Phlax

**Nome do Software Vulnerável e Versões Afetadas** Versões do Envoy anteriores a 1.34.1 Versões do Envoy anteriores a 1.33.3 Versões do Envoy anteriores a 1.32.6 Versões do Envoy anteriores a 1.31.8 **Descrição** O problema surge porque o correspondente de modelo de URI do Envoy exclui incorretamente o caractere `*` de um conjunto de caracteres válidos no caminho da URI. Isso pode levar a um bypass das regras de Controle de Acesso Baseado em Funções (RBAC) quando configurado usando as permissões `uri template`. **Recomendações** Para versões anteriores a 1.34.1, atualize para a versão 1.34.1 ou posterior. Para versões anteriores a 1.33.3, atualize para a versão 1.33.3 ou posterior. Para versões anteriores a 1.32.6, atualize para a versão 1.32.6 ou posterior. Para versões anteriores a 1.31.8, atualize para a versão 1.31.8 ou posterior. Como solução alternativa temporária, configure permissões RBAC adicionais usando `url path` com a expressão `safe regex`.

**Nome do software vulnerável e versões afetadas** Versões do Envoy anteriores à 1.31.5 Versões do Envoy anteriores à 1.32.3 **Descrição** O problema está relacionado à implementação incorreta do fluxo de controle ao lidar com respostas HTTP no servidor proxy Envoy. Isso pode levar a falhas a jusante em dispositivos em rede. O problema surge porque o Envoy não lida adequadamente com respostas HTTP 1.1 1xx que não sejam 101. **Recomendações** Para versões do Envoy anteriores à 1.31.5, atualize para a versão 1.31.5 ou posterior. Para versões do Envoy anteriores à 1.32.3, atualize para a versão 1.32.3 ou posterior. Como solução alternativa temporária, considere restringir o uso de respostas HTTP 1.1 não 101 1xx até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Versões do Envoy anteriores à 1.30.8 Versões do Envoy anteriores à 1.31.4 Versões do Envoy anteriores à 1.32.2 **Descrição** O problema está relacionado ao algoritmo de classificação Happy Eyeballs no proxy Envoy, que trava quando endereços adicionais não são endereços IP. Isso pode ser explorado por um invasor remoto para causar uma negação de serviço. O número estimado de dispositivos potencialmente afetados em todo o mundo não foi especificado. **Recomendações** Para versões anteriores à 1.30.8, atualize para a versão 1.30.8 ou posterior. Para versões anteriores à 1.31.4, atualize para a versão 1.31.4 ou posterior. Para versões anteriores à 1.32.2, atualize para a versão 1.32.2 ou posterior. Como solução temporária, considere desativar o algoritmo Happy Eyeballs até que um patch esteja disponível. Como alternativa, altere a configuração de IP para evitar a falha.

**Nome do software vulnerável e versões afetadas** Versões do Envoy anteriores à 1.26.7 Versões do Envoy anteriores à 1.27.3 Versões do Envoy anteriores à 1.28.1 Versões do Envoy anteriores à 1.29.1 **Descrição** O problema está relacionado a um proxy de borda/intermediário/serviço de alto desempenho, no qual a expressão regex é compilada para cada solicitação, resultando em alto uso da CPU e aumento da latência das solicitações quando várias rotas são configuradas com tais comparadores. Isso pode ser explorado por um invasor remoto para causar uma negação de serviço. **Recomendações** Para versões anteriores à 1.26.7, atualize para a versão 1.26.7 ou posterior. Para versões anteriores à 1.27.3, atualize para a versão 1.27.3 ou posterior. Para versões anteriores à 1.28.1, atualize para a versão 1.28.1 ou posterior. Para versões anteriores à 1.29.1, atualize para a versão 1.29.1 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do Envoy anteriores à 1.26.7 Versões do Envoy anteriores à 1.27.3 Versões do Envoy anteriores à 1.28.1 Versões do Envoy anteriores à 1.29.1 **Descrição** O problema está relacionado a erros de desreferência de ponteiro no servidor proxy Envoy. A exploração dessa vulnerabilidade pode permitir que um invasor remoto cause uma negação de serviço. O problema ocorre quando o PPv2 está habilitado tanto em um listener quanto em um cluster subsequente, e a instância do Envoy tenta criar o cabeçalho PPv2 upstream para uma solicitação downstream com um tipo de comando LOCAL e sem o bloco de protocolo. **Recomendações** Para versões anteriores à 1.26.7, atualize para a versão 1.26.7 ou posterior. Para versões anteriores à 1.27.3, atualize para a versão 1.27.3 ou posterior. Para versões anteriores à 1.28.1, atualize para a versão 1.28.1 ou posterior. Para versões anteriores à 1.29.1, atualize para a versão 1.29.1 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do Envoy anteriores à 1.29.1 Versões do Envoy anteriores à 1.28.1 Versões do Envoy anteriores à 1.27.3 Versões do Envoy anteriores à 1.26.7 **Descrição** A vulnerabilidade está relacionada a um erro de uso após liberação de memória (use-after-free) no servidor proxy Envoy. A exploração desse problema pode permitir que um invasor remoto cause a falha do aplicativo. O Envoy irá falhar quando determinados tempos de espera ocorrerem dentro do mesmo intervalo, especificamente quando `hedge on per try timeout` estiver habilitado, `per try idle timeout` estiver habilitado e `per-try-timeout` estiver habilitado com seu valor igual ou dentro do intervalo de recuo do `per try idle timeout`. **Recomendações** Para versões do Envoy anteriores à 1.29.1, atualize para a versão 1.29.1 ou posterior. Para versões do Envoy anteriores à 1.28.1, atualize para a versão 1.28.1 ou posterior. Para versões do Envoy anteriores à 1.27.3, atualize para a versão 1.27.3 ou posterior. Para versões do Envoy anteriores à 1.26.7, atualize para a versão 1.26.7 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do Envoy anteriores à 1.26.7 Versões do Envoy anteriores à 1.27.3 Versões do Envoy anteriores à 1.28.1 Versões do Envoy anteriores à 1.29.1 **Descrição** O problema está relacionado à falha do Envoy no protocolo Proxy ao usar um tipo de endereço não suportado pelo sistema operacional. Especificamente, o Envoy está sujeito a falhar em um host com IPv6 desativado e uma configuração de listener com o protocolo Proxy ativado quando recebe uma solicitação em que o cliente apresenta seu endereço IPv6. Esse é um cenário válido, pois um cliente pode apresentar seu endereço IPv6 a um servidor de destino mesmo que toda a cadeia esteja conectada via IPv4. O problema decorre de uma exceção não capturada. **Recomendações** Para versões anteriores à 1.26.7, atualize para a versão 1.26.7 ou posterior. Para versões anteriores à 1.27.3, atualize para a versão 1.27.3 ou posterior. Para versões anteriores à 1.28.1, atualize para a versão 1.28.1 ou posterior. Para versões anteriores à 1.29.1, atualize para a versão 1.29.1 ou posterior. Como solução alternativa temporária, considere desativar o protocolo de proxy em hosts com IPv6 desativado até que um patch esteja disponível.

**Name of the Vulnerable Software and Affected Versions** Envoy versions prior to 1.27.0 Envoy versions prior to 1.26.4 Envoy versions prior to 1.25.9 Envoy versions prior to 1.24.10 Envoy versions prior to 1.23.12 **Description** The issue is related to a use-after-free error in the HTTP CORS filter of the Envoy proxy server. This can be exploited by a remote attacker to perform a denial-of-service (DoS) attack when the `origin` header is removed between `decodeHeaders` and `encodeHeaders` operations. **Recommendations** For versions prior to 1.27.0, update to version 1.27.0 or later. For versions prior to 1.26.4, update to version 1.26.4 or later. For versions prior to 1.25.9, update to version 1.25.9 or later. For versions prior to 1.24.10, update to version 1.24.10 or later. For versions prior to 1.23.12, update to version 1.23.12 or later. As a temporary workaround, do not remove the `origin` header in the Envoy configuration.

**Name of the Vulnerable Software and Affected Versions** Envoy versions prior to 1.26.0, 1.25.3, 1.24.4, 1.23.6, and 1.22.9 **Description** The issue concerns escalation of privileges when `failure mode allow: true` is configured for the `ext authz` filter in Envoy, an open source edge and service proxy. This can occur when Envoy receives an HTTP header with non-UTF-8 data and is configured to use certain filters and services. As a result, Envoy may generate an invalid protobuf message, leading to unforeseen errors, including a lack of visibility into requests. In versions 1.26.0 and later, Envoy sanitizes values sent in gRPC service calls to be valid UTF-8 by default. **Recommendations** For versions prior to 1.26.0, 1.25.3, 1.24.4, 1.23.6, and 1.22.9, update to version 1.26.0, 1.25.3, 1.24.4, 1.23.6, or 1.22.9 to resolve the issue. As a temporary workaround, set `failure mode allow: false` for the `ext authz` filter. To temporarily revert the behavioral change of sanitizing non-UTF-8 strings in gRPC service calls, set the runtime guard `envoy.reloadable features.service sanitize non utf8 strings` to false.

**Name of the Vulnerable Software and Affected Versions** Envoy versions prior to 1.26.0 Envoy versions prior to 1.25.3 Envoy versions prior to 1.24.4 Envoy versions prior to 1.23.6 Envoy versions prior to 1.22.9 **Description** Envoy is an open source edge and service proxy designed for cloud-native applications. Compliant HTTP/1 service should reject malformed request lines. Prior to the fixed versions, there is a possibility that non-compliant HTTP/1 service may allow malformed requests, potentially leading to a bypass of security policies. **Recommendations** For versions prior to 1.26.0, update to version 1.26.0 or later. For versions prior to 1.25.3, update to version 1.25.3 or later. For versions prior to 1.24.4, update to version 1.24.4 or later. For versions prior to 1.23.6, update to version 1.23.6 or later. For versions prior to 1.22.9, update to version 1.22.9 or later.