| タイトル | opentelemetryのeBPF Instrumentationにおける複数の脆弱性 |
|---|---|
| 概要 | OpenTelemetry eBPF インストルメンテーションは、OpenTelemetry 標準に基づく eBPF インストルメンテーションを提供します。バージョン0.1.0から0.9.0未満までの間に、破損した MongoDB ワイヤーメッセージが MongoDB TCP パーサーで未処理のパニックを引き起こす可能性があり、これによりリモートの認証されていない攻撃者がテレメトリエージェントをクラッシュさせ、サービス拒否を引き起こすことがあります。パーサーは入力が完全に検証される前に攻撃者が制御する生のネットワークペイロード上で動作するため、単一の細工されたメッセージが影響を受けるプロセスまたはノードのテレメトリ収集を終了させることがあります。この問題はバージョン0.9.0で修正されています。 |
| 想定される影響 | ・当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 ・当該ソフトウェアが扱う情報について、書き換えは発生しません。 ・当該ソフトウェアが完全に停止する可能性があります。 |
| 対策 | ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年6月2日0:00 |
| 登録日 | 2026年6月5日10:50 |
| 最終更新日 | 2026年6月5日10:50 |
| CVSS3.0 : 重要 | |
| スコア | 7.5 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
| opentelemetry |
| eBPF Instrumentation 0.1.0 以上 0.9.0 未満 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年06月05日] 掲載 |
2026年6月5日10:50 |
| 概要 | OpenTelemetry eBPF Instrumentation provides eBPF instrumentation based on the OpenTelemetry standard. From version 0.1.0 to before version 0.9.0, malformed MongoDB wire messages can trigger uncaught panics in the MongoDB TCP parser, allowing a remote unauthenticated attacker to crash the telemetry agent and cause a denial of service. The parser operates on raw attacker-controlled network payloads before the input is fully validated, so a single crafted message can terminate telemetry collection for the affected process or node. This issue has been patched in version 0.9.0. |
|---|---|
| 公表日 | 2026年6月3日1:16 |
| 登録日 | 2026年6月3日4:18 |
| 最終更新日 | 2026年6月4日1:52 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:opentelemetry:ebpf_instrumentation:*:*:*:*:*:go:*:* | 0.1.0 | 0.9.0 | |||