Vulnerabilidad en Calico Typha y Calico Enterprise Typha (CVE-2023-41378)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
06/11/2023
Última modificación:
14/11/2023
Descripción
En determinadas condiciones para Calico Typha (v3.26.2, v3.25.1 y anteriores) y Calico Enterprise Typha (v3.17.1, v3.16.3, v3.15.3 y siguientes), un protocolo de enlace TLS del cliente puede bloquear el servidor Calico Typha indefinidamente, resultando en denegación de servicio. La llamada TLS Handshake() se realiza dentro del bucle for del identificador del servidor principal sin ningún tiempo de espera, lo que permite que un protocolo de enlace TLS sucio bloquee el bucle principal indefinidamente mientras que otras conexiones estarán inactivas esperando a que finalice ese protocolo de enlace.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:tigera:calico_cloud:*:*:*:*:*:*:*:* | 18.0.0 (excluyendo) | |
| cpe:2.3:a:tigera:calico_enterprise:*:*:*:*:*:*:*:* | 3.15.4 (excluyendo) | |
| cpe:2.3:a:tigera:calico_enterprise:*:*:*:*:*:*:*:* | 3.16.0 (incluyendo) | 3.16.4 (excluyendo) |
| cpe:2.3:a:tigera:calico_enterprise:*:*:*:*:*:*:*:* | 3.17.0 (incluyendo) | 3.17.2 (excluyendo) |
| cpe:2.3:o:tigera:calico_os:*:*:*:*:*:*:*:* | 3.25.2 (excluyendo) | |
| cpe:2.3:o:tigera:calico_os:*:*:*:*:*:*:*:* | 3.26.0 (incluyendo) | 3.26.3 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página