CVE-2023-25151

opentelemetry-go-contrib, versões 0.38.0 a 0.38.0

A vulnerabilidade diz respeito a um ataque de negação de serviço (DoS) causado pelo aumento da alocação de memória ao processar solicitações com strings de consulta aleatórias constantes. A função httpconv.ServerRequest define o valor do atributo http.target como o URI completo da solicitação, incluindo a string de consulta. Quando a temporalidade cumulative é usada, os instrumentos de métrica não esquecem os atributos de medição anteriores, resultando em uma correlação direta entre a cardinalidade das medições alocadas e os URIs únicos processados. Isso pode levar a um aumento constante na alocação de memória, potencialmente causando um ataque de negação de serviço.

Para a versão 0.38.0 do opentelemetry-go-contrib, atualize para a versão 0.39.0 para resolver o problema. Não há soluções alternativas conhecidas para este problema.