CVE-2025-23028

Nome do Software Vulnerável e Versões Afetadas Versões do Cilium 1.14.0 a 1.14.7 Versões do Cilium 1.15.0 a 1.15.11 Versões do Cilium 1.16.0 a 1.16.4

Descrição Uma vulnerabilidade de negação de serviço afeta o Cilium, uma solução de rede, observabilidade e segurança com um plano de dados baseado em eBPF. Em um cluster Kubernetes onde o Cilium está configurado para realizar proxy do tráfego DNS, um atacante pode derrubar agentes Cilium enviando uma resposta DNS manipulada para cargas de trabalho a partir de fora do cluster. Para o tráfego que é permitido, mas sem usar política baseada em DNS, o plano de dados continuará a passar o tráfego conforme configurado no momento do DoS. Para cargas de trabalho que possuem política baseada em DNS configurada, conexões existentes podem continuar operando, e novas conexões feitas sem depender de resolução de DNS podem continuar sendo estabelecidas, mas novas conexões que dependem de resolução de DNS podem ser interrompidas. Quaisquer alterações de configuração que afetem o agente impactado podem não ser aplicadas até que o agente possa ser reiniciado.

Recomendações Para as versões do Cilium 1.14.0 a 1.14.7, atualize para a versão 1.14.18. Para as versões do Cilium 1.15.0 a 1.15.11, atualize para a versão 1.15.12. Para as versões do Cilium 1.16.0 a 1.16.4, atualize para a versão 1.16.5. Como solução temporária, considere restringir o acesso ao proxy DNS até que uma correção esteja disponível. Evite usar a política baseada em DNS para novas conexões até que o problema seja resolvido.