Linkerd is an open source, ultralight, security-first service mesh for Kubernetes. In affected versions when the application being run by linkerd is susceptible to SSRF, an attacker could potentially trigger a denial-of-service (DoS) attack by making requests to localhost:4191/shutdown. Linkerd could introduce an optional environment variable to control a token that must be passed as a header. Linkerd should reject shutdown requests that do not include this header. This issue has been addressed in release version edge-24.6.2 and all users are advised to upgrade. There are no known workarounds for this vulnerability.
Linkerd es una malla de servicios de código abierto, ultraligera y que prioriza la seguridad para Kubernetes. En las versiones afectadas, cuando la aplicación que ejecuta Linkerd es susceptible a SSRF, un atacante podría desencadenar un ataque de denegación de servicio (DoS) al realizar solicitudes a localhost:4191/shutdown. Linkerd podría introducir una variable de entorno opcional para controlar un token que debe pasarse como encabezado. Linkerd debería rechazar las solicitudes de cierre que no incluyan este encabezado. Este problema se solucionó en la versión edge-24.6.2 y se recomienda a todos los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
