Informazioni sul CVE-2024-42368
open-telemetry has an Observable Timing Discrepancy
CWE ID: CWE-208
Base Score (CVSS): N/A
CVE: CVE-2024-42368
Descrizione: OpenTelemetry, anche noto come OTel, è un framework open source di osservabilità per instrumentare, generare, raccogliere e esportare dati di telemetria come tracce, metriche e log. L’estensione del token bearertokenauth effettua una semplice e non costante comparazione di una stringa di caratteri ricevuti e configurati del token bearer. Questo influisce su chiunque utilizzi l’estensione del token bearertokenauth del server. Client malintenzionati con accesso di rete al collector possono eseguire un attacco di timing contro un collector con questa autenticatore per dedurre il token configurato, inviando token iterativamente e confrontando il tempo di risposta. Questo permetterebbe a un attaccante di introdurre dati fabbricati o errati nel pipeline di telemetria del collector. La vulnerabilità di timing osservabile è stata corretta utilizzando una comparazione costante nel 0.107.0.
Vettore di attacco CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:L
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: Accesso: Network, Privilegi: None, Interazione utente: None, Confidenzialità: None, Integrità: Low, Disponibilità: Low.
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|---|---|---|
| Attack Vector (AV) | N | Network | L’attacco può essere eseguito da remoto attraverso la rete. |
| Attack Complexity (AC) | L | Low | L’attacco non richiede condizioni particolari. |
| Privileges Required (PR) | N | None | Non sono richiesti privilegi. |
| User Interaction (UI) | N | None | Non è richiesta interazione dell’utente. |
| Scope (S) | U | Unchanged | Il raggio d’azione non cambia. |
| Confidentiality Impact (C) | N | None | Nessun impatto sulla riservatezza. |
| Integrity Impact (I) | L | Low | Impatto limitato. |
| Availability Impact (A) | L | Low | Interferenza limitata. |
Riferimenti esterni
- https://github.com/open-telemetry/opentelemetry-collector-contrib/security/advisories/GHSA-rfxf-mf63-cpqv
- https://github.com/open-telemetry/opentelemetry-collector-contrib/pull/34516
- https://github.com/open-telemetry/opentelemetry-collector-contrib/commit/c9bd3eff0bb357d9c812a0d8defd3b09db95699a
Prodotti interessati
- open-telemetry – opentelemetry-collector-contrib
Relazioni con altri prodotti
Produttore:open-telemetry
Prodotto: opentelemetry-collector-contrib
Anno: 2024
CWE: CWE-208
CVSS: 0.0