| タイトル | opentelemetryにおける過剰なサイズ値のメモリ割り当てに関する脆弱性 |
|---|---|
| 概要 | OpenTelemetry-GoはOpenTelemetryのGo言語による実装です。バージョン1.41.0および1.43.0では、生の長さの拒否機能が削除されました。そのため、`Parse`が任意に大きいまたは無効なバゲッジヘッダーを処理してエラーをログに記録し、過大入力によるDoS攻撃を可能にしてしまいます。この問題はバージョン1.42.0および1.44.0で修正されています。 |
| 想定される影響 | ・当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 ・当該ソフトウェアが扱う情報について、書き換えは発生しません。 ・当該ソフトウェアの一部が停止する可能性があります。 |
| 対策 | ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年6月4日0:00 |
| 登録日 | 2026年6月22日11:38 |
| 最終更新日 | 2026年6月22日11:38 |
| CVSS3.0 : 警告 | |
| スコア | 5.3 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L |
| opentelemetry |
| opentelemetry 1.42.0 未満 |
| opentelemetry 1.43.0 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年06月22日] 掲載 |
2026年6月22日11:38 |
| 概要 | OpenTelemetry-Go is the Go implementation of OpenTelemetry. Versions 1.41.0 and 1.43.0 removed raw-length rejection and it causes `Parse` to process arbitrarily large/invalid baggage headers and log errors, enabling DoS via oversized inputs. Versions 1.42.0 and 1.44.0 fix the issue. |
|---|---|
| 公表日 | 2026年6月5日1:16 |
| 登録日 | 2026年6月5日4:10 |
| 最終更新日 | 2026年6月5日2:16 |