CVE-2024-45810

Nome do software vulnerável e versões afetadas:

Versões do Envoy anteriores à 1.28.7

Versões do Envoy anteriores à 1.29.9

Versões do Envoy anteriores à 1.30.6

Versões do Envoy anteriores à 1.31.2

Descrição:

O Envoy é um proxy de borda/intermediário/serviço de alto desempenho nativo da nuvem. O cliente http assíncrono irá travar ao lidar com sendLocalReply em determinadas circunstâncias, como atualização de websocket e espelhamento de solicitações. Isso ocorre devido à duplicação do código de status e à destruição do roteador sendo chamado no destrutor do fluxo assíncrono. O decodificador de fluxo é destruído, mas sua referência é chamada em router.onDestroy(), causando uma falha de segmento. Esse problema afeta o ext authz se os cabeçalhos upgrade e connection forem permitidos, bem como o espelhamento de solicitações.

Recomendações:

Para versões do Envoy anteriores à 1.28.7, atualize para a versão 1.28.7 ou posterior.

Para versões do Envoy anteriores à 1.29.9, atualize para a versão 1.29.9 ou posterior.

Para versões do Envoy anteriores à 1.30.6, atualize para a versão 1.30.6 ou posterior.

Para versões do Envoy anteriores à 1.31.2, atualize para a versão 1.31.2 ou posterior.