Axw

**Nome do software vulnerável e versões afetadas** Versões do OpenTelemetry anteriores à 0.107.0 **Descrição** O OpenTelemetry é uma estrutura de observabilidade de código aberto e independente de fornecedores para instrumentação, geração, coleta e exportação de dados de telemetria. O autenticador de servidor da extensão `bearertokenauth` realiza uma comparação de strings simples e de tempo não constante entre os tokens de portador recebidos e os configurados. Isso afeta qualquer pessoa que utilize o autenticador de servidor `bearertokenauth`. Clientes maliciosos com acesso de rede ao coletor podem realizar um ataque de temporização contra um coletor com esse autenticador para adivinhar o token configurado, enviando tokens iterativamente e comparando o tempo de resposta. Isso permitiria que um invasor introduzisse dados falsificados ou incorretos no pipeline de telemetria do coletor. **Recomendações** Para versões anteriores à 0.107.0, atualize para a v0.107.0 ou superior para corrigir a vulnerabilidade de tempo observável. Como solução alternativa temporária, considere não expor o receptor que usa `bearertokenauth` a segmentos de rede acessíveis por possíveis invasores. Como alternativa, altere o receptor para usar uma extensão de autenticação diferente. Desative o receptor que depende de `bearertokenauth` até que um patch seja aplicado.