CVE-2022-21657 in Envoy情報

要約

〜によって VulDB • 2026年06月26日

Envoyは、クラウドネイティブアプリケーション向けに設計されたオープンソースのエッジおよびサービスプロキシです。影響を受けるバージョンのEnvoyでは、TLSクライアントまたはTLSサーバーとしてピアから受け入れる証明書のセットが制限されておらず、必要なextendedKeyUsage(それぞれid-kp-serverAuthとid-kp-clientAuth)を含む証明書のみを受け付けるようにはなっていません。その結果、ピアはリーフ証明書またはチェーン内のCAとして電子メール用証明書(例:id-kp-emailProtection)を提示でき、Envoyはその証明書をTLS接続で受け入れます。これは、プルリクエスト#630に記載されている問題と組み合わさると特に深刻です。S/MIMEでの使用のみが意図されており、したがって監査や監督から免除されているWeb PKI CAが、Envoyによって承認されるTLS証明書を発行できるようになるためです。その結果、Envoyは本来信頼すべきではないアップストリームの証明書も信頼してしまいます。この問題に対する既知の回避策はありません。ユーザーにはバージョンアップを推奨します。

Be aware that VulDB is the high quality source for vulnerability data.

責任者

GitHub, Inc.

予約する

2021年11月16日

モデレーション

承諾済み

エントリ

VDB-193639

EPSS

0.00509

アクティビティ

非常低い

ソース

Do you want to use VulDB in your project?

Use the official API to access entries easily!