网络安全研究人员在一种名为 Fluent Bit 的流行日志记录和指标实用程序中发现了一个严重的安全漏洞,该漏洞可用于实现拒绝服务 (DoS)、信息泄露或远程代码执行。
该漏洞被跟踪为 CVE-2024-4323,Tenable Research 的代号为 Linguistic Lumberjack。它会影响 2.0.7 到 3.0.3 的版本,版本 3.0.4 中提供了修复。
该问题与 Fluent Bit 内置 HTTP 服务器中的内存损坏情况有关,该服务器可能允许 DoS、信息泄漏或远程代码执行。
具体而言,它涉及通过 /api/v1/traces 和 /api/v1/trace 等终结点向监控 API 发送恶意构建的请求。
“无论是否配置了任何跟踪,任何有权访问此 API 端点的用户仍然可以查询它,”安全研究员 Jimi Sebree 说。
“在解析 /api/v1/traces 端点的传入请求期间,在解析之前未正确验证输入名称的数据类型。”
默认情况下,假定数据类型为字符串(即 MSGPACK_OBJECT_STR),威胁参与者可以通过传递非字符串值来利用这些字符串,从而导致内存损坏。
Tenable 表示,它能够可靠地利用该问题使服务崩溃并导致 DoS 情况。另一方面,远程代码执行取决于各种环境因素,例如主机体系结构和操作系统。
建议用户更新到最新版本以缓解潜在的安全威胁,特别是考虑到该漏洞已提供概念验证 (PoC) 漏洞。
漏洞详情:【CVE - CVE-2024-4323 (mitre.org)】
来源:【黑客新闻网】
任何问题,可进群交流,有问必答,只为成就不一样的你!
原文始发于微信公众号(船山信安):在流行的日志记录实用程序 Fluent Bit 中发现的“语言伐木工人”漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论