PT-2020-13163 · Envoy · Envoy
Bartosz Borkowski
+1
·
Publicado
2020-07-01
·
Atualizado
2024-03-06
·
CVE-2020-12604
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões 1.14.2, 1.13.2, 1.12.4 ou anteriores do Envoy
Descrição
O problema ocorre quando um cliente HTTP/2 solicita uma carga útil de grande porte, mas não envia atualizações de janela suficientes para consumir todo o fluxo e não reinicia o fluxo, levando a um aumento no uso de memória.
Recomendações
Para as versões 1.14.2, 1.13.2, 1.12.4 ou anteriores do Envoy, considere restringir o tamanho das cargas de dados provenientes de clientes HTTP/2 ou implementar medidas para lidar com fluxos que não são consumidos adequadamente, como reiniciar os fluxos após um determinado período de inatividade, até que uma correção esteja disponível.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
DoS
Memory Leak
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Envoy