CVE-2022-21657 in Envoyinfo

Zusammenfassung

von VulDB • 14.06.2026

Envoy ist ein Open-Source-Rand- und Dienst-Proxy, der für Cloud-native Anwendungen entwickelt wurde. In den betroffenen Versionen beschränkt Envoy die Menge der Zertifikate, die es vom Peer akzeptiert – sowohl als TLS-Client als auch als TLS-Server –, nicht auf solche Zertifikate, die die erforderlichen extendedKeyUsage-Erweiterungen enthalten (id-kp-serverAuth bzw. id-kp-clientAuth). Dies bedeutet, dass ein Peer ein E-Mail-Zertifikat (z. B. mit der Erweiterung id-kp-emailProtection) vorlegen kann, entweder als Leaf-Zertifikat oder als CA in der Zertifikatskette, und dieses wird für TLS akzeptiert. Dies ist insbesondere dann problematisch, wenn es mit dem in Pull Request #630 beschriebenen Problem kombiniert wird, da dies einer Web PKI CA, die ausschließlich für S/MIME vorgesehen ist und daher von Audit- oder Aufsichtsmaßnahmen ausgenommen ist, ermöglicht, TLS-Zertifikate auszustellen, die von Envoy akzeptiert werden. Infolgedessen vertraut Envoy Upstream-Zertifikaten, denen nicht vertraut werden sollte. Es sind keine bekannten Workarounds für dieses Problem verfügbar. Benutzern wird empfohlen, ein Upgrade durchzuführen.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Zuständig

GitHub, Inc.

Reservieren

16.11.2021

Veröffentlichung

23.02.2022

Moderieren

akzeptiert

Eintrag

VDB-193639

CPE

bereit

EPSS

0.00509

KEV

nein

Aktivitäten

very low

Quellen

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!