Cilium 中具有通配符端口范围的策略可能不会实施第 7 层策略(CVE-2024-52529)
CVE编号
CVE-2024-52529
利用情况
暂无
补丁情况
N/A
披露时间
2024-11-26
漏洞描述
Cilium 是一个基于 eBPF 的网络、可观察性和安全解决方案。对于具有以下配置的用户:1. 选择第三层目的地和端口范围的允许策略 `AND` 2. 选择第一层策略范围内特定端口的第七层允许策略,第七层的执行不会针对被第七层策略选中的流量发生。这个问题仅影响使用 Cilium 端口范围功能(在 Cilium v1.16 中引入)的用户。这个问题已在 PR #35150 中得到修复。此问题影响从 v1.16.0 到 v1.16.3(包括在内)的 Cilium v1.16 版本。已在 Cilium v1.16.4 中修复了这个问题。建议用户进行升级。对于符合上述描述的网络策略模式的用户,可以通过重写使用端口范围的策略来单独指定允许的端口来解决这个问题。
解决建议
"将组件 github.com/cilium/cilium 升级至 1.16.4 及以上版本"
文章评论