opentelemetryのTelemetry Schema Filesにおける複数の脆弱性
| Title |
opentelemetryのTelemetry Schema Filesにおける複数の脆弱性
|
| Summary |
OpenTelemetry-GoはOpenTelemetryのGoによる実装です。バージョン0.0.17より前のバージョンでは、`go.opentelemetry.io/otel/schema/v1.0`および`go.opentelemetry.io/otel/schema/v1.1`が、`ParseFile`の呼び出しごとに1つのファイルディスクリプタをリークしていました。`ParseFile`はスキーマファイルを開き、それを閉じることなく`Parse`に渡していました。長時間稼働するプロセスで繰り返し解析が行われると、プロセスのファイルディスクリプタ制限が枯渇し、サービス拒否(DoS)を引き起こす可能性があります。悪用は、攻撃者が制御するパスに対して繰り返しスキーマの解析を実行する消費アプリケーションに依存します。バージョン0.0.17にはこの問題に対する修正が含まれています。
|
| Possible impacts |
・当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 ・当該ソフトウェアが扱う情報について、書き換えは発生しません。 ・当該ソフトウェアが完全に停止する可能性があります。 |
| Solution |
ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date |
June 4, 2026, midnight |
| Registration Date |
June 22, 2026, 11:35 a.m. |
| Last Update |
June 22, 2026, 11:35 a.m. |
|
CVSS3.0 : 警告
|
| Score |
5.5
|
| Vector |
CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H |
Affected System
| opentelemetry |
|
Telemetry Schema Files 0.0.17 未満
|
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
| No |
Changed Details |
Date of change |
| 1 |
[2026年06月22日]
掲載 |
June 22, 2026, 11:35 a.m. |
NVD Vulnerability Information
CVE-2026-45287
| Summary |
OpenTelemetry-Go is the Go implementation of OpenTelemetry. Prior to version 0.0.17, `go.opentelemetry.io/otel/schema/v1.0` and `go.opentelemetry.io/otel/schema/v1.1` leaks one file descriptor on each successful `ParseFile` call. `ParseFile` opens the schema file and passes it to `Parse` without closing it; repeated parsing in a long-running process can exhaust the process file descriptor limit and cause denial of service. Exploitation depends on a consuming application exposing repeated schema parsing to an attacker-controlled path. Version 0.0.17 contains a patch for the issue.
|
| Publication Date |
June 5, 2026, 1:16 a.m. |
| Registration Date |
June 5, 2026, 4:11 a.m. |
| Last Update |
June 9, 2026, 4:16 a.m. |
Related information, measures and tools
Common Vulnerabilities List