OpenTelemetry Collector AWS Firehose 接收器身份验证绕过漏洞 (CVE-2024-45043)

admin 2024-08-29 11:00:58 Ali_nvd 来源:ZONE.CI 全球网 0 阅读模式
OpenTelemetry Collector AWS Firehose 接收器身份验证绕过漏洞 (CVE-2024-45043)

CVE编号

CVE-2024-45043

利用情况

暂无

补丁情况

N/A

披露时间

2024-08-29
漏洞描述
OpenTelemetry Collector的AWS Firehose接收器模块用于摄取AWS Kinesis Data Firehose数据流消息,并根据配置的记录类型解析接收到的记录。`awsfirehosereceiver`允许未经身份验证的远程请求,即使在配置中要求使用密钥也是如此。OpenTelemetry Collector可以配置为通过AWS Firehose流接收CloudWatch指标。Firehose设置头部`X-Amz-Firehose-Access-Key`为一个任意配置的字符串。OpenTelemetry Collector的awsfirehosereceiver可以配置为在传入请求中要求此密钥。然而,即使如此配置,它仍然接受没有密钥的传入请求。只有配置了“alpha”版本的`awsfirehosereceiver`模块的OpenTelemetry Collector用户才会受到影响。此模块是在“Contrib”发行版的v0.49.0版本中添加的(或可能包含在自定义构建中)。存在未经授权的用户写入指标的风险。精心制作的指标可能隐藏其他恶意活动。没有数据泄露的风险。由于Firehose不支持私有HTTP端点,这些端点很可能会暴露于公共互联网上。在PR #34847中引入了修复措施,并在v0.108.0中发布。建议所有用户进行升级。对此漏洞没有已知的解决方法。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接
https://docs.aws.amazon.com/firehose/latest/dev/controlling-access.html#using...
https://docs.aws.amazon.com/firehose/latest/dev/httpdeliveryrequestresponse.html
https://github.com/open-telemetry/opentelemetry-collector
https://github.com/open-telemetry/opentelemetry-collector-contrib/pull/34847
https://github.com/open-telemetry/opentelemetry-collector-contrib/security/ad...
https://github.com/open-telemetry/opentelemetry-collector-contrib/tree/main/r...
https://github.com/open-telemetry/opentelemetry-collector-releases/pull/74
https://github.com/open-telemetry/opentelemetry-collector-releases/releases/t...
https://github.com/open-telemetry/opentelemetry-collector-releases/tree/main/...
CVSS3评分 5.3
  • 攻击路径 网络
  • 攻击复杂度 低
  • 权限要求 无
  • 影响范围 未更改
  • 用户交互 无
  • 可用性 无
  • 保密性 无
  • 完整性 低
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
CWE-ID 漏洞类型
- avd.aliyun.com
weinxin
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论:0   参与:  0