PT-2022-7151 · Unknown+3 · Opentelemetry-Go Contrib+3
Programmer04
·
Publicado
2022-02-16
·
Atualizado
2025-08-01
·
CVE-2023-45142
CVSS v2.0
7.8
Alta
| Vetor | AV:N/AC:L/Au:N/C:N/I:N/A:C |
Nome do software vulnerável e versões afetadas
Versões do OpenTelemetry-Go Contrib anteriores à 0.44.0
Descrição
O problema está relacionado a um ataque de negação de serviço que pode causar esgotamento de memória ao processar solicitações com métodos HTTP ou User-Agents não padronizados. A biblioteca utiliza internamente
httpconv.ServerRequest, que registra todos os valores para method e User-Agent HTTP. Para ser afetado, um programa deve usar o wrapper otelhttp.NewHandler e não filtrar nenhum método HTTP ou User-Agent desconhecido no nível de CDN, LB, middleware anterior, etc. Os valores coletados para o atributo http.request.method foram alterados para serem restritos a um conjunto de valores bem conhecidos, e outros atributos de alta cardinalidade foram removidos na versão 0.44.0.Recomendações
Para versões anteriores à 0.44.0, como solução alternativa para evitar ser afetado, o
otelhttp.WithFilter() pode ser usado, mas requer uma configuração manual cuidadosa para não registrar certas solicitações por completo. Recomenda-se atualizar para a versão 0.44.0 ou posterior, na qual os valores coletados para o atributo http.request.method foram alterados para se restringirem a um conjunto de valores bem conhecidos e outros atributos de alta cardinalidade foram removidos. Além disso, considere desativar a instrumentação de métricas HTTP passando a opção otelhttp.WithMeterProvider com noop.NewMeterProvider.Exploit
Correção
DoS
Missing Release of Resource after Effective Lifetime
Allocation of Resources Without Limits
Resource Exhaustion
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Opentelemetry-Go Contrib
Red Os
Suse