Vulnerabilidad en Envoy (CVE-2024-30255)

Envoy es un proxy de servicio y borde de código abierto, nativo de la nube. La pila de protocolos HTTP/2 en las versiones de Envoy anteriores a 1.29.3, 1.28.2, 1.27.4 y 1.26.8 son vulnerables al agotamiento de la CPU debido a la inundación de tramas de CONTINUACIÓN. El códec HTTP/2 de Envoy permite al cliente enviar un número ilimitado de tramas de CONTINUACIÓN incluso después de exceder los límites del mapa de encabezado de Envoy. Esto permite a un atacante enviar una secuencia de tramas CONTINUATION sin que el bit END_HEADERS esté configurado causando la utilización de la CPU, consumiendo aproximadamente 1 núcleo por cada 300 Mbit/s de tráfico y culminando en una denegación de servicio por agotamiento de la CPU. Los usuarios deben actualizar a la versión 1.29.3, 1.28.2, 1.27.4 o 1.26.8 para mitigar los efectos de la inundación de CONTINUACIÓN. Como workaround, deshabilite el protocolo HTTP/2 para conexiones descendentes.