CVE-2024-45043

Versões do OpenTelemetry Collector anteriores à v0.108.0

O módulo awsfirehosereceiver do OpenTelemetry Collector permite solicitações remotas não autenticadas, mesmo quando configurado para exigir uma chave. Esse módulo pode ser usado para receber métricas do CloudWatch por meio de um fluxo do AWS Firehose e define o cabeçalho X-Amz-Firehose-Access-Key com uma string configurada arbitrariamente. No entanto, quando essa chave é configurada, o módulo ainda aceita solicitações recebidas sem chave. Existe o risco de usuários não autorizados gravarem métricas, e métricas cuidadosamente elaboradas poderiam ocultar outras atividades maliciosas. É provável que esses endpoints fiquem expostos à internet pública, já que o Firehose não suporta endpoints HTTP privados.

Para versões do OpenTelemetry Collector anteriores à v0.108.0, atualize para a versão v0.108.0 ou posterior para corrigir a vulnerabilidade. Como solução alternativa temporária, considere desativar o módulo awsfirehosereceiver até que um patch esteja disponível. Restrinja o acesso ao módulo vulnerável para minimizar o risco de exploração. Evite usar o cabeçalho X-Amz-Firehose-Access-Key no endpoint da API afetado até que o problema seja resolvido.