PT-2022-3386 · Envoy · Envoy
Shachar Menashe
·
Publicado
2022-06-09
·
Atualizado
2024-03-06
·
CVE-2022-29225
CVSS v2.0
10
Alta
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões do Envoy anteriores à 1.22.1
Descrição
O problema está relacionado ao componente decode/encodeBody do proxy Envoy, o que pode levar a um consumo descontrolado de recursos. Um invasor pode explorar essa vulnerabilidade enviando um arquivo zip especialmente criado, causando potencialmente uma negação de serviço devido ao esgotamento da memória do sistema. Isso pode ser feito por meio de um “zip bombing” no descompressor, no qual é enviada uma pequena carga altamente compactada.
Recomendações
Para versões anteriores à 1.22.1, recomenda-se que os usuários atualizem para uma versão mais recente a fim de resolver o problema.
Como solução alternativa temporária, considere desativar a descompressão para usuários que não possam realizar a atualização.
Exploit
Correção
DoS
Resource Exhaustion
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Envoy