Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-11397

Опубликовано: 19 нояб. 2024
Источник: fstec
CVSS3: 4.5
CVSS2: 5.5
EPSS Низкий

Описание

Уязвимость алгоритма сортировки Happy Eyeballs прокси-сервера Envoy связана с неверной реализацией потока управления при обработке IP-адресов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Вендор

Сообщество свободного программного обеспечения

Наименование ПО

Envoy

Версия ПО

до 1.30.9 (Envoy)
от 1.32.0 до 1.32.3 (Envoy)
от 1.31.0 до 1.31.5 (Envoy)

Тип ПО

Сетевое программное средство

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,5)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 4,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://github.com/envoyproxy/envoy/pull/37743/commits/3f62168d86aceb90f743f63b50cc711710b1c401
https://github.com/envoyproxy/envoy/releases/tag/v1.32.3
https://github.com/envoyproxy/envoy/releases/tag/v1.31.5
https://github.com/envoyproxy/envoy/releases/tag/v1.30.9
Компенсирующие меры:
- отключение алгоритма сортировки Happy Eyeballs;
- изменение конфигурации IP.

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 0%
0.00005
Низкий

4.5 Medium

CVSS3

5.5 Medium

CVSS2

Связанные уязвимости

redhat логотип

CVE-2024-53269

CVSS3: 4.5
redhat
около 1 года назад

Envoy is a cloud-native high-performance edge/middle/service proxy. When additional address are not ip addresses, then the Happy Eyeballs sorting algorithm will crash in data plane. This issue has been addressed in releases 1.32.2, 1.31.4, and 1.30.8. Users are advised to upgrade. Users unable to upgrade may disable Happy Eyeballs and/or change the IP configuration.

nvd логотип

CVE-2024-53269

CVSS3: 4.5
nvd
около 1 года назад

Envoy is a cloud-native high-performance edge/middle/service proxy. When additional address are not ip addresses, then the Happy Eyeballs sorting algorithm will crash in data plane. This issue has been addressed in releases 1.32.2, 1.31.4, and 1.30.8. Users are advised to upgrade. Users unable to upgrade may disable Happy Eyeballs and/or change the IP configuration.

debian логотип

CVE-2024-53269

CVSS3: 4.5
debian
около 1 года назад

Envoy is a cloud-native high-performance edge/middle/service proxy. Wh ...

EPSS

Процентиль: 0%
0.00005
Низкий

4.5 Medium

CVSS3

5.5 Medium

CVSS2