9 мая исследователи из JFrog обнаружили DoS-уязвимость в Envoy. Envoy – высокопроизводительный прокси-сервер с открытым кодом, предназначенный для облачных приложений и сайтов с высокой посещаемостью.
Уязвимость отслеживается как CVE-2022-29225 и была описана в блоге JFrog Security Research. Она заключается в том, что прокси-сервер Envoy не имеет ограничений на размер выходного буфера для формата данных Brotli. Это означает, что практически неограниченный объем данных может забить буфер, если хакеры решат использовать zip-бомбу – вредоносный архив, который при распаковке способен вывести из строя программу или систему жертвы.
«В большинстве случаев память устройства не сможет справиться с таким большим объемом данных, и процесс Envoy экстренно завершается», – предупреждают специалисты JFrog. «В большинстве случаев перед завершением процесса возникнут серьезные проблемы с производительностью из-за перегрузки процессора, который тратит все ресурсы на распаковку zip-бомбы».
В своем заявлении Envoy Proxy порекомендовала клиентам обновить Envoy до версий 1.19.5, 1.20.4, 1.21.3 и 1.22.1, в которых уязвимость уже полностью устранена. Если клиент не может выполнить обновление, то специалисты компании рекомендуют запретить распаковку данных формата Brotli. Это можно сделать, полностью удалив декомпрессор Brotli или заменив его на декомпрессор Gzip.
Источник: SecurityLab