Vulnerabilidad en Cilium (CVE-2023-41332)

Cilium es una solución de redes, observabilidad y seguridad con un plano de datos basado en eBPF. En los clústeres de Cilium donde el proxy de capa 7 de Cilium se ha deshabilitado, la creación de cargas de trabajo con anotaciones `policy.cilium.io/proxy-visibility` (en Cilium versiones >= 1.13) o anotaciones `io.cilium.proxy-visibility` (en Cilium versiones <= 1.12) hace que el agente Cilium tenga un error de segmentación en el nodo al que está asignada la carga de trabajo. El tráfico existente en el nodo afectado seguirá fluyendo, pero el agente Cilium en el nodo no podrá procesar cambios en las cargas de trabajo que se ejecutan en el nodo. Esto también evitará que las cargas de trabajo puedan iniciarse en el nodo afectado. La denegación de servicio se limitará al nodo en el que está programada la carga de trabajo; sin embargo, un atacante puede programar cargas de trabajo en el nodo de su elección, lo que podría dar lugar a ataques dirigidos. Este problema se resolvió en las versiones 1.14.2, 1.13.7 y 1.12.14 de Cilium. Los usuarios que no puedan actualizar pueden evitar este ataque de denegación de servicio habilitando el proxy de capa 7.