CVE-2024-45806

Nome do software vulnerável e versões afetadas:

Versões do Envoy anteriores à 1.28.7

Versões do Envoy anteriores à 1.29.9

Versões do Envoy anteriores à 1.30.6

Versões do Envoy anteriores à 1.31.2

Descrição:

Uma falha de segurança no Envoy permite que clientes externos manipulem cabeçalhos do Envoy, podendo levar a acesso não autorizado ou outras ações maliciosas dentro da malha. Essa falha surge devido à configuração padrão do Envoy para limites de confiança internos, que considera todos os intervalos de endereços privados RFC1918 como internos. O comportamento padrão para o tratamento de endereços internos no Envoy foi alterado. A exploração bem-sucedida poderia permitir que invasores contornassem controles de segurança, acessassem dados confidenciais ou interrompessem serviços dentro da malha, como o Istio.

Recomendações:

Para versões anteriores à 1.28.7, atualize para a versão 1.28.7 ou posterior.

Para versões anteriores à 1.29.9, atualize para a versão 1.29.9 ou posterior.

Para versões anteriores à 1.30.6, atualize para a versão 1.30.6 ou posterior.

Para versões anteriores à 1.31.2, atualize para a versão 1.31.2 ou posterior.

Como solução alternativa temporária, considere incluir explicitamente endereços confiáveis ou intervalos CIDR em internal address config para minimizar o risco de exploração.