製品・ソフトウェアに関する情報

脆弱性検索

ベンダー検索

プロダクト・サービス検索

JVN脆弱性検索トップ

->

JVN脆弱性詳細

opentelemetryのeBPF Instrumentationにおける複数の脆弱性

タイトル	opentelemetryのeBPF Instrumentationにおける複数の脆弱性
概要	OpenTelemetry eBPFインストルメンテーションは、OpenTelemetry標準に基づくeBPFインストルメンテーションを提供します。バージョン0.9.0以前では、OBIの置換ELFパーサーは実行ファイルからのセクションオフセット、カウント、および文字列オフセットを信頼していました。細工されたローカルELFファイルにより、OBIが無効なセクションポインタを逆参照したり、文字列表を越えてスライスしたりする可能性があり、その結果、エージェントがプロセスの言語を判別する際にパニックを引き起こしてしまう恐れがありました。この問題はバージョン0.9.0で修正されています。
想定される影響	・当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。・当該ソフトウェアが扱う情報について、書き換えは発生しません。・当該ソフトウェアが完全に停止する可能性があります。
対策	ベンダ情報を参照して適切な対策を実施してください。
公表日	2026年6月2日0:00
登録日	2026年6月5日10:51
最終更新日	2026年6月5日10:51

CVSS3.0 : 警告
スコア	5.5
ベクター	CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

影響を受けるシステム

opentelemetry

eBPF Instrumentation 0.9.0 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-45676	https://www.cve.org/CVERecord?id=CVE-2026-45676
National Vulnerability Database (NVD)
2	CVE-2026-45676	https://nvd.nist.gov/vuln/detail/CVE-2026-45676

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-20	https://jvndb.jvn.jp/ja/cwe/CWE-20.html
2	CWE-248	https://cwe.mitre.org/data/definitions/248.html

ベンダー情報

No	名前	URL
GitHub
1	Unsafe fastelf parsing allows malformed ELF to crash agent Advisory open-telemetry/opentelemetry-ebpf-instrumentation GitHub	https://github.com/open-telemetry/opentelemetry-ebpf-instrumentation/security/advisories/GHSA-wp73-mwgf-4jq9

その他

No	名前	URL
関連文書
1	Release v0.9.0 open-telemetry/opentelemetry-ebpf-instrumentation GitHub	https://github.com/open-telemetry/opentelemetry-ebpf-instrumentation/releases/tag/v0.9.0

変更履歴

No	変更内容	変更日
1	[2026年06月05日] 掲載	2026年6月5日10:51

NVD脆弱性情報

CVE-2026-45676

概要	OpenTelemetry eBPF Instrumentation provides eBPF instrumentation based on the OpenTelemetry standard. Prior to version 0.9.0, OBI's replacement ELF parser trusts section offsets, counts, and string offsets from the executable file. A crafted local ELF can make OBI dereference invalid section pointers or slice past string tables, causing the agent to panic while determining the process language. This issue has been patched in version 0.9.0.
公表日	2026年6月3日1:16
登録日	2026年6月3日4:18
最終更新日	2026年6月4日1:08

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:opentelemetry:ebpf_instrumentation::::::go::*					0.9.0

関連情報、対策とツール

No	URL	refsource	タグ
1	https://github.com/open-telemetry/opentelemetry-ebpf-instrumentation/releases/tag/v0.9.0	security-advisories@github.com
2	https://github.com/open-telemetry/opentelemetry-ebpf-instrumentation/security/advisories/GHSA-wp73-mwgf-4jq9	security-advisories@github.com
3	https://github.com/open-telemetry/opentelemetry-ebpf-instrumentation/security/advisories/GHSA-wp73-mwgf-4jq9	134c704f-9b21-4f2e-91b3-4a467353bcc0

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-20	不適切な入力確認	https://cwe.mitre.org/data/definitions/20.html
2	CWE-248	キャッチされない例外	https://cwe.mitre.org/data/definitions/248.html