CVE-2021-21378

Envoy versão 1.17.0

A vulnerabilidade permite que um invasor contorne a autenticação apresentando um token JWT com um emissor que não consta na lista de provedores quando o filtro de autenticação JWT do Envoy está configurado com o requisito allow missing sob requires any. Isso se deve a um erro de implementação em que um erro JwtUnknownIssuer foi erroneamente convertido para JwtMissed quando requires any foi configurado. Como resultado, allow missing permitiria um token JWT com status de emissor desconhecido, afetando potencialmente a integridade dependendo da configuração, caso o token JWT seja usado para proteção contra gravações ou modificações.

Para a versão 1.17.0 do Envoy, atualize para a versão 1.17.1 para corrigir a vulnerabilidade. Como solução alternativa temporária, considere desativar o requisito allow missing em requires any na configuração do filtro de autenticação JWT até que a atualização seja aplicada. Além disso, os usuários podem habilitar logs de depuração no nível do componente para JWT a fim de detectar possíveis tentativas de contorno, o que indicará uma solicitação com um token JWT e uma falha informando que o token JWT está ausente.