Cilium 的 Gateway API 路由匹配顺序与规范相矛盾(CVE-2024-42487)

admin
admin
admin
0
文章
0
评论
2024-08-17 13:45:49 Ali_nvd 来源:ZONE.CI 全球网 0 阅读模式
Cilium 的 Gateway API 路由匹配顺序与规范相矛盾(CVE-2024-42487)

CVE编号

CVE-2024-42487

利用情况

暂无

补丁情况

N/A

披露时间

2024-08-16
漏洞描述
Cilium 是一个基于 eBPF 数据平面的网络、可观察性和安全解决方案。在 1.15 分支的 1.15.8 之前版本和 1.16 分支的 1.16.1 之前版本中,Gateway API 的 HTTPRoutes 和 GRPCRoutes 不遵循 Gateway API 规范中指定的匹配优先级。具体来说,当规范描述请求方法必须在匹配请求头之前被尊重时,实际上请求头却被先匹配。这可能导致安全方面的意外行为。此问题已在 Cilium v1.15.8 和 v1.16.1 中得到修复。对于此问题,没有可用的解决方法。
解决建议
"将组件 github.com/cilium/cilium 升级至 1.15.8 及以上版本"
参考链接
https://github.com/cilium/cilium/commit/a3510fe4a92305822aa1a5e08cb6d6c873c8699a
https://github.com/cilium/cilium/pull/34109
https://github.com/cilium/cilium/security/advisories/GHSA-qcm3-7879-xcww
CVSS3评分 N/A
  • 攻击路径 N/A
  • 攻击复杂度 N/A
  • 权限要求 N/A
  • 影响范围 N/A
  • 用户交互 N/A
  • 可用性 N/A
  • 保密性 N/A
  • 完整性 N/A
N/A
CWE-ID 漏洞类型
- avd.aliyun.com
weinxin
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0