CVE-2022-21654

Incorrect configuration handling allows TLS session re-use without re-validation in Envoy

CVSS 7.4 HIGHEPSS 1.1%CWE-295

En resumen

El proxy Envoy puede reutilizar conexiones TLS antiguas incluso después de cambiar las configuraciones de validación de certificados, permitiendo que las comunicaciones cifradas eludan verificaciones de seguridad actualizadas. Esto significa que las mejoras de seguridad que apliques podrían no proteger nuevas conexiones.

Detalle técnico

El mecanismo de reanudación de sesión TLS de Envoy no invalida las sesiones en caché cuando la configuración de validación de certificados se desvía de los valores predeterminados, permitiendo la reutilización de sesión sin revalidación del certificado del par. Esto afecta cualquier implementación con configuraciones de validación de certificado no estándar y permite posibles ataques man-in-the-middle en sesiones reanudadas.

Resumen generado y traducido por IA a partir de la descripción oficial.

Envoy is an open source edge and service proxy, designed for cloud-native applications. Envoy's tls allows re-use when some cert validation settings have changed from their default configuration. The only workaround for this issue is to ensure that default tls settings are used. Users are advised to upgrade.

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N

Productos afectados

envoyproxy · envoy

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://github.com/envoyproxy/envoy/commit/e9f936d85dc1edc34fabd0a1725ec180f2316353 https://github.com/envoyproxy/envoy/security/advisories/GHSA-5j4x-g36v-m283