| Title | opentelemetryのOpenTelemetry.Resources.Azureにおける制限またはスロットリング無しのリソースの割り当てに関する脆弱性 |
|---|---|
| Summary | OpenTelemetry.Resources.AzureはAzure環境向けの.NETリソース検出器です。バージョン1.15.0-beta.1およびそれ以前では、AzureVmMetaDataRequestorクラスがAzure VMインスタンスメタデータサービスにHTTPリクエストを送信し、応答ボディをサイズ制限なくメモリに読み込みます。攻撃者が設定されたエンドポイントを制御するか、または中間者攻撃によってそのトラフィックを傍受できる場合、任意の大きさの応答ボディを返すことが可能です。これにより、消費プロセスのヒープ割り当てが無制限になり、一時的な高いメモリ圧迫が発生したり、ガベージコレクションが遅延したり、プロセスを終了させるOutOfMemoryExceptionが発生したりします。回避策として、Azure VMリソース検出器を無効にするか、ファイアウォールルール、mTLS、サービスメッシュなどのネットワークレベルの制御を使用して、Azure VMインスタンスメタデータエンドポイントの中間者攻撃を防止してください。この問題はバージョン1.15.1-beta.1で修正されており、応答を完全にメモリにバッファリングするのではなくストリーム処理を行い、4 MiBを超える応答は無視される仕組みになっています。 |
| Possible impacts | 当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 また、当該ソフトウェアが扱う情報について、書き換えは発生しません。 さらに、当該ソフトウェアが完全に停止する可能性があります。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| Solution | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | May 6, 2026, midnight |
| Registration Date | May 18, 2026, 11:22 a.m. |
| Last Update | May 18, 2026, 11:22 a.m. |
| CVSS3.0 : 警告 | |
| Score | 5.9 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H |
| opentelemetry |
| OpenTelemetry.Resources.Azure 1.15.0 およびそれ以前 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年05月18日] 掲載 |
May 18, 2026, 11:22 a.m. |
| Summary | OpenTelemetry.Resources.Azure is the .NET resource detector for Azure environments. In versions 1.15.0-beta.1 and earlier, the AzureVmMetaDataRequestor class makes HTTP requests to the Azure VM instance metadata service and reads the response body into memory without any size limit. An attacker who controls the configured endpoint, or who can intercept traffic to it via a man-in-the-middle attack, can return an arbitrarily large response body. This causes unbounded heap allocation in the consuming process, leading to high transient memory pressure, garbage-collection stalls, or an OutOfMemoryException that terminates the process. As a workaround, disable the Azure VM resource detector or use network-level controls such as firewall rules, mTLS, or a service mesh to prevent man-in-the-middle attacks on the Azure VM instance metadata endpoint. This issue is fixed in version 1.15.1-beta.1, which streams responses rather than buffering them entirely in memory and ignores responses larger than 4 MiB. |
|---|---|
| Publication Date | May 7, 2026, 7:16 a.m. |
| Registration Date | May 8, 2026, 4:09 a.m. |
| Last Update | May 8, 2026, 12:04 a.m. |