One Article Review
| Source |  CVE Liste |
|---|---|
| Identifiant | 8324885 |
| Date de publication | 2023-04-04 20:15:07 (vue: 2023-04-04 23:06:56) |
| Titre | CVE-2023-27493 |
| Texte | Envoy est un bord open source et un proxy de service conçu pour les applications natives dans le cloud.Avant les versions 1.26.0, 1.25.3, 1.24.4, 1.23.6 et 1.22.9, l'envoyé ne désinfecte pas ou n'échappe pas les propriétés de demande lors de la génération d'en-têtes de demande.Cela peut conduire à des caractères qui sont illégaux dans les valeurs d'en-tête à envoyer au service en amont.Dans le pire des cas, il peut provoquer un service en amont pour interpréter la demande d'origine comme deux demandes de pipelined, en contournant peut-être la politique de sécurité de l'envoyé et de l'ACIRC; & euro;Les versions 1.26.0, 1.25.3, 1.24.4, 1.23.6 et 1.22.9 contiennent un patch.En tant que solution de contournement, désactivez l'ajout d'en-têtes de demande en fonction des propriétés de demande en aval, telles que les propriétés de certificat en aval.
Envoy is an open source edge and service proxy designed for cloud-native applications. Prior to versions 1.26.0, 1.25.3, 1.24.4, 1.23.6, and 1.22.9, Envoy does not sanitize or escape request properties when generating request headers. This can lead to characters that are illegal in header values to be sent to the upstream service. In the worst case, it can cause upstream service to interpret the original request as two pipelined requests, possibly bypassing the intent of Envoy’s security policy. Versions 1.26.0, 1.25.3, 1.24.4, 1.23.6, and 1.22.9 contain a patch. As a workaround, disable adding request headers based on the downstream request properties, such as downstream certificate properties. |
| Notes | |
| Envoyé | Oui |
| Condensat | 2023 27493 adding applications are based bypassing can case cause certificate characters cloud contain cve designed disable does downstream edge envoy envoy’s escape generating header headers illegal intent interpret lead native not open original patch pipelined policy possibly prior properties proxy request requests sanitize security sent service source such two upstream values versions when workaround worst |
| Tags | |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.