Fluent Bit内存损坏漏洞安全风险通告

admin 2024年5月22日23:59:40评论8 views字数 933阅读3分6秒阅读模式
Fluent Bit是一个功能强大、灵活且易于使用的日志处理和转发工具,适用于各种规模和类型的应用和系统(如Linux、Windows、嵌入式Linux、MacOS等)。Fluent Bit是众多云提供商和企业使用的流行日志记录实用程序,截至2022年,该项目下载量已超过30亿次,每天的部署次数超过1000万次。

鉴于漏洞危害较大,嘉诚安全提醒相关用户尽快更新至安全版本,避免引发漏洞相关的网络安全事件。

漏洞详情

经研判,该漏洞为高危漏洞,且技术细节及PoC已公开。该漏洞存在于Fluent Bit的嵌入式http服务器对跟踪请求的解析中,由于在解析/api/v1/traces端点的传入请求时,在解析之前未正确验证input_name的数据类型,可通过在请求的“inputs”数组中传递非字符串值(如整数值),可能导致内存损坏,成功利用该漏洞可能导致拒绝服务、信息泄露或远程代码执行。

危害影响
影响范围:

2.0.7 <= Fluent Bit <= 3.0.3

处置建议

目前官方已发布安全更新,建议用户尽快升级至最新版本,即Fluent Bit v3.0.4或更高版本。

下载链接:

https://github.com/fluent/fluent-bit/tags

参考链接:

https://www.tenable.com/security/research/tra-2024-17

https://www.tenable.com/blog/linguistic-lumberjack-attacking-cloud-services-via-logging-endpoints-fluent-bit-cve-2024-4323

https://github.com/fluent/fluent-bit/commit/9311b43a258352797af40749ab31a63c32acfd04

https://github.com/fluent/fluent-bit/actions/runs/9097880110

https://nvd.nist.gov/vuln/detail/CVE-2024-4323

原文始发于微信公众号(嘉诚安全):【漏洞通告】Fluent Bit内存损坏漏洞安全风险通告

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年5月22日23:59:40
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Fluent Bit内存损坏漏洞安全风险通告http://cn-sec.com/archives/2766146.html

发表评论

匿名网友 填写信息