Vulnerabilidad en Cilium (CVE-2025-23028)

Cilium es una solución de redes, observabilidad y seguridad con un plano de datos basado en eBPF. Una vulnerabilidad de denegación de servicio afecta a las versiones 1.14.0 a 1.14.7, 1.15.0 a 1.15.11 y 1.16.0 a 1.16.4. En un clúster de Kubernetes donde Cilium está configurado para actuar como proxy del tráfico DNS, un atacante puede bloquear los agentes de Cilium enviando una respuesta DNS manipulado a las cargas de trabajo desde fuera del clúster. Para el tráfico permitido pero sin utilizar una política basada en DNS, el plano de datos seguirá pasando el tráfico tal como se configuró en el momento del ataque de denegación de servicio. Para las cargas de trabajo que tienen configurada una política basada en DNS, las conexiones existentes pueden seguir funcionando y las nuevas conexiones realizadas sin depender de la resolución DNS pueden seguir estableciéndose, pero las nuevas conexiones que dependen de la resolución DNS pueden verse interrumpidas. Es posible que los cambios de configuración que afecten al agente afectado no se apliquen hasta que el agente pueda reiniciarse. Este problema se solucionó en Cilium v1.14.18, v1.15.12 y v1.16.5. No hay workarounds disponibles.