Ny tetik'asa Fluent Bit open source dia namaritra ny vulnerability (CVE-2024-4323) izay mamela ny kolikoly fitadidiana lavitra, izay azo ampiasaina amin'ny fandavana ny serivisy, ny fivoahan'ny angon-drakitra, ary ny mety hampiharana kaody amin'ny mpizara. Ny olana, nomena anarana hoe "Linguistic Lumberjack," dia manana haavon'ny fahasahiranana (9.8 amin'ny 10). Ny vulnerability dia miseho manomboka amin'ny version 2.0.7 ary raikitra amin'ny fanavaozana fanitsiana 2.2.3 sy 3.0.4.
Ny Fluent Bit dia manana fametrahana mihoatra ny 10 lavitrisa ary ampiasaina amin'ny fanodinana sy fanangonana logs sy metrika amin'ny orinasa maro sy sehatra rahona, ohatra, ny mpampiasa dia ahitana ny Google Cloud, AWS, DigitalOcean, vmWare, Cisco, Microsoft, Lyft, LinkedIn, Walmart, Couchbase , Swift sy Dell. Nandritra ny volana martsa, sary Docker 13 tapitrisa no nalaina tao amin'ny Fluent Bit. Araka ny filazan'i Tenable, izay namaritra ny fahalemena, serivisy rahona maro no tsy manakana ny fidirana amin'ny API Web mba hahazoana metrika anatiny toy ny ora fiasana, ary ny Fluent Bit dia ampiasaina amin'ny fanodinana antso amin'ny API toy izany.
Ny vulnerability dia noho ny bibikely ao amin'ny server HTTP naorina izay mitranga rehefa mikarakara ny fangatahana ivelany amin'ny alàlan'ny antso API "/ api/v1/traces" sy "/api/v1/trace", izay ahafahan'ny mpampiasa mahazo fampahalalana momba ny voarindra. traces. Na manao ahoana na manao ahoana ny fanaraha-maso dia afaka miditra amin'ny angon-drakitra API ny mpampiasa raha omena azy ireo ny fidirana mety. Nandritra ny famakafakana ny fangatahana ho avy, ny karazana saha fampidirana sasany nandalo tamina laharan'ny sakana JSON dia tsy voafaritra tsara ary, na inona na inona karazana saha andrasana, dia nodikaina ho karazana MSGPACK_OBJECT_STR. Ny famaritana ny soatoavina tsy misy tady, toy ny mari-pamantarana integer, ao amin'ny laharan'ny angona fidirana dia niteraka fahasimban'ny fitadidiana noho ny fiasan'ny flb_sds_create_len() maka ny sanda integer nandalo ho toy ny saha miendrika kofehy.
Ohatra amin'ny fangatahana miteraka fianjerana: python3 -c 'print("{\"output\":\"stdout\", \"params\": {\"format\": \"json\"},\ "fampidirana \":[\"" + "A"*8 + "\"," + str(0xffffffff) + ", \"" + "B"*500 + "\"]}")' > test curl -v http://:2020/api/v1/traces/ -H "Content-Type: application/json" -H "Antenaina: " --data "@test"
Nandritra ny andrana, ireo mpikaroka dia afaka nandrava ny serivisy ary namaritra ny votoatin'ny fitadidiana tavela ampiasaina amin'ny fanodinana ny fangatahana HTTP ary misy, ohatra, sombin-drakitra tsiambaratelo toy ny fanalahidy fidirana. Satria ny olana dia mitarika amin'ny fihoaram-pefy miankina amin'ny mari-pamantarana efa nandalo, dia azo trandrahana amin'ny teoria izy io mba hanatanterahana ny kaody amin'ny rafitra, saingy tsy nanandrana izany fahafahana izany ireo mpikaroka izay nahafantatra ny olana noho ny tsy fahampian'ny fotoana hiasana amin'ny fitrandrahana.
Source: opennet.ru
