CVE-2021-32783

Versões do Contour anteriores à 1.17.1

Versões do Contour anteriores à 1.18.0

Um serviço do tipo ExternalName especialmente criado pode ser usado para acessar a interface de administração do Envoy, cujo acesso fora do contêiner do Envoy é normalmente impedido pelo Contour. Isso pode ser usado para desligar o Envoy remotamente ou para expor a existência de qualquer segredo que o Envoy esteja usando para sua configuração, incluindo, principalmente, pares de chaves TLS. No entanto, não pode ser usado para obter o conteúdo desses segredos. Como esse ataque permite o acesso à interface de administração, uma variedade de opções de administração fica disponível, como desligar o Envoy ou drenar o tráfego. Em geral, a interface de administração do Envoy não pode ser facilmente usada para fazer alterações no cluster, em solicitações em andamento ou em serviços de back-end, mas poderia ser usada para desligar ou drenar o Envoy, alterar o roteamento de tráfego ou recuperar metadados de segredos.

Para versões anteriores à 1.17.1, atualize para a versão 1.17.1 ou posterior para resolver o problema.

Para versões anteriores à 1.18.0, atualize para a versão 1.18.0 ou posterior para resolver o problema.

Como solução alternativa temporária, considere desativar os serviços do tipo ExternalName por padrão ou bloquear entradas óbvias de “localhost” quando os serviços ExternalName estiverem ativados.

Restrinja o acesso à interface de administração para minimizar o risco de exploração.