PT-2024-3051 · Envoy+1 · Envoy+1
Phlax
·
Publicado
2024-02-09
·
Atualizado
2024-04-23
·
CVE-2024-23323
CVSS v2.0
7.8
Alta
| Vetor | AV:N/AC:L/Au:N/C:N/I:N/A:C |
Nome do software vulnerável e versões afetadas
Versões do Envoy anteriores à 1.26.7
Versões do Envoy anteriores à 1.27.3
Versões do Envoy anteriores à 1.28.1
Versões do Envoy anteriores à 1.29.1
Descrição
O problema está relacionado a um proxy de borda/intermediário/serviço de alto desempenho, no qual a expressão regex é compilada para cada solicitação, resultando em alto uso da CPU e aumento da latência das solicitações quando várias rotas são configuradas com tais comparadores. Isso pode ser explorado por um invasor remoto para causar uma negação de serviço.
Recomendações
Para versões anteriores à 1.26.7, atualize para a versão 1.26.7 ou posterior.
Para versões anteriores à 1.27.3, atualize para a versão 1.27.3 ou posterior.
Para versões anteriores à 1.28.1, atualize para a versão 1.28.1 ou posterior.
Para versões anteriores à 1.29.1, atualize para a versão 1.29.1 ou posterior.
Exploit
Correção
Resource Exhaustion
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Envoy
Red Os