INFSA-2025:7479: Устранение уязвимостей opentelemetry-collector
Информация о бюллетене
Идентификатор: INFSA-2025:7479
Тип: устранение уязвимостей
Дата публикации: 2025-07-15 19:25:53 UTC
Информация о пакете
Специфичная для ОС сборка проекта OpenTelemetry с открытым исходным кодом для сбора унифицированных, стандартизированных и независимых от поставщика телеметрических данных для облачного программного обеспечения.
Описание уязвимостей
- CVE-2025-30204
Уязвимость golang-jwt jwt-go вызвана чрезмерным выделением памяти во время анализа заголовка. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании.
- CVE-2025-27144
Уязвимость go-jose вызвана ошибкой при разборе компактного ввода JWS или JWE. В коде используется strings.Split(token, ".") для разделения токенов JWT, что может привести к чрезмерному потреблению памяти при обработке специально созданных токенов с большим количеством символов ".". Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании, отправив множество неправильно сформированных токенов, что приведёт к исчерпанию памяти.
- CVE-2025-22868
Уязвимость языка программирования Go связана с неправильной проверкой синтаксической корректности ввода. Эксплуатация уязвимости позволяет нарушителю, действующему удалённо, вызвать отказ в обслуживании.
- CVE-2025-29786
Уязвимость Expr связана с чрезмерным использованием памяти и нехваткой памяти (OOM) из-за неограниченных входных строк, когда вредоносное или непреднамеренное большое выражение может заставить синтаксический анализатор построить чрезвычайно большое абстрактное синтаксическое дерево (Abstract Syntax Tree — AST), потребляя чрезмерное количество памяти. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код или вызывать отказ в обслуживании.
Уровень опасности
CVE | Оценка CVSS 2.0 | Оценка CVSS 3.x | Оценка CVSS 4.0 |
---|---|---|---|
NIST — CVE-2025-22868
БДУ —
BDU:2025-03638
|
нет информации | 7.5 | нет информации |
NIST — CVE-2025-29786
|
нет информации | 7.5 | нет информации |
NIST — CVE-2025-30204
|
нет информации | 7.5 | нет информации |
Обновлённые пакеты