PT-2024-9686 · Envoy · Envoy

Phlax

·

Publicado

2024-11-19

·

Atualizado

2024-12-20

·

CVE-2024-53271

CVSS v2.0

8.5

Alta

VetorAV:N/AC:L/Au:N/C:P/I:N/A:C
Nome do software vulnerável e versões afetadas
Versões do Envoy anteriores à 1.31.5
Versões do Envoy anteriores à 1.32.3
Descrição
O problema está relacionado à implementação incorreta do fluxo de controle ao lidar com respostas HTTP no servidor proxy Envoy. Isso pode levar a falhas a jusante em dispositivos em rede. O problema surge porque o Envoy não lida adequadamente com respostas HTTP 1.1 1xx que não sejam 101.
Recomendações
Para versões do Envoy anteriores à 1.31.5, atualize para a versão 1.31.5 ou posterior.
Para versões do Envoy anteriores à 1.32.3, atualize para a versão 1.32.3 ou posterior.
Como solução alternativa temporária, considere restringir o uso de respostas HTTP 1.1 não 101 1xx até que um patch esteja disponível.

Exploit

Correção

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-670

Identificadores relacionados

BDU:2024-11398
BIT-ENVOY-2024-53271
CVE-2024-53271
GHSA-RMM5-H2WV-MG4F

Produtos afetados

Envoy