PT-2020-5134 · Cncf · Cncf Envoy
Andon Andonov
+3
·
Publicado
2020-03-04
·
Atualizado
2021-07-21
·
CVE-2020-8664
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
CNCF Envoy versões 1.13.0 e anteriores
Descrição
O problema está relacionado a um controle de acesso incorreto ao usar SDS com contexto de validação combinado no CNCF Envoy. Isso pode fazer com que a parte “estática” do contexto de validação não seja aplicada, mesmo que esteja visível no dump de configuração ativo, quando o mesmo segredo (por exemplo, CA confiável) é usado em vários recursos. A vulnerabilidade pode permitir que um invasor remoto acesse informações protegidas devido a erros na autorização.
Recomendações
Para as versões 1.13.0 e anteriores do CNCF Envoy, considere atualizar para uma versão que corrija o problema de controle de acesso incorreto. Como solução alternativa temporária, restrinja o uso do mesmo segredo em vários recursos para minimizar o risco de exploração. Além disso, revise e ajuste a configuração do Contexto de Validação Combinado para garantir que a parte “estática” do contexto de validação seja aplicada corretamente.
Correção
Improper Authentication
Incorrect Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Cncf Envoy