ISTIO-SECURITY-2024-007
CVE, про які повідомляє Envoy.
| Подробиці розкриття інформації | |
|---|---|
| CVE(s) | CVE-2024-53269 CVE-2024-53270 CVE-2024-53271 |
| Індекс впливу CVSS | 7.5 AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
| Постраждалі випуски | 1.22.0 to 1.22.6 1.23.0 to 1.23.3 1.24.0 to 1.24.1 |
CVE
CVE Envoy
- CVE-2024-53269: (CVSS Score 4.5, Помірний): Happy Eyeballs: Перевірте, що
additional_addressє IP-адресами, замість того, щоб аварійно завершувати роботу при сортуванні. - CVE-2024-53270: (CVSS Score 7.5, Високий): HTTP/1: перевантаження надсилання призводить до аварійного завершення роботи, коли запит скидається заздалегідь.
- CVE-2024-53271: (CVSS Score 7.1, Високий): HTTP/1.1: кілька проблем з
envoy.reloadable_features.http1_balsa_delay_reset.
Чи це впливає на мене?
Це впливає на вас, якщо використовуєте Istio 1.22.0 до 1.22.6, 1.23.0 до 1.23.3 або 1.24 до 1.24.1, будь ласка, оновіться негайно. Якщо ви створили власний EnvoyFilter для увімкнення менеджера перевантаження, уникайте використання точки скидання навантаження http1_server_abort_dispatch.