Podatność typu heap buffer overflow (CWE-122/CWE-787) w wbudowanym serwerze HTTP Fluent Bit w wersjach 2.0.7–3.0.3 umożliwia zdalnemu, nieuwierzytelnionemu atakującemu wykonanie dowolnego kodu, ujawnienie informacji lub wywołanie odmowy usługi. Krytyczny wynik CVSS 9.8 oraz brak wymagań co do uprawnień lub interakcji użytkownika czynią tę podatność wyjątkowo niebezpieczną.
▸ Pokaż oryginał (EN)
A memory corruption vulnerability in Fluent Bit versions 2.0.7 thru 3.0.3. This issue lies in the embedded http server’s parsing of trace requests and may result in denial of service conditions, information disclosure, or remote code execution.
Błąd tkwi w mechanizmie parsowania żądań trace przez wbudowany serwer HTTP Fluent Bit. Nieprawidłowe przetwarzanie danych wejściowych prowadzi do uszkodzenia pamięci (memory corruption) w obszarze sterty (heap), co klasyfikowane jest jako heap buffer overflow. Atakujący może wysłać specjalnie spreparowane żądanie sieciowe do wyeksponowanego serwera HTTP bez konieczności posiadania jakichkolwiek uprawnień czy uwierzytelnienia. W zależności od kontekstu i zastosowanego payloadu skutkiem może być crash procesu, wyciek zawartości pamięci lub przejęcie kontroli nad wykonaniem kodu.
Atakujący może zdalnie wykonać dowolny kod (RCE) w kontekście procesu Fluent Bit, uzyskać dostęp do poufnych danych przetwarzanych w pamięci procesu lub całkowicie unieruchomić usługę (DoS), co w środowiskach zbierania logów może oznaczać utratę widoczności zdarzeń bezpieczeństwa.
Należy zaktualizować Fluent Bit do wersji wyższej niż 3.0.3, stosując patche dostępne w repozytorium producenta (commit 9311b43a258352797af40749ab31a63c32acfd04). Jeśli natychmiastowa aktualizacja nie jest możliwa, należy rozważyć wyłączenie wbudowanego serwera HTTP lub ograniczenie dostępu do niego na poziomie firewall wyłącznie do zaufanych hostów.
Fluent Bit (Treasuredata) w wersjach od 2.0.7 do 3.0.3 włącznie, z włączonym wbudowanym serwerem HTTP.
Podatność została opisana przez Tenable w raporcie TRA-2024-17 oraz opublikowana przez Vicarius jako 'Linguistic Lumberjack'. Poprawka dostępna jest jako konkretny commit w repozytorium GitHub projektu Fluent Bit.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HTreasuredata Fluent Bit
APPTreasuredata2.0.7 – 2.2.3 (bez)3.0.0 – 3.0.4 (bez)
Powiązane podatności
Fluent Bit: brak sanityzacji tag_key umożliwia path traversal i wstrzyknięcie danych
Fluent Bit (aka fluent-bit) 1.7.0 through 1.7.4 has a double free in flb_free (called from flb_parser_json_do ...
The extract_name function in Fluent Bit in_docker input plugin copies container names into a fixed size stack ...
An issue was discovered in Fluent Bit 3.1.9. When the Prometheus Remote Write input plugin is running and list...
An issue was discovered in Fluent Bit 3.1.9. When the OpenTelemetry input plugin is running and listening on a...