CVE-2024-47825

Versões do Cilium 1.14.0 a 1.14.15

Versões do Cilium 1.15.0 a 1.15.9

Uma regra de política que nega um prefixo mais amplo que /32 pode ser ignorada se houver uma regra de política referenciando um prefixo mais restrito (CIDRSet ou toFQDN) e essa regra de política mais restrita especificar enableDefaultDeny: false ou - toEntities: all. Este problema afeta políticas que usam enableDefaultDeny: false ou que definem toEntities como all. Por exemplo, considerando as políticas abaixo, o tráfego é permitido para 1.1.1.2, quando deveria ser negado.

apiVersion: cilium.io/v2

kind: CiliumClusterwideNetworkPolicy

metadata:

 name: block-scary-range

spec:

 endpointSelector: {}

 egressDeny:

 - toCIDRSet:

  - cidr: 1.0.0.0/8

---

apiVersion: cilium.io/v2

kind: CiliumNetworkPolicy

metadata:

 name: evade-deny

spec:

 endpointSelector: {}

 egress:

 - toCIDR:

  - 1.1.1.2/32

 - toEntities:

  - all

Para usuários com políticas que utilizam enableDefaultDeny: false, remova essa opção de configuração e defina explicitamente quaisquer regras de permissão necessárias.

Para usuários com políticas de saída que especificam explicitamente toEntities: all, considere usar toEntities: world como uma solução alternativa temporária até que uma correção esteja disponível.

Atualize para o Cilium v1.14.16 ou v1.15.10 para resolver o problema.