PT-2022-20483 · Envoy+1 · Envoy+1
Howardjohn
·
Publicado
2022-06-09
·
Atualizado
2022-06-17
·
CVE-2022-31045
CVSS v2.0
7.5
Alta
| Vetor | AV:N/AC:L/Au:N/C:P/I:P/A:P |
Nome do software vulnerável e versões afetadas
Versões do Istio anteriores à 1.12.8
Versões do Istio anteriores à 1.13.5
Versões do Istio anteriores à 1.14.1
Descrição
O problema decorre de cabeçalhos malformados enviados ao Envoy em determinadas configurações, levando a um acesso inesperado à memória, o que pode resultar em comportamento indefinido ou falhas no sistema. Os usuários correm maior risco se tiverem um gateway de entrada do Istio exposto ao tráfego externo.
Recomendações
Para versões anteriores à 1.12.8, atualize para a versão 1.12.8 ou posterior.
Para versões anteriores à 1.13.5, atualize para a versão 1.13.5 ou posterior.
Para versões anteriores à 1.14.1, atualize para a versão 1.14.1 ou posterior.
Como solução alternativa temporária, considere restringir o acesso ao gateway de entrada do Istio para minimizar o risco de exploração.
Exploit
Correção
Out of bounds Read
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Envoy
Istio