Arminru

**Nome do Software Vulnerável e Versões Afetadas** OpenTelemetry dotnet versões 1.13.1 a 1.15.1 **Descrição** Ao exportar telemetria via gRPC usando o OpenTelemetry Protocol (OTLP), o exportador pode analisar um trailer `grpc-status-details-bin` fornecido pelo servidor durante a manipulação de tentativas de reenvio. Um trailer malformado pode codificar um campo protobuf delimitado por comprimento extremamente grande (um método de serialização de dados estruturados) que é usado diretamente para alocação. Isso ocorre porque a função `DecodeBytes()` em `GrpcStatusDeserializer` decodifica um comprimento varint do protobuf e aloca um array de bytes sem validar os limites em relação ao tamanho do payload restante. Um coletor malicioso ou comprometido, ou um atacante man-in-the-middle, poderia retornar um payload manipulado para forçar a alocação excessiva de memória, levando à exaustão de memória e a um potencial negação de serviço (DoS), causando instabilidade ou travamento do processo. **Recomendações** Atualizar para a versão 1.15.2.

**Name of the Vulnerable Software and Affected Versions** OpenTelemetry.Api versões 0.5.0-beta.2 até 1.15.2 OpenTelemetry.Extensions.Propagators versões 1.3.1 até 1.15.2 **Description** Detalhes de implementação do código de processamento de baggage, B3 e Jaeger nos pacotes NuGet OpenTelemetry.Api e OpenTelemetry.Extensions.Propagators podem alocar memória excessiva durante a análise. Isso ocorre porque certos métodos alocam arrays intermediários ansiosamente antes de aplicar os limites de tamanho, e a função `BaggagePropagator.Inject<T>()` pode não impor os limites de comprimento quando o baggage injetado contém apenas um item. Esse comportamento pode levar a uma negação de serviço (DoS) no aplicativo consumidor ao processar cabeçalhos de propagação excessivamente grandes ou malformados. As funções afetadas incluem `BaggagePropagator.Extract<T>()`, `BaggagePropagator.Inject<T>()`, `B3Propagator.Extract<T>()` e `JaegerPropagator.Extract<T>()`. **Recommendations** Atualizar o OpenTelemetry.Api para a versão 1.15.3. Atualizar o OpenTelemetry.Extensions.Propagators para a versão 1.15.3. Configurar limites apropriados para cabeçalhos de requisição HTTP. Desativar a propagação de baggage ou de rastreamento como uma solução temporária.