Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-11398

Опубликовано: 19 нояб. 2024
Источник: fstec
CVSS3: 7.1
CVSS2: 8.5
EPSS Низкий

Описание

Уязвимость конфигурации envoy.reloadable_features.http1_balsa_delay_reset прокси-сервера Envoy связана с неверной реализацией потока управления при обработке http-ответов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Вендор

Сообщество свободного программного обеспечения

Наименование ПО

Envoy

Версия ПО

от 1.32.0 до 1.32.3 (Envoy)
от 1.31.0 до 1.31.5 (Envoy)

Тип ПО

Сетевое программное средство

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 8,5)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,1)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://github.com/envoyproxy/envoy/commit/da56f6da63079baecef9183436ee5f4141a59af8
https://github.com/envoyproxy/envoy/releases/tag/v1.32.3
https://github.com/envoyproxy/envoy/releases/tag/v1.31.5
Компенсирующие меры:
- настройте конфигурацию envoy.reloadable_features.http1_balsa_delay_reset, установив значение false.

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 0%
0.00005
Низкий

7.1 High

CVSS3

8.5 High

CVSS2

Связанные уязвимости

redhat логотип

CVE-2024-53271

CVSS3: 7.1
redhat
около 1 года назад

Envoy is a cloud-native high-performance edge/middle/service proxy. In affected versions envoy does not properly handle http 1.1 non-101 1xx responses. This can lead to downstream failures in networked devices. This issue has been addressed in versions 1.31.5 and 1.32.3. Users are advised to upgrade. There are no known workarounds for this issue.

nvd логотип

CVE-2024-53271

CVSS3: 7.1
nvd
около 1 года назад

Envoy is a cloud-native high-performance edge/middle/service proxy. In affected versions envoy does not properly handle http 1.1 non-101 1xx responses. This can lead to downstream failures in networked devices. This issue has been addressed in versions 1.31.5 and 1.32.3. Users are advised to upgrade. There are no known workarounds for this issue.

debian логотип

CVE-2024-53271

CVSS3: 7.1
debian
около 1 года назад

Envoy is a cloud-native high-performance edge/middle/service proxy. In ...

EPSS

Процентиль: 0%
0.00005
Низкий

7.1 High

CVSS3

8.5 High

CVSS2