Pellared

**Nome do Software Vulnerável e Versões Afetadas** OpenTelemetry Go (versões afetadas não especificadas) **Descrição** Um problema de negação de serviço existe devido à remoção da rejeição de comprimento bruto durante a análise do cabeçalho de bagagem. A função `Parse` processa cabeçalhos de bagagem arbitrariamente grandes ou inválidos e registra erros, permitindo que um cliente remoto cause consumo excessivo de CPU e memória. Especificamente, em `baggage/baggage.go`, a função `parseMember` realiza a análise completa e o `PathUnescape` em membros sem uma guarda de tamanho. Além disso, em `propagation/baggage.go`, os erros de análise de cabeçalhos controlados por atacantes são enviados para o manipulador de erros global, que por padrão realiza a gravação de logs, potencialmente amplificando o impacto de entradas superdimensionadas. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** OpenTelemetry-Go versões anteriores a 0.0.17 **Description** Os módulos `go.opentelemetry.io/otel/schema/v1.0` e `go.opentelemetry.io/otel/schema/v1.1` apresentam vazamento de um descritor de arquivo a cada chamada bem-sucedida de `ParseFile()`. Isso ocorre porque a função `ParseFile()` abre o arquivo de esquema e o passa para a função `Parse()` sem fechá-lo. Em processos de longa execução, a análise repetida pode esgotar o limite de descritores de arquivo do processo, resultando em negação de serviço. Este problema é explorável se uma aplicação consumidora expuser a análise repetida de esquemas a um caminho controlado por um invasor. **Recommendations** Atualize para a versão 0.0.17.

**Name of the Vulnerable Software and Affected Versions** OpenTelemetry-Go Contrib versions prior to 0.46.0 **Description** The issue is related to the grpc Unary Server Interceptor adding labels `net.peer.sock.addr` and `net.peer.sock.port` with unbound cardinality, leading to potential memory exhaustion when many malicious requests are sent. An attacker can easily flood the peer address and port for requests, causing a denial-of-service. **Recommendations** For versions prior to 0.46.0, as a temporary workaround, consider using a view that removes the attributes `net.peer.sock.addr` and `net.peer.sock.port`. Alternatively, disable grpc metrics instrumentation by passing `otelgrpc.WithMeterProvider` option with `noop.NewMeterProvider`. For a permanent solution, upgrade to version 0.46.0 or later, which contains a fix for this issue.