Giorio94

**Nome do software vulnerável e versões afetadas** Versões do Cilium anteriores à 1.13.13 Versões do Cilium anteriores à 1.14.8 Versões do Cilium anteriores à 1.15.2 Versões do Cilium da 1.4 à 1.12 **Descrição** Em clusters do Cilium com IPsec habilitado e tráfego correspondente às políticas da Camada 7, o tráfego elegível para IPsec entre o proxy Envoy de um nó e os pods em outros nós é enviado sem criptografia, e o tráfego elegível para IPsec entre o proxy DNS de um nó e os pods em outros nós é enviado sem criptografia. Este problema afeta conexões selecionadas por uma Política de Rede de Saída L7 ou uma Política de DNS no modo de roteamento nativo, o que é uma limitação conhecida da criptografia IPsec do Cilium. **Recomendações** Para versões do Cilium anteriores à 1.13.13, atualize para a versão 1.13.13 ou posterior. Para versões do Cilium anteriores à 1.14.8, atualize para a versão 1.14.8 ou posterior. Para versões do Cilium anteriores à 1.15.2, atualize para a versão 1.15.2 ou posterior. Para as versões do Cilium de 1.4 a 1.12, atualize para uma versão fora desse intervalo, como 1.13.13, 1.14.8 ou 1.15.2. Como não há uma solução alternativa temporária disponível, a atualização para as versões especificadas é a ação recomendada.

**Nome do software vulnerável e versões afetadas** Versões do Cilium 1.14.0 a 1.14.7 Versões do Cilium 1.15.0 a 1.15.1 Versão 1.14.4 do Cilium com `encryption.wireguard.encapsulate` definido como `false` no modo de tunelamento **Descrição** Em clusters do Cilium com o WireGuard habilitado e tráfego correspondente às políticas da Camada 7, o tráfego elegível para o WireGuard enviado entre o proxy Envoy de um nó e os pods em outros nós é enviado sem criptografia, e o tráfego elegível para o WireGuard enviado entre o proxy DNS de um nó e os pods em outros nós é enviado sem criptografia. **Recomendações** Para as versões 1.14.0 a 1.14.7 do Cilium, atualize para a versão 1.14.8 ou posterior no modo de roteamento nativo. Para as versões 1.15.0 a 1.15.1 do Cilium, atualize para a versão 1.15.2 ou posterior no modo de roteamento nativo. Para a versão 1.14.4 do Cilium no modo de tunelamento, defina `encryption.wireguard.encapsulate` como `true` para resolver o problema. Não há nenhuma solução alternativa conhecida para este problema.

**Name of the Vulnerable Software and Affected Versions** cilium-cli versions prior to 0.13.2 **Description** The issue arises when `cilium-cli` is used to configure cluster mesh functionality, potentially removing the enforcement of user permissions on the `etcd` store. This occurs due to an incorrect mount point specification, causing the settings specified by the `initContainer` to be overwritten. As a result, an attacker with access to a valid key and certificate for the compromised `etcd` cluster could modify its state. **Recommendations** For versions prior to 0.13.2, update to version 0.13.2 to resolve the issue. As a temporary workaround, consider using Cilium's Helm charts to create the cluster instead of `cilium-cli`.