| タイトル | opentelemetryのTelemetry Schema Filesにおける複数の脆弱性 |
|---|---|
| 概要 | OpenTelemetry-GoはOpenTelemetryのGoによる実装です。バージョン0.0.17より前のバージョンでは、`go.opentelemetry.io/otel/schema/v1.0`および`go.opentelemetry.io/otel/schema/v1.1`が、`ParseFile`の呼び出しごとに1つのファイルディスクリプタをリークしていました。`ParseFile`はスキーマファイルを開き、それを閉じることなく`Parse`に渡していました。長時間稼働するプロセスで繰り返し解析が行われると、プロセスのファイルディスクリプタ制限が枯渇し、サービス拒否(DoS)を引き起こす可能性があります。悪用は、攻撃者が制御するパスに対して繰り返しスキーマの解析を実行する消費アプリケーションに依存します。バージョン0.0.17にはこの問題に対する修正が含まれています。 |
| 想定される影響 | ・当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 ・当該ソフトウェアが扱う情報について、書き換えは発生しません。 ・当該ソフトウェアが完全に停止する可能性があります。 |
| 対策 | ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年6月4日0:00 |
| 登録日 | 2026年6月22日11:35 |
| 最終更新日 | 2026年6月22日11:35 |
| CVSS3.0 : 警告 | |
| スコア | 5.5 |
|---|---|
| ベクター | CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H |
| opentelemetry |
| Telemetry Schema Files 0.0.17 未満 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年06月22日] 掲載 |
2026年6月22日11:35 |
| 概要 | OpenTelemetry-Go is the Go implementation of OpenTelemetry. Prior to version 0.0.17, `go.opentelemetry.io/otel/schema/v1.0` and `go.opentelemetry.io/otel/schema/v1.1` leaks one file descriptor on each successful `ParseFile` call. `ParseFile` opens the schema file and passes it to `Parse` without closing it; repeated parsing in a long-running process can exhaust the process file descriptor limit and cause denial of service. Exploitation depends on a consuming application exposing repeated schema parsing to an attacker-controlled path. Version 0.0.17 contains a patch for the issue. |
|---|---|
| 公表日 | 2026年6月5日1:16 |
| 登録日 | 2026年6月5日4:11 |
| 最終更新日 | 2026年6月9日4:16 |