Programmer04

**Name of the Vulnerable Software and Affected Versions** OpenTelemetry versions prior to 0.41b0 **Description** OpenTelemetry is a vendor-neutral open-source Observability framework for instrumenting, generating, collecting, and exporting telemetry data. The autoinstrumentation feature adds the label `http method` that has unbound cardinality, leading to the server's potential memory exhaustion when many malicious requests are sent. An attacker can easily set the HTTP method for requests to be random and long. To be affected, a program must be instrumented for HTTP handlers and not filter any unknown HTTP methods on the level of CDN, LB, previous middleware, etc. **Recommendations** For versions prior to 0.41b0, update to version 0.41b0 or later to resolve the issue. As a temporary workaround, consider configuring the program to filter unknown HTTP methods on the level of CDN, LB, or previous middleware to minimize the risk of exploitation. Additionally, consider setting an environment variable to mark non-standard HTTP methods with the label `UNKNOWN` to prevent increased cardinality.

**Nome do software vulnerável e versões afetadas** Versões do OpenTelemetry-Go Contrib anteriores à 0.44.0 **Descrição** O problema está relacionado a um ataque de negação de serviço que pode causar esgotamento de memória ao processar solicitações com métodos HTTP ou User-Agents não padronizados. A biblioteca utiliza internamente `httpconv.ServerRequest`, que registra todos os valores para `method` e `User-Agent` HTTP. Para ser afetado, um programa deve usar o wrapper `otelhttp.NewHandler` e não filtrar nenhum método HTTP ou User-Agent desconhecido no nível de CDN, LB, middleware anterior, etc. Os valores coletados para o atributo `http.request.method` foram alterados para serem restritos a um conjunto de valores bem conhecidos, e outros atributos de alta cardinalidade foram removidos na versão 0.44.0. **Recomendações** Para versões anteriores à 0.44.0, como solução alternativa para evitar ser afetado, o `otelhttp.WithFilter()` pode ser usado, mas requer uma configuração manual cuidadosa para não registrar certas solicitações por completo. Recomenda-se atualizar para a versão 0.44.0 ou posterior, na qual os valores coletados para o atributo `http.request.method` foram alterados para se restringirem a um conjunto de valores bem conhecidos e outros atributos de alta cardinalidade foram removidos. Além disso, considere desativar a instrumentação de métricas HTTP passando a opção `otelhttp.WithMeterProvider` com `noop.NewMeterProvider`.