OpenTelemetry, yazılımların performansını ve sağlığını izlemek için kullanılan bir açık kaynaklı gözlemlenebilirlik çerçevesidir. 2023-09-22'de, OpenTelemetry'nin Python sürümünde bir bellek tükenmesi açığı keşfedildi. Bu açık, saldırganların bir hedef sisteme çok sayıda kötü amaçlı istek göndererek sunucunun belleğini tüketmesine ve çökmesine neden olmasına izin verebilir.
Açığın detayları
Açıklık, OpenTelemetry'nin HTTP isteklerinin yöntemini izlemek için kullandığı http_method etiketindedir. Bu etiket, isteğin HTTP yöntemini (örneğin, GET, POST, PUT) tanımlamak için kullanılır. Açıklığa neden olan sorun, http_method etiketinin sınırsız kardinalliğe sahip olmasıdır. Bu, saldırganların çok uzun ve karmaşık yöntemler kullanarak etiketin boyutunu şişirmesine izin verir.
Açığın etkisi
Saldırı, bir hedef sisteme çok sayıda kötü amaçlı istek gönderilerek gerçekleştirilir. Her istek, çok uzun ve karmaşık bir yöntem kullanarak http_method etiketini şişirir. Bu, sunucunun belleğini tüketmesine ve çökmesine neden olabilir.
Açığın çözümü
OpenTelemetry, Etkilenen kullanıcıların sürümü yükseltmeleri önerilir.
Açığa karşı koruma
Açığa karşı korunmak için aşağıdaki önlemler alınabilir:
OpenTelemetry'nin en son sürümünü kullanın.
Sunucunuzu kötü amaçlı isteklerden korumak için bir güvenlik duvarı veya WAF kullanın.
Sunucunuzun bellek kullanımını izlemek için bir izleme aracı kullanın.
Sonuç
CVE-2023-43810, OpenTelemetry'de ciddi bir güvenlik açığıdır. Etkilenen kullanıcıların bu açığı düzeltmek için en son sürüme yükseltmeleri önerilir.