Julianwiedmann

**Nome do Software Vulnerável e Versões Afetadas** Versões do Cilium de 1.18.0 a 1.18.5 **Descrição** O Cilium, uma solução de rede, observabilidade e segurança que utiliza um plano de dados baseado em eBPF, é afetado por um problema onde o tráfego de Pods em outros nodes pode ser permitido incorretamente. Isso ocorre quando o Roteamento Nativo, o WireGuard e a Criptografia de Nó estão habilitados simultaneamente. O problema decorre de uma aplicação incorreta de políticas quando essas configurações estão ativas. Uma correção foi introduzida na versão 1.18.6. Uma solução alternativa envolve adicionar regras e rotas IP para garantir que todo o tráfego de entrada (ingress) da interface `cilium wg0` seja roteado para `cilium host` para aplicação de políticas. Isso garante que as políticas de segurança em nível de host sejam aplicadas ao tráfego WireGuard descriptografado. A solução alternativa envolve executar os seguintes comandos em cada CiliumNode: ```bash # IPv4 Traffic ip rule add iif cilium wg0 table 300 ip route add default dev cilium host table 300 # IPv6 Traffic ip -6 rule add iif cilium wg0 table 300 ip -6 route add default dev cilium net table 300 ``` **Recomendações** As versões do Cilium de 1.18.0 a 1.18.5 devem ser atualizadas para a versão 1.18.6 ou posterior. Como solução alternativa temporária, adicione as seguintes regras e rotas IP em cada CiliumNode: ```bash # IPv4 Traffic ip rule add iif cilium wg0 table 300 ip route add default dev cilium host table 300 # IPv6 Traffic ip -6 rule add iif cilium wg0 table 300 ip -6 route add default dev cilium net table 300 ```