INFSA-2025:7479: Устранение уязвимостей opentelemetry-collector

Информация о бюллетене

Идентификатор: INFSA-2025:7479

Тип: устранение уязвимостей

Дата публикации: 2025-07-15 19:25:53 UTC

Информация о пакете

Специфичная для ОС сборка проекта OpenTelemetry с открытым исходным кодом для сбора унифицированных, стандартизированных и независимых от поставщика телеметрических данных для облачного программного обеспечения.

Описание уязвимостей

  • CVE-2025-30204

    Уязвимость golang-jwt jwt-go вызвана чрезмерным выделением памяти во время анализа заголовка. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании.

  • CVE-2025-27144

    Уязвимость go-jose вызвана ошибкой при разборе компактного ввода JWS или JWE. В коде используется strings.Split(token, ".") для разделения токенов JWT, что может привести к чрезмерному потреблению памяти при обработке специально созданных токенов с большим количеством символов ".". Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании, отправив множество неправильно сформированных токенов, что приведёт к исчерпанию памяти.

  • CVE-2025-22868

    Уязвимость языка программирования Go связана с неправильной проверкой синтаксической корректности ввода. Эксплуатация уязвимости позволяет нарушителю, действующему удалённо, вызвать отказ в обслуживании.

  • CVE-2025-29786

    Уязвимость Expr связана с чрезмерным использованием памяти и нехваткой памяти (OOM) из-за неограниченных входных строк, когда вредоносное или непреднамеренное большое выражение может заставить синтаксический анализатор построить чрезвычайно большое абстрактное синтаксическое дерево (Abstract Syntax Tree — AST), потребляя чрезмерное количество памяти. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код или вызывать отказ в обслуживании.

Уровень опасности

CVE Оценка CVSS 2.0 Оценка CVSS 3.x Оценка CVSS 4.0
БДУ — BDU:2025-03638
нет информации 7.5 нет информации
нет информации 7.5 нет информации
нет информации 7.5 нет информации
Критичный, высокий, средний, низкий

Обновлённые пакеты