Vulnerabilidad CVE de Opentelemetry-go-contrib de Open-telemetry. Lista CVE de errores Opentelemetry-go-contrib de Open-telemetry.
opentelemetry-go-contrib es una colección de extensiones para OpenTelemetry-Go
9 de febrero del 2023
- CVE-2023-25151: La versión v0.38.0 de `go.opentelemetry.io/contrib/instrumentation/net/http/otelhttp` utiliza la función `httpconv.ServerRequest` para anotar medidas métricas para `http.server.request_content_length`, `http.server. instrumentos response_content_length` y `http.server.duration`.
- La función `ServerRequest` establece el valor del atributo `http.target` para que sea el URI de solicitud completo (incluida la cadena de consulta)[^1].
- Los instrumentos métricos no "olvidan" los atributos de medición anteriores cuando se utiliza la temporalidad "acumulativa", esto significa que la cardinalidad de las mediciones asignadas está directamente relacionada con las URI únicas que se manejan.
- Si la cadena de consulta es constantemente aleatoria, esto dará como resultado un aumento constante en la asignación de memoria que se puede utilizar en un ataque de denegación de servicio.
- Este problema se solucionó en la versión 0.39.0. Se recomienda a los usuarios que actualicen. No hay soluciones alternativas conocidas para este problema.
Paginas de referencia
- CVE-2023-25151:
https://github.com/open-telemetry/opentelemetry-go-contrib/security/advisories/GHSA-5r5m-65gx-7vrh
Otras referencias sobre vulnerabilidades CVE
- Cryptography
- Ravencoin Core
- OpenKM
- Mayan Edms
- Logicaldoc Enterprise
- Interactive Geo Maps
- Invoiceplane
- Sourcecodester oretnom23
- Microchip Technology NRF5340 dk dt100112
- Microchip RN4870
- Onedev
- Wicked folders
- Weblabyrinth
- sds 3008 series industrial ethernet switch
- Terramaster NAS
- Wallet cpp en dogecoin project dogecoin core
- Schlix web inc schlix cms
- Exactmetrics
- mt6879 mt6895 mt6983
¿Quieres encontrar más vulnerabilidades?.
Sin usted, esta web no existiria. Gracias por visitarme, espero que le haya gustado y vuelva. Muchas gracias ☺️
Fecha actualización el 2023-02-11. Fecha publicación el 2023-02-11. Autor: Oscar olg Mapa del sitio Fuente: cve report