PT-2021-22419 · Envoy+1 · Envoy+1
Travisgroth
·
Publicado
2021-09-09
·
Atualizado
2024-08-21
·
CVE-2021-39162
CVSS v3.1
8.6
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões do Pomerium anteriores à 0.15.1
Descrição
O Pomerium, um proxy de acesso com reconhecimento de identidade de código aberto baseado no Envoy, pode encerrar-se de forma anormal se um quadro H/2 GOAWAY e um quadro SETTINGS forem recebidos no mesmo evento de E/S. Isso pode levar a uma Negação de Serviço (DoS) na presença de servidores upstream não confiáveis. Se apenas servidores upstream confiáveis estiverem configurados, não há risco substancial de que essa condição seja acionada.
Recomendações
Para versões anteriores à 0.15.1, atualize para a versão 0.15.1, que contém um binário Envoy atualizado com esta correção.
Se apenas servidores upstream confiáveis estiverem configurados, não há risco substancial de que essa condição seja acionada, mas ainda assim é recomendável atualizar para a versão 0.15.1 para obter segurança máxima.
Correção
DoS
Improper Check for Exceptional Conditions
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Envoy
Pomerium