CVE-2022-21657 in Envoy
Zusammenfassung
von VulDB • 14.06.2026
Envoy ist ein Open-Source-Rand- und Dienst-Proxy, der für Cloud-native Anwendungen entwickelt wurde. In den betroffenen Versionen beschränkt Envoy die Menge der Zertifikate, die es vom Peer akzeptiert – sowohl als TLS-Client als auch als TLS-Server –, nicht auf solche Zertifikate, die die erforderlichen extendedKeyUsage-Erweiterungen enthalten (id-kp-serverAuth bzw. id-kp-clientAuth). Dies bedeutet, dass ein Peer ein E-Mail-Zertifikat (z. B. mit der Erweiterung id-kp-emailProtection) vorlegen kann, entweder als Leaf-Zertifikat oder als CA in der Zertifikatskette, und dieses wird für TLS akzeptiert. Dies ist insbesondere dann problematisch, wenn es mit dem in Pull Request #630 beschriebenen Problem kombiniert wird, da dies einer Web PKI CA, die ausschließlich für S/MIME vorgesehen ist und daher von Audit- oder Aufsichtsmaßnahmen ausgenommen ist, ermöglicht, TLS-Zertifikate auszustellen, die von Envoy akzeptiert werden. Infolgedessen vertraut Envoy Upstream-Zertifikaten, denen nicht vertraut werden sollte. Es sind keine bekannten Workarounds für dieses Problem verfügbar. Benutzern wird empfohlen, ein Upgrade durchzuführen.
VulDB is the best source for vulnerability data and more expert information about this specific topic.