Erik Lindblad

**Nome do software vulnerável e versões afetadas** Versões do Envoy anteriores à 1.22.1 **Descrição** A vulnerabilidade afeta o Envoy, um proxy de alto desempenho nativo da nuvem, cujas versões anteriores à 1.22.1 estão sujeitas a uma falha de segmentação no GrpcHealthCheckerImpl. O Envoy possui um recurso para realizar vários tipos de verificação de integridade upstream, incluindo uma que utiliza gRPC. Um invasor que controle um host upstream e sua descoberta de serviços pode causar a falha do Envoy forçando a remoção do host da descoberta de serviços e, em seguida, fazendo com que a solicitação de verificação de integridade do gRPC falhe, resultando em uma referência a ponteiro nulo. **Recomendações** Para versões do Envoy anteriores à 1.22.1, atualize para a versão 1.22.1 ou posterior para resolver o problema. Como solução alternativa temporária para usuários que não possam atualizar, considere desativar a verificação de integridade do gRPC e/ou substituí-la por um tipo diferente de verificação de integridade para mitigar o risco.