OpenTelemetry Collector AWS Firehose 接收器身份验证绕过漏洞 (CVE-2024-45043)
CVE编号
CVE-2024-45043利用情况
暂无补丁情况
N/A披露时间
2024-08-29漏洞描述
OpenTelemetry Collector的AWS Firehose接收器模块用于摄取AWS Kinesis Data Firehose数据流消息,并根据配置的记录类型解析接收到的记录。`awsfirehosereceiver`允许未经身份验证的远程请求,即使在配置中要求使用密钥也是如此。OpenTelemetry Collector可以配置为通过AWS Firehose流接收CloudWatch指标。Firehose设置头部`X-Amz-Firehose-Access-Key`为一个任意配置的字符串。OpenTelemetry Collector的awsfirehosereceiver可以配置为在传入请求中要求此密钥。然而,即使如此配置,它仍然接受没有密钥的传入请求。只有配置了“alpha”版本的`awsfirehosereceiver`模块的OpenTelemetry Collector用户才会受到影响。此模块是在“Contrib”发行版的v0.49.0版本中添加的(或可能包含在自定义构建中)。存在未经授权的用户写入指标的风险。精心制作的指标可能隐藏其他恶意活动。没有数据泄露的风险。由于Firehose不支持私有HTTP端点,这些端点很可能会暴露于公共互联网上。在PR #34847中引入了修复措施,并在v0.108.0中发布。建议所有用户进行升级。对此漏洞没有已知的解决方法。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 无
- 影响范围 未更改
- 用户交互 无
- 可用性 无
- 保密性 无
- 完整性 低
CWE-ID | 漏洞类型 |
Exp相关链接

版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论