| Title | opentelemetryのOpenTelemetry.Exporter.OneCollectorにおける制限またはスロットリング無しのリソースの割り当てに関する脆弱性 |
|---|---|
| Summary | OpenTelemetry.Exporter.OneCollectorは、HTTP経由でテレメトリをOneCollectorバックエンドに送信する.NETエクスポーターです。バージョン1.15.0およびそれ以前では、構成されたバックエンドまたはコレクターへのリクエストがHTTPの4xxまたは5xxのエラー応答となった場合、HttpJsonPostTransportクラスはエラー応答をオペレーターのログに含めるために応答の本文全体をメモリに読み込みますが、消費されるバイト数に上限がありません。攻撃者が構成されたエンドポイントを制御しているか、中間者攻撃によってトラフィックを傍受することが可能な場合、任意の大きさの応答本文を返すことができます。これにより、消費プロセスでヒープの無制限割り当てが発生し、一時的なメモリ使用量の増大、ガベージコレクションの遅延、またはプロセスを終了させるOutOfMemoryExceptionが引き起こされます。回避策として、ファイアウォールルール、mTLS、サービスメッシュなどのネットワークレベルの制御を使用して、構成されたバックエンドまたはコレクターエンドポイントに対する中間者攻撃を防止してください。この問題は、エラー条件時に応答本文から読み取るバイト数を4MiBに制限したバージョン1.15.1で修正されています。 |
| Possible impacts | 当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 また、当該ソフトウェアが扱う情報について、書き換えは発生しません。 さらに、当該ソフトウェアが完全に停止する可能性があります。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| Solution | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | May 6, 2026, midnight |
| Registration Date | May 18, 2026, 11:22 a.m. |
| Last Update | May 18, 2026, 11:22 a.m. |
| CVSS3.0 : 警告 | |
| Score | 5.9 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H |
| opentelemetry |
| OpenTelemetry.Exporter.OneCollector 1.15.0 およびそれ以前 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年05月18日] 掲載 |
May 18, 2026, 11:22 a.m. |
| Summary | OpenTelemetry.Exporter.OneCollector is a .NET exporter that sends telemetry to a OneCollector back-end over HTTP. In versions 1.15.0 and earlier, when a request to the configured back-end or collector results in an unsuccessful HTTP 4xx or 5xx response, the HttpJsonPostTransport class reads the entire response body into memory with no upper bound on the number of bytes consumed in order to include the error response in operator logs. An attacker who controls the configured endpoint, or who can intercept traffic to it via a man-in-the-middle attack, can return an arbitrarily large response body. This causes unbounded heap allocation in the consuming process, leading to high transient memory pressure, garbage-collection stalls, or an OutOfMemoryException that terminates the process. As a workaround, use network-level controls such as firewall rules, mTLS, or a service mesh to prevent man-in-the-middle attacks on the configured back-end or collector endpoint. This issue is fixed in version 1.15.1, which limits the number of bytes read from the response body in an error condition to 4 MiB. |
|---|---|
| Publication Date | May 7, 2026, 7:16 a.m. |
| Registration Date | May 8, 2026, 4:09 a.m. |
| Last Update | May 8, 2026, 12:04 a.m. |