安全性公告

match_typed_subject_alt_names 的 TLS 憑證比對器可能會誤將含有內嵌空位元組的憑證視為無效。

該怎麼辦？

如果叢集使用的叢內 Cloud Service Mesh 修補版本早於下列版本，就會受到影響：

• 1.27.4-asm.1
• 1.26.7-asm.1
• 1.25.6-asm.1

這項 CVE 不會影響採用代管控制層的 Cloud Service Mesh。

如果是叢集內 Cloud Service Mesh，請將叢集升級至下列修補版本之一：

• 1.27.4-asm.1
• 1.26.7-asm.1
• 1.25.6-asm.1

如果您使用 Cloud Service Mesh 1.24 版或更早版本，該版本已停用，不再提供支援。這些 CVE 修正程式尚未反向移植。升級至 1.25 以上版本。

如果是代管 Cloud Service Mesh，則不需要採取任何行動。這項 CVE 不會影響採用代管控制層的 Cloud Service Mesh。

中

CVE-2025-66220

設定 JWT 驗證並擷取遠端 JWKS 時，Envoy 會當機。

該怎麼辦？

如果叢集使用的叢內 Cloud Service Mesh 修補版本早於下列版本，就會受到影響：

• 1.27.4-asm.1
• 1.26.7-asm.1
• 1.25.6-asm.1

如果叢集使用的 Cloud Service Mesh 代管版本早於下列版本，就會受到影響：

• 1.21.6-asm.7
• 1.20.8-asm.59
• 1.19.10-asm.54

如果是叢集內 Cloud Service Mesh，請將叢集升級至下列其中一個修補版本：

• 1.27.4-asm.1
• 1.26.7-asm.1
• 1.25.6-asm.1

如果您使用 Cloud Service Mesh 1.24 版或更早版本，該版本已停用，不再提供支援。這些 CVE 修正程式尚未反向移植。升級至 1.25 以上版本。

如要瞭解代管 Cloud Service Mesh，請按照 MSA 中的指示操作。所有版本仍受支援，系統會在未來幾週內自動更新。

中

CVE-2025-64527

升級 CONNECT 後，早期資料可能導致要求走私。

該怎麼辦？

如果叢集使用的叢內 Cloud Service Mesh 修補版本早於下列版本，就會受到影響：

• 1.27.4-asm.1
• 1.26.7-asm.1
• 1.25.6-asm.1

這項 CVE 不會影響採用代管控制層的 Cloud Service Mesh。

如果是叢集內 Cloud Service Mesh，請將叢集升級至下列修補版本之一：

• 1.27.4-asm.1
• 1.26.7-asm.1
• 1.25.6-asm.1

如果您使用 Cloud Service Mesh 1.24 版或更早版本，該版本已停用，不再提供支援。這些 CVE 修正程式尚未反向移植。升級至 1.25 以上版本。

如果是代管 Cloud Service Mesh，則不需要採取任何行動。這項 CVE 不會影響採用代管控制層的 Cloud Service Mesh。

中

CVE-2025-64763

處理大型回應內容時，Lua 篩選器可能會導致 Envoy 損毀。

該怎麼辦？

如果修補程式版本早於下列版本，您的叢集就會受到影響：

• 1.27.2-asm.1
• 1.26.5-asm.1
• 1.25.5-asm.9

如果您使用 Cloud Service Mesh 1.24 版或更早版本，該版本已停用，不再提供支援。這些 CVE 修正程式尚未反向移植。升級至 1.25 以上版本。

如果是叢集內 Cloud Service Mesh，請將叢集升級至下列其中一個修補版本：

• 1.27.2-asm.1
• 1.26.5-asm.1
• 1.25.5-asm.9

如果是代管 Cloud Service Mesh，則不需要採取任何行動。所有版本仍受支援，系統會在未來幾週內自動更新。

中

CVE-2025-62504

大型要求或回應可能會導致 TCP 連線集區當機。

該怎麼辦？

如果修補程式版本早於下列版本，您的叢集就會受到影響：

• 1.27.2-asm.1
• 1.26.5-asm.1
• 1.25.5-asm.9

如果您使用 Cloud Service Mesh 1.24 版或更早版本，該版本已停用，不再提供支援。這些 CVE 修正程式尚未反向移植。升級至 1.25 以上版本。

如果是叢集內 Cloud Service Mesh，請將叢集升級至下列其中一個修補版本：

• 1.27.2-asm.1
• 1.26.5-asm.1
• 1.25.5-asm.9

如果是代管 Cloud Service Mesh，則不需要採取任何行動。所有版本仍受支援，系統會在未來幾週內自動更新。

中

CVE-2025-62409

DNS 快取中的釋放後使用情況。

該怎麼辦？

只有在叢集內執行 Cloud Service Mesh 1.26 版的叢集會受到影響。

如果您執行的是代管的 Cloud Service Mesh，則不會受到影響，也不必採取任何行動。

如果您在叢集內執行 Cloud Service Mesh 1.26，請將受影響的叢集升級至 1.26.4-asm.1。

高

CVE-2025-54588

Happy Eyeballs：驗證 additional_address 是否為 IP 位址，而非在排序時當機。

該怎麼辦？

如果修補程式版本早於下列版本，叢集就會受到影響：

• 1.23.4-asm.1
• 1.22.7-asm.1

如果是叢集內 Cloud Service Mesh，請將叢集升級至下列修補版本之一：

• 1.23.4-asm.1
• 1.22.7-asm.1

如果您使用 Cloud Service Mesh 1.20 版或更早版本，該版本已停用，不再提供支援。這些 CVE 修正程式尚未反向移植。建議升級至 1.21 以上版本。

如果是代管 Cloud Service Mesh，則不需要採取任何行動。所有版本仍受支援，系統會在未來幾週內自動更新。

中

CVE-2024-53269

HTTP/1：如果事先重設要求，傳送過多要求時會發生當機情形。

該怎麼辦？

如果修補程式版本早於下列版本，叢集就會受到影響：

• 1.23.4-asm.1
• 1.22.7-asm.1
• 1.21.5-asm.17
• 1.20.8-asm.14
• 1.19.10-asm.24

如果是叢集內 Cloud Service Mesh，請將叢集升級至下列其中一個修補版本：

• 1.23.4-asm.1
• 1.22.7-asm.1
• 1.21.5-asm.17

如果您使用 Cloud Service Mesh 1.20 版或更早版本，該版本已停用，不再提供支援。如果您使用 Cloud Service Mesh 1.20 版或更早版本，該版本已停用，不再提供支援。這些 CVE 修正程式尚未反向移植。建議升級至 1.21 以上版本。

如果是代管 Cloud Service Mesh，則不需要採取任何行動。所有版本仍受支援，系統會在未來幾週內自動更新。

高

CVE-2024-53270

HTTP/1.1 Multiple issues with envoy.reloadable_features.http1_balsa_delay_reset.

該怎麼辦？

如果修補程式版本早於下列版本，叢集就會受到影響：

• 1.23.4-asm.1

如果是叢集內 Cloud Service Mesh，請將叢集升級至下列其中一個修補版本：

• 1.23.4-asm.1

如果您使用 Cloud Service Mesh 1.20 版或更早版本，該版本已停用，不再提供支援。如果您使用 Cloud Service Mesh 1.20 版或更早版本，該版本已停用，不再提供支援。這些 CVE 修正程式尚未反向移植。建議升級至 1.21 以上版本。

如果是代管 Cloud Service Mesh，則不需要採取任何行動。所有版本仍受支援，系統會在未來幾週內自動更新。

高

CVE-2024-53271

oghttp2 crash on OnBeginHeadersForStream

該怎麼辦？

只有執行 Cloud Service Mesh 1.23 版的叢集會受到影響

Cloud Service Mesh 1.23.2-asm.2 包含這個問題的修正程式。您無須採取任何行動。

高

CVE-2024-45807

透過存取記錄檔注入惡意記錄

該怎麼辦？

所有 Cloud Service Mesh 版本都會受到這個 CVE 影響。

將叢集升級至下列其中一個修補版本：

• 1.20.8-asm.7
• 1.21.5-asm.7
• 1.22.5-asm.1
• 1.23.2-asm.2

中

CVE-2024-45808

可能從外部來源操控 `x-envoy` 標頭

該怎麼辦？

所有 Cloud Service Mesh 版本都會受到這個 CVE 影響。

將叢集升級至下列其中一個修補版本：

• 1.20.8-asm.7
• 1.21.5-asm.7
• 1.22.5-asm.1
• 1.23.2-asm.2

中

CVE-2024-45806

在清除具有遠端 JWK 的路由快取時，JWT 篩選器會當機

該怎麼辦？

所有 Cloud Service Mesh 版本都會受到這個 CVE 影響。

將叢集升級至下列其中一個修補版本：

• 1.20.8-asm.7
• 1.21.5-asm.7
• 1.22.5-asm.1
• 1.23.2-asm.2

中

CVE-2024-45809

http 非同步用戶端中的 LocalReply 導致 Envoy 損毀

該怎麼辦？

所有 Cloud Service Mesh 版本都會受到這個 CVE 影響。

將叢集升級至下列其中一個修補版本：

• 1.20.8-asm.7
• 1.21.5-asm.7
• 1.22.5-asm.1
• 1.23.2-asm.2

中

CVE-2024-45810

Envoy 錯誤地接受進入升級模式的 HTTP 200 回應。

該怎麼辦？

所有 Cloud Service Mesh 版本都會受到這個 CVE 影響。

如果您執行的是代管 Cloud Service Mesh，系統會在未來幾天內自動更新。

否則，請將叢集升級至下列其中一個修補版本：

• v1.21.3-asm.3
• v1.20.7-asm.2
• v1.19.10-asm.6
• v1.18.7-asm.26
• 如果您使用 Cloud Service Mesh 1.17 以下版本，該版本已停用，不再提供支援。這些 CVE 修正程式尚未反向移植。建議升級至 Cloud Service Mesh 1.18 以上版本。

中

CVE-2024-23326

EnvoyQuicServerStream::OnInitialHeadersComplete() 異常終止。

該怎麼辦？

所有 Cloud Service Mesh 版本都會受到這個 CVE 影響。

如果您執行的是代管 Cloud Service Mesh，系統會在未來幾天內自動更新。

否則，請將叢集升級至下列其中一個修補版本：

• v1.21.3-asm.3
• v1.20.7-asm.2
• v1.19.10-asm.6
• v1.18.7-asm.26
• 如果您使用 Cloud Service Mesh 1.17 以下版本，該版本已停用，不再提供支援。這些 CVE 修正程式尚未反向移植。建議升級至 Cloud Service Mesh 1.18 以上版本。

中

CVE-2024-32974

QuicheDataReader::PeekVarInt62Length() 發生異常終止。

該怎麼辦？

所有 Cloud Service Mesh 版本都會受到這個 CVE 影響。

如果您執行的是代管 Cloud Service Mesh，系統會在未來幾天內自動更新。

否則，請將叢集升級至下列其中一個修補版本：

• v1.21.3-asm.3
• v1.20.7-asm.2
• v1.19.10-asm.6
• v1.18.7-asm.26
• 如果您使用 Cloud Service Mesh 1.17 以下版本，該版本已停用，不再提供支援。這些 CVE 修正程式尚未反向移植。建議升級至 Cloud Service Mesh 1.18 以上版本。

中

CVE-2024-32975

使用額外輸入內容解壓縮 Brotli 資料時，發生無窮迴圈。

該怎麼辦？

所有 Cloud Service Mesh 版本都會受到這個 CVE 影響。

如果您執行的是代管 Cloud Service Mesh，系統會在未來幾天內自動更新。

否則，請將叢集升級至下列其中一個修補版本：

• v1.21.3-asm.3
• v1.20.7-asm.2
• v1.19.10-asm.6
• v1.18.7-asm.26
• 如果您使用 Cloud Service Mesh 1.17 以下版本，該版本已停用，不再提供支援。這些 CVE 修正程式尚未反向移植。建議升級至 Cloud Service Mesh 1.18 以上版本。

高

CVE-2024-32976

EnvoyQuicServerStream 中發生異常終止 (釋放後使用)

該怎麼辦？

所有 Cloud Service Mesh 版本都會受到這個 CVE 影響。

如果您執行的是代管 Cloud Service Mesh，系統會在未來幾天內自動更新。

否則，請將叢集升級至下列其中一個修補版本：

• v1.21.3-asm.3
• v1.20.7-asm.2
• v1.19.10-asm.6
• v1.18.7-asm.26
• 如果您使用 Cloud Service Mesh 1.17 以下版本，該版本已停用，不再提供支援。這些 CVE 修正程式尚未反向移植。建議升級至 Cloud Service Mesh 1.18 以上版本。

中

CVE-2024-34362

因未偵測到的 nlohmann JSON 例外狀況而當機。

該怎麼辦？

所有 Cloud Service Mesh 版本都會受到這個 CVE 影響。

如果您執行的是代管 Cloud Service Mesh，系統會在未來幾天內自動更新。

否則，請將叢集升級至下列其中一個修補版本：

• v1.21.3-asm.3
• v1.20.7-asm.2
• v1.19.10-asm.6
• v1.18.7-asm.26
• 如果您使用 Cloud Service Mesh 1.17 以下版本，該版本已停用，不再提供支援。這些 CVE 修正程式尚未反向移植。建議升級至 Cloud Service Mesh 1.18 以上版本。

高

CVE-2024-34363

來自 HTTP 非同步用戶端的 Envoy OOM 向量，具有無界限的鏡像回應緩衝區。

該怎麼辦？

所有 Cloud Service Mesh 版本都會受到這個 CVE 影響。

如果您執行的是代管 Cloud Service Mesh，系統會在未來幾天內自動更新。

否則，請將叢集升級至下列其中一個修補版本：

• v1.21.3-asm.3
• v1.20.7-asm.2
• v1.19.10-asm.6
• v1.18.7-asm.26
• 如果您使用 Cloud Service Mesh 1.17 以下版本，該版本已停用，不再提供支援。這些 CVE 修正程式尚未反向移植。建議升級至 Cloud Service Mesh 1.18 以上版本。

中

CVE-2024-34364

HTTP/2：因 CONTINUATION 框架氾濫而導致記憶體耗盡。

該怎麼辦？

所有 Cloud Service Mesh 版本都會受到這個 CVE 影響。

如果您執行的是代管 Cloud Service Mesh，就不需要採取任何行動。系統會在接下來幾天內自動更新。

如果您在叢集內執行 Cloud Service Mesh，請將叢集升級至下列其中一個修補版本：

• 1.20.6-asm.0
• 1.19.10-asm.0
• 1.18.7-asm.21

如果您使用 Cloud Service Mesh 1.17 版或更舊版本，該版本已停用，不再提供支援。這些 CVE 修正程式尚未反向移植。建議升級至 Cloud Service Mesh 1.18 以上版本。

高

CVE-2024-27919

HTTP/2：因 CONTINUATION 影格氾濫而導致 CPU 耗盡

該怎麼辦？

所有 Cloud Service Mesh 版本都會受到這個 CVE 影響。

如果您執行的是代管 Cloud Service Mesh，就不需要採取任何行動。系統會在接下來幾天內自動更新。

如果您在叢集內執行 Cloud Service Mesh，請將叢集升級至下列其中一個修補版本：

• 1.20.6-asm.0
• 1.19.10-asm.0
• 1.18.7-asm.21

如果您使用 Cloud Service Mesh 1.17 版或更舊版本，該版本已停用，不再提供支援。這些 CVE 修正程式尚未反向移植。建議升級至 Cloud Service Mesh 1.18 以上版本。

中

CVE-2024-30255

使用 auto_sni 時，如果 ':authority' 標頭超過 255 個字元，就會異常終止。

該怎麼辦？

所有 Cloud Service Mesh 版本都會受到這個 CVE 影響。

如果您執行的是代管 Cloud Service Mesh，就不需要採取任何行動。系統會在接下來幾天內自動更新。

如果您在叢集內執行 Cloud Service Mesh，請將叢集升級至下列其中一個修補版本：

• 1.20.6-asm.0
• 1.19.10-asm.0
• 1.18.7-asm.21

如果您使用 Cloud Service Mesh 1.17 版或更舊版本，該版本已停用，不再提供支援。這些 CVE 修正程式尚未反向移植。建議您升級至 Cloud Service Mesh 1.18 以上版本。

高

CVE-2024-32475

HTTP/2 CONTINUATION 框架可用於 DoS 攻擊。

該怎麼辦？

所有 Cloud Service Mesh 版本都會受到這個 CVE 影響。

如果您執行的是代管 Cloud Service Mesh，就不需要採取任何行動。系統會在接下來幾天內自動更新。

如果您在叢集內執行 Cloud Service Mesh，請將叢集升級至下列其中一個修補版本：

• 1.20.6-asm.0
• 1.19.10-asm.0
• 1.18.7-asm.21

如果您使用 Cloud Service Mesh 1.17 版或更舊版本，該版本已停用，不再提供支援。這些 CVE 修正程式尚未反向移植。建議您升級至 v1.18 以上版本。

未提供

CVE-2023-45288

如果 Envoy 處於閒置狀態，且輪詢間隔內發生每次嘗試的逾時要求，就會導致 Envoy 異常終止。

該怎麼辦？

如果您執行的是代管 Cloud Service Mesh，就不需要採取任何行動。系統會在接下來幾天內自動更新。

如果您在叢集內執行 Cloud Service Mesh，請將叢集升級至下列其中一個修補版本：

• 1.20.3-asm.4
• 1.19.7-asm.3
• 1.18.7-asm.4
• 1.17.8-asm.20

如果您使用 Anthos 服務網格 1.17 以下版本，該版本已停用，不再提供支援。雖然這些 CVE 修復程式已回溯至 1.17，但您應升級至 1.18 以上版本。

高

CVE-2024-23322

使用 RegEx 設定 URI 範本比對器時，CPU 使用率過高。

該怎麼辦？

如果您執行的是代管 Cloud Service Mesh，就不需要採取任何行動。系統會在接下來幾天內自動更新。

如果您在叢集內執行 Cloud Service Mesh，請將叢集升級至下列其中一個修補版本：

• 1.20.3-asm.4
• 1.19.7-asm.3
• 1.18.7-asm.4
• 1.17.8-asm.20

如果您使用 Anthos 服務網格 1.17 以下版本，該版本已停用，不再提供支援。雖然這些 CVE 修復程式已回溯至 1.17，但您應升級至 1.18 以上版本。

中

CVE-2024-23323

當 Proxy 通訊協定篩選器設定無效的 UTF-8 中繼資料時，外部授權可能會遭到略過。

該怎麼辦？

如果您執行的是代管 Cloud Service Mesh，就不需要採取任何行動。系統會在接下來幾天內自動更新。

如果您在叢集內執行 Cloud Service Mesh，請將叢集升級至下列其中一個修補版本：

• 1.20.3-asm.4
• 1.19.7-asm.3
• 1.18.7-asm.4
• 1.17.8-asm.20

如果您使用 Anthos 服務網格 1.17 以下版本，該版本已停用，不再提供支援。雖然這些 CVE 修復程式已回溯至 1.17，但您應升級至 1.18 以上版本。

高

CVE-2024-23324

使用作業系統不支援的位址類型時，Envoy 會當機。

該怎麼辦？

如果您執行的是代管 Cloud Service Mesh，就不需要採取任何行動。系統會在接下來幾天內自動更新。

如果您在叢集內執行 Cloud Service Mesh，請將叢集升級至下列其中一個修補版本：

• 1.20.3-asm.4
• 1.19.7-asm.3
• 1.18.7-asm.4
• 1.17.8-asm.20

如果您使用 Anthos 服務網格 1.17 以下版本，該版本已停用，不再提供支援。雖然這些 CVE 修復程式已回溯至 1.17，但您應升級至 1.18 以上版本。

高

CVE-2024-23325

當指令類型為 LOCAL 時，Proxy 通訊協定會當機。

該怎麼辦？

如果您執行的是代管 Cloud Service Mesh，就不需要採取任何行動。系統會在接下來幾天內自動更新。

如果您在叢集內執行 Cloud Service Mesh，請將叢集升級至下列其中一個修補版本：

• 1.20.3-asm.4
• 1.19.7-asm.3
• 1.18.7-asm.4
• 1.17.8-asm.20

如果您使用 Anthos 服務網格 1.17 以下版本，該版本已停用，不再提供支援。雖然這些 CVE 修復程式已回溯至 1.17，但您應升級至 1.18 以上版本。

高

CVE-2024-23327

使用 HTTP/2 通訊協定時，阻斷服務攻擊可能會影響資料平面。

該怎麼辦？

如果叢集使用的 Cloud Service Mesh 修補程式版本低於 1.18.4、1.17.7 或 1.16.7，就會受到影響。

將叢集升級至下列其中一個修補版本：

• 1.18.4-asm.0
• 1.17.7-asm.0
• 1.16.7-asm.10

如果您執行的是代管 Cloud Service Mesh，系統會在接下來幾天內自動更新。

如果您使用 Cloud Service Mesh 1.15 版或更舊版本，該版本已停用，不再提供支援。這些 CVE 修正程式尚未反向移植。建議升級至 1.16 以上版本。

高

CVE-2023-44487

在某些特定情況下，惡意用戶端可以建構永久有效的憑證。舉例來說，HMAC 酬載中的主機和到期時間組合，在 OAuth2 篩選器的 HMAC 檢查中一律有效。

該怎麼辦？

如果叢集使用的 Cloud Service Mesh 修補版本早於

• 1.17.4
• 1.16.6
• 1.15.7

將叢集升級至下列其中一個修補版本：

• 1.17.5-asm.0
• 1.16.7-asm.0
• 1.15.7-asm.23

如果您執行的是代管 Cloud Service Mesh，系統會在接下來幾天內自動更新。

如果您使用 Anthos 服務網格 1.14 以下版本，該版本已停用，不再提供支援。這些 CVE 修正程式尚未反向移植。建議升級至 ASM 1.15 以上版本。

高

CVE-2023-35941

使用接聽程式全域範圍的 gRPC 存取記錄器，可能會在接聽程式排空時導致使用後釋放的當機。如果 LDS 更新的 gRPC 存取記錄檔設定相同，就會觸發這項作業。

該怎麼辦？

如果叢集使用的 Cloud Service Mesh 修補版本早於

• 1.17.4
• 1.16.6
• 1.15.7

將叢集升級至下列其中一個修補版本：

• 1.17.5-asm.0
• 1.16.7-asm.0
• 1.15.7-asm.23

如果您執行的是代管 Cloud Service Mesh，系統會在接下來幾天內自動更新。

如果您使用 Anthos 服務網格 1.14 以下版本，該版本已停用，不再提供支援。這些 CVE 修正程式尚未反向移植。建議升級至 ASM 1.15 以上版本。

中

CVE-2023-35942

如果 origin 標頭設定為透過 request_headers_to_remove: origin 移除，CORS 篩選器會發生區段錯誤，導致 Envoy 停止運作。

該怎麼辦？

如果叢集使用的 Cloud Service Mesh 修補版本早於

• 1.17.4
• 1.16.6
• 1.15.7

將叢集升級至下列其中一個修補版本：

• 1.17.5-asm.0
• 1.16.7-asm.0
• 1.15.7-asm.23

如果您執行的是代管 Cloud Service Mesh，系統會在接下來幾天內自動更新。

如果您使用 Anthos 服務網格 1.14 以下版本，該版本已停用，不再提供支援。這些 CVE 修正程式尚未反向移植。建議升級至 ASM 1.15 以上版本。

中

CVE-2023-35943

攻擊者可以傳送混合配置要求，略過 Envoy 中的部分配置檢查。舉例來說，如果含有混合配置 htTp 的要求傳送至 OAuth2 篩選器，系統會因 http 的完全相符檢查失敗，通知遠端端點配置為 https，因此可能會略過專為 HTTP 要求設計的 OAuth2 檢查。

該怎麼辦？

如果叢集使用的 Cloud Service Mesh 修補版本早於

• 1.17.4
• 1.16.6
• 1.15.7

將叢集升級至下列其中一個修補版本：

• 1.17.5-asm.0
• 1.16.7-asm.0
• 1.15.7-asm.23

如果您執行的是代管 Cloud Service Mesh，系統會在接下來幾天內自動更新。

如果您使用 Anthos 服務網格 1.14 以下版本，該版本已停用，不再提供支援。這些 CVE 修正程式尚未反向移植。建議升級至 ASM 1.15 以上版本。

高

CVE-2023-35944

來自不受信任上游服務的特製回應可能會導致記憶體耗盡，造成服務阻斷。這是因為 Envoy 的 HTTP/2 編解碼器可能會在收到 RST_STREAM 後，立即從上游伺服器接收 GOAWAY 框架，導致標頭對應和記帳結構外洩。

該怎麼辦？

如果叢集使用的 Cloud Service Mesh 修補版本早於

• 1.17.4
• 1.16.6
• 1.15.7

將叢集升級至下列其中一個修補版本：

• 1.17.4-asm.2
• 1.16.6-asm.3
• 1.15.7-asm.21

如果您執行的是代管 Cloud Service Mesh，系統會在接下來幾天內自動更新。

如果您使用 Anthos 服務網格 1.14 以下版本，該版本已停用，不再提供支援。這些 CVE 修正程式尚未反向移植。建議升級至 ASM 1.15 以上版本。

高

CVE-2023-35945

如果 Envoy 執行時已啟用 OAuth 篩選器，惡意行為人可能會建構要求，導致 Envoy 崩潰，造成阻斷服務。

該怎麼辦？

如果叢集使用的 Cloud Service Mesh 修補版本早於下列版本，就會受到影響：

• 1.16.4
• 1.15.7
• 1.14.6

將叢集升級至下列其中一個修補版本：

• 1.16.4-asm.2
• 1.15.7-asm.1
• 1.14.6-asm.11

如果您使用 Cloud Service Mesh 1.13 版或更舊版本，該版本已停用，不再提供支援。這些 CVE 修正程式尚未反向移植。請升級至 Cloud Service Mesh 1.14 以上版本。

中

CVE-2023-27496

攻擊者可利用這項安全漏洞，在使用 ext_authz 時略過驗證檢查。

該怎麼辦？

如果叢集使用的 Cloud Service Mesh 修補版本早於下列版本，就會受到影響：

• 1.16.4
• 1.15.7
• 1.14.6

將叢集升級至下列其中一個修補版本：

• 1.16.4-asm.2
• 1.15.7-asm.1
• 1.14.6-asm.11

如果您使用 Cloud Service Mesh 1.13 版或更舊版本，該版本已停用，不再提供支援。這些 CVE 修正程式尚未反向移植。請升級至 Cloud Service Mesh} 1.14 以上版本。

中

CVE-2023-27488

Envoy 設定也必須包含選項，可新增使用要求輸入內容 (即對等互連憑證 SAN) 產生的要求標頭。

該怎麼辦？

如果叢集使用的 Cloud Service Mesh 修補版本早於下列版本，就會受到影響：

• 1.16.4
• 1.15.7
• 1.14.6

將叢集升級至下列其中一個修補版本：

• 1.16.4-asm.2
• 1.15.7-asm.1
• 1.14.6-asm.11

如果您使用 Cloud Service Mesh 1.13 版或更舊版本，該版本已停用，不再提供支援。這些 CVE 修正程式尚未反向移植。請升級至 Cloud Service Mesh 1.14 以上版本。

高

CVE-2023-27493

攻擊者可以針對啟用 Lua 篩選器的路徑傳送大型要求主體，並觸發當機。

該怎麼辦？

如果叢集使用的 Cloud Service Mesh 修補版本早於下列版本，就會受到影響：

• 1.16.4
• 1.15.7
• 1.14.6

將叢集升級至下列其中一個修補版本：

• 1.16.4-asm.2
• 1.15.7-asm.1
• 1.14.6-asm.11

如果您使用 Cloud Service Mesh 1.13 版或更舊版本，該版本已停用，不再提供支援。這些 CVE 修正程式尚未反向移植。請升級至 Cloud Service Mesh 1.14 以上版本。

中

CVE-2023-27492

攻擊者可以傳送特別製作的 HTTP/2 或 HTTP/3 要求，在 HTTP/1 上游服務中觸發剖析錯誤。

該怎麼辦？

如果叢集使用的 Cloud Service Mesh 修補版本早於下列版本，就會受到影響：

• 1.16.4
• 1.15.7
• 1.14.6

將叢集升級至下列其中一個修補版本：

• 1.16.4-asm.2
• 1.15.7-asm.1
• 1.14.6-asm.11

如果您使用 Cloud Service Mesh 1.13 版或更舊版本，該版本已停用，不再提供支援。這些 CVE 修正程式尚未反向移植。請升級至 Cloud Service Mesh 1.14 以上版本。

中

CVE-2023-27491

x-envoy-original-path 標頭應為內部標頭，但 Envoy 不會從要求中移除這個標頭，因為要求是從不受信任的用戶端傳送，且要求處理程序才剛開始。

該怎麼辦？

如果叢集使用的 Cloud Service Mesh 修補版本早於下列版本，就會受到影響：

• 1.16.4
• 1.15.7
• 1.14.6

將叢集升級至下列其中一個修補版本：

• 1.16.4-asm.2
• 1.15.7-asm.1
• 1.14.6-asm.11

如果您使用 Cloud Service Mesh 1.13 版或更舊版本，該版本已停用，不再提供支援。這些 CVE 修正程式尚未反向移植。請升級至 Cloud Service Mesh 1.14 以上版本。

高

CVE-2023-27487

Istio 控制層 istiod容易發生要求處理錯誤，因此當叢集的驗證 Webhook 公開時，惡意攻擊者可能會傳送特製訊息，導致控制層當機。這個端點是透過 TLS 連接埠 15017 提供服務，但攻擊者不需要任何驗證。

該怎麼辦？

如果叢集使用的 Cloud Service Mesh 修補程式版本早於 1.14.4、1.13.8 或 1.12.9，就會受到影響。

如果您執行的是獨立的 Cloud Service Mesh，請將叢集升級至下列其中一個修補版本：

• 如果您使用 Anthos 服務網格 1.14，請升級至 v1.14.4-asm.2
• 如果您使用 Anthos 服務網格 1.13，請升級至 v1.13.8-asm.4
• 如果您使用 Anthos 服務網格 1.12，請升級至 v1.12.9-asm.3

如果您執行的是代管 Cloud Service Mesh，系統會在接下來幾天內自動更新。

如果您使用 Cloud Service Mesh 1.11 版或更舊版本，該版本已停用，不再提供支援。這些 CVE 修正程式尚未反向移植。建議升級至 Cloud Service Mesh 1.12 以上版本。

高

CVE-2022-39278

啟用中繼資料交換和統計資料擴充功能時，Istio 資料平面可能會以不安全的方式存取記憶體。

該怎麼辦？

如果叢集使用的 Cloud Service Mesh 修補程式版本早於 1.13.4-asm.4、1.12.7-asm.2 或 1.11.8-asm.4，就會受到影響。

將叢集升級至下列其中一個修補版本：

• 1.13.4-asm.4
• 1.12.7-asm.2
• 1.11.8-asm.4

如果您使用 Cloud Service Mesh 1.10 版或更早版本，該版本已停用，不再提供支援。這些 CVE 修正程式尚未反向移植。建議升級至 Cloud Service Mesh 1.11 以上版本。 詳情請參閱「從舊版升級 (GKE)」或「從舊版升級 (內部部署)」。

高

CVE-2022-31045

如果惡意攻擊者傳遞小型高壓縮酬載 (也稱為 ZIP 炸彈攻擊)，資料可能會超出中繼緩衝區限制。

該怎麼辦？

如果叢集使用的 Cloud Service Mesh 修補程式版本早於 1.13.4-asm.4、1.12.7-asm.2 或 1.11.8-asm.4，就會受到影響。

雖然 Cloud Service Mesh 不支援 Envoy 篩選器，但如果您使用解壓縮篩選器，可能會受到影響。

將叢集升級至下列其中一個修補版本：

• 1.13.4-asm.4
• 1.12.7-asm.2
• 1.11.8-asm.4

如果您使用 Cloud Service Mesh 1.10 版或更早版本，該版本已停用，不再提供支援。這些 CVE 修正程式尚未反向移植。建議升級至 Cloud Service Mesh 1.11 以上版本。 詳情請參閱「從舊版升級 (GKE)」或「從舊版升級 (內部部署)」。

如果 Envoy 使用者自行管理 Envoy，請務必使用 Envoy 1.22.1 版。 管理自有 Envoy 的 Envoy 使用者會從 GitHub 等來源建構二進位檔，並部署這些檔案。

如果使用者執行受管理的 Envoy (Google Cloud 提供 Envoy 二進位檔)，則不需要採取任何行動，因為雲端產品會切換至 1.22.1。

高

CVE-2022-29225

GrpcHealthCheckerImpl 中可能出現空值指標取消參照。

該怎麼辦？

如果叢集使用的 Cloud Service Mesh 修補程式版本早於 1.13.4-asm.4、1.12.7-asm.2 或 1.11.8-asm.4，就會受到影響。

將叢集升級至下列其中一個修補版本：

• 1.13.4-asm.4
• 1.12.7-asm.2
• 1.11.8-asm.4

如果您使用 Cloud Service Mesh 1.10 版或更早版本，該版本已停用，不再提供支援。這些 CVE 修正程式尚未反向移植。建議升級至 Cloud Service Mesh 1.11 以上版本。 詳情請參閱「從舊版升級 (GKE)」或「從舊版升級 (內部部署)」。

如果 Envoy 使用者自行管理 Envoy，請務必使用 Envoy 1.22.1 版。 管理自有 Envoy 的 Envoy 使用者會從 GitHub 等來源建構二進位檔，並部署這些檔案。

如果使用者執行受管理的 Envoy (Google Cloud 提供 Envoy 二進位檔)，則不需要採取任何行動，因為雲端產品會切換至 1.22.1。

中

CVE-2021-29224

OAuth 篩選器允許輕易繞過。

該怎麼辦？

如果叢集使用的 Cloud Service Mesh 修補程式版本早於 1.13.4-asm.4、1.12.7-asm.2 或 1.11.8-asm.4，就會受到影響。

雖然 Cloud Service Mesh 不支援 Envoy 篩選器，但如果您使用 OAuth 篩選器，可能會受到影響。

將叢集升級至下列其中一個修補版本：

• 1.13.4-asm.4
• 1.12.7-asm.2
• 1.11.8-asm.4

如果您使用 Cloud Service Mesh 1.10 版或更早版本，該版本已停用，不再提供支援。這些 CVE 修正程式尚未反向移植。建議升級至 Cloud Service Mesh 1.11 以上版本。 詳情請參閱「從舊版升級 (GKE)」或「從舊版升級 (內部部署)」。

如果 Envoy 使用者管理自己的 Envoy，且使用 OAuth 篩選器，請務必使用 Envoy 1.22.1 版。管理自有 Envoy 的 Envoy 使用者會從 GitHub 等來源建構二進位檔，然後部署這些檔案。

如果使用者執行受管理的 Envoy (Google Cloud 提供 Envoy 二進位檔)，則不需要採取任何行動，因為雲端產品會切換至 1.22.1。

重大

CVE-2021-29226

OAuth 篩選器可能會損毀記憶體 (舊版) 或觸發 ASSERT() (新版)。

該怎麼辦？

如果叢集使用的 Cloud Service Mesh 修補程式版本早於 1.13.4-asm.4、1.12.7-asm.2 或 1.11.8-asm.4，就會受到影響。

雖然 Cloud Service Mesh 不支援 Envoy 篩選器，但如果您使用 OAuth 篩選器，可能會受到影響。

將叢集升級至下列其中一個修補版本：

• 1.13.4-asm.4
• 1.12.7-asm.2
• 1.11.8-asm.4

如果您使用 Cloud Service Mesh 1.10 版或更早版本，該版本已停用，不再提供支援。這些 CVE 修正程式尚未反向移植。請升級至 Cloud Service Mesh 1.11 以上版本。

如果 Envoy 使用者管理自己的 Envoy，且使用 OAuth 篩選器，請務必使用 Envoy 1.22.1 版。管理自有 Envoy 的 Envoy 使用者會從 GitHub 等來源建構二進位檔，然後部署這些檔案。

如果使用者執行受管理的 Envoy (Google Cloud 提供 Envoy 二進位檔)，則不需要採取任何行動，因為雲端產品會切換至 1.22.1。

高

CVE-2022-29228

如果要求包含主體或預告片，內部重新導向會導致當機。

該怎麼辦？

如果叢集使用的 Cloud Service Mesh 修補程式版本早於 1.13.4-asm.4、1.12.7-asm.2 或 1.11.8-asm.4，就會受到影響。

將叢集升級至下列其中一個修補版本：

• 1.13.4-asm.4
• 1.12.7-asm.2
• 1.11.8-asm.4

如果您使用 Cloud Service Mesh 1.10 版或更早版本，該版本已停用，不再提供支援。這些 CVE 修正程式尚未反向移植。建議升級至 Cloud Service Mesh 1.11 以上版本。 詳情請參閱「從舊版升級 (GKE)」或「從舊版升級 (內部部署)」。

如果 Envoy 使用者自行管理 Envoy，請務必使用 Envoy 1.22.1 版。 管理自有 Envoy 的 Envoy 使用者會從 GitHub 等來源建構二進位檔，並部署這些檔案。

如果使用者執行受管理的 Envoy (Google Cloud 提供 Envoy 二進位檔)，則不需要採取任何行動，因為雲端產品會切換至 1.22.1。

高

CVE-2022-29227

Istio 控制層 (istiod) 容易發生要求處理錯誤，因此當叢集的驗證 Webhook 公開時，惡意攻擊者只要傳送特製訊息，就會導致控制層當機。這個端點是透過 TLS 連接埠 15017 提供服務，但攻擊者不需要任何驗證。

該怎麼辦？

所有 Cloud Service Mesh 版本都會受到這個 CVE 影響。

注意：如果您使用受管理控制層，這項安全漏洞已修正，因此不會受到影響。

將叢集升級至下列其中一個修補版本：

• 1.12.5-asm.0
• 1.11.8-asm.0
• 1.10.6-asm.2

如果您使用 Cloud Service Mesh 1.9 版或更舊版本，該版本已停用，不再提供支援。這些 CVE 修正程式尚未反向移植。您應升級至 Cloud Service Mesh 1.10 以上版本。

高

CVE-2022-24726

Istiod 在收到含有精心設計的 authorization 標頭的要求時會當機。

該怎麼辦？

如果符合下列兩個條件，叢集就會受到影響：

• 使用的 Cloud Service Mesh 修補程式版本早於 1.12.4-asm.1、1.11.7-asm.1 或 1.10.6-asm.1。

注意：如果您使用受管理控制層，這項安全漏洞已修正，因此不會受到影響。

將叢集升級至下列其中一個修補版本：

• 1.12.4-asm.1
• 1.11.7-asm.1
• 1.10.6-asm.1

如果您使用 Cloud Service Mesh 1.9 版或更舊版本，該版本已停用，不再提供支援。這些 CVE 修正程式尚未反向移植。您應升級至 Cloud Service Mesh 1.10 以上版本。

高

CVE-2022-23635

使用 JWT 篩選器 safe_regex 比對時，可能出現空指標取消參照的情況。

該怎麼辦？

如果符合下列兩個條件，叢集就會受到影響：

• 使用的 Cloud Service Mesh 修補程式版本早於 1.12.4-asm.1、1.11.7-asm.1 或 1.10.6-asm.1。
• 雖然 Cloud Service Mesh 不支援 Envoy 篩選器，但如果您使用 JWT 篩選器 regex，可能會受到影響。

將叢集升級至下列其中一個修補版本：

• 1.12.4-asm.1
• 1.11.7-asm.1
• 1.10.6-asm.1

如果您使用 Cloud Service Mesh 1.9 版或更舊版本，該版本已停用，不再提供支援。這些 CVE 修正程式尚未反向移植。建議您升級至 Cloud Service Mesh 1.10 以上版本。

中

CVE-2021-43824

回應篩選器增加回應資料，而增加的資料超出下游緩衝區限制時，會發生釋放後使用 (use-after-free) 的情況。

該怎麼辦？

如果符合下列兩個條件，叢集就會受到影響：

• 使用的 Cloud Service Mesh 修補程式版本早於 1.12.4-asm.1、1.11.7-asm.1 或 1.10.6-asm.1。
• 雖然 Cloud Service Mesh 不支援 Envoy 篩選器，但如果您使用解壓縮篩選器，可能會受到影響。

將叢集升級至下列其中一個修補版本：

• 1.12.4-asm.1
• 1.11.7-asm.1
• 1.10.6-asm.1

如果您使用 Cloud Service Mesh 1.9 版或更舊版本，該版本已停用，不再提供支援。這些 CVE 修正程式尚未反向移植。建議您升級至 Cloud Service Mesh 1.10 以上版本。

中

CVE-2021-43825

透過 HTTP 建立 TCP 通道時，如果下游在建立上游連線期間中斷連線，就會發生釋放後使用 (use-after-free) 的情況。

該怎麼辦？

如果符合下列兩個條件，叢集就會受到影響：

• 使用的 Cloud Service Mesh 修補程式版本早於 1.12.4-asm.1、1.11.7-asm.1 或 1.10.6-asm.1。
• 雖然 Cloud Service Mesh 不支援 Envoy 篩選器，但如果您使用通道篩選器，可能會受到影響。

將叢集升級至下列其中一個修補版本：

• 1.12.4-asm.1
• 1.11.7-asm.1
• 1.10.6-asm.1

如果您使用 Cloud Service Mesh 1.9 版或更舊版本，該版本已停用，不再提供支援。這些 CVE 修正程式尚未反向移植。建議您升級至 Cloud Service Mesh 1.10 以上版本。

中

CVE-2021-43826

設定處理方式有誤，導致驗證設定變更後，系統仍重複使用 mTLS 工作階段，而未重新驗證。

該怎麼辦？

如果符合下列兩個條件，叢集就會受到影響：

• 使用的 Cloud Service Mesh 修補程式版本早於 1.12.4-asm.1、1.11.7-asm.1 或 1.10.6-asm.1。
• 使用 mTLS 的所有 Cloud Service Mesh 服務都會受到這個 CVE 影響。

將叢集升級至下列其中一個修補版本：

• 1.12.4-asm.1
• 1.11.7-asm.1
• 1.10.6-asm.1

如果您使用 Cloud Service Mesh 1.9 版或更舊版本，該版本已停用，不再提供支援。這些 CVE 修正程式尚未反向移植。建議您升級至 Cloud Service Mesh 1.10 以上版本。

高

CVE-2022-21654

內部重新導向至具有直接回應項目的路徑時，處理方式有誤。

該怎麼辦？

如果符合下列兩個條件，叢集就會受到影響：

• 使用的 Cloud Service Mesh 修補程式版本早於 1.12.4-asm.1、1.11.7-asm.1 或 1.10.6-asm.1。
• 雖然 Cloud Service Mesh 不支援 Envoy 篩選器，但如果您使用直接回應篩選器，可能會受到影響。

將叢集升級至下列其中一個修補版本：

• 1.12.4-asm.1
• 1.11.7-asm.1
• 1.10.6-asm.1

如果您使用 Cloud Service Mesh 1.9 版或更舊版本，該版本已停用，不再提供支援。這些 CVE 修正程式尚未反向移植。建議您升級至 Cloud Service Mesh 1.10 以上版本。

高

CVE-2022-21655

透過叢集探索服務刪除叢集時，發生堆疊耗盡問題。

該怎麼辦？

如果符合下列兩個條件，叢集就會受到影響：

• 使用的 Cloud Service Mesh 修補程式版本早於 1.12.4-asm.1 或 1.11.7-asm.1。

將叢集升級至下列其中一個修補版本：

• 1.12.4-asm.1
• 1.11.7-asm.1

如果您使用 Cloud Service Mesh 1.9 版或更舊版本，該版本已停用，不再提供支援。這些 CVE 修正程式尚未反向移植。建議您升級至 Cloud Service Mesh 1.10 以上版本。

中

CVE-2022-23606

Istio 含有可從遠端發動攻擊的安全性漏洞，如果 URI 路徑中含有片段 (URI 結尾以 # 字元開頭的部分)，HTTP 要求可能會繞過 Istio 的 URI 路徑授權政策。

舉例來說，Istio 授權政策會拒絕傳送至 URI 路徑 /user/profile 的要求。在有安全漏洞的版本中，URI 路徑為 /user/profile#section1 的要求會略過拒絕政策，並轉送至後端 (URI 路徑已正規化為 /user/profile%23section1)，導致發生安全事件。

這項修正取決於 Envoy 的修正，與 CVE-2021-32779 相關聯。

該怎麼辦？

如果符合下列兩個條件，叢集就會受到影響：

• 使用的 Cloud Service Mesh 修補程式版本早於 1.7.8-asm.10、1.8.6-asm.8、1.9.8-asm.1 和 1.10.4-asm.6。
• 要求使用 DENY actions 和 operation.paths，或 ALLOW actions 和 operation.notPaths 授權政策。

將叢集升級至下列其中一個修補版本：

• 1.10.4-asm.6
• 1.9.8-asm.1
• 1.8.6-asm.8
• 1.7.8-asm.10

新版會先移除要求 URI 的片段部分，再進行授權和轉送。這樣一來，URI 中含有片段的要求就不會略過授權政策，因為授權政策是根據不含片段部分的 URI 制定。

如果選擇不採用這項新行為，系統會保留 URI 中的片段部分。如要停用這項功能，請按照下列方式設定安裝作業：

apiVersion: install.istio.io/v1alpha1
kind: IstioOperator
metadata:
  name: opt-out-fragment-cve-fix
  namespace: istio-system
spec:
  meshConfig:
    defaultConfig:
      proxyMetadata:
        HTTP_STRIP_FRAGMENT_FROM_PATH_UNSAFE_IF_DISABLED: "false"

注意：如果選擇不採用這項行為，叢集就會受到這個 CVE 影響。

高

CVE-2021-39156

Istio 含有可遠端利用的安全性漏洞，使用以 hosts 或 notHosts 為依據的規則時，HTTP 要求可能會略過 Istio 授權政策。

在容易受到攻擊的版本中，Istio 授權政策會以區分大小寫的方式比較 HTTP Host 或 :authority 標頭，這與 RFC 4343 不一致。舉例來說，使用者可能設有授權政策，拒絕主機為 secret.com 的要求，但攻擊者可以透過在主機名稱 Secret.com 傳送要求，繞過這項政策。路由流程會將流量轉送至 secret.com 的後端，導致發生安全性事件。

該怎麼辦？

如果符合下列兩個條件，叢集就會受到影響：

• 使用的 Cloud Service Mesh 修補程式版本早於 1.7.8-asm.10、1.8.6-asm.8、1.9.8-asm.1 和 1.10.4-asm.6。
• 根據 operation.hosts 使用 DENY actions 授權政策，或根據 operation.notHosts 使用 ALLOW actions 授權政策。

將叢集升級至下列其中一個修補版本：

• 1.10.4-asm.6
• 1.9.8-asm.1
• 1.8.6-asm.8
• 1.7.8-asm.10

這項緩解措施可確保系統會根據授權政策中的 hosts 或 notHosts 規格，以不區分大小寫的方式評估 HTTP Host 或 :authority 標頭。

高

CVE-2021-39155

Envoy 含有可遠端利用的安全漏洞。使用 ext_authz 擴充功能時，如果 HTTP 要求含有多個值標頭，可能無法完成授權政策檢查。如果要求標頭包含多個值，外部授權伺服器只會看到指定標頭的最後一個值。

該怎麼辦？

如果符合下列兩個條件，叢集就會受到影響：

• 使用的 Cloud Service Mesh 修補程式版本早於 1.7.8-asm.10、1.8.6-asm.8、1.9.8-asm.1 和 1.10.4-asm.6。
• 這項功能使用「外部授權」功能。

將叢集升級至下列其中一個修補版本：

• 1.10.4-asm.6
• 1.9.8-asm.1
• 1.8.6-asm.8
• 1.7.8-asm.10

高

CVE-2021-32777

Envoy 含有可遠端利用的安全漏洞，會影響 Envoy 的 decompressor、json-transcoder 或 grpc-web 擴充功能，或是修改及增加要求或回應主體大小的專有擴充功能。如果 Envoy 擴充功能的訊息主體大小超過內部緩衝區大小，可能會導致 Envoy 存取已解除分配的記憶體，並異常終止。

該怎麼辦？

如果符合下列兩個條件，叢集就會受到影響：

• 使用的 Cloud Service Mesh 修補程式版本早於 1.7.8-asm.10、1.8.6-asm.8、1.9.8-asm.1 和 1.10.4-asm.6。
• 作業期間會使用 EnvoyFilters。

將叢集升級至下列其中一個修補版本：

• 1.10.4-asm.6
• 1.9.8-asm.1
• 1.8.6-asm.8
• 1.7.8-asm.10

高

CVE-2021-32781

Envoy 含有可從遠端發動攻擊的漏洞。如果 Envoy 用戶端開啟大量 HTTP/2 要求，然後重設這些要求，可能會導致 CPU 耗用量過高。

該怎麼辦？

如果叢集使用的 Cloud Service Mesh 修補程式版本早於 1.7.8-asm.10、1.8.6-asm.8、1.9.8-asm.1 和 1.10.4-asm.6，就會受到影響。

將叢集升級至下列其中一個修補版本：

• 1.10.4-asm.6
• 1.9.8-asm.1

注意：如果您使用 Cloud Service Mesh 1.8 或更早版本，請升級至 Cloud Service Mesh 1.9 以上的最新修補程式版本，以防範這項安全漏洞。

高

CVE-2021-32778

Envoy 含有可從遠端發動攻擊的安全漏洞，只要不受信任的上游服務傳送 GOAWAY 影格，然後傳送 SETTINGS 影格，並將 SETTINGS_MAX_CONCURRENT_STREAMS 參數設為 0，即可導致 Envoy 異常終止。

該怎麼辦？

如果叢集使用 Cloud Service Mesh 1.10，且修補程式版本早於 1.10.4-asm.6，就會受到影響。

將叢集升級至下列修補程式版本：

• 1.10.4-asm.6

高

CVE-2021-32780

Istio 安全Gateway或工作負載可透過 DestinationRule 從 Kubernetes 密鑰載入 TLS 私密金鑰和憑證，方法是使用 credentialName 設定。從 Istio 1.8 以上版本開始，系統會從 istiod 讀取密鑰，並透過 XDS 傳送至閘道和工作負載。

一般來說，閘道或工作負載部署作業只能存取儲存在命名空間內密鑰中的 TLS 憑證和私密金鑰。不過，istiod 中的錯誤會導致有權存取 Istio XDS API 的用戶端，擷取 istiod 中快取的任何 TLS 憑證和私密金鑰。這項安全漏洞只會影響 Cloud Service Mesh 的 1.8 和 1.9 次要版本。

該怎麼辦？

如果符合下列所有條件，叢集就會受到影響：

• 使用的 1.9.x 版本早於 1.9.6-asm.1，或使用的 1.8.x 版本早於 1.8.6-asm.4。
• 已定義 Gateways 或 DestinationRules，並指定 credentialName 欄位。
• 未指定 istiod 旗標 PILOT_ENABLE_XDS_CACHE=false。

將叢集升級至下列其中一個修補版本：

• 1.9.6-asm.1
• 1.8.6-asm.4

高

CVE-2021-34824

Istio 含有可從遠端發動攻擊的安全性漏洞。如果閘道設定為 AUTO_PASSTHROUGH 路由設定，外部用戶端就能繞過授權檢查，存取叢集中非預期的服務。

該怎麼辦？

這項安全漏洞只會影響 AUTO_PASSTHROUGH 閘道類型的使用，這類閘道通常只用於多重網路、多重叢集部署作業。

使用下列指令偵測叢集中所有閘道的 TLS 模式：

kubectl get gateways.networking.istio.io -A -o \
  "custom-columns=NAMESPACE:.metadata.namespace, \
  NAME:.metadata.name,TLS_MODE:.spec.servers[*].tls.mode"

如果輸出顯示任何 AUTO_PASSTHROUGH 閘道，您可能會受到影響。

將叢集更新至最新版 Cloud Service Mesh：

• 1.9.5-asm.2
• 1.8.6-asm.3
• 1.7.8-asm.8

* 注意：Cloud Service Mesh 受管理控制平面 (僅適用於 1.9.x 版) 將在幾天內全面推出。

高

CVE-2021-31921

Istio 含有可從遠端發動攻擊的安全性漏洞。如果 HTTP 要求路徑含有多個斜線或逸出斜線字元 (%2F 或 %5C)，則在使用路徑型授權規則時，可能會繞過 Istio 授權政策。

如果 Istio 叢集管理員定義授權 DENY 政策，在路徑 "/admin" 拒絕要求，則傳送至網址路徑 "//admin" 的要求「不會」遭到授權政策拒絕。

根據 RFC 3986，含有多個斜線的路徑 "//admin" 在技術上應視為與 "/admin" 不同的路徑。不過，部分後端服務會選擇將多個斜線合併為單一斜線，藉此正規化網址路徑。這可能會導致授權政策遭到規避 ("//admin" 與 "/admin" 不符)，使用者可以存取後端路徑 "/admin" 中的資源。

該怎麼辦？

如果授權政策使用「ALLOW action + notPaths field」或「DENY action + paths field」模式，叢集就會受到這項安全漏洞影響。這些模式容易遭到意外的政策規避行為，因此請盡快升級，修正安全性問題。

以下是使用「拒絕動作 + 路徑欄位」模式的易受攻擊政策範例：

apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: deny-path-admin
spec:
  action: DENY
  rules:
  - to:
    - operation:
        paths: ["/admin"]

以下是另一個有安全漏洞的政策範例，使用「ALLOW 動作 + notPaths 欄位」模式：

apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: allow-path-not-admin
spec:
  action: ALLOW
  rules:
  - to:
    - operation:
        notPaths: ["/admin"]

如果符合下列條件，您的叢集就不會受到這項安全漏洞影響：

• 您沒有授權政策。
• 授權政策未定義 paths 或 notPaths 欄位。
• 您的授權政策使用「ALLOW action + paths field」或「DENY action + notPaths field」模式。這些模式只會導致意外遭到拒絕，不會規避政策。

在這些情況下，您可以選擇是否要升級。

將叢集更新至最新支援的 Cloud Service Mesh 版本*。這些版本支援在系統中設定 Envoy Proxy，並提供更多正規化選項：

• 1.9.5-asm.2
• 1.8.6-asm.3
• 1.7.8-asm.8

* 注意：Cloud Service Mesh 受管理控制平面 (僅適用於 1.9.x 版) 將在幾天內全面推出。

請按照 Istio 安全性最佳做法指南設定授權政策。

高

CVE-2021-31920

Envoy 和 Istio 專案最近宣布了幾項新的安全漏洞 (CVE-2021-28682、CVE-2021-28683 和 CVE-2021-29258)，攻擊者可能會利用這些漏洞導致 Envoy 停止運作，並可能使部分叢集離線且無法連線。

這會影響 Cloud Service Mesh 等交付的服務。

該怎麼辦？

如要修正這些安全漏洞，請將 Cloud Service Mesh 套裝組合升級至下列其中一個修補版本：

• 1.9.3-asm.2
• 1.8.5-asm.2
• 1.7.8-asm.1
• 1.6.14-asm.2

詳情請參閱 Cloud Service Mesh 版本資訊。

高

CVE-2021-28682
CVE-2021-28683
CVE-2021-29258