PT-2024-35358 · Cilium · Cilium
Ferozsalam
·
Publicado
2024-11-25
·
Atualizado
2025-09-03
·
CVE-2024-52529
CVSS v4.0
6.9
Média
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:L/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Versões 1.16.0 a 1.16.3 do Cilium
Descrição
O problema ocorre quando há uma política de Camada 3 com um intervalo de portas e uma política de Camada 7 com uma porta dentro do intervalo da primeira política. Nesses casos, a aplicação da política de Camada 7 não ocorre para o tráfego selecionado por essa política. Isso afeta usuários que utilizam a funcionalidade de intervalo de portas do Cilium, introduzida na versão 1.16. Por exemplo, se uma política de Camada 3 permitir tráfego para as portas 80 a 444 e uma política de Camada 7 permitir solicitações GET para o caminho /public na porta 80, as solicitações seriam permitidas para todos os caminhos HTTP em endpoints correspondentes, em vez de apenas solicitações GET para o caminho /public, conforme pretendido.
Recomendações
Para as versões 1.16.0 a 1.16.3, recomenda-se que os usuários atualizem para o Cilium v1.16.4, que inclui o patch para este problema. Como solução alternativa temporária, usuários com políticas de rede que correspondam ao padrão descrito acima podem contornar o problema reescrevendo quaisquer políticas que utilizem intervalos de portas para especificar individualmente as portas permitidas para o tráfego.
Exploit
Correção
Missing Authorization
Improper Handling of Exceptional Conditions
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Cilium