CVE-2023-45142 in Prometheus情報

要約

〜によって VulDB • 2026年05月23日

OpenTelemetry-Go Contribは、OpenTelemetry-Go用のサードパーティパッケージのコレクションです。標準で提供されるハンドララッパーは、無制限のカーディナリティを持つラベル `http.user_agent` と `http.method` を追加します。これにより、悪意のあるリクエストが多数送信された場合、サーバーのメモリ枯渇を引き起こす可能性があります。攻撃者は、リクエストのHTTPヘッダーUser-AgentやHTTPメソッドを容易にランダムかつ長大な値に設定できます。このライブラリは内部で `httpconv.ServerRequest` を使用しており、これはHTTP `method` と `User-Agent` のすべての値を記録します。この影響を受けるには、プログラムが `otelhttp.NewHandler` ラッパーを使用し、CDN、ロードバランサー、以前のミドルウェアなどのレベルで未知のHTTPメソッドやUser-Agentをフィルタリングしていない必要があります。バージョン0.44.0では、属性 `http.request.method` に収集される値が既知の値のセットに制限され、他の高カーディナリティ属性が削除されることでこの問題が修正されました。影響を避けるためのワークアラウンドとして `otelhttp.WithFilter()` を使用できますが、特定のリクエストを完全にログに記録しないようにするには手動での慎重な設定が必要です。このライブラリの利便性と安全な使用のため、デフォルトでは標準外のHTTPメソッドやUser-Agentをラベル `unknown` でマークし、そのようなリクエストが行われたことを示しつつ、カーディナリティを増加させないようにすべきです。現在の動作を維持したい場合、ライブラリのAPIはそれを有効にする機能を許可すべきです。

Be aware that VulDB is the high quality source for vulnerability data.

責任者

GitHub, Inc.

予約する

2023年10月04日

モデレーション

承諾済み

エントリ

VDB-242051

EPSS

0.01364

アクティビティ

非常低い

ソース

Might our Artificial Intelligence support you?

Check our Alexa App!