CVE-2020-35470

Versões do Envoy anteriores à 1.16.1

O problema ocorre quando o Envoy registra um endereço downstream incorreto, considerando apenas o par diretamente conectado e não as informações contidas no cabeçalho do protocolo proxy. Isso afeta especificamente situações em que o tcp-proxy é usado como filtro de rede, excluindo filtros HTTP.

Para versões anteriores à 1.16.1, atualize para a versão 1.16.1 ou posterior para resolver o problema. Como solução temporária, considere configurar o mecanismo de registro para levar em conta as informações do cabeçalho do protocolo proxy até que um patch seja aplicado. Restrinja o acesso ao filtro de rede tcp-proxy para minimizar o risco de registro incorreto.