文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

超火爆的Fluent Bit 曝关键漏洞,影响几乎所有云服务商

2024-11-29 22:42

关注

Fluent Bit是一款非常流行的日志和度量解决方案,适用于Windows、Linux和macOS,主要存在于Kubernetes发行版本中,包括亚马逊AWS、谷歌GCP和微软Azure的发行版。

截至 2024 年 3 月,Fluent Bit 的下载和部署次数已超过 130 亿次,比 2022 年 10 月报告的 30 亿次下载量有了大幅增长。

Crowdstrike 和 Trend Micro 等网络安全公司以及思科、VMware、英特尔、Adobe 和戴尔等许多科技公司也在使用 Fluent Bit。

Tenable 安全研究人员将该漏洞称为 Linguistic Lumberjack,并将其追踪为 CVE-2024-4323。据悉,该漏洞是在 2.0.7 版本中引入的,是由 Fluent Bit 的嵌入式 HTTP 服务器在解析跟踪请求时的堆缓冲区溢出弱点引起的。

尽管未经认证的攻击者可以轻松利用该安全漏洞触发拒绝服务或远程捕获敏感信息,但如果有合适的条件和足够的时间创建可靠的漏洞,他们也可以利用该漏洞获得远程代码执行。

Tenable 安全研究人员表示:虽然堆缓冲区溢出是可以被利用的,但创建一个可靠的漏洞不仅困难重重,而且需要耗费大量时间。

研究人员认为,最直接、最主要的风险是那些与轻易实现 DoS 和信息泄露有关的风险。

随 Fluent Bit 3.0.4 发布的补丁程序

4 月 30 日,Tenable 向供应商报告了该安全漏洞,并于 5 月 15 日提交了该漏洞的修补程序,包含该补丁的正式版本预计将随 Fluent Bit 3.0.4 一起发布。

Tenable 还通过其漏洞披露平台向微软、亚马逊和谷歌通报了这一重大安全漏洞。

Tenable 方面上周三(5 月 15 日)表示:在所有受影响的平台修复之前,那些已经在基础架构上部署了该日志工具的客户,可以通过限制授权用户和服务访问 Fluent Bit 的监控 API 来缓解这一问题。

如果用不到这个易受攻击的 API 端点,也可以将其禁用,这样可以最大程度地避免安全风险。

来源:FreeBuf内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯