CVE-2022-21657

Envoy (versões afetadas não especificadas)

O problema diz respeito ao Envoy, um proxy de borda e de serviço de código aberto projetado para aplicativos nativos da nuvem. Nas versões afetadas, o Envoy não restringe o conjunto de certificados que aceita do par, seja como cliente TLS ou servidor TLS, apenas aos certificados que contêm o extendedKeyUsage necessário (id-kp-serverAuth e id-kp-clientAuth, respectivamente). Isso significa que um par pode apresentar um certificado de e-mail (por exemplo, id-kp-emailProtection), seja como um certificado final ou como uma CA na cadeia, e ele será aceito para TLS. Como resultado, o Envoy confiará em certificados upstream que não deveriam ser confiáveis.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.