個 CVE 影響。

將叢集升級至下列其中一個修補版本：

• 1.20.8-asm.7
• 1.21.5-asm.7
• 1.22.5-asm.1
• 1.23.2-asm.2

中

CVE-2024-45806

使用遠端 JWK 清除路由快取時，JWT 篩選器會當機

該怎麼辦？

所有 Cloud Service Mesh 版本都會受到這個 CVE 影響。

將叢集升級至下列其中一個修補版本：

• 1.20.8-asm.7
• 1.21.5-asm.7
• 1.22.5-asm.1
• 1.23.2-asm.2

中

CVE-2024-45809

http 非同步用戶端中的 LocalReply 導致 Envoy 損毀

該怎麼辦？

所有 Cloud Service Mesh 版本都會受到這個 CVE 影響。

將叢集升級至下列其中一個修補版本：

• 1.20.8-asm.7
• 1.21.5-asm.7
• 1.22.5-asm.1
• 1.23.2-asm.2

中

CVE-2024-45810

Envoy 錯誤地接受進入升級模式的 HTTP 200 回應。

該怎麼辦？

所有 Cloud Service Mesh 版本都會受到這個 CVE 影響。

如果您執行的是代管 Cloud Service Mesh，系統會在未來幾天內自動更新。

否則，請將叢集升級至下列其中一個修補版本：

• v1.21.3-asm.3
• v1.20.7-asm.2
• v1.19.10-asm.6
• v1.18.7-asm.26
• 如果您使用 Cloud Service Mesh 1.17 版或更舊版本，該版本已停用，不再提供支援。這些 CVE 修正程式尚未反向移植。建議升級至 Cloud Service Mesh 1.18 以上版本。

中

CVE-2024-23326

EnvoyQuicServerStream::OnInitialHeadersComplete() 異常終止。

該怎麼辦？

所有 Cloud Service Mesh 版本都會受到這個 CVE 影響。

如果您執行的是代管 Cloud Service Mesh，系統會在未來幾天內自動更新。

否則，請將叢集升級至下列其中一個修補版本：

• v1.21.3-asm.3
• v1.20.7-asm.2
• v1.19.10-asm.6
• v1.18.7-asm.26
• 如果您使用 Cloud Service Mesh 1.17 版或更舊版本，該版本已停用，不再提供支援。這些 CVE 修正程式尚未反向移植。建議升級至 Cloud Service Mesh 1.18 以上版本。

中

CVE-2024-32974

QuicheDataReader::PeekVarInt62Length() 發生異常終止。

該怎麼辦？

所有 Cloud Service Mesh 版本都會受到這個 CVE 影響。

如果您執行的是代管 Cloud Service Mesh，系統會在未來幾天內自動更新。

否則，請將叢集升級至下列其中一個修補版本：

• v1.21.3-asm.3
• v1.20.7-asm.2
• v1.19.10-asm.6
• v1.18.7-asm.26
• 如果您使用 Cloud Service Mesh 1.17 版或更舊版本，該版本已停用，不再提供支援。這些 CVE 修正程式尚未反向移植。建議升級至 Cloud Service Mesh 1.18 以上版本。

中

CVE-2024-32975

使用額外輸入內容解壓縮 Brotli 資料時，發生無窮迴圈。

該怎麼辦？

所有 Cloud Service Mesh 版本都會受到這個 CVE 影響。

如果您執行的是代管 Cloud Service Mesh，系統會在未來幾天內自動更新。

否則，請將叢集升級至下列其中一個修補版本：

• v1.21.3-asm.3
• v1.20.7-asm.2
• v1.19.10-asm.6
• v1.18.7-asm.26
• 如果您使用 Cloud Service Mesh 1.17 版或更舊版本，該版本已停用，不再提供支援。這些 CVE 修正程式尚未反向移植。建議升級至 Cloud Service Mesh 1.18 以上版本。

高

CVE-2024-32976

EnvoyQuicServerStream 中發生異常終止 (use-after-free)。

該怎麼辦？

所有 Cloud Service Mesh 版本都會受到這個 CVE 影響。

如果您執行的是代管 Cloud Service Mesh，系統會在未來幾天內自動更新。

否則，請將叢集升級至下列其中一個修補版本：

• v1.21.3-asm.3
• v1.20.7-asm.2
• v1.19.10-asm.6
• v1.18.7-asm.26
• 如果您使用 Cloud Service Mesh 1.17 版或更舊版本，該版本已停用，不再提供支援。這些 CVE 修正程式尚未反向移植。建議升級至 Cloud Service Mesh 1.18 以上版本。

中

CVE-2024-34362

因未偵測到的 nlohmann JSON 例外狀況而當機。

該怎麼辦？

所有 Cloud Service Mesh 版本都會受到這個 CVE 影響。

如果您執行的是代管 Cloud Service Mesh，系統會在未來幾天內自動更新。

否則，請將叢集升級至下列其中一個修補版本：

• v1.21.3-asm.3
• v1.20.7-asm.2
• v1.19.10-asm.6
• v1.18.7-asm.26
• 如果您使用 Cloud Service Mesh 1.17 版或更舊版本，該版本已停用，不再提供支援。這些 CVE 修正程式尚未反向移植。建議升級至 Cloud Service Mesh 1.18 以上版本。

高

CVE-2024-34363

來自 HTTP 非同步用戶端的 Envoy OOM 向量，具有無界限的鏡像回應緩衝區。

該怎麼辦？

所有 Cloud Service Mesh 版本都會受到這個 CVE 影響。

如果您執行的是代管 Cloud Service Mesh，系統會在未來幾天內自動更新。

否則，請將叢集升級至下列其中一個修補版本：

• v1.21.3-asm.3
• v1.20.7-asm.2
• v1.19.10-asm.6
• v1.18.7-asm.26
• 如果您使用 Cloud Service Mesh 1.17 版或更舊版本，該版本已停用，不再提供支援。這些 CVE 修正程式尚未反向移植。建議升級至 Cloud Service Mesh 1.18 以上版本。

中

CVE-2024-34364

HTTP/2：因 CONTINUATION 框架氾濫而導致記憶體耗盡。

該怎麼辦？

所有 Cloud Service Mesh 版本都會受到這個 CVE 影響。

如果您執行的是代管 Cloud Service Mesh，就不需要採取任何行動。系統會在接下來幾天內自動更新。

如果您在叢集內執行 Cloud Service Mesh，請務必將叢集升級至下列其中一個修補版本：

• 1.20.6-asm.0
• 1.19.10-asm.0
• 1.18.7-asm.21

如果您使用 Cloud Service Mesh 1.17 版或更舊版本，該版本已停用，不再提供支援。這些 CVE 修正程式尚未反向移植。建議升級至 Cloud Service Mesh 1.18 以上版本。

高

CVE-2024-27919

HTTP/2：因 CONTINUATION 框架大量湧入而導致 CPU 耗盡

該怎麼辦？

所有 Cloud Service Mesh 版本都會受到這個 CVE 影響。

如果您執行的是代管 Cloud Service Mesh，就不需要採取任何行動。系統會在接下來幾天內自動更新。

如果您在叢集內執行 Cloud Service Mesh，請務必將叢集升級至下列其中一個修補版本：

• 1.20.6-asm.0
• 1.19.10-asm.0
• 1.18.7-asm.21

如果您使用 Cloud Service Mesh 1.17 版或更舊版本，該版本已停用，不再提供支援。這些 CVE 修正程式尚未反向移植。建議升級至 Cloud Service Mesh 1.18 以上版本。

中

CVE-2024-30255

使用 auto_sni 時，如果 ':authority' 標頭超過 255 個字元，就會異常終止。

該怎麼辦？

所有 Cloud Service Mesh 版本都會受到這個 CVE 影響。

如果您執行的是代管 Cloud Service Mesh，就不需要採取任何行動。系統會在接下來幾天內自動更新。

如果您在叢集內執行 Cloud Service Mesh，請務必將叢集升級至下列其中一個修補版本：

• 1.20.6-asm.0
• 1.19.10-asm.0
• 1.18.7-asm.21

如果您使用 Cloud Service Mesh 1.17 版或更舊版本，該版本已停用，不再提供支援。這些 CVE 修正程式尚未反向移植。建議您升級至 Cloud Service Mesh 1.18 以上版本。

高

CVE-2024-32475

HTTP/2 CONTINUATION 框架可用於 DoS 攻擊。

該怎麼辦？

所有 Cloud Service Mesh 版本都會受到這個 CVE 影響。

如果您執行的是代管 Cloud Service Mesh，就不需要採取任何行動。系統會在接下來幾天內自動更新。

如果您在叢集內執行 Cloud Service Mesh，請務必將叢集升級至下列其中一個修補版本：

• 1.20.6-asm.0
• 1.19.10-asm.0
• 1.18.7-asm.21

如果您使用 Cloud Service Mesh 1.17 版或更舊版本，該版本已停用，不再提供支援。這些 CVE 修正程式尚未反向移植。建議您升級至 v1.18 以上版本。

未提供

CVE-2023-45288

如果 Envoy 處於閒置狀態，且輪詢間隔內發生每次嘗試的逾時要求，就會導致 Envoy 異常終止。

該怎麼辦？

如果您執行的是代管 Cloud Service Mesh，就不需要採取任何行動。系統會在接下來幾天內自動更新。

如果您在叢集內執行 Cloud Service Mesh，請務必將叢集升級至下列其中一個修補版本：

• 1.20.3-asm.4
• 1.19.7-asm.3
• 1.18.7-asm.4
• 1.17.8-asm.20

如果您使用 Anthos 服務網格 1.17 版或更早版本，該版本已產品停產，不再提供支援。雖然這些 CVE 修正程式已向後移植至 1.17 版，但您應升級至 1.18 版或更新版本。

高

CVE-2024-23322

使用規則運算式設定 URI 範本比對器時，CPU 使用率過高。

該怎麼辦？

如果您執行的是代管 Cloud Service Mesh，就不需要採取任何行動。系統會在接下來幾天內自動更新。

如果您在叢集內執行 Cloud Service Mesh，請務必將叢集升級至下列其中一個修補版本：

• 1.20.3-asm.4
• 1.19.7-asm.3
• 1.18.7-asm.4
• 1.17.8-asm.20

如果您使用 Anthos 服務網格 1.17 版或更早版本，該版本已產品停產，不再提供支援。雖然這些 CVE 修正程式已向後移植至 1.17 版，但您應升級至 1.18 版或更新版本。

中

CVE-2024-23323

當 Proxy 通訊協定篩選器設定無效的 UTF-8 中繼資料時，外部授權可能會遭到略過。

該怎麼辦？

如果您執行的是代管 Cloud Service Mesh，就不需要採取任何行動。系統會在接下來幾天內自動更新。

如果您在叢集內執行 Cloud Service Mesh，請務必將叢集升級至下列其中一個修補版本：

• 1.20.3-asm.4
• 1.19.7-asm.3
• 1.18.7-asm.4
• 1.17.8-asm.20

如果您使用 Anthos 服務網格 1.17 版或更早版本，該版本已產品停產，不再提供支援。雖然這些 CVE 修正程式已向後移植至 1.17 版，但您應升級至 1.18 版或更新版本。

高

CVE-2024-23324

使用作業系統不支援的位址類型時，Envoy 會當機。

該怎麼辦？

如果您執行的是代管 Cloud Service Mesh，就不需要採取任何行動。系統會在接下來幾天內自動更新。

如果您在叢集內執行 Cloud Service Mesh，請務必將叢集升級至下列其中一個修補版本：

• 1.20.3-asm.4
• 1.19.7-asm.3
• 1.18.7-asm.4
• 1.17.8-asm.20

如果您使用 Anthos 服務網格 1.17 版或更早版本，該版本已產品停產，不再提供支援。雖然這些 CVE 修正程式已向後移植至 1.17 版，但您應升級至 1.18 版或更新版本。

高

CVE-2024-23325

當指令類型為 LOCAL 時，Proxy 通訊協定會當機。

該怎麼辦？

如果您執行的是代管 Cloud Service Mesh，就不需要採取任何行動。系統會在接下來幾天內自動更新。

如果您在叢集內執行 Cloud Service Mesh，請務必將叢集升級至下列其中一個修補版本：

• 1.20.3-asm.4
• 1.19.7-asm.3
• 1.18.7-asm.4
• 1.17.8-asm.20

如果您使用 Anthos 服務網格 1.17 版或更早版本，該版本已產品停產，不再提供支援。雖然這些 CVE 修正程式已向後移植至 1.17 版，但您應升級至 1.18 版或更新版本。

高

CVE-2024-23327

使用 HTTP/2 通訊協定時，阻斷服務攻擊可能會影響資料平面。

該怎麼辦？

如果叢集使用的 Cloud Service Mesh 修補程式版本早於 1.18.4、1.17.7 或 1.16.7，就會受到影響。

將叢集升級至下列其中一個修補版本：

• 1.18.4-asm.0
• 1.17.7-asm.0
• 1.16.7-asm.10

如果您執行的是代管 Cloud Service Mesh，系統會在接下來幾天內自動更新。

如果您使用 Cloud Service Mesh 1.15 版或更舊版本，該版本已停用，不再提供支援。這些 CVE 修正程式尚未反向移植。建議升級至 1.16 以上版本。

高

CVE-2023-44487

在某些特定情況下，惡意用戶端可以建構永久有效的憑證。舉例來說，HMAC 酬載中的主機和到期時間組合，在 OAuth2 篩選器的 HMAC 檢查中一律有效。

該怎麼辦？

如果叢集使用的 Cloud Service Mesh 修補版本早於

• 1.17.4
• 1.16.6
• 1.15.7

將叢集升級至下列其中一個修補版本：

• 1.17.5-asm.0
• 1.16.7-asm.0
• 1.15.7-asm.23

如果您執行的是代管 Cloud Service Mesh，系統會在接下來幾天內自動更新。

如果您使用 Anthos 服務網格 1.14 以下版本，該版本已產品停產，不再提供支援。這些 CVE 修復程式未向後移植。請升級至 ASM 1.15 以上版本。

高

CVE-2023-35941

使用接聽程式全域範圍的 gRPC 存取記錄器，可能會在接聽程式排空時導致 use-after-free 錯誤。如果 LDS 更新的 gRPC 存取記錄檔設定相同，就會觸發這項作業。

該怎麼辦？

如果叢集使用的 Cloud Service Mesh 修補版本早於

• 1.17.4
• 1.16.6
• 1.15.7

將叢集升級至下列其中一個修補版本：

• 1.17.5-asm.0
• 1.16.7-asm.0
• 1.15.7-asm.23

如果您執行的是代管 Cloud Service Mesh，系統會在接下來幾天內自動更新。

如果您使用 Anthos 服務網格 1.14 以下版本，該版本已產品停產，不再提供支援。這些 CVE 修復程式未向後移植。請升級至 ASM 1.15 以上版本。

中

CVE-2023-35942

如果 origin 標頭設定為透過 request_headers_to_remove: origin 移除，CORS 篩選器會發生區段錯誤，導致 Envoy 停止運作。

該怎麼辦？

如果叢集使用的 Cloud Service Mesh 修補版本早於

• 1.17.4
• 1.16.6
• 1.15.7

將叢集升級至下列其中一個修補版本：

• 1.17.5-asm.0
• 1.16.7-asm.0
• 1.15.7-asm.23

如果您執行的是代管 Cloud Service Mesh，系統會在接下來幾天內自動更新。

如果您使用 Anthos 服務網格 1.14 以下版本，該版本已產品停產，不再提供支援。這些 CVE 修復程式未向後移植。請升級至 ASM 1.15 以上版本。

中

CVE-2023-35943

攻擊者可以傳送混合配置要求，略過 Envoy 中的部分配置檢查。舉例來說，如果含有混合配置 htTp 的要求傳送至 OAuth2 篩選器，系統會因 http 的完全相符檢查失敗，通知遠端端點配置為 https，因此可能會略過 HTTP 要求專用的 OAuth2 檢查。

該怎麼辦？

如果叢集使用的 Cloud Service Mesh 修補版本早於

• 1.17.4
• 1.16.6
• 1.15.7

將叢集升級至下列其中一個修補版本：

• 1.17.5-asm.0
• 1.16.7-asm.0
• 1.15.7-asm.23

如果您執行的是代管 Cloud Service Mesh，系統會在接下來幾天內自動更新。

如果您使用 Anthos 服務網格 1.14 以下版本，該版本已產品停產，不再提供支援。這些 CVE 修復程式未向後移植。請升級至 ASM 1.15 以上版本。

高

CVE-2023-35944

不受信任的上游服務傳回的特製回應可能會導致記憶體耗盡，造成服務阻斷。這是因為 Envoy 的 HTTP/2 編解碼器可能會在收到 RST_STREAM 後，立即從上游伺服器接收 GOAWAY 框架，導致標頭對應和記帳結構外洩。

該怎麼辦？

如果叢集使用的 Cloud Service Mesh 修補版本早於

• 1.17.4
• 1.16.6
• 1.15.7

將叢集升級至下列其中一個修補版本：

• 1.17.4-asm.2
• 1.16.6-asm.3
• 1.15.7-asm.21

如果您執行的是代管 Cloud Service Mesh，系統會在接下來幾天內自動更新。

如果您使用 Anthos 服務網格 1.14 以下版本，該版本已產品停產，不再提供支援。這些 CVE 修復程式未向後移植。請升級至 ASM 1.15 以上版本。

高

CVE-2023-35945

如果 Envoy 執行時已啟用 OAuth 篩選器，惡意行為人可能會建構要求，導致 Envoy 崩潰，造成阻斷攻擊。

該怎麼辦？

如果叢集使用的 Cloud Service Mesh 修補版本早於下列版本，就會受到影響：

• 1.16.4
• 1.15.7
• 1.14.6

將叢集升級至下列其中一個修補版本：

• 1.16.4-asm.2
• 1.15.7-asm.1
• 1.14.6-asm.11

如果您使用 Cloud Service Mesh 1.13 以下版本，該版本已停用，不再提供支援。這些 CVE 修正程式尚未反向移植。請升級至 Cloud Service Mesh 1.14 以上版本。

中

CVE-2023-27496

攻擊者可利用這項安全漏洞，在使用 ext_authz 時略過驗證檢查。

該怎麼辦？

如果叢集使用的 Cloud Service Mesh 修補版本早於下列版本，就會受到影響：

• 1.16.4
• 1.15.7
• 1.14.6

將叢集升級至下列其中一個修補版本：

• 1.16.4-asm.2
• 1.15.7-asm.1
• 1.14.6-asm.11

如果您使用 Cloud Service Mesh 1.13 以下版本，該版本已停用，不再提供支援。這些 CVE 修正程式尚未反向移植。建議升級至 Cloud Service Mesh} 1.14 以上版本。

中

CVE-2023-27488

Envoy 設定也必須包含選項，可新增使用要求輸入內容 (即對等互連憑證 SAN) 產生的要求標頭。

該怎麼辦？

如果叢集使用的 Cloud Service Mesh 修補版本早於下列版本，就會受到影響：

• 1.16.4
• 1.15.7
• 1.14.6

將叢集升級至下列其中一個修補版本：

• 1.16.4-asm.2
• 1.15.7-asm.1
• 1.14.6-asm.11

如果您使用 Cloud Service Mesh 1.13 以下版本，該版本已停用，不再提供支援。這些 CVE 修正程式尚未反向移植。請升級至 Cloud Service Mesh 1.14 以上版本。

高

CVE-2023-27493

攻擊者可以針對啟用 Lua 篩選器的路徑傳送大型要求主體，並觸發當機。

該怎麼辦？

如果叢集使用的 Cloud Service Mesh 修補版本早於下列版本，就會受到影響：

• 1.16.4
• 1.15.7
• 1.14.6

將叢集升級至下列其中一個修補版本：

• 1.16.4-asm.2
• 1.15.7-asm.1
• 1.14.6-asm.11

如果您使用 Cloud Service Mesh 1.13 以下版本，該版本已停用，不再提供支援。這些 CVE 修正程式尚未反向移植。請升級至 Cloud Service Mesh 1.14 以上版本。

中

CVE-2023-27492

攻擊者可以傳送特別製作的 HTTP/2 或 HTTP/3 要求，在 HTTP/1 上游服務中觸發剖析錯誤。

該怎麼辦？

如果叢集使用的 Cloud Service Mesh 修補版本早於下列版本，就會受到影響：

• 1.16.4
• 1.15.7
• 1.14.6

將叢集升級至下列其中一個修補版本：

• 1.16.4-asm.2
• 1.15.7-asm.1
• 1.14.6-asm.11

如果您使用 Cloud Service Mesh 1.13 以下版本，該版本已停用，不再提供支援。這些 CVE 修正程式尚未反向移植。請升級至 Cloud Service Mesh 1.14 以上版本。

中

CVE-2023-27491

x-envoy-original-path 標頭應為內部標頭，但 Envoy 不會從要求中移除這個標頭，因為要求是從不受信任的用戶端傳送，且要求處理程序才剛開始。

該怎麼辦？

如果叢集使用的 Cloud Service Mesh 修補版本早於下列版本，就會受到影響：

• 1.16.4
• 1.15.7
• 1.14.6

將叢集升級至下列其中一個修補版本：

• 1.16.4-asm.2
• 1.15.7-asm.1
• 1.14.6-asm.11

如果您使用 Cloud Service Mesh 1.13 以下版本，該版本已停用，不再提供支援。這些 CVE 修正程式尚未反向移植。請升級至 Cloud Service Mesh 1.14 以上版本。

高

CVE-2023-27487

Istio 控制層istiod容易發生要求處理錯誤，因此當叢集的驗證 Webhook 公開時，惡意攻擊者可傳送特製訊息，導致控制層當機。這個端點是透過 TLS 連接埠 15017 提供服務，但攻擊者不需要任何驗證。

該怎麼辦？

如果叢集使用的 Cloud Service Mesh 修補程式版本早於 1.14.4、1.13.8 或 1.12.9，就會受到影響。

如果您執行的是獨立的 Cloud Service Mesh，請將叢集升級至下列其中一個修補版本：

• 如果您使用 Anthos 服務網格 1.14，請升級至 v1.14.4-asm.2
• 如果您使用 Anthos 服務網格 1.13，請升級至 v1.13.8-asm.4
• 如果您使用 Anthos 服務網格 1.12，請升級至 v1.12.9-asm.3

如果您執行的是受管理 Cloud Service Mesh，系統會在接下來幾天內自動更新。

如果您使用 Cloud Service Mesh 1.11 版或更舊版本，該版本已停用，不再提供支援。這些 CVE 修正程式尚未反向移植。建議升級至 Cloud Service Mesh 1.12 以上版本。

高

CVE-2022-39278

啟用中繼資料交換和統計資料擴充功能後，Istio 資料平面可能會以不安全的方式存取記憶體。

該怎麼辦？

如果叢集使用的 Cloud Service Mesh 修補程式版本早於 1.13.4-asm.4、1.12.7-asm.2 或 1.11.8-asm.4，就會受到影響。

將叢集升級至下列其中一個修補版本：

• 1.13.4-asm.4
• 1.12.7-asm.2
• 1.11.8-asm.4

如果您使用 Cloud Service Mesh 1.10 版或更早版本，該版本已停用，不再提供支援。這些 CVE 修正程式尚未反向移植。建議升級至 Cloud Service Mesh 1.11 以上版本。 詳情請參閱「從舊版升級 (GKE)」或「從舊版升級 (地端部署)」。

高

CVE-2022-31045

如果惡意攻擊者傳遞小型高壓縮酬載 (也稱為 ZIP 炸彈攻擊)，資料可能會超出中繼緩衝區限制。

該怎麼辦？

如果叢集使用的 Cloud Service Mesh 修補程式版本早於 1.13.4-asm.4、1.12.7-asm.2 或 1.11.8-asm.4，就會受到影響。

雖然 Cloud Service Mesh 不支援 Envoy 篩選器，但如果您使用解壓縮篩選器，可能會受到影響。

將叢集升級至下列其中一個修補版本：

• 1.13.4-asm.4
• 1.12.7-asm.2
• 1.11.8-asm.4

如果您使用 Cloud Service Mesh 1.10 版或更早版本，該版本已停用，不再提供支援。這些 CVE 修正程式尚未反向移植。建議升級至 Cloud Service Mesh 1.11 以上版本。 詳情請參閱「從舊版升級 (GKE)」或「從舊版升級 (地端部署)」。

如果 Envoy 使用者自行管理 Envoy，請務必使用 Envoy 1.22.1 版。 管理自有 Envoy 的 Envoy 使用者會從 GitHub 等來源建構二進位檔，然後部署這些檔案。

如果使用者執行的是受管理 Envoy (Google Cloud 提供 Envoy 二進位檔)，則不需要採取任何行動，因為雲端產品會切換至 1.22.1。

高

CVE-2022-29225

GrpcHealthCheckerImpl 中可能出現空值指標取消參照。

該怎麼辦？

如果叢集使用的 Cloud Service Mesh 修補程式版本早於 1.13.4-asm.4、1.12.7-asm.2 或 1.11.8-asm.4，就會受到影響。

將叢集升級至下列其中一個修補版本：

• 1.13.4-asm.4
• 1.12.7-asm.2
• 1.11.8-asm.4

如果您使用 Cloud Service Mesh 1.10 版或更早版本，該版本已停用，不再提供支援。這些 CVE 修正程式尚未反向移植。建議升級至 Cloud Service Mesh 1.11 以上版本。 詳情請參閱「從舊版升級 (GKE)」或「從舊版升級 (地端部署)」。

如果 Envoy 使用者自行管理 Envoy，請務必使用 Envoy 1.22.1 版。 管理自有 Envoy 的 Envoy 使用者會從 GitHub 等來源建構二進位檔，然後部署這些檔案。

如果使用者執行的是受管理 Envoy (Google Cloud 提供 Envoy 二進位檔)，則不需要採取任何行動，因為雲端產品會切換至 1.22.1。

中

CVE-2021-29224

OAuth 篩選器允許輕易繞過。

該怎麼辦？

如果叢集使用的 Cloud Service Mesh 修補程式版本早於 1.13.4-asm.4、1.12.7-asm.2 或 1.11.8-asm.4，就會受到影響。

雖然 Cloud Service Mesh 不支援 Envoy 篩選器，但如果您使用 OAuth 篩選器，可能會受到影響。

將叢集升級至下列其中一個修補版本：

• 1.13.4-asm.4
• 1.12.7-asm.2
• 1.11.8-asm.4

如果您使用 Cloud Service Mesh 1.10 版或更早版本，該版本已停用，不再提供支援。這些 CVE 修正程式尚未反向移植。建議升級至 Cloud Service Mesh 1.11 以上版本。 詳情請參閱「從舊版升級 (GKE)」或「從舊版升級 (地端部署)」。

如果 Envoy 使用者管理自己的 Envoy，且使用 OAuth 篩選器，請務必使用 Envoy 1.22.1 版。管理自有 Envoy 的使用者會從 GitHub 等來源建構二進位檔，然後部署這些檔案。

如果使用者執行的是受管理 Envoy (Google Cloud 提供 Envoy 二進位檔)，則不需要採取任何行動，因為雲端產品會切換至 1.22.1。

重大

CVE-2021-29226

OAuth 篩選器可能會損毀記憶體 (舊版) 或觸發 ASSERT() (新版)。

該怎麼辦？

如果叢集使用的 Cloud Service Mesh 修補程式版本早於 1.13.4-asm.4、1.12.7-asm.2 或 1.11.8-asm.4，就會受到影響。

雖然 Cloud Service Mesh 不支援 Envoy 篩選器，但如果您使用 OAuth 篩選器，可能會受到影響。

將叢集升級至下列其中一個修補版本：

• 1.13.4-asm.4
• 1.12.7-asm.2
• 1.11.8-asm.4

如果您使用 Cloud Service Mesh 1.10 版或更早版本，該版本已停用，不再提供支援。這些 CVE 修正程式尚未反向移植。建議升級至 Cloud Service Mesh 1.11 以上版本。

如果 Envoy 使用者管理自己的 Envoy，且使用 OAuth 篩選器，請務必使用 Envoy 1.22.1 版。管理自有 Envoy 的使用者會從 GitHub 等來源建構二進位檔，然後部署這些檔案。

如果使用者執行的是受管理 Envoy (Google Cloud 提供 Envoy 二進位檔)，則不需要採取任何行動，因為雲端產品會切換至 1.22.1。

高

CVE-2022-29228

如果要求包含主體或預告片，內部重新導向會導致當機。

該怎麼辦？

如果叢集使用的 Cloud Service Mesh 修補程式版本早於 1.13.4-asm.4、1.12.7-asm.2 或 1.11.8-asm.4，就會受到影響。

將叢集升級至下列其中一個修補版本：

• 1.13.4-asm.4
• 1.12.7-asm.2
• 1.11.8-asm.4

如果您使用 Cloud Service Mesh 1.10 版或更早版本，該版本已停用，不再提供支援。這些 CVE 修正程式尚未反向移植。建議升級至 Cloud Service Mesh 1.11 以上版本。 詳情請參閱「從舊版升級 (GKE)」或「從舊版升級 (地端部署)」。

如果 Envoy 使用者自行管理 Envoy，請務必使用 Envoy 1.22.1 版。 管理自有 Envoy 的 Envoy 使用者會從 GitHub 等來源建構二進位檔，然後部署這些檔案。

如果使用者執行的是受管理 Envoy (Google Cloud 提供 Envoy 二進位檔)，則不需要採取任何行動，因為雲端產品會切換至 1.22.1。

高

CVE-2022-29227

Istio 控制層 (istiod) 容易發生要求處理錯誤，因此當叢集的驗證 Webhook 公開時，惡意攻擊者只要傳送特製訊息，就會導致控制層當機。這個端點是透過 TLS 連接埠 15017 提供服務，但攻擊者不需要任何驗證。

該怎麼辦？

所有 Cloud Service Mesh 版本都會受到這個 CVE 影響。

注意：如果您使用受管理控制層，這項安全漏洞已修正，因此不會受到影響。

將叢集升級至下列其中一個修補版本：

• 1.12.5-asm.0
• 1.11.8-asm.0
• 1.10.6-asm.2

如果您使用 Cloud Service Mesh 1.9 以下版本，該版本已停用，不再提供支援。這些 CVE 修正程式尚未反向移植。您應升級至 Cloud Service Mesh 1.10 以上版本。

高

CVE-2022-24726

收到含有精心設計的 authorization 標頭的要求時，Istiod 會當機。

該怎麼辦？

如果同時符合下列兩種情況，叢集就會受到影響：

• 使用的 Cloud Service Mesh 修補程式版本早於 1.12.4-asm.1、 1.11.7-asm.1 或 1.10.6-asm.1。

注意：如果您使用受管理控制層，這項安全漏洞已修正，因此不會受到影響。

將叢集升級至下列其中一個修補版本：

• 1.12.4-asm.1
• 1.11.7-asm.1
• 1.10.6-asm.1

如果您使用 Cloud Service Mesh 1.9 以下版本，該版本已停用，不再提供支援。這些 CVE 修正程式尚未反向移植。您應升級至 Cloud Service Mesh 1.10 以上版本。

高

CVE-2022-23635

使用 JWT 篩選器 safe_regex match 時，可能發生空指標取消參照。

該怎麼辦？

如果同時符合下列兩種情況，叢集就會受到影響：

• 使用的 Cloud Service Mesh 修補程式版本早於 1.12.4-asm.1、 1.11.7-asm.1 或 1.10.6-asm.1。
• 雖然 Cloud Service Mesh 不支援 Envoy 篩選器，但如果您使用 JWT 篩選器 regex，可能會受到影響。

將叢集升級至下列其中一個修補版本：

• 1.12.4-asm.1
• 1.11.7-asm.1
• 1.10.6-asm.1

如果您使用 Cloud Service Mesh 1.9 以下版本，該版本已停用，不再提供支援。這些 CVE 修正程式尚未反向移植。建議您升級至 Cloud Service Mesh 1.10 以上版本。

中

CVE-2021-43824

回應篩選器增加回應資料，而增加的資料超出下游緩衝區限制時，會發生釋放後使用 (use-after-free) 的情況。

該怎麼辦？

如果同時符合下列兩種情況，叢集就會受到影響：

• 使用的 Cloud Service Mesh 修補程式版本早於 1.12.4-asm.1、 1.11.7-asm.1 或 1.10.6-asm.1。
• 雖然 Cloud Service Mesh 不支援 Envoy 篩選器，但如果您使用解壓縮篩選器，可能會受到影響。

將叢集升級至下列其中一個修補版本：

• 1.12.4-asm.1
• 1.11.7-asm.1
• 1.10.6-asm.1

如果您使用 Cloud Service Mesh 1.9 以下版本，該版本已停用，不再提供支援。這些 CVE 修正程式尚未反向移植。建議您升級至 Cloud Service Mesh 1.10 以上版本。

中

CVE-2021-43825

透過 HTTP 建立 TCP 通道時，如果下游在建立上游連線期間中斷連線，就會發生釋放後使用 (use-after-free) 的情況。

該怎麼辦？

如果同時符合下列兩種情況，叢集就會受到影響：

• 使用的 Cloud Service Mesh 修補程式版本早於 1.12.4-asm.1、 1.11.7-asm.1 或 1.10.6-asm.1。
• 雖然 Cloud Service Mesh 不支援 Envoy 篩選器，但如果您使用通道篩選器，可能會受到影響。

將叢集升級至下列其中一個修補版本：

• 1.12.4-asm.1
• 1.11.7-asm.1
• 1.10.6-asm.1

如果您使用 Cloud Service Mesh 1.9 以下版本，該版本已停用，不再提供支援。這些 CVE 修正程式尚未反向移植。建議您升級至 Cloud Service Mesh 1.10 以上版本。

中

CVE-2021-43826

設定處理方式有誤，導致驗證設定變更後，mTLS 工作階段可重複使用，無須重新驗證。

該怎麼辦？

如果同時符合下列兩種情況，叢集就會受到影響：

• 使用的 Cloud Service Mesh 修補程式版本早於 1.12.4-asm.1、 1.11.7-asm.1 或 1.10.6-asm.1。
• 使用 mTLS 的所有 Cloud Service Mesh 服務都會受到這個 CVE 影響。

將叢集升級至下列其中一個修補版本：

• 1.12.4-asm.1
• 1.11.7-asm.1
• 1.10.6-asm.1

如果您使用 Cloud Service Mesh 1.9 以下版本，該版本已停用，不再提供支援。這些 CVE 修正程式尚未反向移植。建議您升級至 Cloud Service Mesh 1.10 以上版本。

高

CVE-2022-21654

內部重新導向至具有直接回應項目的路徑時，處理方式有誤。

該怎麼辦？

如果同時符合下列兩種情況，叢集就會受到影響：

• 使用的 Cloud Service Mesh 修補程式版本早於 1.12.4-asm.1、 1.11.7-asm.1 或 1.10.6-asm.1。
• 雖然 Cloud Service Mesh 不支援 Envoy 篩選器，但如果您使用直接回應篩選器，可能會受到影響。

將叢集升級至下列其中一個修補版本：

• 1.12.4-asm.1
• 1.11.7-asm.1
• 1.10.6-asm.1

如果您使用 Cloud Service Mesh 1.9 以下版本，該版本已停用，不再提供支援。這些 CVE 修正程式尚未反向移植。建議您升級至 Cloud Service Mesh 1.10 以上版本。

高

CVE-2022-21655

透過叢集探索服務刪除叢集時，發生堆疊耗盡問題。

該怎麼辦？

如果同時符合下列兩種情況，叢集就會受到影響：

• 使用的 Cloud Service Mesh 修補程式版本早於 1.12.4-asm.1 或 1.11.7-asm.1。

將叢集升級至下列其中一個修補版本：

• 1.12.4-asm.1
• 1.11.7-asm.1

如果您使用 Cloud Service Mesh 1.9 以下版本，該版本已停用，不再提供支援。這些 CVE 修正程式尚未反向移植。建議您升級至 Cloud Service Mesh 1.10 以上版本。

中

CVE-2022-23606

Istio 含有可遠端利用的安全漏洞，如果 URI 路徑中含有片段 (URI 結尾以 # 字元開頭的部分)，可能會繞過 Istio 的 URI 路徑授權政策。

舉例來說，Istio 授權政策會拒絕傳送至 URI 路徑 /user/profile 的要求。在有安全漏洞的版本中，URI 路徑為 /user/profile#section1 的要求會略過拒絕政策，並轉送至後端 (URI 路徑已正規化為 /user/profile%23section1)，導致發生安全事件。

這項修正需要 Envoy 的修正，與 CVE-2021-32779 相關。

該怎麼辦？

如果同時符合下列兩種情況，叢集就會受到影響：

• 使用的 Cloud Service Mesh 修補程式版本早於 1.7.8-asm.10、1.8.6-asm.8、1.9.8-asm.1 和 1.10.4-asm.6。
• 要求使用 DENY actions 和 operation.paths，或 ALLOW actions 和 operation.notPaths 授權政策。

將叢集升級至下列其中一個修補版本：

• 1.10.4-asm.6
• 1.9.8-asm.1
• 1.8.6-asm.8
• 1.7.8-asm.10

新版會先移除要求 URI 的片段部分，再進行授權和轉送。這樣一來，URI 中含有片段的要求就不會略過授權政策，因為授權政策是根據不含片段部分的 URI 制定。

如果選擇不採用這項新行為，系統會保留 URI 中的片段部分。如要停用這項功能，請按照下列方式設定安裝作業：

apiVersion: install.istio.io/v1alpha1
kind: IstioOperator
metadata:
  name: opt-out-fragment-cve-fix
  namespace: istio-system
spec:
  meshConfig:
    defaultConfig:
      proxyMetadata:
        HTTP_STRIP_FRAGMENT_FROM_PATH_UNSAFE_IF_DISABLED: "false"

注意：如果選擇不採用這項行為，叢集就會受到這個 CVE 影響。

高

CVE-2021-39156

Istio 含有可遠端利用的安全性漏洞，使用以 hosts 或 notHosts 為依據的規則時，HTTP 要求可能會略過 Istio 授權政策。

在容易受到攻擊的版本中，Istio 授權政策會以區分大小寫的方式比較 HTTP Host 或 :authority 標頭，這與 RFC 4343 不一致。舉例來說，使用者可能設有授權政策，拒絕主機為 secret.com 的要求，但攻擊者可以透過在主機名稱 Secret.com 傳送要求，繞過這項政策。路由流程會將流量轉送至 secret.com 的後端，導致發生安全事件。

該怎麼辦？

如果同時符合下列兩種情況，叢集就會受到影響：

• 使用的 Cloud Service Mesh 修補程式版本早於 1.7.8-asm.10、1.8.6-asm.8、1.9.8-asm.1 和 1.10.4-asm.6。
• 要求使用授權政策，並根據 operation.hosts 或 ALLOW actions 搭配 DENY actions，或根據 operation.notHosts 搭配 DENY actions。

將叢集升級至下列其中一個修補版本：

• 1.10.4-asm.6
• 1.9.8-asm.1
• 1.8.6-asm.8
• 1.7.8-asm.10

這項防護措施可確保系統會根據授權政策中的 hosts 或 notHosts 規格，以不區分大小寫的方式評估 HTTP Host 或 :authority 標頭。

高

CVE-2021-39155

Envoy 含有可從遠端發動攻擊的安全漏洞。使用 ext_authz 擴充功能時，如果 HTTP 要求含有多個值標頭，可能導致授權政策檢查不完整。如果要求標頭包含多個值，外部授權伺服器只會看到指定標頭的最後一個值。

該怎麼辦？

如果同時符合下列兩種情況，叢集就會受到影響：

• 使用的 Cloud Service Mesh 修補程式版本早於 1.7.8-asm.10、1.8.6-asm.8、1.9.8-asm.1 和 1.10.4-asm.6。
• 這項功能使用「外部授權」功能。

將叢集升級至下列其中一個修補版本：

• 1.10.4-asm.6
• 1.9.8-asm.1
• 1.8.6-asm.8
• 1.7.8-asm.10

高

CVE-2021-32777

Envoy 含有可從遠端發動攻擊的安全性漏洞，會影響 Envoy 的 decompressor、json-transcoder 或 grpc-web 擴充功能，或是修改及增加要求或回應主體大小的專屬擴充功能。如果 Envoy 擴充功能的內文大小超過內部緩衝區空間，可能會導致 Envoy 存取已解除分配的記憶體，並異常終止。

該怎麼辦？

如果同時符合下列兩種情況，叢集就會受到影響：

• 使用的 Cloud Service Mesh 修補程式版本早於 1.7.8-asm.10、1.8.6-asm.8、1.9.8-asm.1 和 1.10.4-asm.6。
• 作業期間會使用 EnvoyFilters。

將叢集升級至下列其中一個修補版本：

• 1.10.4-asm.6
• 1.9.8-asm.1
• 1.8.6-asm.8
• 1.7.8-asm.10

高

CVE-2021-32781

Envoy 含有可從遠端發動攻擊的漏洞。如果 Envoy 用戶端開啟大量 HTTP/2 要求，然後重設這些要求，可能會導致 CPU 耗用量過高。

該怎麼辦？

如果叢集使用的 Cloud Service Mesh 修補程式版本早於 1.7.8-asm.10、1.8.6-asm.8、1.9.8-asm.1 和 1.10.4-asm.6，就會受到影響。

將叢集升級至下列其中一個修補版本：

• 1.10.4-asm.6
• 1.9.8-asm.1

注意：如果您使用 Cloud Service Mesh 1.8 或更早版本，請升級至 Cloud Service Mesh 1.9 以上的最新修補程式版本，以減輕這項安全漏洞的影響。

高

CVE-2021-32778

Envoy 含有可從遠端利用的安全漏洞，只要不受信任的上游服務傳送 GOAWAY 框架，然後將 SETTINGS_MAX_CONCURRENT_STREAMS 參數設為 0，即可導致 Envoy 異常終止。SETTINGS

該怎麼辦？

如果叢集使用 Cloud Service Mesh 1.10，且修補程式版本早於 1.10.4-asm.6，就會受到影響。

將叢集升級至下列修補程式版本：

• 1.10.4-asm.6

高

CVE-2021-32780

Istio 安全 Gateway 或 工作負載可透過 credentialName 設定，從 Kubernetes 密鑰載入 TLS 私密金鑰和憑證。DestinationRule從 Istio 1.8 以上版本開始，系統會從 istiod 讀取密鑰，並透過 XDS 傳送至閘道和工作負載。

一般來說，閘道或工作負載部署作業只能存取儲存在命名空間內密鑰中的 TLS 憑證和私密金鑰。不過，istiod 中的錯誤會導致有權存取 Istio XDS API 的用戶端，擷取 istiod 中快取的任何 TLS 憑證和私密金鑰。這項安全漏洞只會影響 Cloud Service Mesh 的 1.8 和 1.9 次要版本。

該怎麼辦？

如果符合下列所有條件，叢集就會受到影響：

• 使用的 1.9.x 版本早於 1.9.6-asm.1，或使用的 1.8.x 版本早於 1.8.6-asm.4。
• 已定義 Gateways 或 DestinationRules，並指定 credentialName 欄位。
• 未指定 istiod 旗標 PILOT_ENABLE_XDS_CACHE=false。

將叢集升級至下列其中一個修補版本：

• 1.9.6-asm.1
• 1.8.6-asm.4

高

CVE-2021-34824

Istio 含有可從遠端發動攻擊的安全漏洞，當閘道設定為 AUTO_PASSTHROUGH 路由設定時，外部用戶端可存取叢集中非預期的服務，並略過授權檢查。

該怎麼辦？

這項安全漏洞只會影響 AUTO_PASSTHROUGH 閘道類型的使用，這類閘道通常只用於多重網路、多重叢集部署作業。

使用下列指令偵測叢集中所有閘道的 TLS 模式：

kubectl get gateways.networking.istio.io -A -o \
  "custom-columns=NAMESPACE:.metadata.namespace, \
  NAME:.metadata.name,TLS_MODE:.spec.servers[*].tls.mode"

如果輸出顯示任何 AUTO_PASSTHROUGH 閘道，您可能會受到影響。

將叢集更新至最新版 Cloud Service Mesh：

• 1.9.5-asm.2
• 1.8.6-asm.3
• 1.7.8-asm.8

* 注意：Cloud Service Mesh 代管控制層 (僅適用於 1.9.x 版) 將在幾天內全面推出。

高

CVE-2021-31921

Istio 含有可從遠端發動攻擊的安全性漏洞。當使用以路徑為準的授權規則時，如果 HTTP 要求路徑含有多個斜線或逸出斜線字元 (%2F 或 %5C)，就可能繞過 Istio 授權政策。

如果 Istio 叢集管理員定義授權 DENY 政策，在路徑 "/admin" 拒絕要求，則傳送至網址路徑 "//admin" 的要求「不會」遭到授權政策拒絕。

根據 RFC 3986，含有多個斜線的路徑 "//admin" 在技術上應視為與 "/admin" 不同的路徑。不過，部分後端服務會選擇將多個斜線合併為單一斜線，藉此正規化網址路徑。這可能會導致授權政策遭到規避 ("//admin" 與 "/admin" 不符)，使用者可以存取後端路徑 "/admin" 中的資源。

該怎麼辦？

如果授權政策使用「ALLOW action + notPaths field」或「DENY action + paths field」模式，叢集就會受到這項安全漏洞影響。這些模式容易發生非預期的政策規避行為，因此請盡快升級，修正安全性問題。

以下是使用「拒絕動作 + 路徑欄位」模式的易受攻擊政策範例：

apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: deny-path-admin
spec:
  action: DENY
  rules:
  - to:
    - operation:
        paths: ["/admin"]

以下是另一個有安全漏洞的政策範例，使用「ALLOW 動作 + notPaths 欄位」模式：

apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: allow-path-not-admin
spec:
  action: ALLOW
  rules:
  - to:
    - operation:
        notPaths: ["/admin"]

如果符合下列條件，您的叢集就不會受到這項安全漏洞影響：

• 您沒有授權政策。
• 您的授權政策未定義 paths 或 notPaths 欄位。
• 授權政策採用「ALLOW 動作 + 路徑欄位」或「DENY 動作 + notPaths 欄位」模式。這些模式只會導致意外遭到拒絕，不會規避政策。

在這些情況下，您可以選擇是否要升級。

將叢集更新至最新支援的 Cloud Service Mesh 版本*。這些版本支援在系統中設定 Envoy Proxy，並提供更多正規化選項：

• 1.9.5-asm.2
• 1.8.6-asm.3
• 1.7.8-asm.8

* 注意：Cloud Service Mesh 代管控制層 (僅適用於 1.9.x 版) 將在幾天內全面推出。

請按照 Istio 安全性最佳做法指南設定授權政策。

高

CVE-2021-31920

Envoy 和 Istio 專案最近宣布了幾項新的安全漏洞 (CVE-2021-28682、CVE-2021-28683 和 CVE-2021-29258)，攻擊者可能會利用這些漏洞導致 Envoy 停止運作，並可能使部分叢集離線且無法連線。

這會影響 Cloud Service Mesh 等交付的服務。

該怎麼辦？

如要修正這些安全漏洞，請將 Cloud Service Mesh 套裝組合升級至下列其中一個修補版本：

• 1.9.3-asm.2
• 1.8.5-asm.2
• 1.7.8-asm.1
• 1.6.14-asm.2

詳情請參閱 Cloud Service Mesh 版本資訊。

高

CVE-2021-28682
CVE-2021-28683
CVE-2021-29258