עדכוני אבטחה דחופים

התאמת אישורי TLS ל-match_typed_subject_alt_names עלולה לטפל באופן שגוי באישורים שמכילים בית אפס מוטמע.

מה לעשות?

האשכול מושפע אם הוא משתמש בגרסת תיקון של Cloud Service Mesh בתוך האשכול מוקדמת יותר מ:

• 1.27.4-asm.1
• 1.26.7-asm.1
• 1.25.6-asm.1

ה-CVE הזה לא משפיע על Cloud Service Mesh עם מישור בקרה מנוהל.

ב-Cloud Service Mesh in-cluster, צריך לשדרג את האשכול לאחת מהגרסאות המתוקנות הבאות:

• 1.27.4-asm.1
• 1.26.7-asm.1
• 1.25.6-asm.1

אם אתם משתמשים ב-Cloud Service Mesh בגרסה 1.24 או בגרסה קודמת, הגרסה שלכם הגיעה לסוף חיי התמיכה וכבר לא נתמכת. תיקוני ה-CVE האלה לא הועברו לאחור. כדאי לשדרג לגרסה 1.25 ואילך.

ב-Cloud Service Mesh מנוהל, לא נדרשת פעולה. ה-CVE הזה לא משפיע על Cloud Service Mesh עם מישור בקרה מנוהל.

בינוני

CVE-2025-66220

‫Envoy קורס כשמוגדר אימות JWT עם אחזור JWKS מרחוק.

מה לעשות?

האשכול מושפע אם הוא משתמש בגרסת תיקון של Cloud Service Mesh בתוך האשכול מוקדמת יותר מ:

• 1.27.4-asm.1
• 1.26.7-asm.1
• 1.25.6-asm.1

האשכול מושפע אם הוא משתמש בגרסה מנוהלת של Cloud Service Mesh שקודמת לגרסאות הבאות:

• 1.21.6-asm.7
• 1.20.8-asm.59
• 1.19.10-asm.54

ב-Cloud Service Mesh בתוך האשכול, צריך לשדרג את האשכול לאחת מהגרסאות המתוקנות הבאות:

• 1.27.4-asm.1
• 1.26.7-asm.1
• 1.25.6-asm.1

אם אתם משתמשים ב-Cloud Service Mesh בגרסה 1.24 או בגרסה קודמת, הגרסה שלכם הגיעה לסוף חיי התמיכה וכבר לא נתמכת. תיקוני ה-CVE האלה לא הועברו לאחור. כדאי לשדרג לגרסה 1.25 ואילך.

לגבי Cloud Service Mesh מנוהל, פועלים לפי ההוראות בהסכם ה-MSA. כל הגרסאות ימשיכו להיות נתמכות, והמערכת שלכם תעודכן אוטומטית במהלך השבועות הקרובים.

בינוני

CVE-2025-64527

התגלה פוטנציאל להברחת בקשות מנתונים מוקדמים אחרי השדרוג של CONNECT.

מה לעשות?

האשכול מושפע אם הוא משתמש בגרסת תיקון של Cloud Service Mesh בתוך האשכול מוקדמת יותר מ:

• 1.27.4-asm.1
• 1.26.7-asm.1
• 1.25.6-asm.1

ה-CVE הזה לא משפיע על Cloud Service Mesh עם מישור בקרה מנוהל.

ב-Cloud Service Mesh in-cluster, צריך לשדרג את האשכול לאחת מהגרסאות המתוקנות הבאות:

• 1.27.4-asm.1
• 1.26.7-asm.1
• 1.25.6-asm.1

אם אתם משתמשים ב-Cloud Service Mesh בגרסה 1.24 או בגרסה קודמת, הגרסה שלכם הגיעה לסוף חיי התמיכה וכבר לא נתמכת. תיקוני ה-CVE האלה לא הועברו לאחור. כדאי לשדרג לגרסה 1.25 ואילך.

ב-Cloud Service Mesh מנוהל, לא נדרשת פעולה. ה-CVE הזה לא משפיע על Cloud Service Mesh עם מישור בקרה מנוהל.

בינוני

CVE-2025-64763

מסנני Lua עלולים לגרום לקריסה של Envoy כשמטפלים בגוף תגובה גדול.

מה לעשות?

האשכול מושפע אם גרסאות התיקון שלכם קודמות לגרסאות הבאות:

• 1.27.2-asm.1
• 1.26.5-asm.1
• 1.25.5-asm.9

אם אתם משתמשים ב-Cloud Service Mesh בגרסה 1.24 או בגרסה מוקדמת יותר, הגרסה הגיעה לסוף חיי המוצר והיא כבר לא נתמכת. תיקוני ה-CVE האלה לא הועברו לאחור. כדאי לשדרג לגרסה 1.25 ומעלה.

ב-Cloud Service Mesh בתוך האשכול, צריך לשדרג את האשכול לאחת מהגרסאות המתוקנות הבאות:

• 1.27.2-asm.1
• 1.26.5-asm.1
• 1.25.5-asm.9

ב-Cloud Service Mesh מנוהל, לא נדרשת פעולה. כל הגרסאות ימשיכו להיות נתמכות, והמערכת שלכם תעודכן אוטומטית במהלך השבועות הקרובים.

בינוני

CVE-2025-62504

בקשות או תגובות גדולות עלולות לגרום לקריסה של מאגר חיבורי ה-TCP.

מה לעשות?

האשכול מושפע אם גרסאות התיקון שלכם קודמות לגרסאות הבאות:

• 1.27.2-asm.1
• 1.26.5-asm.1
• 1.25.5-asm.9

אם אתם משתמשים ב-Cloud Service Mesh בגרסה 1.24 או בגרסה מוקדמת יותר, הגרסה הגיעה לסוף חיי המוצר והיא כבר לא נתמכת. תיקוני ה-CVE האלה לא הועברו לאחור. כדאי לשדרג לגרסה 1.25 ומעלה.

ב-Cloud Service Mesh בתוך האשכול, צריך לשדרג את האשכול לאחת מהגרסאות המתוקנות הבאות:

• 1.27.2-asm.1
• 1.26.5-asm.1
• 1.25.5-asm.9

ב-Cloud Service Mesh מנוהל, לא נדרשת פעולה. כל הגרסאות ימשיכו להיות נתמכות, והמערכת שלכם תעודכן אוטומטית במהלך השבועות הקרובים.

בינוני

CVE-2025-62409

השימוש ב-DNS cache הוא ללא תשלום.

מה לעשות?

רק אשכולות שפועלים בגרסה 1.26 של Cloud Service Mesh בתוך האשכול מושפעים.

אם אתם מפעילים Cloud Service Mesh מנוהל, השינוי לא ישפיע עליכם ולא תצטרכו לבצע פעולה כלשהי.

אם אתם מריצים את Cloud Service Mesh 1.26 בתוך האשכול, שדרגו את כל האשכולות המושפעים לגרסה 1.26.4-asm.1.

גבוהה

CVE-2025-54588

Happy Eyeballs: Validate that additional_address are IP addresses instead of crashing when sorting.

מה לעשות?

האשכול מושפע אם גרסאות התיקון קודמות לגרסאות הבאות:

• 1.23.4-asm.1
• 1.22.7-asm.1

ב-Cloud Service Mesh in-cluster, צריך לשדרג את האשכול לאחת מהגרסאות המתוקנות הבאות:

• 1.23.4-asm.1
• 1.22.7-asm.1

אם אתם משתמשים ב-Cloud Service Mesh בגרסה 1.20 או בגרסה מוקדמת יותר, הגרסה שלכם הגיעה לסוף תקופת החיים שלה והיא כבר לא נתמכת. תיקוני ה-CVE האלה לא הועברו לאחור. כדאי לשדרג לגרסה 1.21 ואילך.

ב-Cloud Service Mesh מנוהל, לא נדרשת פעולה. כל הגרסאות ימשיכו להיות נתמכות, והמערכת שלכם תעודכן אוטומטית במהלך השבועות הקרובים.

בינוני

CVE-2024-53269

‫HTTP/1: קריסות של שליחת עומס יתר כשמאפסים את הבקשה מראש.

מה לעשות?

האשכול מושפע אם גרסאות התיקון קודמות לגרסאות הבאות:

• 1.23.4-asm.1
• 1.22.7-asm.1
• 1.21.5-asm.17
• 1.20.8-asm.14
• 1.19.10-asm.24

ב-in-cluster Cloud Service Mesh, צריך לשדרג את האשכול לאחת מהגרסאות הבאות עם תיקון:

• 1.23.4-asm.1
• 1.22.7-asm.1
• 1.21.5-asm.17

אם אתם משתמשים ב-Cloud Service Mesh בגרסה 1.20 או בגרסה מוקדמת יותר, הגרסה שלכם הגיעה לסוף תקופת החיים שלה והיא כבר לא נתמכת. אם אתם משתמשים ב-Cloud Service Mesh בגרסה 1.20 או בגרסה מוקדמת יותר, הגרסה שלכם הגיעה לסוף חיי המוצר ולא נתמכת יותר. תיקוני ה-CVE האלה לא הועברו לאחור. כדאי לשדרג לגרסה 1.21 ואילך.

ב-Cloud Service Mesh מנוהל, לא נדרשת פעולה. כל הגרסאות ימשיכו להיות נתמכות, והמערכת שלכם תעודכן אוטומטית במהלך השבועות הקרובים.

גבוהה

CVE-2024-53270

‫HTTP/1.1: כמה בעיות ב-envoy.reloadable_features.http1_balsa_delay_reset.

מה לעשות?

האשכול מושפע אם גרסאות התיקון קודמות לגרסאות הבאות:

• 1.23.4-asm.1

ב-in-cluster Cloud Service Mesh, צריך לשדרג את האשכול לאחת מהגרסאות הבאות עם תיקון:

• 1.23.4-asm.1

אם אתם משתמשים ב-Cloud Service Mesh בגרסה 1.20 או בגרסה מוקדמת יותר, הגרסה שלכם הגיעה לסוף תקופת החיים שלה והיא כבר לא נתמכת. אם אתם משתמשים ב-Cloud Service Mesh בגרסה 1.20 או בגרסה מוקדמת יותר, הגרסה שלכם הגיעה לסוף חיי המוצר ולא נתמכת יותר. תיקוני ה-CVE האלה לא הועברו לאחור. כדאי לשדרג לגרסה 1.21 ואילך.

ב-Cloud Service Mesh מנוהל, לא נדרשת פעולה. כל הגרסאות ימשיכו להיות נתמכות, והמערכת שלכם תעודכן אוטומטית במהלך השבועות הקרובים.

גבוהה

CVE-2024-53271

קריסה של oghttp2 ב-OnBeginHeadersForStream

מה לעשות?

רק אשכולות שמריצים את Cloud Service Mesh גרסה 1.23 מושפעים

התיקון לבעיה הזו כלול ב-Cloud Service Mesh 1.23.2-asm.2. לא נדרשת שום פעולה.

גבוהה

CVE-2024-45807

החדרת יומן זדוני דרך יומני גישה

מה לעשות?

כל הגרסאות של Cloud Service Mesh מושפעות מ-CVE הזה.

משדרגים את האשכול לאחת מהגרסאות הבאות עם תיקוני אבטחה:

• 1.20.8-asm.7
• 1.21.5-asm.7
• 1.22.5-asm.1
• 1.23.2-asm.2

בינוני

CVE-2024-45808

פוטנציאל למניפולציה של כותרות x-envoy ממקורות חיצוניים

מה לעשות?

כל הגרסאות של Cloud Service Mesh מושפעות מ-CVE הזה.

משדרגים את האשכול לאחת מהגרסאות הבאות עם תיקוני אבטחה:

• 1.20.8-asm.7
• 1.21.5-asm.7
• 1.22.5-asm.1
• 1.23.2-asm.2

בינוני

CVE-2024-45806

קריסת מסנן JWT במטמון של נתיב ברור עם מפתחות JWK מרוחקים

מה לעשות?

כל הגרסאות של Cloud Service Mesh מושפעות מ-CVE הזה.

משדרגים את האשכול לאחת מהגרסאות הבאות עם תיקוני אבטחה:

• 1.20.8-asm.7
• 1.21.5-asm.7
• 1.22.5-asm.1
• 1.23.2-asm.2

בינוני

CVE-2024-45809

קריסת Envoy ב-LocalReply בלקוח אסינכרוני של http

מה לעשות?

כל הגרסאות של Cloud Service Mesh מושפעות מ-CVE הזה.

משדרגים את האשכול לאחת מהגרסאות הבאות עם תיקוני אבטחה:

• 1.20.8-asm.7
• 1.21.5-asm.7
• 1.22.5-asm.1
• 1.23.2-asm.2

בינוני

CVE-2024-45810

‫Envoy מקבל באופן שגוי תגובת HTTP 200 לכניסה למצב שדרוג.

מה לעשות?

כל הגרסאות של Cloud Service Mesh מושפעות מ-CVE הזה.

אם אתם מפעילים Cloud Service Mesh מנוהל, המערכת שלכם תתעדכן אוטומטית בימים הקרובים.

אחרת, צריך לשדרג את האשכול לאחת מהגרסאות הבאות עם תיקון:

• v1.21.3-asm.3
• גרסה v1.20.7-asm.2
• ‫v1.19.10-asm.6
• v1.18.7-asm.26
• אם אתם משתמשים ב-Cloud Service Mesh בגרסה 1.17 או בגרסה מוקדמת יותר, הגרסה שלכם הגיעה לסוף חיי המוצר והיא כבר לא נתמכת. תיקוני ה-CVE האלה לא הועברו לאחור. מומלץ לשדרג ל-Cloud Service Mesh 1.18 ואילך.

בינוני

CVE-2024-23326

קריסה ב-EnvoyQuicServerStream::OnInitialHeadersComplete().

מה לעשות?

כל הגרסאות של Cloud Service Mesh מושפעות מ-CVE הזה.

אם אתם מפעילים Cloud Service Mesh מנוהל, המערכת שלכם תתעדכן אוטומטית בימים הקרובים.

אחרת, צריך לשדרג את האשכול לאחת מהגרסאות הבאות עם תיקון:

• v1.21.3-asm.3
• גרסה v1.20.7-asm.2
• ‫v1.19.10-asm.6
• v1.18.7-asm.26
• אם אתם משתמשים ב-Cloud Service Mesh בגרסה 1.17 או בגרסה מוקדמת יותר, הגרסה שלכם הגיעה לסוף חיי המוצר והיא כבר לא נתמכת. תיקוני ה-CVE האלה לא הועברו לאחור. מומלץ לשדרג ל-Cloud Service Mesh 1.18 ואילך.

בינוני

CVE-2024-32974

קריסה ב-QuicheDataReader::PeekVarInt62Length().

מה לעשות?

כל הגרסאות של Cloud Service Mesh מושפעות מ-CVE הזה.

אם אתם מפעילים Cloud Service Mesh מנוהל, המערכת שלכם תתעדכן אוטומטית בימים הקרובים.

אחרת, צריך לשדרג את האשכול לאחת מהגרסאות הבאות עם תיקון:

• v1.21.3-asm.3
• גרסה v1.20.7-asm.2
• ‫v1.19.10-asm.6
• v1.18.7-asm.26
• אם אתם משתמשים ב-Cloud Service Mesh בגרסה 1.17 או בגרסה מוקדמת יותר, הגרסה שלכם הגיעה לסוף חיי המוצר והיא כבר לא נתמכת. תיקוני ה-CVE האלה לא הועברו לאחור. מומלץ לשדרג ל-Cloud Service Mesh 1.18 ואילך.

בינוני

CVE-2024-32975

לולאה אינסופית במהלך ביטול הדחיסה של נתוני Brotli עם קלט נוסף.

מה לעשות?

כל הגרסאות של Cloud Service Mesh מושפעות מ-CVE הזה.

אם אתם מפעילים Cloud Service Mesh מנוהל, המערכת שלכם תתעדכן אוטומטית בימים הקרובים.

אחרת, צריך לשדרג את האשכול לאחת מהגרסאות הבאות עם תיקון:

• v1.21.3-asm.3
• גרסה v1.20.7-asm.2
• ‫v1.19.10-asm.6
• v1.18.7-asm.26
• אם אתם משתמשים ב-Cloud Service Mesh בגרסה 1.17 או בגרסה מוקדמת יותר, הגרסה שלכם הגיעה לסוף חיי המוצר והיא כבר לא נתמכת. תיקוני ה-CVE האלה לא הועברו לאחור. מומלץ לשדרג ל-Cloud Service Mesh 1.18 ואילך.

גבוהה

CVE-2024-32976

קריסה (שימוש אחרי שחרור) ב-EnvoyQuicServerStream.

מה לעשות?

כל הגרסאות של Cloud Service Mesh מושפעות מ-CVE הזה.

אם אתם מפעילים Cloud Service Mesh מנוהל, המערכת שלכם תתעדכן אוטומטית בימים הקרובים.

אחרת, צריך לשדרג את האשכול לאחת מהגרסאות הבאות עם תיקון:

• v1.21.3-asm.3
• גרסה v1.20.7-asm.2
• ‫v1.19.10-asm.6
• v1.18.7-asm.26
• אם אתם משתמשים ב-Cloud Service Mesh בגרסה 1.17 או בגרסה מוקדמת יותר, הגרסה שלכם הגיעה לסוף חיי המוצר והיא כבר לא נתמכת. תיקוני ה-CVE האלה לא הועברו לאחור. מומלץ לשדרג ל-Cloud Service Mesh 1.18 ואילך.

בינוני

CVE-2024-34362

קריסה בגלל חריגת nlohmann JSON שלא נתפסה.

מה לעשות?

כל הגרסאות של Cloud Service Mesh מושפעות מ-CVE הזה.

אם אתם מפעילים Cloud Service Mesh מנוהל, המערכת שלכם תתעדכן אוטומטית בימים הקרובים.

אחרת, צריך לשדרג את האשכול לאחת מהגרסאות הבאות עם תיקון:

• v1.21.3-asm.3
• גרסה v1.20.7-asm.2
• ‫v1.19.10-asm.6
• v1.18.7-asm.26
• אם אתם משתמשים ב-Cloud Service Mesh בגרסה 1.17 או בגרסה מוקדמת יותר, הגרסה שלכם הגיעה לסוף חיי המוצר והיא כבר לא נתמכת. תיקוני ה-CVE האלה לא הועברו לאחור. מומלץ לשדרג ל-Cloud Service Mesh 1.18 ואילך.

גבוהה

CVE-2024-34363

‫Envoy OOM vector מלקוח HTTP אסינכרוני עם מאגר תגובות לא מוגבל לתגובת שיקוף.

מה לעשות?

כל הגרסאות של Cloud Service Mesh מושפעות מ-CVE הזה.

אם אתם מפעילים Cloud Service Mesh מנוהל, המערכת שלכם תתעדכן אוטומטית בימים הקרובים.

אחרת, צריך לשדרג את האשכול לאחת מהגרסאות הבאות עם תיקון:

• v1.21.3-asm.3
• גרסה v1.20.7-asm.2
• ‫v1.19.10-asm.6
• v1.18.7-asm.26
• אם אתם משתמשים ב-Cloud Service Mesh בגרסה 1.17 או בגרסה מוקדמת יותר, הגרסה שלכם הגיעה לסוף חיי המוצר והיא כבר לא נתמכת. תיקוני ה-CVE האלה לא הועברו לאחור. מומלץ לשדרג ל-Cloud Service Mesh 1.18 ואילך.

בינוני

CVE-2024-34364

‫HTTP/2: ניצול מלא של הזיכרון בגלל הצפה של מסגרת CONTINUATION.

מה לעשות?

כל הגרסאות של Cloud Service Mesh מושפעות מ-CVE הזה.

אם אתם מפעילים את Cloud Service Mesh המנוהל, לא נדרשת פעולה. המערכת שלכם תתעדכן אוטומטית בימים הקרובים.

אם אתם מפעילים את Cloud Service Mesh בתוך האשכול, אתם צריכים לשדרג את האשכול לאחת מהגרסאות הבאות עם תיקון:

• 1.20.6-asm.0
• 1.19.10-asm.0
• 1.18.7-asm.21

אם אתם משתמשים ב-Cloud Service Mesh בגרסה 1.17 או בגרסה מוקדמת יותר, הגרסה שלכם הגיעה לסוף חיי המוצר ולא תקבל יותר תמיכה. תיקוני ה-CVE האלה לא הועברו לאחור. מומלץ לשדרג ל-Cloud Service Mesh גרסה 1.18 ואילך.

גבוהה

CVE-2024-27919

‫HTTP/2: ניצול יתר של המעבד (CPU) בגלל הצפת פריימים מסוג CONTINUATION

מה לעשות?

כל הגרסאות של Cloud Service Mesh מושפעות מ-CVE הזה.

אם אתם מפעילים את Cloud Service Mesh המנוהל, לא נדרשת פעולה. המערכת שלכם תתעדכן אוטומטית בימים הקרובים.

אם אתם מפעילים את Cloud Service Mesh בתוך האשכול, אתם צריכים לשדרג את האשכול לאחת מהגרסאות הבאות עם תיקון:

• 1.20.6-asm.0
• 1.19.10-asm.0
• 1.18.7-asm.21

אם אתם משתמשים ב-Cloud Service Mesh בגרסה 1.17 או בגרסה מוקדמת יותר, הגרסה שלכם הגיעה לסוף חיי המוצר ולא תקבל יותר תמיכה. תיקוני ה-CVE האלה לא הועברו לאחור. מומלץ לשדרג ל-Cloud Service Mesh 1.18 ואילך.

בינוני

CVE-2024-30255

סיום חריג כשמשתמשים ב-auto_sni עם כותרת ':authority' שארוכה מ-255 תווים.

מה לעשות?

כל הגרסאות של Cloud Service Mesh מושפעות מ-CVE הזה.

אם אתם מפעילים את Cloud Service Mesh המנוהל, לא נדרשת פעולה. המערכת שלכם תתעדכן אוטומטית בימים הקרובים.

אם אתם מפעילים את Cloud Service Mesh בתוך האשכול, אתם צריכים לשדרג את האשכול לאחת מהגרסאות הבאות עם תיקון:

• 1.20.6-asm.0
• 1.19.10-asm.0
• 1.18.7-asm.21

אם אתם משתמשים ב-Cloud Service Mesh בגרסה 1.17 או בגרסה מוקדמת יותר, הגרסה שלכם הגיעה לסוף חיי המוצר שלה ולא תקבל יותר תמיכה. תיקוני ה-CVE האלה לא הועברו לאחור. מומלץ לשדרג ל-Cloud Service Mesh 1.18 ואילך.

גבוהה

CVE-2024-32475

אפשר להשתמש בפריימים של HTTP/2 CONTINUATION להתקפות מניעת שירות (DoS).

מה לעשות?

כל הגרסאות של Cloud Service Mesh מושפעות מ-CVE הזה.

אם אתם מפעילים את Cloud Service Mesh המנוהל, לא נדרשת פעולה. המערכת שלכם תתעדכן אוטומטית בימים הקרובים.

אם אתם מפעילים את Cloud Service Mesh בתוך האשכול, אתם צריכים לשדרג את האשכול לאחת מהגרסאות הבאות עם תיקון:

• 1.20.6-asm.0
• 1.19.10-asm.0
• 1.18.7-asm.21

אם אתם משתמשים ב-Cloud Service Mesh בגרסה 1.17 או בגרסה מוקדמת יותר, הגרסה שלכם הגיעה לסוף חיי המוצר ולא נתמכת יותר. תיקוני ה-CVE האלה לא הועברו לאחור. כדאי לשדרג לגרסה v1.18 ואילך.

לא צוין

CVE-2023-45288

מערכת Envoy קורסת כשהיא בלי פעילות ומתרחש זמן קצוב לתפוגה של בקשות לניסיון חוזר בתוך מרווח המתנה.

מה לעשות?

אם אתם מפעילים את Cloud Service Mesh המנוהל, לא נדרשת פעולה. המערכת שלכם תתעדכן אוטומטית בימים הקרובים.

אם אתם מפעילים את Cloud Service Mesh בתוך האשכול, אתם צריכים לשדרג את האשכול לאחת מהגרסאות הבאות עם תיקון:

• 1.20.3-asm.4
• 1.19.7-asm.3
• 1.18.7-asm.4
• 1.17.8-asm.20

אם אתם משתמשים ב-Anthos Service Mesh בגרסה 1.17 או בגרסה מוקדמת יותר, הגרסה שלכם הגיעה לסוף חיי התמיכה ולא נתמכת יותר. תיקוני ה-CVE האלה הועברו לגרסה 1.17, אבל מומלץ לשדרג לגרסה 1.18 ואילך.

גבוהה

CVE-2024-23322

שימוש מוגזם במעבד (CPU) כשכלי ההתאמה של תבנית ה-URI מוגדר באמצעות ביטוי רגולרי.

מה לעשות?

אם אתם מפעילים את Cloud Service Mesh המנוהל, לא נדרשת פעולה. המערכת שלכם תתעדכן אוטומטית בימים הקרובים.

אם אתם מפעילים את Cloud Service Mesh בתוך האשכול, אתם צריכים לשדרג את האשכול לאחת מהגרסאות הבאות עם תיקון:

• 1.20.3-asm.4
• 1.19.7-asm.3
• 1.18.7-asm.4
• 1.17.8-asm.20

אם אתם משתמשים ב-Anthos Service Mesh בגרסה 1.17 או בגרסה מוקדמת יותר, הגרסה שלכם הגיעה לסוף חיי התמיכה ולא נתמכת יותר. תיקוני ה-CVE האלה הועברו לגרסה 1.17, אבל מומלץ לשדרג לגרסה 1.18 ואילך.

בינוני

CVE-2024-23323

אפשר לעקוף הרשאה חיצונית כשמסנן פרוטוקול ה-Proxy מגדיר מטא-נתונים לא תקינים בקידוד UTF-8.

מה לעשות?

אם אתם מפעילים את Cloud Service Mesh המנוהל, לא נדרשת פעולה. המערכת שלכם תתעדכן אוטומטית בימים הקרובים.

אם אתם מפעילים את Cloud Service Mesh בתוך האשכול, אתם צריכים לשדרג את האשכול לאחת מהגרסאות הבאות עם תיקון:

• 1.20.3-asm.4
• 1.19.7-asm.3
• 1.18.7-asm.4
• 1.17.8-asm.20

אם אתם משתמשים ב-Anthos Service Mesh בגרסה 1.17 או בגרסה מוקדמת יותר, הגרסה שלכם הגיעה לסוף חיי התמיכה ולא נתמכת יותר. תיקוני ה-CVE האלה הועברו לגרסה 1.17, אבל מומלץ לשדרג לגרסה 1.18 ואילך.

גבוהה

CVE-2024-23324

מערכת Envoy קורסת כשמשתמשים בסוג כתובת שלא נתמך על ידי מערכת ההפעלה.

מה לעשות?

אם אתם מפעילים את Cloud Service Mesh המנוהל, לא נדרשת פעולה. המערכת שלכם תתעדכן אוטומטית בימים הקרובים.

אם אתם מפעילים את Cloud Service Mesh בתוך האשכול, אתם צריכים לשדרג את האשכול לאחת מהגרסאות הבאות עם תיקון:

• 1.20.3-asm.4
• 1.19.7-asm.3
• 1.18.7-asm.4
• 1.17.8-asm.20

אם אתם משתמשים ב-Anthos Service Mesh בגרסה 1.17 או בגרסה מוקדמת יותר, הגרסה שלכם הגיעה לסוף חיי התמיכה ולא נתמכת יותר. תיקוני ה-CVE האלה הועברו לגרסה 1.17, אבל מומלץ לשדרג לגרסה 1.18 ואילך.

גבוהה

CVE-2024-23325

קריסה בפרוטוקול ה-proxy כשסוג הפקודה הוא LOCAL.

מה לעשות?

אם אתם מפעילים את Cloud Service Mesh המנוהל, לא נדרשת פעולה. המערכת שלכם תתעדכן אוטומטית בימים הקרובים.

אם אתם מפעילים את Cloud Service Mesh בתוך האשכול, אתם צריכים לשדרג את האשכול לאחת מהגרסאות הבאות עם תיקון:

• 1.20.3-asm.4
• 1.19.7-asm.3
• 1.18.7-asm.4
• 1.17.8-asm.20

אם אתם משתמשים ב-Anthos Service Mesh בגרסה 1.17 או בגרסה מוקדמת יותר, הגרסה שלכם הגיעה לסוף חיי התמיכה ולא נתמכת יותר. תיקוני ה-CVE האלה הועברו לגרסה 1.17, אבל מומלץ לשדרג לגרסה 1.18 ואילך.

גבוהה

CVE-2024-23327

התקפת מניעת שירות יכולה להשפיע על מישור הנתונים כשמשתמשים בפרוטוקול HTTP/2.

מה לעשות?

האשכול שלכם מושפע אם הוא משתמש בגרסאות תיקון של Cloud Service Mesh שקודמות לגרסאות 1.18.4,‏ 1.17.7 או 1.16.7.

משדרגים את האשכול לאחת מהגרסאות הבאות עם תיקוני אבטחה:

• 1.18.4-asm.0
• 1.17.7-asm.0
• 1.16.7-asm.10

אם אתם מפעילים Cloud Service Mesh מנוהל, המערכת שלכם תתעדכן באופן אוטומטי בימים הקרובים.

אם אתם משתמשים ב-Cloud Service Mesh בגרסה 1.15 או בגרסה מוקדמת יותר, הגרסה שלכם הגיעה לסוף החיים שלה והיא כבר לא נתמכת. תיקוני ה-CVE האלה לא הועברו לאחור. מומלץ לשדרג לגרסה 1.16 ואילך.

גבוהה

CVE-2023-44487

במקרים ספציפיים, לקוח זדוני יכול ליצור פרטי כניסה עם תוקף קבוע. לדוגמה, השילוב של מארח וזמן תפוגה במטען הייעודי (payload) של HMAC יכול להיות תמיד תקף בבדיקת ה-HMAC של מסנן OAuth2.

מה לעשות?

האשכול מושפע אם הוא משתמש בגרסאות תיקון של Cloud Service Mesh מוקדמות יותר מ-

• 1.17.4
• 1.16.6
• 1.15.7

משדרגים את האשכול לאחת מהגרסאות הבאות עם תיקוני אבטחה:

• 1.17.5-asm.0
• 1.16.7-asm.0
• 1.15.7-asm.23

אם אתם מפעילים Cloud Service Mesh מנוהל, המערכת תתעדכן באופן אוטומטי בימים הקרובים.

אם אתם משתמשים ב-Anthos Service Mesh בגרסה 1.14 או בגרסה מוקדמת יותר, הגרסה שלכם הגיעה לסוף חיי המוצר והיא כבר לא נתמכת. תיקוני ה-CVE האלה לא הועברו לאחור. מומלץ לשדרג ל-ASM 1.15 ואילך.

גבוהה

CVE-2023-35941

יומני הגישה ל-gRPC שמשתמשים בהיקף הגלובלי של ה-listener עלולים לגרום לקריסה מסוג use-after-free כשה-listener מתרוקן. הפעולה הזו יכולה להיות מופעלת על ידי עדכון LDS עם אותה הגדרת יומן גישה של gRPC.

מה לעשות?

האשכול מושפע אם הוא משתמש בגרסאות תיקון של Cloud Service Mesh מוקדמות יותר מ-

• 1.17.4
• 1.16.6
• 1.15.7

משדרגים את האשכול לאחת מהגרסאות הבאות עם תיקוני אבטחה:

• 1.17.5-asm.0
• 1.16.7-asm.0
• 1.15.7-asm.23

אם אתם מפעילים Cloud Service Mesh מנוהל, המערכת תתעדכן באופן אוטומטי בימים הקרובים.

אם אתם משתמשים ב-Anthos Service Mesh בגרסה 1.14 או בגרסה מוקדמת יותר, הגרסה שלכם הגיעה לסוף חיי המוצר והיא כבר לא נתמכת. תיקוני ה-CVE האלה לא הועברו לאחור. מומלץ לשדרג ל-ASM 1.15 ואילך.

בינוני

CVE-2023-35942

אם הכותרת origin מוגדרת להסרה באמצעות request_headers_to_remove: origin, מסנן ה-CORS יגרום לשגיאת פילוח (segfault) ולקריסה של Envoy.

מה לעשות?

האשכול מושפע אם הוא משתמש בגרסאות תיקון של Cloud Service Mesh מוקדמות יותר מ-

• 1.17.4
• 1.16.6
• 1.15.7

משדרגים את האשכול לאחת מהגרסאות הבאות עם תיקוני אבטחה:

• 1.17.5-asm.0
• 1.16.7-asm.0
• 1.15.7-asm.23

אם אתם מפעילים Cloud Service Mesh מנוהל, המערכת תתעדכן באופן אוטומטי בימים הקרובים.

אם אתם משתמשים ב-Anthos Service Mesh בגרסה 1.14 או בגרסה מוקדמת יותר, הגרסה שלכם הגיעה לסוף חיי המוצר והיא כבר לא נתמכת. תיקוני ה-CVE האלה לא הועברו לאחור. מומלץ לשדרג ל-ASM 1.15 ואילך.

בינוני

CVE-2023-35943

תוקפים יכולים לשלוח בקשות עם Scheme משולב כדי לעקוף חלק מבדיקות ה-Scheme ב-Envoy. לדוגמה, אם בקשה עם htTp בעל Scheme משולב נשלחת למסנן OAuth2, היא נכשלת בבדיקות ההתאמה המדויקת ל-HTTP, ונשלחת הודעה לנקודת הקצה המרוחקת שה-Scheme היא HTTPS. כתוצאה מכך יכול להיות שתהיה עקיפה של בדיקות פרוטוקול OAuth2 שספציפיות לבקשות HTTP.

מה לעשות?

האשכול מושפע אם הוא משתמש בגרסאות תיקון של Cloud Service Mesh מוקדמות יותר מ-

• 1.17.4
• 1.16.6
• 1.15.7

משדרגים את האשכול לאחת מהגרסאות הבאות עם תיקוני אבטחה:

• 1.17.5-asm.0
• 1.16.7-asm.0
• 1.15.7-asm.23

אם אתם מפעילים Cloud Service Mesh מנוהל, המערכת תתעדכן באופן אוטומטי בימים הקרובים.

אם אתם משתמשים ב-Anthos Service Mesh בגרסה 1.14 או בגרסה מוקדמת יותר, הגרסה שלכם הגיעה לסוף חיי המוצר והיא כבר לא נתמכת. תיקוני ה-CVE האלה לא הועברו לאחור. מומלץ לשדרג ל-ASM 1.15 ואילך.

גבוהה

CVE-2023-35944

תגובה שנוצרה במיוחד משירות upstream לא מהימן עלולה לגרום להתקפת מניעת שירות (DoS) בגלל מיצוי הזיכרון. הבעיה הזו נגרמת בגלל רכיב ה-codec של Envoy HTTP/2, שעלול לגרום לדליפה של מיפוי כותרות ומבני ניהול כשמתקבל RST_STREAM מיד אחרי מסגרות GOAWAY משרת במעלה הזרם.

מה לעשות?

האשכול מושפע אם הוא משתמש בגרסאות תיקון של Cloud Service Mesh מוקדמות יותר מ-

• 1.17.4
• 1.16.6
• 1.15.7

משדרגים את האשכול לאחת מהגרסאות הבאות עם תיקוני אבטחה:

• 1.17.4-asm.2
• 1.16.6-asm.3
• 1.15.7-asm.21

אם אתם מפעילים Cloud Service Mesh מנוהל, המערכת תתעדכן באופן אוטומטי בימים הקרובים.

אם אתם משתמשים ב-Anthos Service Mesh בגרסה 1.14 או בגרסה מוקדמת יותר, הגרסה שלכם הגיעה לסוף חיי המוצר והיא כבר לא נתמכת. תיקוני ה-CVE האלה לא הועברו לאחור. מומלץ לשדרג ל-ASM 1.15 ואילך.

גבוהה

CVE-2023-35945

אם Envoy פועל עם מסנן OAuth מופעל וחשוף, גורם זדוני יכול ליצור בקשה שתגרום להתקפת מניעת שירות (DoS) על ידי קריסת Envoy.

מה לעשות?

האשכולות שלכם מושפעים אם הם משתמשים בגרסאות תיקון של Cloud Service Mesh שמוקדמות מהגרסאות הבאות:

• 1.16.4
• 1.15.7
• 1.14.6

משדרגים את האשכול לאחת מהגרסאות הבאות עם תיקוני אבטחה:

• 1.16.4-asm.2
• 1.15.7-asm.1
• 1.14.6-asm.11

אם אתם משתמשים ב-Cloud Service Mesh בגרסה 1.13 ומטה, הגרסה שלכם הגיעה לסוף חיי המוצר והיא כבר לא נתמכת. תיקוני ה-CVE האלה לא הועברו לאחור. מומלץ לשדרג ל-Cloud Service Mesh 1.14 ואילך.

בינוני

CVE-2023-27496

התוקף יכול להשתמש בנקודת החולשה הזו כדי לעקוף את בדיקות האימות כשמשתמשים ב-ext_authz.

מה לעשות?

האשכולות שלכם מושפעים אם הם משתמשים בגרסאות תיקון של Cloud Service Mesh שמוקדמות מהגרסאות הבאות:

• 1.16.4
• 1.15.7
• 1.14.6

משדרגים את האשכול לאחת מהגרסאות הבאות עם תיקוני אבטחה:

• 1.16.4-asm.2
• 1.15.7-asm.1
• 1.14.6-asm.11

אם אתם משתמשים ב-Cloud Service Mesh בגרסה 1.13 ומטה, הגרסה שלכם הגיעה לסוף חיי המוצר והיא כבר לא נתמכת. תיקוני ה-CVE האלה לא הועברו לאחור. מומלץ לשדרג ל-Cloud Service Mesh} 1.14 או לגרסה חדשה יותר.

בינוני

CVE-2023-27488

הגדרת Envoy חייבת לכלול גם אפשרות להוסיף כותרות בקשה שנוצרו באמצעות מקורות קלט מהבקשה, כמו ה-SAN של אישור הרשת השכנה.

מה לעשות?

האשכולות שלכם מושפעים אם הם משתמשים בגרסאות תיקון של Cloud Service Mesh שמוקדמות מהגרסאות הבאות:

• 1.16.4
• 1.15.7
• 1.14.6

משדרגים את האשכול לאחת מהגרסאות הבאות עם תיקוני אבטחה:

• 1.16.4-asm.2
• 1.15.7-asm.1
• 1.14.6-asm.11

אם אתם משתמשים ב-Cloud Service Mesh בגרסה 1.13 ומטה, הגרסה שלכם הגיעה לסוף חיי המוצר והיא כבר לא נתמכת. תיקוני ה-CVE האלה לא הועברו לאחור. מומלץ לשדרג ל-Cloud Service Mesh 1.14 ואילך.

גבוהה

CVE-2023-27493

תוקפים יכולים לשלוח גופי בקשות גדולים למסלולים שבהם מסנן Lua מופעל ולגרום לקריסות.

מה לעשות?

האשכולות שלכם מושפעים אם הם משתמשים בגרסאות תיקון של Cloud Service Mesh שמוקדמות מהגרסאות הבאות:

• 1.16.4
• 1.15.7
• 1.14.6

משדרגים את האשכול לאחת מהגרסאות הבאות עם תיקוני אבטחה:

• 1.16.4-asm.2
• 1.15.7-asm.1
• 1.14.6-asm.11

אם אתם משתמשים ב-Cloud Service Mesh בגרסה 1.13 ומטה, הגרסה שלכם הגיעה לסוף חיי המוצר והיא כבר לא נתמכת. תיקוני ה-CVE האלה לא הועברו לאחור. מומלץ לשדרג ל-Cloud Service Mesh 1.14 ואילך.

בינוני

CVE-2023-27492

תוקפים יכולים לשלוח בקשות HTTP/2 או HTTP/3 שנוצרו במיוחד כדי להפעיל שגיאות בניתוח בשירות במעלה הזרם של HTTP/1.

מה לעשות?

האשכולות שלכם מושפעים אם הם משתמשים בגרסאות תיקון של Cloud Service Mesh שמוקדמות מהגרסאות הבאות:

• 1.16.4
• 1.15.7
• 1.14.6

משדרגים את האשכול לאחת מהגרסאות הבאות עם תיקוני אבטחה:

• 1.16.4-asm.2
• 1.15.7-asm.1
• 1.14.6-asm.11

אם אתם משתמשים ב-Cloud Service Mesh בגרסה 1.13 ומטה, הגרסה שלכם הגיעה לסוף חיי המוצר והיא כבר לא נתמכת. תיקוני ה-CVE האלה לא הועברו לאחור. מומלץ לשדרג ל-Cloud Service Mesh 1.14 ואילך.

בינוני

CVE-2023-27491

הכותרת x-envoy-original-path צריכה להיות כותרת פנימית, אבל Envoy לא מסיר את הכותרת הזאת מהבקשה בתחילת העיבוד שלה כשהיא נשלחת מלקוח לא מהימן.

מה לעשות?

האשכולות שלכם מושפעים אם הם משתמשים בגרסאות תיקון של Cloud Service Mesh שמוקדמות מהגרסאות הבאות:

• 1.16.4
• 1.15.7
• 1.14.6

משדרגים את האשכול לאחת מהגרסאות הבאות עם תיקוני אבטחה:

• 1.16.4-asm.2
• 1.15.7-asm.1
• 1.14.6-asm.11

אם אתם משתמשים ב-Cloud Service Mesh בגרסה 1.13 ומטה, הגרסה שלכם הגיעה לסוף חיי המוצר והיא כבר לא נתמכת. תיקוני ה-CVE האלה לא הועברו לאחור. מומלץ לשדרג ל-Cloud Service Mesh 1.14 ואילך.

גבוהה

CVE-2023-27487

רמת הבקרה ב-Istio‏ istiod חשופה לשגיאה בעיבוד בקשות. כתוצאה מכך, תוקף זדוני עלול לשלוח הודעה שנוצרה במיוחד כדי לגרום לקריסה של רמת הבקרה, בזמן שה-webhook המאמת של האשכול חשוף באופן ציבורי. מילוי הבקשה של נקודת הקצה (endpoint) הזו מתבצע ביציאה 15017 ב-TLS, אבל לא מחייב אימות כלשהו מצד התוקף.

מה לעשות?

האשכול שלכם מושפע אם הוא משתמש בגרסאות תיקון של Cloud Service Mesh מוקדמות מ-1.14.4,‏ 1.13.8 או 1.12.9.

אם אתם מפעילים Cloud Service Mesh עצמאי, אתם צריכים לשדרג את האשכול לאחת מהגרסאות הבאות עם תיקוני אבטחה:

• אם אתם משתמשים ב-Anthos Service Mesh 1.14, עליכם לשדרג לגרסה v1.14.4-asm.2
• אם אתם משתמשים ב-Anthos Service Mesh 1.13, עליכם לשדרג לגרסה v1.13.8-asm.4
• אם אתם משתמשים ב-Anthos Service Mesh 1.12, עליכם לשדרג לגרסה v1.12.9-asm.3

אם אתם מפעילים Cloud Service Mesh מנוהל, המערכת תתעדכן באופן אוטומטי בימים הקרובים.

אם אתם משתמשים ב-Cloud Service Mesh בגרסה 1.11 או בגרסה מוקדמת יותר, הגרסה שלכם הגיעה לסוף חיי המוצר ולא תקבל יותר תמיכה. תיקוני ה-CVE האלה לא הועברו לאחור. מומלץ לשדרג ל-Cloud Service Mesh 1.12 ואילך.

גבוהה

CVE-2022-39278

מישור הנתונים של Istio עלול לגשת לזיכרון באופן לא בטוח כשהתוספים Metadata Exchange ו-Stats מופעלים.

מה לעשות?

האשכול שלכם מושפע אם הוא משתמש בגרסאות תיקון של Cloud Service Mesh שמוקדמות לגרסאות 1.13.4-asm.4,‏ 1.12.7-asm.2 או 1.11.8-asm.4.

משדרגים את האשכול לאחת מהגרסאות הבאות עם תיקוני אבטחה:

• 1.13.4-asm.4
• 1.12.7-asm.2
• 1.11.8-asm.4

אם אתם משתמשים ב-Cloud Service Mesh גרסה 1.10 או בגרסאות קודמות, הגרסה שלכם הגיעה לסוף חיי המוצר שלה ולא נתמכת יותר. תיקוני ה-CVE האלה לא הועברו לאחור. מומלץ לשדרג ל-Cloud Service Mesh 1.11 ואילך. מידע נוסף זמין במאמר שדרוג מגרסאות קודמות (GKE) או שדרוג מגרסאות קודמות (במקום).

גבוהה

CVE-2022-31045

הנתונים עלולים לחרוג ממגבלות המאגר הזמני, אם תוקף זדוני יעביר מטען ייעודי (payload) קטן מאוד ודחוס במיוחד (התקפת פצצת ZIP).

מה לעשות?

האשכול שלכם מושפע אם הוא משתמש בגרסאות תיקון של Cloud Service Mesh שמוקדמות לגרסאות 1.13.4-asm.4,‏ 1.12.7-asm.2 או 1.11.8-asm.4.

למרות ש-Cloud Service Mesh לא תומך במסנני Envoy, יכול להיות שתהיה לכך השפעה אם אתם משתמשים במסנן דקומפרסיה.

משדרגים את האשכול לאחת מהגרסאות הבאות עם תיקוני אבטחה:

• 1.13.4-asm.4
• 1.12.7-asm.2
• 1.11.8-asm.4

אם אתם משתמשים ב-Cloud Service Mesh גרסה 1.10 או בגרסאות קודמות, הגרסה שלכם הגיעה לסוף חיי המוצר שלה ולא נתמכת יותר. תיקוני ה-CVE האלה לא הועברו לאחור. מומלץ לשדרג ל-Cloud Service Mesh 1.11 ואילך. מידע נוסף זמין במאמר שדרוג מגרסאות קודמות (GKE) או שדרוג מגרסאות קודמות (במקום).

משתמשי Envoy שמנהלים מערכות Envoy משלהם צריכים לוודא שהם משתמשים בגרסה 1.22.1 של Envoy. משתמשי Envoy שמנהלים מערכות Envoy משלהם צריכים לפתח את הקבצים הבינאריים ממקור כמו GitHub ולפרוס אותם.

משתמשים שמריצים מערכות Envoy מנוהלות לא צריכים לעשות שום דבר (Google Cloud תספק את הקבצים הבינאריים של Envoy), ומוצרי Cloud שבמערכות שלהם יעברו לגרסה 1.22.1.

גבוהה

CVE-2022-29225

שגיאת הפניית מצביע אפס (null pointer dereference) עלולה להתרחש ב-GrpcHealthCheckerImpl.

מה לעשות?

האשכול שלכם מושפע אם הוא משתמש בגרסאות תיקון של Cloud Service Mesh שמוקדמות לגרסאות 1.13.4-asm.4,‏ 1.12.7-asm.2 או 1.11.8-asm.4.

משדרגים את האשכול לאחת מהגרסאות הבאות עם תיקוני אבטחה:

• 1.13.4-asm.4
• 1.12.7-asm.2
• 1.11.8-asm.4

אם אתם משתמשים ב-Cloud Service Mesh גרסה 1.10 או בגרסאות קודמות, הגרסה שלכם הגיעה לסוף חיי המוצר שלה ולא נתמכת יותר. תיקוני ה-CVE האלה לא הועברו לאחור. מומלץ לשדרג ל-Cloud Service Mesh 1.11 ואילך. מידע נוסף זמין במאמר שדרוג מגרסאות קודמות (GKE) או שדרוג מגרסאות קודמות (במקום).

משתמשי Envoy שמנהלים מערכות Envoy משלהם צריכים לוודא שהם משתמשים בגרסה 1.22.1 של Envoy. משתמשי Envoy שמנהלים מערכות Envoy משלהם צריכים לפתח את הקבצים הבינאריים ממקור כמו GitHub ולפרוס אותם.

משתמשים שמריצים מערכות Envoy מנוהלות לא צריכים לעשות שום דבר (Google Cloud תספק את הקבצים הבינאריים של Envoy), ומוצרי Cloud שבמערכות שלהם יעברו לגרסה 1.22.1.

בינוני

CVE-2021-29224

המסנן של OAuth מאפשר מעקף פשוט.

מה לעשות?

האשכול שלכם מושפע אם הוא משתמש בגרסאות תיקון של Cloud Service Mesh שמוקדמות לגרסאות 1.13.4-asm.4,‏ 1.12.7-asm.2 או 1.11.8-asm.4.

למרות ש-Cloud Service Mesh לא תומך במסנני Envoy, יכול להיות שתהיה לכך השפעה אם אתם משתמשים במסנן OAuth.

משדרגים את האשכול לאחת מהגרסאות הבאות עם תיקוני אבטחה:

• 1.13.4-asm.4
• 1.12.7-asm.2
• 1.11.8-asm.4

אם אתם משתמשים ב-Cloud Service Mesh גרסה 1.10 או בגרסאות קודמות, הגרסה שלכם הגיעה לסוף חיי המוצר שלה ולא נתמכת יותר. תיקוני ה-CVE האלה לא הועברו לאחור. מומלץ לשדרג ל-Cloud Service Mesh 1.11 ואילך. מידע נוסף זמין במאמר שדרוג מגרסאות קודמות (GKE) או שדרוג מגרסאות קודמות (במקום).

משתמשי Envoy שמנהלים מערכות Envoy משלהם ומשתמשים במסנן OAuth צריכים לוודא שהם משתמשים בגרסה 1.22.1 של Envoy. משתמשי Envoy שמנהלים מערכות Envoy משלהם צריכים לפתח את הקבצים הבינאריים ממקור כמו GitHub ולפרוס אותם.

משתמשים שמריצים מערכות Envoy מנוהלות לא צריכים לעשות שום דבר (Google Cloud תספק את הקבצים הבינאריים של Envoy), ומוצרי Cloud שבמערכות שלהם יעברו לגרסה 1.22.1.

קריטית

CVE-2021-29226

המסנן של OAuth עלול לפגום בזיכרון (בגרסאות קודמות) או לגרום להפעלה של ASSERT()‎ (בגרסאות מאוחרות יותר).

מה לעשות?

האשכול שלכם מושפע אם הוא משתמש בגרסאות תיקון של Cloud Service Mesh שמוקדמות לגרסאות 1.13.4-asm.4,‏ 1.12.7-asm.2 או 1.11.8-asm.4.

למרות ש-Cloud Service Mesh לא תומך במסנני Envoy, יכול להיות שתהיה לכך השפעה אם אתם משתמשים במסנן OAuth.

משדרגים את האשכול לאחת מהגרסאות הבאות עם תיקוני אבטחה:

• 1.13.4-asm.4
• 1.12.7-asm.2
• 1.11.8-asm.4

אם אתם משתמשים ב-Cloud Service Mesh גרסה 1.10 או בגרסאות קודמות, הגרסה שלכם הגיעה לסוף חיי המוצר שלה ולא נתמכת יותר. תיקוני ה-CVE האלה לא הועברו לאחור. מומלץ לשדרג ל-Cloud Service Mesh 1.11 ואילך.

משתמשי Envoy שמנהלים מערכות Envoy משלהם ומשתמשים במסנן OAuth צריכים לוודא שהם משתמשים בגרסה 1.22.1 של Envoy. משתמשי Envoy שמנהלים מערכות Envoy משלהם צריכים לפתח את הקבצים הבינאריים ממקור כמו GitHub ולפרוס אותם.

משתמשים שמריצים מערכות Envoy מנוהלות לא צריכים לעשות שום דבר (Google Cloud תספק את הקבצים הבינאריים של Envoy), ומוצרי Cloud שבמערכות שלהם יעברו לגרסה 1.22.1.

גבוהה

CVE-2022-29228

שגיאה של קריסת הניתובים הפנימיים מתרחשת בבקשות שיש בהן גוף (body) או סוגרים (trailers).

מה לעשות?

האשכול שלכם מושפע אם הוא משתמש בגרסאות תיקון של Cloud Service Mesh שמוקדמות לגרסאות 1.13.4-asm.4,‏ 1.12.7-asm.2 או 1.11.8-asm.4.

משדרגים את האשכול לאחת מהגרסאות הבאות עם תיקוני אבטחה:

• 1.13.4-asm.4
• 1.12.7-asm.2
• 1.11.8-asm.4

אם אתם משתמשים ב-Cloud Service Mesh גרסה 1.10 או בגרסאות קודמות, הגרסה שלכם הגיעה לסוף חיי המוצר שלה ולא נתמכת יותר. תיקוני ה-CVE האלה לא הועברו לאחור. מומלץ לשדרג ל-Cloud Service Mesh 1.11 ואילך. מידע נוסף זמין במאמר שדרוג מגרסאות קודמות (GKE) או שדרוג מגרסאות קודמות (במקום).

משתמשי Envoy שמנהלים מערכות Envoy משלהם צריכים לוודא שהם משתמשים בגרסה 1.22.1 של Envoy. משתמשי Envoy שמנהלים מערכות Envoy משלהם צריכים לפתח את הקבצים הבינאריים ממקור כמו GitHub ולפרוס אותם.

משתמשים שמריצים מערכות Envoy מנוהלות לא צריכים לעשות שום דבר (Google Cloud תספק את הקבצים הבינאריים של Envoy), ומוצרי Cloud שבמערכות שלהם יעברו לגרסה 1.22.1.

גבוהה

CVE-2022-29227

רמת הבקרה ב-Istio‏, istiod, חשופה לשגיאה בעיבוד בקשות. כתוצאה מכך, תוקף זדוני עלול לשלוח הודעה שנוצרה במיוחד כדי לגרום לקריסה של רמת הבקרה, בזמן שה-webhook המאמת של האשכול חשוף באופן ציבורי. מילוי הבקשה של נקודת הקצה (endpoint) הזו מתבצע ביציאה 15017 ב-TLS, אבל לא מחייב אימות כלשהו מצד התוקף.

מה לעשות?

כל הגרסאות של Cloud Service Mesh מושפעות מ-CVE הזה.

הערה: אם אתם משתמשים ב-Managed Control Plane, נקודת החולשה הזו כבר תוקנה ולא תשפיע עליכם.

משדרגים את האשכול לאחת מהגרסאות הבאות עם תיקוני אבטחה:

• 1.12.5-asm.0
• 1.11.8-asm.0
• 1.10.6-asm.2

אם אתם משתמשים ב-Cloud Service Mesh בגרסה 1.9 או בגרסה מוקדמת יותר, הגרסה שלכם הגיעה לסוף חיי המוצר ולא נתמכת יותר. תיקוני ה-CVE האלה לא הועברו לאחור. מומלץ לשדרג ל-Cloud Service Mesh 1.10 ואילך.

גבוהה

CVE-2022-24726

‫Istiod קורס בזמן קבלת בקשות עם כותרת authorization שנוצרה במיוחד.

מה לעשות?

האשכול שלכם מושפע אם מתקיימים שני התנאים הבאים:

• הוא משתמש בגרסאות תיקון של Cloud Service Mesh שקודמות לגרסאות הבאות: ‎1.12.4-asm.1, ‎1.11.7-asm.1, או ‎1.10.6-asm.1.

הערה: אם אתם משתמשים ב-Managed Control Plane, נקודת החולשה הזו כבר תוקנה ולא תשפיע עליכם.

משדרגים את האשכול לאחת מהגרסאות הבאות עם תיקוני אבטחה:

• 1.12.4-asm.1
• 1.11.7-asm.1
• 1.10.6-asm.1

אם אתם משתמשים ב-Cloud Service Mesh בגרסה 1.9 או בגרסה מוקדמת יותר, הגרסה שלכם הגיעה לסוף חיי המוצר ולא נתמכת יותר. תיקוני ה-CVE האלה לא הועברו לאחור. מומלץ לשדרג ל-Cloud Service Mesh 1.10 ואילך.

גבוהה

CVE-2022-23635

ביטול האזכור הפוטנציאלי של מצביע null במהלך השימוש בהתאמת safe_regex של מסנן JWT.

מה לעשות?

האשכול שלכם מושפע אם מתקיימים שני התנאים הבאים:

• הוא משתמש בגרסאות תיקון של Cloud Service Mesh שקודמות לגרסאות הבאות: ‎1.12.4-asm.1, ‎1.11.7-asm.1, או ‎1.10.6-asm.1.
• למרות ש-Cloud Service Mesh לא תומך במסנני Envoy, יכול להיות שתהיה לכם השפעה אם אתם משתמשים בביטוי רגולרי של מסנן JWT.

משדרגים את האשכול לאחת מהגרסאות הבאות עם תיקוני אבטחה:

• 1.12.4-asm.1
• 1.11.7-asm.1
• 1.10.6-asm.1

אם אתם משתמשים ב-Cloud Service Mesh בגרסה 1.9 או בגרסה מוקדמת יותר, הגרסה שלכם הגיעה לסוף חיי המוצר והיא כבר לא נתמכת. תיקוני ה-CVE האלה לא הועברו לאחור. מומלץ לשדרג ל-Cloud Service Mesh 1.10 ואילך.

בינוני

CVE-2021-43824

שגיאת Use-after-free שנוצרת בזמן שמסנני התגובה מגדילים את נתוני התגובה, ומספר הנתונים הגדול חורג מהמגבלות של מאגר הנתונים הזמני ב-downstream.

מה לעשות?

האשכול שלכם מושפע אם מתקיימים שני התנאים הבאים:

• הוא משתמש בגרסאות תיקון של Cloud Service Mesh שקודמות לגרסאות הבאות: ‎1.12.4-asm.1, ‎1.11.7-asm.1, או ‎1.10.6-asm.1.
• למרות ש-Cloud Service Mesh לא תומך במסנני Envoy, יכול להיות שתהיה לכך השפעה אם אתם משתמשים במסנן דקומפרסיה.

משדרגים את האשכול לאחת מהגרסאות הבאות עם תיקוני אבטחה:

• 1.12.4-asm.1
• 1.11.7-asm.1
• 1.10.6-asm.1

אם אתם משתמשים ב-Cloud Service Mesh בגרסה 1.9 או בגרסה מוקדמת יותר, הגרסה שלכם הגיעה לסוף חיי המוצר והיא כבר לא נתמכת. תיקוני ה-CVE האלה לא הועברו לאחור. מומלץ לשדרג ל-Cloud Service Mesh 1.10 ואילך.

בינוני

CVE-2021-43825

שגיאת Use-after-free במהלך מנהור של TCP דרך HTTP, ‏ אם הלקוח ב-downstream מתנתק במהלך ביסוס החיבור ב-upstream.

מה לעשות?

האשכול שלכם מושפע אם מתקיימים שני התנאים הבאים:

• הוא משתמש בגרסאות תיקון של Cloud Service Mesh שקודמות לגרסאות הבאות: ‎1.12.4-asm.1, ‎1.11.7-asm.1, או ‎1.10.6-asm.1.
• למרות ש-Cloud Service Mesh לא תומך במסנני Envoy, יכול להיות שתהיה לכך השפעה אם אתם משתמשים במסנן מנהור.

משדרגים את האשכול לאחת מהגרסאות הבאות עם תיקוני אבטחה:

• 1.12.4-asm.1
• 1.11.7-asm.1
• 1.10.6-asm.1

אם אתם משתמשים ב-Cloud Service Mesh בגרסה 1.9 או בגרסה מוקדמת יותר, הגרסה שלכם הגיעה לסוף חיי המוצר והיא כבר לא נתמכת. תיקוני ה-CVE האלה לא הועברו לאחור. מומלץ לשדרג ל-Cloud Service Mesh 1.10 ואילך.

בינוני

CVE-2021-43826

טיפול שגוי בהגדרות שמאפשר שימוש מחדש בסשן של mTLS בלי אימות מחדש אחרי שהגדרות האימות השתנו.

מה לעשות?

האשכול שלכם מושפע אם מתקיימים שני התנאים הבאים:

• הוא משתמש בגרסאות תיקון של Cloud Service Mesh שקודמות לגרסאות הבאות: ‎1.12.4-asm.1, ‎1.11.7-asm.1, או ‎1.10.6-asm.1.
• כל השירותים של Cloud Service Mesh שמשתמשים ב-mTLS מושפעים מה-CVE הזה.

משדרגים את האשכול לאחת מהגרסאות הבאות עם תיקוני אבטחה:

• 1.12.4-asm.1
• 1.11.7-asm.1
• 1.10.6-asm.1

אם אתם משתמשים ב-Cloud Service Mesh בגרסה 1.9 או בגרסה מוקדמת יותר, הגרסה שלכם הגיעה לסוף חיי המוצר והיא כבר לא נתמכת. תיקוני ה-CVE האלה לא הועברו לאחור. מומלץ לשדרג ל-Cloud Service Mesh 1.10 ואילך.

גבוהה

CVE-2022-21654

טיפול שגוי בביצוע של הפניות פנימיות אוטומטיות בנתיבים עם רשומה של תגובה ישירה.

מה לעשות?

האשכול שלכם מושפע אם מתקיימים שני התנאים הבאים:

• הוא משתמש בגרסאות תיקון של Cloud Service Mesh שקודמות לגרסאות הבאות: ‎1.12.4-asm.1, ‎1.11.7-asm.1, או ‎1.10.6-asm.1.
• למרות ש-Cloud Service Mesh לא תומך במסנני Envoy, יכול להיות שתהיה לכך השפעה אם אתם משתמשים במסנן תגובה ישירה.

משדרגים את האשכול לאחת מהגרסאות הבאות עם תיקוני אבטחה:

• 1.12.4-asm.1
• 1.11.7-asm.1
• 1.10.6-asm.1

אם אתם משתמשים ב-Cloud Service Mesh בגרסה 1.9 או בגרסה מוקדמת יותר, הגרסה שלכם הגיעה לסוף חיי המוצר והיא כבר לא נתמכת. תיקוני ה-CVE האלה לא הועברו לאחור. מומלץ לשדרג ל-Cloud Service Mesh 1.10 ואילך.

גבוהה

CVE-2022-21655

מיצוי סטאק כאשר אשכול נמחק באמצעות Cluster Discovery Service.

מה לעשות?

האשכול שלכם מושפע אם מתקיימים שני התנאים הבאים:

• הוא משתמש בגרסאות תיקון של Cloud Service Mesh שקודמות לגרסאות ‎1.12.4-asm.1 או ‎1.11.7-asm.1.

משדרגים את האשכול לאחת מהגרסאות הבאות עם תיקוני אבטחה:

• 1.12.4-asm.1
• 1.11.7-asm.1

אם אתם משתמשים ב-Cloud Service Mesh בגרסה 1.9 או בגרסה מוקדמת יותר, הגרסה שלכם הגיעה לסוף חיי המוצר והיא כבר לא נתמכת. תיקוני ה-CVE האלה לא הועברו לאחור. מומלץ לשדרג ל-Cloud Service Mesh 1.10 ואילך.

בינוני

CVE-2022-23606

‫Istio כולל נקודת חולשה שאפשר לנצל מרחוק, שבה בקשת HTTP עם מקטע (קטע בסוף URI שמתחיל בתו #) בנתיב ה-URI עלולה לעקוף את מדיניות ההרשאה מבוססת-הנתיב URI של Istio.

לדוגמה, מדיניות הרשאות של Istio דוחה בקשות שנשלחות לנתיב ה-URI‏ /user/profile. בגרסאות הפגיעות, בקשה עם נתיב ה-URI‏ /user/profile#section1 עוקפת את מדיניות הדחייה ומופנית אל ה-backend (עם נתיב ה-URI המנורמל /user/profile%23section1), מה שמוביל לאירוע אבטחה.

התיקון הזה תלוי בתיקון ב-Envoy, שמשויך ל-CVE-2021-32779.

מה לעשות?

האשכול שלכם מושפע אם מתקיימים שני התנאים הבאים:

• היא משתמשת בגרסאות תיקון של Cloud Service Mesh שקודמות לגרסאות 1.7.8-asm.10,‏ 1.8.6-asm.8,‏ 1.9.8-asm.1 ו-1.10.4-asm.6.
• היא משתמשת במדיניות הרשאות עם DENY actions ו-operation.paths, או עם ALLOW actions ו-operation.notPaths.

משדרגים את האשכול לאחת מהגרסאות הבאות עם תיקוני אבטחה:

• 1.10.4-asm.6
• 1.9.8-asm.1
• 1.8.6-asm.8
• 1.7.8-asm.10

בגרסאות החדשות, החלק של המקטע ב-URI של הבקשה מוסר לפני ההרשאה והניתוב. כך בקשה עם מקטע ב-URI שלה לא יכולה לעקוף מדיניות הרשאות שמבוססת על ה-URI בלי חלק המקטע.

אם תבטלו את ההסכמה לשינוי הזה, קטע הפרגמנט ב-URI יישמר. כדי לבטל את ההסכמה, אפשר להגדיר את ההתקנה באופן הבא:

apiVersion: install.istio.io/v1alpha1
kind: IstioOperator
metadata:
  name: opt-out-fragment-cve-fix
  namespace: istio-system
spec:
  meshConfig:
    defaultConfig:
      proxyMetadata:
        HTTP_STRIP_FRAGMENT_FROM_PATH_UNSAFE_IF_DISABLED: "false"

הערה: ביטול ההסכמה להתנהגות הזו חושף את האשכול ל-CVE הזה.

גבוהה

CVE-2021-39156

‫Istio כולל נקודת חולשה שאפשר לנצל מרחוק, שבה בקשת HTTP עלולה לעקוף את מדיניות ההרשאה של Istio במהלך שימוש בכללים שמבוססים על hosts או על notHosts.

בגרסאות הפגיעות, מדיניות ההרשאה של Istio משווה את כותרות ה-HTTP Host או :authority באופן תלוי-אותיות רישיות, שלא עולה בקנה אחד עם RFC 4343. לדוגמה, יכול להיות שלמשתמש יש מדיניות הרשאות שדוחה בקשות עם מארח secret.com, אבל התוקף יכול לעקוף את זה על ידי שליחת הבקשה בשם המארח Secret.com. תהליך הניתוב מנתב את התנועה אל ה-Backend של secret.com, וזה גורם לאירוע אבטחה.

מה לעשות?

האשכול שלכם מושפע אם מתקיימים שני התנאים הבאים:

• היא משתמשת בגרסאות תיקון של Cloud Service Mesh שקודמות לגרסאות 1.7.8-asm.10,‏ 1.8.6-asm.8,‏ 1.9.8-asm.1 ו-1.10.4-asm.6.
• היא משתמשת במדיניות הרשאות עם DENY actions שמבוססת על operation.hosts או ALLOW actions שמבוססת על operation.notHosts.

משדרגים את האשכול לאחת מהגרסאות הבאות עם תיקוני אבטחה:

• 1.10.4-asm.6
• 1.9.8-asm.1
• 1.8.6-asm.8
• 1.7.8-asm.10

הפתרון הזה מבטיח שהכותרות HTTP‏ Host או :authority ייבדקו מול המפרטים hosts או notHosts במדיניות ההרשאות באופן לא תלוי רישיות.

גבוהה

CVE-2021-39155

‫Envoy כולל נקודת חולשה שאפשר לנצל מרחוק, שבה בקשת HTTP עם כותרות עם ערכים מרובים עלולה לבצע בדיקה חלקית של מדיניות הרשאה כשנעשה שימוש בתוסף ext_authz. כשכותרת של בקשה מכילה כמה ערכים, שרת ההרשאה החיצוני יראה רק את הערך האחרון של הכותרת.

מה לעשות?

האשכול שלכם מושפע אם מתקיימים שני התנאים הבאים:

• היא משתמשת בגרסאות תיקון של Cloud Service Mesh שקודמות לגרסאות 1.7.8-asm.10,‏ 1.8.6-asm.8,‏ 1.9.8-asm.1 ו-1.10.4-asm.6.
• הוא משתמש בתכונה External Authorization.

משדרגים את האשכול לאחת מהגרסאות הבאות עם תיקוני אבטחה:

• 1.10.4-asm.6
• 1.9.8-asm.1
• 1.8.6-asm.8
• 1.7.8-asm.10

גבוהה

CVE-2021-32777

‫Envoy כולל נקודת חולשה שאפשר לנצל מרחוק, שמשפיעה על התוספים או התוספים הקנייניים decompressor, ‏ json-transcoder ו-grpc-web של Envoy שמשנים ומגדילים את גוף הבקשה או התשובה. שינוי והגדלת הגוף בתוסף של Envoy מעבר לשטח האחסון הזמני הפנימי עלולים לגרום ל-Envoy לגשת לזיכרון שההקצאה שלו בוטלה ולהיסגר בצורה חריגה.

מה לעשות?

האשכול שלכם מושפע אם מתקיימים שני התנאים הבאים:

• היא משתמשת בגרסאות תיקון של Cloud Service Mesh שקודמות לגרסאות 1.7.8-asm.10,‏ 1.8.6-asm.8,‏ 1.9.8-asm.1 ו-1.10.4-asm.6.
• הוא משתמש ב-EnvoyFilters.

משדרגים את האשכול לאחת מהגרסאות הבאות עם תיקוני אבטחה:

• 1.10.4-asm.6
• 1.9.8-asm.1
• 1.8.6-asm.8
• 1.7.8-asm.10

גבוהה

CVE-2021-32781

‫Envoy כולל נקודת חולשה שאפשר לנצל מרחוק, שבה לקוח Envoy שפותח ואז מאתחל מספר גדול של בקשות HTTP/2 עלול לגרום לשימוש חריג במעבד (CPU).

מה לעשות?

האשכול מושפע אם הוא משתמש בגרסאות תיקון של Cloud Service Mesh שקודמות לגרסאות 1.7.8-asm.10,‏ 1.8.6-asm.8,‏ 1.9.8-asm.1 ו-1.10.4-asm.6.

משדרגים את האשכול לאחת מהגרסאות הבאות עם תיקוני אבטחה:

• 1.10.4-asm.6
• 1.9.8-asm.1

הערה: אם אתם משתמשים ב-Cloud Service Mesh בגרסה 1.8 או בגרסאות קודמות, מומלץ לשדרג לגרסאות העדכניות של תיקוני האבטחה של Cloud Service Mesh 1.9 ואילך כדי לצמצם את הסיכון לניצול לרעה של הפגיעות הזו.

גבוהה

CVE-2021-32778

‫Envoy כולל נקודת חולשה שאפשר לנצל מרחוק, שבה שירות upstream לא מהימן עלול לגרום ל-Envoy להיסגר בצורה חריגה על ידי שליחת המסגרת GOAWAY ואחריה המסגרת SETTINGS כשהפרמטר SETTINGS_MAX_CONCURRENT_STREAMS מוגדר ל-0.

מה לעשות?

האשכול מושפע אם הוא משתמש ב-Cloud Service Mesh 1.10 עם גרסת תיקון מוקדמת יותר מ-1.10.4-asm.6.

משדרגים את האשכול לגרסת התיקון הבאה:

• 1.10.4-asm.6

גבוהה

CVE-2021-32780

‫Istio secure Gateway או workloads using the DestinationRule יכולים לטעון מפתחות פרטיים ואישורים של TLS מסודות של Kubernetes באמצעות ההגדרה credentialName. מגרסה Istio 1.8 ואילך, הסודות נקראים מ-istiod ומועברים לשערי גישה ולעומסי עבודה באמצעות XDS.

בדרך כלל, פריסה של שער או של עומס עבודה יכולה לגשת רק לאישורי TLS ולמפתחות פרטיים שמאוחסנים בסוד במרחב השמות שלה. עם זאת, באג ב-istiod מאפשר ללקוח שמורשה לגשת אל Istio XDS API לאחזר כל אישור TLS ומפתחות פרטיים שנשמרו במטמון ב-istiod. פגיעות האבטחה הזו משפיעה רק על הגרסאות המשניות 1.8 ו-1.9 של Cloud Service Mesh.

מה לעשות?

האשכול מושפע אם כל התנאים הבאים מתקיימים:

• הוא משתמש בגרסה 1.9.x לפני 1.9.6-asm.1 או בגרסה 1.8.x לפני 1.8.6-asm.4.
• הוגדר Gateways או DestinationRules עם השדה credentialName.
• לא צוין הסימון istiod PILOT_ENABLE_XDS_CACHE=false.

משדרגים את האשכול לאחת מהגרסאות הבאות עם תיקוני אבטחה:

• 1.9.6-asm.1
• 1.8.6-asm.4

גבוהה

CVE-2021-34824

‫Istio כולל נקודת חולשה שאפשר לנצל מרחוק, שבה לקוח חיצוני יכול לגשת לשירותים בלתי צפויים באשכול תוך עקיפה של בדיקות ההרשאה, כאשר יש שער שמוגדר באמצעות הגדרת הניתוב AUTO_PASSTHROUGH.

מה לעשות?

הפגיעות הזו משפיעה רק על השימוש בסוג השער AUTO_PASSTHROUGH, שבדרך כלל משמש רק בפריסות מרובות רשתות ומרובות אשכולות.

מריצים את הפקודה הבאה כדי לזהות את מצב ה-TLS של כל שערים באשכול:

kubectl get gateways.networking.istio.io -A -o \
  "custom-columns=NAMESPACE:.metadata.namespace, \
  NAME:.metadata.name,TLS_MODE:.spec.servers[*].tls.mode"

אם הפלט מציג שערים מסוג AUTO_PASSTHROUGH, יכול להיות שהדבר ישפיע עליכם.

מעדכנים את האשכולות לגרסאות האחרונות של Cloud Service Mesh:

• 1.9.5-asm.2
• 1.8.6-asm.3
• 1.7.8-asm.8

* הערה: השקת Managed Control Plane של Cloud Service Mesh (זמין רק בגרסאות 1.9.x) תסתיים בימים הקרובים.

גבוהה

CVE-2021-31921

‫Istio כולל נקודת חולשה שאפשר לנצל מרחוק, שבה נתיב של בקשת HTTP שמכיל כמה קווים נטויים או תווים של קו נטוי עם תווי בריחה (escape)‏ (%2F או %5C) עלול לעקוף את מדיניות האימות של Istio כשמשתמשים בכללי אימות מבוססי-נתיב.

בתרחיש שבו אדמין של אשכול Istio מגדיר מדיניות דחייה של הרשאה כדי לדחות את הבקשה בנתיב "/admin", בקשה שנשלחת לנתיב כתובת ה-URL "//admin" לא תידחה על ידי מדיניות ההרשאה.

לפי RFC 3986, מבחינה טכנית, הנתיב "//admin" עם כמה לוכסנים צריך להיחשב כנתיב שונה מהנתיב "/admin". עם זאת, חלק מהשירותים העורפיים בוחרים לנרמל את נתיבי כתובות ה-URL על ידי מיזוג של כמה לוכסנים ללוכסן יחיד. התוצאה יכולה להיות עקיפה של מדיניות ההרשאות ("//admin" לא תואם ל-"/admin"), ומשתמש יכול לגשת למשאב בנתיב "/admin" בקצה העורפי.

מה לעשות?

הפגיעות הזו משפיעה על האשכול שלכם אם יש לכם מדיניות הרשאות שמשתמשת בדפוסים הבאים: 'ALLOW action + notPaths field' או 'DENY action + paths field'. התבניות האלה פגיעות לעקיפות לא צפויות של המדיניות, ולכן מומלץ לשדרג כדי לפתור את בעיית האבטחה בהקדם האפשרי.

הדוגמה הבאה היא של מדיניות פגיעה שמשתמשת בתבנית 'שדה נתיבים + פעולת דחייה':

apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: deny-path-admin
spec:
  action: DENY
  rules:
  - to:
    - operation:
        paths: ["/admin"]

דוגמה נוספת למדיניות פגיעה שמשתמשת בתבנית 'ALLOW action + notPaths field':

apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: allow-path-not-admin
spec:
  action: ALLOW
  rules:
  - to:
    - operation:
        notPaths: ["/admin"]

האשכול שלכם לא מושפע מנקודת החולשה הזו אם:

• אין לכם מדיניות הרשאות.
• במדיניות ההרשאות לא מוגדרים השדות paths או notPaths.
• במדיניות ההרשאות שלכם נעשה שימוש בדפוסים 'ALLOW action + paths field' או 'DENY action + notPaths field'. הדפוסים האלה עלולים לגרום לדחייה בלתי צפויה במקום לעקוף את המדיניות.

השדרוג הוא אופציונלי במקרים האלה.

מעדכנים את האשכולות לגרסאות הנתמכות האחרונות של Cloud Service Mesh*. הגרסאות האלה תומכות בהגדרת שרתי ה-proxy של Envoy במערכת עם אפשרויות נורמליזציה נוספות:

• 1.9.5-asm.2
• 1.8.6-asm.3
• 1.7.8-asm.8

* הערה: השקת Managed Control Plane של Cloud Service Mesh (זמין רק בגרסאות 1.9.x) תסתיים בימים הקרובים.

כדי להגדיר את מדיניות ההרשאות, פועלים לפי השיטות המומלצות לאבטחה ב-Istio.

גבוהה

CVE-2021-31920

בפרויקטים Envoy ו-Istioדיווחו לאחרונה על מספר נקודות חולשה חדשות באבטחה (CVE-2021-28682, ‏ CVE-2021-28683 ו-CVE-2021-29258), שעלולות לאפשר לתוקף לגרום לקריסת Envoy, ואולי להוציא חלקים מהאשכול ממצב אונליין ולמנוע גישה אליהם.

הדבר משפיע על שירותים שסופקו, כמו Cloud Service Mesh.

מה לעשות?

כדי לתקן את נקודות החולשה האלה, צריך לשדרג את חבילת Cloud Service Mesh לאחת מהגרסאות המתוקנות הבאות:

• 1.9.3-asm.2
• 1.8.5-asm.2
• 1.7.8-asm.1
• 1.6.14-asm.2

מידע נוסף זמין בהערות על הגרסה של Cloud Service Mesh.

גבוהה

CVE-2021-28682
CVE-2021-28683
CVE-2021-29258