Howardjohn

Nome do Software Vulnerável e Versões Afetadas Versões do cel-rust de 0.10.0 a 0.11.3 Descrição O cel-rust é um interpretador de Common Expression Language escrito em Rust. A análise de expressões Common Expression Language (CEL) específicas e malformadas pode causar o encerramento inesperado do analisador. Se utilizado para avaliar expressões não confiáveis, como entrada fornecida pelo usuário recebida através de uma API, um atacante pode enviar entrada manipulada para provocar uma negação de serviço (DoS). Recomendações Atualize para a versão 0.11.4 ou posterior.

Nome do software vulnerável e versões afetadas: Versões do Envoy anteriores à 1.28.7 Versões do Envoy anteriores à 1.29.9 Versões do Envoy anteriores à 1.30.6 Versões do Envoy anteriores à 1.31.2 Descrição: Foi identificada uma vulnerabilidade no Envoy que permite que invasores mal-intencionados injetem conteúdo inesperado nos logs de acesso. Isso é feito explorando a falta de validação do campo `REQUESTED SERVER NAME` nos registradores de logs de acesso. Recomendações: Para versões anteriores à 1.28.7, atualize para a versão 1.28.7 ou posterior. Para versões anteriores à 1.29.9, atualize para a versão 1.29.9 ou posterior. Para versões anteriores à 1.30.6, atualize para a versão 1.30.6 ou posterior. Para versões anteriores à 1.31.2, atualize para a versão 1.31.2 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do Istio 1.15.x anteriores à 1.15.3 **Descrição** Um usuário pode se passar por qualquer identidade de carga de trabalho dentro da malha de serviços se tiver acesso localhost ao plano de controle do Istiod. **Recomendações** Para versões anteriores à 1.15.3, atualize para a versão 1.15.3 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso localhost ao plano de controle do Istiod até que um patch seja aplicado.

**Nome do software vulnerável e versões afetadas** Versões do Istio anteriores à 1.15.2 Versões do Istio anteriores à 1.14.5 Versões do Istio anteriores à 1.13.9 **Descrição** O Istio é uma malha de serviços aberta e independente de plataforma que fornece gerenciamento de tráfego, aplicação de políticas e coleta de telemetria. O plano de controle do Istio, o istiod, está vulnerável a um erro de processamento de solicitação, permitindo que um invasor mal-intencionado envie uma mensagem especialmente criada ou de tamanho excessivo, o que resulta na falha do plano de controle quando o serviço de webhook de validação ou mutação do Kubernetes é exposto publicamente. Este endpoint é servido pela porta TLS 15017, mas não requer nenhuma autenticação por parte do invasor. Em instalações simples, o Istiod normalmente só é acessível de dentro do cluster, limitando o alcance do impacto. No entanto, em algumas implantações, especialmente em topologias externas do istiod, essa porta fica exposta na internet pública. O problema se deve a um erro no `regexp.Compile` no Go. **Recomendações** Para versões anteriores à 1.15.2, atualize para a versão 1.15.2 ou posterior. Para versões anteriores à 1.14.5, atualize para a versão 1.14.5 ou posterior. Para versões anteriores à 1.13.9, atualize para a versão 1.13.9 ou posterior. Como solução alternativa temporária, considere restringir o acesso ao serviço de webhook de validação ou mutação do Kubernetes para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do Istio anteriores à 1.12.8 Versões do Istio anteriores à 1.13.5 Versões do Istio anteriores à 1.14.1 **Descrição** O problema decorre de cabeçalhos malformados enviados ao Envoy em determinadas configurações, levando a um acesso inesperado à memória, o que pode resultar em comportamento indefinido ou falhas no sistema. Os usuários correm maior risco se tiverem um gateway de entrada do Istio exposto ao tráfego externo. **Recomendações** Para versões anteriores à 1.12.8, atualize para a versão 1.12.8 ou posterior. Para versões anteriores à 1.13.5, atualize para a versão 1.13.5 ou posterior. Para versões anteriores à 1.14.1, atualize para a versão 1.14.1 ou posterior. Como solução alternativa temporária, considere restringir o acesso ao gateway de entrada do Istio para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do Istio anteriores à 1.11.8 Versões do Istio anteriores à 1.12.5 Versões do Istio anteriores à 1.13.2 **Descrição** O Istio é uma plataforma aberta para conectar, gerenciar e proteger microsserviços. Nas versões afetadas, o plano de controle do Istio, o istiod, está vulnerável a um erro de processamento de solicitação, permitindo que um invasor mal-intencionado envie uma mensagem especialmente criada que resulte na falha do plano de controle quando o webhook de validação de um cluster for exposto publicamente. Esse endpoint é servido pela porta TLS 15017, mas não requer nenhuma autenticação por parte do invasor. Em instalações simples, o Istiod normalmente só é acessível de dentro do cluster, limitando o alcance do impacto. No entanto, em algumas implantações, especialmente em topologias externas do istiod, essa porta fica exposta na Internet pública. **Recomendações** Para versões anteriores à 1.11.8, atualize para a versão 1.11.8 ou posterior. Para versões anteriores à 1.12.5, atualize para a versão 1.12.5 ou posterior. Para versões anteriores à 1.13.2, atualize para a versão 1.13.2 ou posterior. Como solução alternativa temporária, considere desativar o acesso ao webhook de validação exposto à Internet pública ou restringir o conjunto de endereços IP que podem consultá-lo a um conjunto de entidades conhecidas e confiáveis.

**Nome do software vulnerável e versões afetadas** Versões 1.12.0 a 1.12.1 do Istio **Descrição** O Istio é uma plataforma aberta para conectar, gerenciar e proteger microsserviços. A vulnerabilidade permite que usuários com permissão `CREATE` para objetos `gateways.gateway.networking.k8s.io` elevem esse privilégio e criem outros recursos aos quais talvez não tenham acesso, como `Pod`. Isso afeta apenas o recurso em nível Alpha, a API do Kubernetes Gateway, e não o tipo Istio Gateway. **Recomendações** Para as versões 1.12.0 e 1.12.1, atualize para uma versão mais recente para resolver o problema. Como solução alternativa temporária para as versões 1.12.0 e 1.12.1, considere uma das seguintes opções: remova a CustomResourceDefinition gateways.gateway.networking.k8s.io, defina a variável de ambiente PILOT ENABLE GATEWAY API DEPLOYMENT CONTROLLER=true no Istiod ou remova as permissões CREATE para objetos gateways.gateway.networking.k8s.io de usuários não confiáveis.