Vulnerabilidad en Envoy (CVE-2024-45806)

Envoy es un proxy de servicio, de borde y de medio alcance de alto rendimiento nativo de la nube. Una vulnerabilidad de seguridad en Envoy permite que los clientes externos manipulen los encabezados de Envoy, lo que puede provocar un acceso no autorizado u otras acciones maliciosas dentro de la malla. Este problema surge debido a la configuración predeterminada de Envoy de los límites de confianza internos, que considera todos los rangos de direcciones privadas RFC1918 como internos. Se ha cambiado el comportamiento predeterminado para manejar direcciones internas en Envoy. Anteriormente, las direcciones IP RFC1918 se consideraban internas automáticamente, incluso si internal_address_config estaba vacío. La configuración predeterminada de Envoy seguirá confiando en las direcciones internas mientras esté en esta versión y no confiará en ellas de forma predeterminada en la próxima versión. Si tiene herramientas como sondas en su red privada que deben tratarse como confiables (por ejemplo, cambiando encabezados x-envoy arbitrarios), incluya explícitamente esas direcciones o rangos CIDR en `internal_address_config`. Una explotación exitosa podría permitir a los atacantes eludir los controles de seguridad, acceder a datos confidenciales o interrumpir servicios dentro de la malla, como Istio. Este problema se ha solucionado en las versiones 1.31.2, 1.30.6, 1.29.9 y 1.28.7. Se recomienda a los usuarios que actualicen la versión. No se conocen workarounds para esta vulnerabilidad.