PT-2024-2768 · Envoy+1 · Envoy+1
Herman
+1
·
Publicado
2024-02-09
·
Atualizado
2024-04-23
·
CVE-2024-23322
CVSS v2.0
7.8
Alta
| Vetor | AV:N/AC:L/Au:N/C:N/I:N/A:C |
Nome do software vulnerável e versões afetadas
Versões do Envoy anteriores à 1.29.1
Versões do Envoy anteriores à 1.28.1
Versões do Envoy anteriores à 1.27.3
Versões do Envoy anteriores à 1.26.7
Descrição
A vulnerabilidade está relacionada a um erro de uso após liberação de memória (use-after-free) no servidor proxy Envoy. A exploração desse problema pode permitir que um invasor remoto cause a falha do aplicativo. O Envoy irá falhar quando determinados tempos de espera ocorrerem dentro do mesmo intervalo, especificamente quando
hedge on per try timeout estiver habilitado, per try idle timeout estiver habilitado e per-try-timeout estiver habilitado com seu valor igual ou dentro do intervalo de recuo do per try idle timeout.Recomendações
Para versões do Envoy anteriores à 1.29.1, atualize para a versão 1.29.1 ou posterior.
Para versões do Envoy anteriores à 1.28.1, atualize para a versão 1.28.1 ou posterior.
Para versões do Envoy anteriores à 1.27.3, atualize para a versão 1.27.3 ou posterior.
Para versões do Envoy anteriores à 1.26.7, atualize para a versão 1.26.7 ou posterior.
Exploit
Correção
Use After Free
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Envoy
Red Os