Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2020-05737

Опубликовано: 04 мар. 2020
Источник: fstec
CVSS3: 5.3
CVSS2: 5
EPSS Низкий

Описание

Уязвимость сетевого программного средства Envoy связана с недостаточной проверкой подлинности данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к защищаемой информации

Вендор

Red Hat Inc.
Сообщество свободного программного обеспечения

Наименование ПО

Openshift Service Mesh
Envoy

Версия ПО

1.0 (Openshift Service Mesh)
до 1.12.3 (Envoy)
от 1.13.0 до 1.13.1 (Envoy)

Тип ПО

Прикладное ПО информационных систем
Сетевое программное средство

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,3)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:
Для Envoy:
https://www.envoyproxy.io/docs/envoy/v1.13.1/intro/version_history
Для Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2020-8660

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 6%
0.00025
Низкий

5.3 Medium

CVSS3

5 Medium

CVSS2

Связанные уязвимости

redhat логотип

CVE-2020-8660

CVSS3: 5.3
redhat
почти 6 лет назад

CNCF Envoy through 1.13.0 TLS inspector bypass. TLS inspector could have been bypassed (not recognized as a TLS client) by a client using only TLS 1.3. Because TLS extensions (SNI, ALPN) were not inspected, those connections might have been matched to a wrong filter chain, possibly bypassing some security restrictions in the process.

nvd логотип

CVE-2020-8660

CVSS3: 5.3
nvd
почти 6 лет назад

CNCF Envoy through 1.13.0 TLS inspector bypass. TLS inspector could have been bypassed (not recognized as a TLS client) by a client using only TLS 1.3. Because TLS extensions (SNI, ALPN) were not inspected, those connections might have been matched to a wrong filter chain, possibly bypassing some security restrictions in the process.

debian логотип

CVE-2020-8660

CVSS3: 5.3
debian
почти 6 лет назад

CNCF Envoy through 1.13.0 TLS inspector bypass. TLS inspector could ha ...

EPSS

Процентиль: 6%
0.00025
Низкий

5.3 Medium

CVSS3

5 Medium

CVSS2