CVE-2023-41332
Denial of service via Kubernetes annotations in specific Cilium configurations
Severity Score
Exploit Likelihood
Affected Versions
Public Exploits
2Exploited in Wild
-Decision
Descriptions
Cilium is a networking, observability, and security solution with an eBPF-based dataplane. In Cilium clusters where Cilium's Layer 7 proxy has been disabled, creating workloads with `policy.cilium.io/proxy-visibility` annotations (in Cilium >= v1.13) or `io.cilium.proxy-visibility` annotations (in Cilium <= v1.12) causes the Cilium agent to segfault on the node to which the workload is assigned. Existing traffic on the affected node will continue to flow, but the Cilium agent on the node will not able to process changes to workloads running on the node. This will also prevent workloads from being able to start on the affected node. The denial of service will be limited to the node on which the workload is scheduled, however an attacker may be able to schedule workloads on the node of their choosing, which could lead to targeted attacks. This issue has been resolved in Cilium versions 1.14.2, 1.13.7, and 1.12.14. Users unable to upgrade can avoid this denial of service attack by enabling the Layer 7 proxy.
Cilium es una solución de redes, observabilidad y seguridad con un plano de datos basado en eBPF. En los clústeres de Cilium donde el proxy de capa 7 de Cilium se ha deshabilitado, la creación de cargas de trabajo con anotaciones `policy.cilium.io/proxy-visibility` (en Cilium versiones >= 1.13) o anotaciones `io.cilium.proxy-visibility` (en Cilium versiones <= 1.12) hace que el agente Cilium tenga un error de segmentación en el nodo al que está asignada la carga de trabajo. El tráfico existente en el nodo afectado seguirá fluyendo, pero el agente Cilium en el nodo no podrá procesar cambios en las cargas de trabajo que se ejecutan en el nodo. Esto también evitará que las cargas de trabajo puedan iniciarse en el nodo afectado. La denegación de servicio se limitará al nodo en el que está programada la carga de trabajo; sin embargo, un atacante puede programar cargas de trabajo en el nodo de su elección, lo que podría dar lugar a ataques dirigidos. Este problema se resolvió en las versiones 1.14.2, 1.13.7 y 1.12.14 de Cilium. Los usuarios que no puedan actualizar pueden evitar este ataque de denegación de servicio habilitando el proxy de capa 7.
CVSS Scores
SSVC
- Decision:Track
Timeline
- 2023-08-28 CVE Reserved
- 2023-09-26 CVE Published
- 2024-09-23 CVE Updated
- 2024-09-23 First Exploit
- 2024-12-17 EPSS Updated
- ---------- Exploited in Wild
- ---------- KEV Due Date
CWE
- CWE-755: Improper Handling of Exceptional Conditions
CAPEC
References (2)
| URL | Tag | Source |
|---|
| URL | Date | SRC |
|---|---|---|
| https://github.com/cilium/cilium/pull/27597 | 2024-09-23 | |
| https://github.com/cilium/cilium/security/advisories/GHSA-24m5-r6hv-ccgp | 2024-09-23 |
| URL | Date | SRC |
|---|
| URL | Date | SRC |
|---|
Affected Vendors, Products, and Versions
| Vendor | Product | Version | Other | Status | ||||||
|---|---|---|---|---|---|---|---|---|---|---|
| Vendor | Product | Version | Other | Status | <-- --> | Vendor | Product | Version | Other | Status |
| Cilium Search vendor "Cilium" | Cilium Search vendor "Cilium" for product "Cilium" | < 1.12.14 Search vendor "Cilium" for product "Cilium" and version " < 1.12.14" | - |
Affected
| ||||||
| Cilium Search vendor "Cilium" | Cilium Search vendor "Cilium" for product "Cilium" | >= 1.13.0 < 1.13.7 Search vendor "Cilium" for product "Cilium" and version " >= 1.13.0 < 1.13.7" | - |
Affected
| ||||||
| Cilium Search vendor "Cilium" | Cilium Search vendor "Cilium" for product "Cilium" | >= 1.14.0 < 1.14.2 Search vendor "Cilium" for product "Cilium" and version " >= 1.14.0 < 1.14.2" | - |
Affected
| ||||||