摘要:
Cilium is a networking, observability, and security solution with an eBPF-based dataplane. Starting in version 1.14.0 and prior to versions 1.14.16 and 1.15.10, a policy rule denying a prefix that is broader than `/32` may be ignored if there is a policy rule referencing a more narrow prefix (`CIDRSet` or `toFQDN`) and this narrower policy rule specifies either `enableDefaultDeny: false` or `- toEntities: all`. Note that a rule specifying `toEntities: world` or `toEntities: 0.0.0.0/0` is insufficient, it must be to entity `all`.This issue has been patched in Cilium v1.14.16 and v1.15.10. As this issue only affects policies using `enableDefaultDeny: false` or that set `toEntities` to `all`, some workarounds are available. For users with policies using `enableDefaultDeny: false`, remove this configuration option and explicitly define any allow rules required. For users with egress policies that explicitly specify `toEntities: all`, use `toEntities: world`.
安全等级: Low
公告ID: KylinSec-SA-2025-2384
发布日期: 2025年4月28日
关联CVE: CVE-2024-47825
Cilium 是一款基于 eBPF 的数据平面解决方案,提供网络、可观测性和安全功能。从 1.14.0 版本开始,在 1.14.16 和 1.15.10 之前的版本中,当存在以下情况时,拒绝比 /32 更宽前缀的策略规则可能会被忽略:存在引用更窄前缀(CIDRSet 或 toFQDN)的策略规则,并且该规则指定了 enableDefaultDeny: false 或 - toEntities: all。需要注意的是,指定 toEntities: world 或 toEntities: 0.0.0.0/0 的规则不会触发此问题,必须是针对 all 实体的规则。
该问题已在 Cilium v1.14.16 和 v1.15.10 版本中修复。由于此问题仅影响使用 enableDefaultDeny: false 或将 toEntities 设置为 all 的策略,因此有以下临时解决方案:
1.对于使用 enableDefaultDeny: false 策略的用户:移除该配置选项,并明确定义所需的允许规则
2.对于出口策略中明确指定 toEntities: all 的用户:改用 toEntities: world
| cve名称 | 产品 | 组件 | 是否受影响 |
|---|---|---|---|
| CVE-2024-47825 | KY3.4-5A | cilium | Unaffected |
| CVE-2024-47825 | V6 | cilium | Unaffected |
