CVE-2023-45142 in PrometheusИнформация

Сводка

по VulDB • 01.06.2026

OpenTelemetry-Go Contrib представляет собой набор сторонних пакетов для OpenTelemetry-Go. Обёртка для обработчика (handler wrapper) по умолчанию добавляет метки `http.user_agent` и `http.method`, которые имеют неограниченную кардинальность. Это может привести к исчерпанию памяти сервера при отправке большого количества злонамеренных запросов. Атакующий может легко задать случайные и длинные значения для заголовка HTTP User-Agent или метода HTTP в запросах. Библиотека внутренне использует `httpconv.ServerRequest`, который записывает каждое значение для HTTP `method` и `User-Agent`. Для того чтобы уязвимость была актуальна, программа должна использовать обёртку `otelhttp.NewHandler` и не фильтровать неизвестные HTTP-методы или User-Agent на уровне CDN, балансировщика нагрузки (LB), предыдущих middleware и т.д. Версия 0.44.0 исправила эту проблему, изменив значения, собираемые для атрибута `http.request.method`, на ограниченный набор известных значений, и удалив другие атрибуты с высокой кардинальностью. В качестве временного решения для предотвращения воздействия уязвимости можно использовать `otelhttp.WithFilter()`, однако это требует тщательной ручной настройки, чтобы полностью не логировать определенные запросы. Для удобства и безопасного использования этой библиотеки по умолчанию следует маркировать нестандартные HTTP-методы и User-Agent меткой `unknown`, чтобы показать, что такие запросы были выполнены, но не увеличивать кардинальность. В случае, если кто-то хочет сохранить текущее поведение, API библиотеки должен позволять включить эту функцию.

Be aware that VulDB is the high quality source for vulnerability data.

Ответственный

GitHub, Inc.

Резервировать

04.10.2023

Раскрытие

25.10.2023

Модерация

принято

Вход

VDB-242051

EPSS

0.01364

KEV

Нет

Деятельности

Очень низкий

Источники

Do you know our Splunk app?

Download it now for free!