Smartincostello

**Nome do Software Vulnerável e Versões Afetadas** OpenTelemetry.Exporter.Instana (versões afetadas não especificadas) **Descrição** O pacote NuGet `OpenTelemetry.Exporter.Instana` não valida certificados HTTPS/TLS ao enviar telemetria para um back-end Instana quando um proxy é configurado por meio da variável de ambiente `INSTANA ENDPOINT PROXY`. A função `Transport.ConfigureBackendClient()` cria uma instância de `HttpClient` que desativa a validação do certificado de servidor TLS. Isso permite que um invasor de rede realize um ataque de Man-in-the-Middle (MitM)—uma técnica onde um invasor intercepta a comunicação entre duas partes—para expor todos os dados de telemetria do OpenTelemetry e a chave de API do Instana. **Recomendações** Não configure a variável de ambiente `INSTANA ENDPOINT PROXY`. Como medida paliativa temporária, restrinja o uso da variável de ambiente `INSTANA ENDPOINT PROXY` apenas a ambientes confiáveis.

**Nome do Software Vulnerável e Versões Afetadas** OpenTelemetry.Resources.Azure versões anteriores a 1.15.0-beta.2 **Descrição** A função `AzureVmMetaDataRequestor()` faz requisições HTTP para o serviço de metadados de instância de VM do Azure e lê o corpo da resposta na memória sem limite de tamanho. Um invasor que controle o endpoint configurado ou intercepte o tráfego por meio de um ataque man-in-the-middle pode retornar um corpo de resposta arbitrariamente grande. Isso leva a uma alocação de heap ilimitada, causando alta pressão de memória transitória, interrupções na coleta de lixo (garbage-collection) ou uma `OutOfMemoryException` que encerra o processo, resultando em Negação de Serviço (DoS). **Recomendações** Atualize para a versão 1.15.0-beta.2 ou posterior. Desative o detector de recursos de VM do Azure. Use controles de nível de rede, como regras de firewall, mTLS ou uma malha de serviços (service mesh), para evitar ataques man-in-the-middle no endpoint de metadados de instância de VM do Azure.

**Nome do Software Vulnerável e Versões Afetadas** OpenTelemetry.Exporter.OneCollector versões anteriores a 1.15.1 **Description** Ao exportar telemetria para um back-end ou coletor via HTTP, a classe `HttpJsonPostTransport` lê todo o corpo da resposta na memória sem um limite superior se a solicitação resultar em uma resposta HTTP 4xx ou 5xx malsucedida. Um invasor que controle o endpoint configurado ou intercepte o tráfego por meio de um ataque de man-in-the-middle pode retornar um corpo de resposta arbitrariamente grande. Isso leva a uma alocação de heap ilimitada, causando alta pressão de memória transitória, interrupções na coleta de lixo (garbage-collection stalls) ou uma OutOfMemoryException que encerra o processo, resultando em uma condição de negação de serviço. **Recommendations** Atualize para a versão 1.15.1. Use controles de nível de rede, como regras de firewall, mTLS ou uma malha de serviços (service mesh), para evitar ataques de man-in-the-middle no endpoint do back-end ou coletor configurado.

**Name of the Vulnerable Software and Affected Versions** OpenTelemetry.Api versões 0.5.0-beta.2 até 1.15.2 OpenTelemetry.Extensions.Propagators versões 1.3.1 até 1.15.2 **Description** Detalhes de implementação do código de processamento de baggage, B3 e Jaeger nos pacotes NuGet OpenTelemetry.Api e OpenTelemetry.Extensions.Propagators podem alocar memória excessiva durante a análise. Isso ocorre porque certos métodos alocam arrays intermediários ansiosamente antes de aplicar os limites de tamanho, e a função `BaggagePropagator.Inject<T>()` pode não impor os limites de comprimento quando o baggage injetado contém apenas um item. Esse comportamento pode levar a uma negação de serviço (DoS) no aplicativo consumidor ao processar cabeçalhos de propagação excessivamente grandes ou malformados. As funções afetadas incluem `BaggagePropagator.Extract<T>()`, `BaggagePropagator.Inject<T>()`, `B3Propagator.Extract<T>()` e `JaegerPropagator.Extract<T>()`. **Recommendations** Atualizar o OpenTelemetry.Api para a versão 1.15.3. Atualizar o OpenTelemetry.Extensions.Propagators para a versão 1.15.3. Configurar limites apropriados para cabeçalhos de requisição HTTP. Desativar a propagação de baggage ou de rastreamento como uma solução temporária.