| Summary | OpenTelemetry-Go is the Go implementation of OpenTelemetry. Prior to version 0.0.17, `go.opentelemetry.io/otel/schema/v1.0` and `go.opentelemetry.io/otel/schema/v1.1` leaks one file descriptor on each successful `ParseFile` call. `ParseFile` opens the schema file and passes it to `Parse` without closing it; repeated parsing in a long-running process can exhaust the process file descriptor limit and cause denial of service. Exploitation depends on a consuming application exposing repeated schema parsing to an attacker-controlled path. Version 0.0.17 contains a patch for the issue. |
|---|---|
| Publication Date | June 5, 2026, 1:16 a.m. |
| Registration Date | June 5, 2026, 4:11 a.m. |
| Last Update | June 9, 2026, 4:16 a.m. |
| Title | opentelemetryのTelemetry Schema Filesにおける複数の脆弱性 |
|---|---|
| Summary | OpenTelemetry-GoはOpenTelemetryのGoによる実装です。バージョン0.0.17より前のバージョンでは、`go.opentelemetry.io/otel/schema/v1.0`および`go.opentelemetry.io/otel/schema/v1.1`が、`ParseFile`の呼び出しごとに1つのファイルディスクリプタをリークしていました。`ParseFile`はスキーマファイルを開き、それを閉じることなく`Parse`に渡していました。長時間稼働するプロセスで繰り返し解析が行われると、プロセスのファイルディスクリプタ制限が枯渇し、サービス拒否(DoS)を引き起こす可能性があります。悪用は、攻撃者が制御するパスに対して繰り返しスキーマの解析を実行する消費アプリケーションに依存します。バージョン0.0.17にはこの問題に対する修正が含まれています。 |
| Possible impacts | ・当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 ・当該ソフトウェアが扱う情報について、書き換えは発生しません。 ・当該ソフトウェアが完全に停止する可能性があります。 |
| Solution | ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | June 4, 2026, midnight |
| Registration Date | June 22, 2026, 11:35 a.m. |
| Last Update | June 22, 2026, 11:35 a.m. |
| opentelemetry |
| Telemetry Schema Files 0.0.17 未満 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年06月22日] 掲載 |
June 22, 2026, 11:35 a.m. |