Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-04198

Опубликовано: 26 июл. 2023
Источник: fstec
CVSS3: 6.5
CVSS2: 6.8
EPSS Низкий

Описание

Уязвимость прокси-сервера Envoy связана с ошибкой использования после освобождения. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить атаку типа «отказ в обслуживании» (DoS)

Вендор

Сообщество свободного программного обеспечения

Наименование ПО

Envoy

Версия ПО

до 1.27.0 (Envoy)
от 1.26.0 до 1.26.4 (Envoy)
от 1.25.0 до 1.25.9 (Envoy)
от 1.24.0 до 1.24.10 (Envoy)
от 1.23.0 до 1.23.12 (Envoy)

Тип ПО

Сетевое программное средство

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://github.com/envoyproxy/envoy/security/advisories/GHSA-69vr-g55c-v2v4

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 3%
0.00019
Низкий

6.5 Medium

CVSS3

6.8 Medium

CVSS2

Связанные уязвимости

redhat логотип

CVE-2023-35942

CVSS3: 6.5
redhat
около 2 лет назад

Envoy is an open source edge and service proxy designed for cloud-native applications. Prior to versions 1.27.0, 1.26.4, 1.25.9, 1.24.10, and 1.23.12, gRPC access loggers using listener's global scope can cause a `use-after-free` crash when the listener is drained. Versions 1.27.0, 1.26.4, 1.25.9, 1.24.10, and 1.23.12 have a fix for this issue. As a workaround, disable gRPC access log or stop listener update.

nvd логотип

CVE-2023-35942

CVSS3: 6.5
nvd
около 2 лет назад

Envoy is an open source edge and service proxy designed for cloud-native applications. Prior to versions 1.27.0, 1.26.4, 1.25.9, 1.24.10, and 1.23.12, gRPC access loggers using listener's global scope can cause a `use-after-free` crash when the listener is drained. Versions 1.27.0, 1.26.4, 1.25.9, 1.24.10, and 1.23.12 have a fix for this issue. As a workaround, disable gRPC access log or stop listener update.

debian логотип

CVE-2023-35942

CVSS3: 6.5
debian
около 2 лет назад

Envoy is an open source edge and service proxy designed for cloud-nati ...

oracle-oval логотип

ELSA-2023-12781

oracle-oval
около 2 лет назад

ELSA-2023-12781: istio security update (IMPORTANT)

oracle-oval логотип

ELSA-2023-12780

oracle-oval
около 2 лет назад

ELSA-2023-12780: istio security update (IMPORTANT)

EPSS

Процентиль: 3%
0.00019
Низкий

6.5 Medium

CVSS3

6.8 Medium

CVSS2