鉴于漏洞危害较大,嘉诚安全提醒相关用户尽快更新至安全版本,避免引发漏洞相关的网络安全事件。
经研判,该漏洞为高危漏洞,且技术细节及PoC已公开。该漏洞存在于Fluent Bit的嵌入式http服务器对跟踪请求的解析中,由于在解析/api/v1/traces端点的传入请求时,在解析之前未正确验证input_name的数据类型,可通过在请求的“inputs”数组中传递非字符串值(如整数值),可能导致内存损坏,成功利用该漏洞可能导致拒绝服务、信息泄露或远程代码执行。
2.0.7 <= Fluent Bit <= 3.0.3
目前官方已发布安全更新,建议用户尽快升级至最新版本,即Fluent Bit v3.0.4或更高版本。
下载链接:
https://github.com/fluent/fluent-bit/tags
参考链接:
https://www.tenable.com/security/research/tra-2024-17
https://www.tenable.com/blog/linguistic-lumberjack-attacking-cloud-services-via-logging-endpoints-fluent-bit-cve-2024-4323
https://github.com/fluent/fluent-bit/commit/9311b43a258352797af40749ab31a63c32acfd04
https://github.com/fluent/fluent-bit/actions/runs/9097880110
https://nvd.nist.gov/vuln/detail/CVE-2024-4323
原文始发于微信公众号(嘉诚安全):【漏洞通告】Fluent Bit内存损坏漏洞安全风险通告
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论