CVE-2022-21654
Incorrect configuration handling allows TLS session re-use without re-validation in Envoy
Em resumo
O proxy Envoy pode reutilizar conexões TLS antigas mesmo após alterar as configurações de validação de certificados, permitindo que comunicações criptografadas contornem verificações de segurança atualizadas. Isso significa que melhorias de segurança que você aplica podem não proteger novas conexões.
Detalhe técnico
O mecanismo de retomada de sessão TLS do Envoy falha ao invalidar sessões em cache quando a configuração de validação de certificados se desvia dos padrões, permitindo reutilização de sessão sem revalidação do certificado do par. Isso afeta qualquer implantação com configurações de validação de certificado não-padrão e permite potenciais ataques man-in-the-middle em sessões retomadas.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Envoy is an open source edge and service proxy, designed for cloud-native applications. Envoy's tls allows re-use when some cert validation settings have changed from their default configuration. The only workaround for this issue is to ensure that default tls settings are used. Users are advised to upgrade.
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N
Produtos afetados
envoyproxy · envoyQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →