John Howard

**Nome do Software Vulnerável e Versões Afetadas** Versões do Linkerd 2.16.* até 2.16.4 Versões do Linkerd 2.17.* até 2.17.1 Versões do Linkerd 2.18.* (nenhuma versão final específica mencionada, mas anteriores à 2.18.0) Versões do Buoyant Edge anteriores à edge-25.2.1 **Descrição** O esgotamento de recursos pode ocorrer nas métricas do proxy do Linkerd nas versões especificadas. **Recomendações** Para as versões do Linkerd 2.16.* até 2.16.4, atualize para a versão 2.16.5 ou posterior. Para as versões do Linkerd 2.17.* até 2.17.1, atualize para a versão 2.17.2 ou posterior. Para as versões do Linkerd 2.18.* anteriores à 2.18.0, atualize para a versão 2.18.0 ou posterior. Para as versões do Buoyant Edge anteriores à edge-25.2.1, atualize para a versão edge-25.2.1 ou posterior.

**Nome do software vulnerável e versões afetadas** versões do crypto/tls (versões afetadas não especificadas) golang (versões afetadas não especificadas) **Descrição** O problema ocorre ao verificar uma cadeia de certificados que contém um certificado com um algoritmo de chave pública desconhecido, fazendo com que o método `Certificate.Verify` entre em pânico. Isso afeta todos os clientes e servidores crypto/tls que definem Config.ClientAuth como VerifyClientCertIfGiven ou RequireAndVerifyClientCert. O comportamento padrão para servidores TLS é não verificar certificados de cliente. Há também uma menção a uma vulnerabilidade no pacote golang do sistema operacional Debian GNU/Linux relacionada ao tratamento insuficiente de exceções, que pode ser explorada por um invasor remoto para causar uma negação de serviço (DoS). **Recomendações** Para o crypto/tls, considere desativar a função Certificate.Verify até que um patch esteja disponível para evitar o panic ao encontrar algoritmos de chave pública desconhecidos. Para o golang, restrinja o uso do pacote vulnerável para minimizar o risco de exploração até que uma correção seja fornecida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** golang.org/x/net/http2/h2c (affected versions not specified) **Description** A request smuggling attack is possible when using MaxBytesHandler. The body of an HTTP request is not fully consumed, and when the server attempts to read HTTP2 frames from the connection, it will instead be reading the body of the HTTP request. This could be attacker-manipulated to represent arbitrary HTTP2 requests. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do software vulnerável e versões afetadas** Versões do Istio anteriores à 1.11.7 Versões do Istio anteriores à 1.12.4 Versões do Istio anteriores à 1.13.1 **Descrição** O plano de controle do Istio, `istiod`, está vulnerável a um erro de processamento de solicitação, permitindo que um invasor mal-intencionado envie uma mensagem especialmente criada para causar a falha do plano de controle. Esse endpoint é servido pela porta TLS 15012, mas não exige nenhuma autenticação do invasor. Em instalações simples, o Istiod normalmente só é acessível de dentro do cluster, limitando o alcance do ataque. No entanto, em algumas implantações, especialmente em topologias com vários clusters, essa porta fica exposta na Internet pública. **Recomendações** Para versões anteriores à 1.11.7, atualize para o Istio 1.11.7 ou superior. Para versões anteriores à 1.12.4, atualize para o Istio 1.12.4 ou superior. Para versões anteriores à 1.13.1, atualize para o Istio 1.13.1 ou superior. Como solução temporária, considere limitar o acesso de rede ao Istiod ao conjunto mínimo de clientes para ajudar a diminuir o escopo da vulnerabilidade.

**Nome do software vulnerável e versões afetadas: Versões do Istio 1.8.x a 1.10.1 Descrição: A falha permite que as credenciais especificadas no campo `credentialName` do Gateway e da DestinationRule sejam acessadas a partir de diferentes namespaces. Trata-se de uma vulnerabilidade explorável remotamente. Recomendações: Para as versões do Istio 1.8.x a 1.10.1, atualize para uma versão que contenha uma correção para este problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas: Versões do Istio 1.8.0 a 1.8.6 Versões do Istio 1.9.0 a 1.9.5 Descrição: A vulnerabilidade permite que um cliente externo acesse serviços inesperados no cluster, contornando as verificações de autorização, quando um gateway é configurado com a configuração de roteamento AUTO PASSTHROUGH. Isso pode ser explorado remotamente. Recomendações: Para as versões do Istio 1.8.0 a 1.8.6, atualize para a versão 1.8.6 ou posterior. Para as versões 1.9.0 a 1.9.5 do Istio, atualize para a versão 1.9.5 ou posterior. Como solução alternativa temporária, considere alterar a configuração de roteamento do gateway de AUTO PASSTHROUGH para uma configuração mais restritiva, a fim de minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Kubernetes (versões afetadas não especificadas) **Descrição** Uma falha de segurança no Kubernetes permite que um invasor remoto redirecione o tráfego do pod para redes privadas em um nó, podendo acessar dados confidenciais e comprometer sua integridade. A falha está relacionada à falta de validação dos endereços IP do EndpointSlice, que já era realizada nos endereços IP do Endpoint no intervalo localhost ou link-local. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.