製品・ソフトウェアに関する情報

JVN脆弱性詳細

opentelemetryのeBPF Instrumentationにおける整数オーバーフローの脆弱性

Title	opentelemetryのeBPF Instrumentationにおける整数オーバーフローの脆弱性
Summary	OpenTelemetry eBPF Instrumentationは、OpenTelemetry標準に基づくeBPFインストルメンテーションを提供します。バージョン0.7.0から0.9.0未満のバージョンにおいて、OBIのmemcachedテキストプロトコルパーサーにリモートから到達可能な整数オーバーフローが存在し、OBIプロセスがクラッシュしてサービス拒否を引き起こす可能性があります。set、add、replace、append、prepend、またはcasなどのmemcachedストレージコマンドを解析する際に、OBIは非常に大きなbytes値を受け入れ、オーバーフローの確認をせずにペイロード区切り文字の長さを加算します。bytesにmath.MaxIntまたはmath.MaxInt-1が設定された細工されたリクエストにより、計算されたペイロード長が負の値に巻き戻り、LargeBufferReader.Peekでランタイムパニックが発生します。この問題はバージョン0.9.0で修正されています。
Possible impacts	・当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。・当該ソフトウェアが扱う情報について、書き換えは発生しません。・当該ソフトウェアが完全に停止する可能性があります。
Solution	ベンダ情報を参照して適切な対策を実施してください。
Publication Date	June 2, 2026, midnight
Registration Date	June 5, 2026, 10:50 a.m.
Last Update	June 5, 2026, 10:50 a.m.

CVSS3.0 : 重要
Score	7.5
Vector	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Affected System

opentelemetry

eBPF Instrumentation 0.7.0 以上 0.9.0 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-45686	https://www.cve.org/CVERecord?id=CVE-2026-45686
National Vulnerability Database (NVD)
2	CVE-2026-45686	https://nvd.nist.gov/vuln/detail/CVE-2026-45686

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-190	https://cwe.mitre.org/data/definitions/190.html

ベンダー情報

No	Name	URL
GitHub
1	Memcached payload length overflow can crash OBI Advisory open-telemetry/opentelemetry-ebpf-instrumentation GitHub	https://github.com/open-telemetry/opentelemetry-ebpf-instrumentation/security/advisories/GHSA-43g7-cwr8-q3jh

その他

No	Name	URL
関連文書
1	Release v0.9.0 open-telemetry/opentelemetry-ebpf-instrumentation GitHub	https://github.com/open-telemetry/opentelemetry-ebpf-instrumentation/releases/tag/v0.9.0

Change Log

No	Changed Details	Date of change
1	[2026年06月05日] 掲載	June 5, 2026, 10:50 a.m.

NVD Vulnerability Information

CVE-2026-45686

Summary	OpenTelemetry eBPF Instrumentation provides eBPF instrumentation based on the OpenTelemetry standard. From version 0.7.0 to before version 0.9.0, a remotely reachable integer overflow in OBI's memcached text protocol parser can crash the OBI process and cause denial of service. When parsing memcached storage commands such as set, add, replace, append, prepend, or cas, OBI accepts extremely large <bytes> values and adds the payload delimiter length without checking for overflow. A crafted request with <bytes> set to math.MaxInt or math.MaxInt-1 causes the computed payload length to wrap negative and triggers a runtime panic in LargeBufferReader.Peek. This issue has been patched in version 0.9.0.
Publication Date	June 3, 2026, 1:16 a.m.
Registration Date	June 3, 2026, 4:18 a.m.
Last Update	June 4, 2026, 1:52 a.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:opentelemetry:ebpf_instrumentation::::::go::*		0.7.0			0.9.0

Related information, measures and tools

No	URL	refsource
1	https://github.com/open-telemetry/opentelemetry-ebpf-instrumentation/releases/tag/v0.9.0	security-advisories@github.com
2	https://github.com/open-telemetry/opentelemetry-ebpf-instrumentation/security/advisories/GHSA-43g7-cwr8-q3jh	security-advisories@github.com
3	https://github.com/open-telemetry/opentelemetry-ebpf-instrumentation/security/advisories/GHSA-43g7-cwr8-q3jh	134c704f-9b21-4f2e-91b3-4a467353bcc0

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-190	整数オーバーフローまたはラップアラウンド	https://cwe.mitre.org/data/definitions/190.html