Fallos de seguridad en Opentelemetry-go-contrib de Open-telemetry

Vulnerabilidad CVE de Opentelemetry-go-contrib de Open-telemetry. Lista CVE de errores Opentelemetry-go-contrib de Open-telemetry.

opentelemetry-go-contrib es una colección de extensiones para OpenTelemetry-Go

CVE-2023-25151: La versión v0.38.0 de `go.opentelemetry.io/contrib/instrumentation/net/http/otelhttp` utiliza la función `httpconv.ServerRequest` para anotar medidas métricas para `http.server.request_content_length`, `http.server. instrumentos response_content_length` y `http.server.duration`.
La función `ServerRequest` establece el valor del atributo `http.target` para que sea el URI de solicitud completo (incluida la cadena de consulta)[^1].
Los instrumentos métricos no "olvidan" los atributos de medición anteriores cuando se utiliza la temporalidad "acumulativa", esto significa que la cardinalidad de las mediciones asignadas está directamente relacionada con las URI únicas que se manejan.
Si la cadena de consulta es constantemente aleatoria, esto dará como resultado un aumento constante en la asignación de memoria que se puede utilizar en un ataque de denegación de servicio.
Este problema se solucionó en la versión 0.39.0. Se recomienda a los usuarios que actualicen. No hay soluciones alternativas conocidas para este problema.

CVE-2023-25151: https://github.com/open-telemetry/opentelemetry-go-contrib/security/advisories/GHSA-5r5m-65gx-7vrh

Sin usted, esta web no existiria. Gracias por visitarme, espero que le haya gustado y vuelva. Muchas gracias ☺️

Fecha actualización el 2023-02-11. Fecha publicación el 2023-02-11. Autor: Oscar olg Mapa del sitio Fuente: cve report