CVE-2024-42368

Versões do OpenTelemetry anteriores à 0.107.0

O OpenTelemetry é uma estrutura de observabilidade de código aberto e independente de fornecedores para instrumentação, geração, coleta e exportação de dados de telemetria. O autenticador de servidor da extensão bearertokenauth realiza uma comparação de strings simples e de tempo não constante entre os tokens de portador recebidos e os configurados. Isso afeta qualquer pessoa que utilize o autenticador de servidor bearertokenauth. Clientes maliciosos com acesso de rede ao coletor podem realizar um ataque de temporização contra um coletor com esse autenticador para adivinhar o token configurado, enviando tokens iterativamente e comparando o tempo de resposta. Isso permitiria que um invasor introduzisse dados falsificados ou incorretos no pipeline de telemetria do coletor.

Para versões anteriores à 0.107.0, atualize para a v0.107.0 ou superior para corrigir a vulnerabilidade de tempo observável.

Como solução alternativa temporária, considere não expor o receptor que usa bearertokenauth a segmentos de rede acessíveis por possíveis invasores.

Como alternativa, altere o receptor para usar uma extensão de autenticação diferente.

Desative o receptor que depende de bearertokenauth até que um patch seja aplicado.