CVE-2024-36129

Nome do software vulnerável e versões afetadas:

Versões do OpenTelemetry Collector anteriores à 0.102.1

Versões do módulo confighttp anteriores à 0.102.0

Versões do módulo configgrpc anteriores à 0.102.1

Descrição:

Uma vulnerabilidade de descompressão insegura permite que invasores não autenticados causem a falha do coletor por meio do consumo excessivo de memória. O OpenTelemetry Collector lida com solicitações HTTP compactadas reconhecendo o cabeçalho Content-Encoding, reescrevendo o corpo da solicitação HTTP e permitindo que manipuladores subsequentes processem os dados descompactados. Um invasor mal-intencionado poderia explorar essa vulnerabilidade para travar o coletor enviando uma pequena solicitação que, quando descompactada pelo servidor, resulta em consumo excessivo de memória. O problema foi confirmado por meio de testes de prova de conceito, nos quais todos os algoritmos de compactação suportados puderam ser explorados, sendo que o zstd causou o impacto mais significativo.

Recomendações:

Para versões do OpenTelemetry Collector anteriores à 0.102.1, atualize para a versão 0.102.1 ou posterior.

Para versões do módulo confighttp anteriores à 0.102.0, atualize para a versão 0.102.0 ou posterior.

Para versões do módulo configgrpc anteriores à 0.102.1, atualize para a versão 0.102.1 ou posterior.

Como solução alternativa temporária, considere desativar totalmente o suporte à descompressão de solicitações HTTP do cliente ou limitar o tamanho dos dados descomprimidos que podem ser processados. A limitação do tamanho dos dados descomprimidos pode ser obtida envolvendo o leitor de dados descomprimidos dentro de um io.LimitedReader, que restringe a leitura a um número especificado de