中危 由于未绑定基数指标,OpenTelemetry-Go Contrib 在 otelhttp 中存在 DoS 漏洞 (CVE-2023-45142)
CVE编号
CVE-2023-45142利用情况
暂无补丁情况
官方补丁披露时间
2023-10-13漏洞描述
OpenTelemetry-Go Contrib是OpenTelemetry-Go的第三方包集合。该库中的一个handler包装器默认添加了无限的`http.user_agent`和`http.method`标签,导致服务器在接收到大量恶意请求时可能会耗尽内存。攻击者可以轻松设置请求的HTTP头部User-Agent或HTTP方法为随机且较长的值。库内部使用`httpconv.ServerRequest`来记录HTTP方法和User-Agent的每个值。要受到影响,程序必须使用`otelhttp.NewHandler`包装器,并且不能在CDN、LB、之前的中间件等级别上过滤任何未知的HTTP方法或User-Agent。版本0.44.0修复了此问题,将属性`http.request.method`的收集值更改为一组众所周知的值,并删除了其他高基数的属性。作为解决方法,可以使用`otelhttp.WithFilter()`来停止受到影响,但需要手动仔细配置以完全不记录某些请求。为了方便和安全使用该库,默认情况下应该使用标签`unknown`标记非标准的HTTP方法和User-Agent,以显示出进行了此类请求但不增加基数。如果有人希望保持当前行为,库的API应允许启用它。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 应用 | opentelemetry | opentelemetry | * | Up to (excluding) 0.44.0 | |||||
- 攻击路径 本地
- 攻击复杂度 复杂
- 权限要求 普通权限
- 影响范围 越权影响
- EXP成熟度 未验证
- 补丁情况 官方补丁
- 数据保密性 无影响
- 数据完整性 无影响
- 服务器危害 无影响
- 全网数量 N/A
| CWE-ID | 漏洞类型 |
| CWE-770 | 不加限制或调节的资源分配 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论