漏洞标题
Envoy中使用正则表达式配置URI模板匹配器时,CPU使用率过高。
漏洞描述信息
Envoy 是一个高性能边缘/中间层/服务代理。对于每个请求都会编译正则表达式,当配置了多个使用此类匹配器的路由时,可能会导致较高的 CPU 使用率和增加的请求延迟。这个问题已在发布的 1.29.1、1.28.1、1.27.3 和 1.26.7 版本中得到了解决。建议用户升级。对于这个漏洞,目前尚无已知的工作绕过方法。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
漏洞类别
未加控制的资源消耗(资源穷尽)
漏洞标题
Excessive CPU usage when URI template matcher is configured using regex in Envoy
漏洞描述信息
Envoy is a high-performance edge/middle/service proxy. The regex expression is compiled for every request and can result in high CPU usage and increased request latency when multiple routes are configured with such matchers. This issue has been addressed in released 1.29.1, 1.28.1, 1.27.3, and 1.26.7. Users are advised to upgrade. There are no known workarounds for this vulnerability.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L
漏洞类别
未加控制的资源消耗(资源穷尽)
漏洞标题
Envoy 资源管理错误漏洞
漏洞描述信息
Envoy是一款开源的分布式代理服务器。 Envoy 1.29.1之前版本存在资源管理错误漏洞,该漏洞源于使用正则表达式配置 URI 模板匹配器时会发生拒绝服务。
CVSS信息
N/A
漏洞类别
资源管理错误