Christarazi

**Nome do software vulnerável e versões afetadas** Versões do Cilium 1.14.0 a 1.14.15 Versões do Cilium 1.15.0 a 1.15.9 **Descrição** Uma regra de política que nega um prefixo mais amplo que /32 pode ser ignorada se houver uma regra de política referenciando um prefixo mais restrito (`CIDRSet` ou `toFQDN`) e essa regra de política mais restrita especificar `enableDefaultDeny: false` ou `- toEntities: all`. Este problema afeta políticas que usam `enableDefaultDeny: false` ou que definem `toEntities` como `all`. Por exemplo, considerando as políticas abaixo, o tráfego é permitido para 1.1.1.2, quando deveria ser negado. ``` apiVersion: cilium.io/v2 kind: CiliumClusterwideNetworkPolicy metadata: name: block-scary-range spec: endpointSelector: {} egressDeny: - toCIDRSet: - cidr: 1.0.0.0/8 --- apiVersion: cilium.io/v2 kind: CiliumNetworkPolicy metadata: name: evade-deny spec: endpointSelector: {} egress: - toCIDR: - 1.1.1.2/32 - toEntities: - all ``` **Recomendações** Para usuários com políticas que utilizam `enableDefaultDeny: false`, remova essa opção de configuração e defina explicitamente quaisquer regras de permissão necessárias. Para usuários com políticas de saída que especificam explicitamente `toEntities: all`, considere usar `toEntities: world` como uma solução alternativa temporária até que uma correção esteja disponível. Atualize para o Cilium v1.14.16 ou v1.15.10 para resolver o problema.