| Title | Envoy ProxyのEnvoyにおけるNULL バイトまたは NULL キャラクタの無害化に関する脆弱性 |
|---|---|
| Summary | Envoyはクラウドネイティブアプリケーション向けに設計されたオープンソースのエッジおよびサービスプロキシです。1.35.11、1.36.7、1.37.3、および1.38.1より前のバージョンでは、DefaultCertValidator::verifySubjectAltNameに構造的な欠陥がありました。ここでは抽出されたDNS SAN文字列が.Utility::dnsNameMatch()アルゴリズムに渡される前に.c_str()を使用してCスタイル文字列にキャストされます。攻撃者が埋め込みNULバイトを含むdNSName SANを持つ証明書を提供した場合、ヘルパーUtility::generalNameAsStringはNULを含む完全な文字列を取得します。しかし、.c_str()が評価される際、dnsNameMatch内でのabsl::string_viewへの暗黙の変換はstrlen()に依存しており、評価コンテキストが早期に切り詰められます。Envoyは切り詰められた文字列を厳密なconfig_sanマッチと照合し、trueを返すため、NULバイトを含む文字列の検証に成功して上流ルーティングに使用されてしまいます。この脆弱性は1.35.11、1.36.7、1.37.3、および1.38.1で修正されています。 |
| Possible impacts | ・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う情報について、書き換えは発生しません。 ・当該ソフトウェアは停止しません。 |
| Solution | ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | June 26, 2026, midnight |
| Registration Date | June 30, 2026, 11:20 a.m. |
| Last Update | June 30, 2026, 11:20 a.m. |
| CVSS3.0 : 警告 | |
| Score | 4.4 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:N/A:N |
| Envoy Proxy |
| Envoy 1.35.13 未満 |
| Envoy 1.36.0 以上 1.36.9 未満 |
| Envoy 1.37.0 以上 1.37.5 未満 |
| Envoy 1.38.0 以上 1.38.3 未満 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年06月30日] 掲載 |
June 30, 2026, 11:20 a.m. |
| Summary | Envoy is an open source edge and service proxy designed for cloud-native applications. Prior to 1.35.11, 1.36.7, 1.37.3, and 1.38.1, a structural flaw was identified in DefaultCertValidator::verifySubjectAltName where the extracted DNS SAN string is cast to a C-style string using .c_str() before being passed to the Utility::dnsNameMatch() algorithm. If the attacker serves a certificate with a dNSName SAN containing an embedded NUL byte, the helper Utility::generalNameAsString captures the complete string including the NUL. However, when .c_str() evaluates it, implicit conversion to absl::string_view inside dnsNameMatch relies on strlen(), prematurely truncating the evaluation context. Envoy evaluates trucated string against the exact required config_san match and returns true, thereby successfully validating the string with the Nul byte for an upstream routing. This vulnerability is fixed in 1.35.11, 1.36.7, 1.37.3, and 1.38.1. |
|---|---|
| Publication Date | June 27, 2026, 3:16 a.m. |
| Registration Date | June 27, 2026, 4:35 a.m. |
| Last Update | June 30, 2026, 3:49 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:envoyproxy:envoy:*:*:*:*:*:*:*:* | 1.35.13 | ||||
| cpe:2.3:a:envoyproxy:envoy:*:*:*:*:*:*:*:* | 1.36.0 | 1.36.9 | |||
| cpe:2.3:a:envoyproxy:envoy:*:*:*:*:*:*:*:* | 1.37.0 | 1.37.5 | |||
| cpe:2.3:a:envoyproxy:envoy:*:*:*:*:*:*:*:* | 1.38.0 | 1.38.3 | |||