PT-2024-2770 · Envoy+1 · Envoy+1
Phlax
·
Publicado
2024-02-09
·
Atualizado
2024-04-23
·
CVE-2024-23327
CVSS v2.0
7.8
Alta
| Vetor | AV:N/AC:L/Au:N/C:N/I:N/A:C |
Nome do software vulnerável e versões afetadas
Versões do Envoy anteriores à 1.26.7
Versões do Envoy anteriores à 1.27.3
Versões do Envoy anteriores à 1.28.1
Versões do Envoy anteriores à 1.29.1
Descrição
O problema está relacionado a erros de desreferência de ponteiro no servidor proxy Envoy. A exploração dessa vulnerabilidade pode permitir que um invasor remoto cause uma negação de serviço. O problema ocorre quando o PPv2 está habilitado tanto em um listener quanto em um cluster subsequente, e a instância do Envoy tenta criar o cabeçalho PPv2 upstream para uma solicitação downstream com um tipo de comando LOCAL e sem o bloco de protocolo.
Recomendações
Para versões anteriores à 1.26.7, atualize para a versão 1.26.7 ou posterior.
Para versões anteriores à 1.27.3, atualize para a versão 1.27.3 ou posterior.
Para versões anteriores à 1.28.1, atualize para a versão 1.28.1 ou posterior.
Para versões anteriores à 1.29.1, atualize para a versão 1.29.1 ou posterior.
Exploit
Correção
NULL Pointer Dereference
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Envoy
Red Os