CVE-2022-21657 in Envoy
요약
\~에 의해 VulDB • 2026. 06. 26.
Envoy는 클라우드 네이티브 애플리케이션을 위해 설계된 오픈 소스 에지 및 서비스 프록시입니다. 영향을 받는 버전의 Envoy는 TLS 클라이언트 또는 TLS 서버로서 피어로부터 수락하는 인증서 세트를 필요한 extendedKeyUsage(id-kp-serverAuth 및 id-kp-clientAuth 각각)를 포함하는 인증서로만 제한하지 않습니다. 이로 인해 피어가 리프 인증서이거나 체인 내 CA(인증 기관)로서 이메일용 인증서(예: id-kp-emailProtection)를 제시할 경우, Envoy는 이를 TLS 연결에 대해 수락하게 됩니다. 이는 pull request #630에서 설명된 문제와 결합될 때 특히 심각한데, S/MIME 사용용으로만 의도되어 감사나 감독의 면제를 받는 Web PKI CA가 Envoy가 수락하는 TLS 인증서를 발급할 수 있기 때문입니다. 결과적으로 Envoy는 신뢰해서는 안 되는 업스트림 인증서를 신뢰하게 됩니다. 이 문제에 대한 알려진 우회 방법은 없습니다. 사용자는 업그레이드를 권장합니다.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.