CVE-2024-37307 in Ciliumالمعلومات

الملخص

بحسب VulDB • 03/06/2026

تُعد Cilium حلاً للشبكات، والرصد (Observability)، والأمان يعتمد على مستوى نقل البيانات القائم على eBPF. بدءاً من الإصدار 1.13.0 وحتى قبل إصدارات 1.13.7 و1.14.12 و1.15.6، قد يحتوي مخرج أداة `cilium-bugtool` على بيانات حساسة عند تشغيل الأداة (مع تعيين العلم `--envoy-dump`) ضد عمليات نشر Cilium التي يكون فيها وسيط Envoy ممكّناً. يتأثر مستخدمو سياسات الشبكة الخاصة بفحص TLS، وIngress مع إنهاء TLS، وGateway API مع إنهاء TLS، وسياسات شبكة Kafka مع ميزات تصفية مفاتيح واجهة برمجة التطبيقات (API keys). تشمل البيانات الحساسة شهادة السلطة المصدقة (CA)، وسلسلة الشهادات، والمفتاح الخاص المستخدم في سياسات شبكات HTTP الخاصة بـ Cilium، وعند استخدام Ingress/Gateway API ومفاتيح API المستخدمة في سياسة الشبكة المتعلقة بـ Kafka. تُعد `cilium-bugtool` أداة تصحيح أخطاء يتم استدعاؤها يدوياً عادةً ولا تعمل أثناء التشغيل العادي لعنقود (Cluster) من Cilium. تم إصلاح هذه المشكلة في إصدارات Cilium v1.15.6 وv1.14.12 وv1.13.17. لا يوجد حل بديل لهذه المشكلة.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

مسؤول

GitHub, Inc.

حجز

05/06/2024

إفشاء

13/06/2024

الاعتدال

تمت الموافقة

إدخال

VDB-268429

EPSS

0.00180

KEV

لا

النشاطات

منخفض جدًا

المصادر

Do you know our Splunk app?

Download it now for free!