CVE-2021-36371

Emissary-Ingress (anteriormente Ambassador API Gateway) versões 1.13.9 e anteriores

A vulnerabilidade permite que invasores contornem os requisitos de certificado de cliente em backends upstreams quando mais de um TLSContext estiver definido e houver pelo menos uma configuração que não exija autenticação por certificado de cliente. O invasor deve enviar um SNI especificando um backend desprotegido e um cabeçalho HTTP Host especificando um backend protegido.

Para as versões 1.13.9 e anteriores do Emissary-Ingress (anteriormente Ambassador API Gateway), considere atualizar para uma versão em que este problema tenha sido corrigido ou aplique alterações de configuração para garantir que todas as definições de TLSContext exijam autenticação por certificado de cliente. Como solução alternativa temporária, considere restringir o acesso a backends upstreams que não exijam autenticação por certificado de cliente para minimizar o risco de exploração.