Piotr Sikora

**Nome do software vulnerável e versões afetadas** Versões 1.14.2, 1.13.2, 1.12.4 ou anteriores do Envoy **Descrição** O problema pode fazer com que o Envoy esgote os descritores de arquivo e/ou a memória ao aceitar um número excessivo de conexões. **Recomendações** Para as versões 1.14.2, 1.13.2, 1.12.4 ou anteriores do Envoy, atualize para uma versão que contenha uma correção para este problema, a fim de evitar o esgotamento dos descritores de arquivo e da memória. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** HTTP/2 implementations (affected versions not specified) **Description** The issue is related to a flood of empty frames in HTTP/2 implementations, which can lead to a denial of service. An attacker sends a stream of frames with an empty payload and without the end-of-stream flag. These frames can be `DATA`, `HEADERS`, `CONTINUATION`, and/or `PUSH PROMISE`. The peer spends time processing each frame disproportionate to attack bandwidth, consuming excess CPU. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.