Fluent Bit 是主要云基础设施服务中广泛使用的日志记录和指标跟踪实用程序,其中发现了一个被称为“Linguistic Lumberjack”的严重安全漏洞 (CVE-2024-4323)。
Fluent Bit 是一种开源、轻量级数据收集器和处理器服务,旨在处理 Windows、Linux 和 macOS 操作系统上各种来源的大量日志数据。其可扩展性和易用性使其成为云环境中使用的首选,并且每天至少有 1000 万次部署。
Linguistic Lumberjack 漏洞可能使攻击者能够执行拒绝服务 (DoS) 攻击、泄露敏感信息,甚至获得远程代码执行 (RCE) 功能。
语言伐木工漏洞
Linguistic Lumberjack 漏洞源于Fluent Bit 内置 HTTP 服务器中的堆缓冲区溢出缺陷,特别是它处理 /api/v1/traces 端点的方式。此端点使管理员能够配置 FluentBit 如何处理其跟踪和监控操作。
来源:http://www. Fluentbit.io
然而,由于缺乏对输入类型的正确验证,在请求的“输入”数组中发送非字符串值(例如整数)可能会导致内存损坏。代码错误地假设这些值是有效的 MSGPACK_OBJECT_STR。
通过在“输入”数组字段中故意传递整数值,攻击者可以触发各种内存损坏问题,包括堆缓冲区溢出和由于尝试写入受保护内存区域而导致的崩溃。
在受控环境中,Tenable 研究人员成功利用该漏洞触发服务崩溃 (DoS) 和相邻内存内容的泄漏,其中可能包括现实场景中的敏感信息。在特定的环境因素下,攻击者甚至可以利用该漏洞造成拒绝服务或远程代码执行。
![]()
来源:http://www. Fluentbit.io
Fluent Bit 实用程序服务已深度集成到 Amazon AWS、Google GCP 和 Microsoft Azure 的主要 Kubernetes 发行版中。除了云提供商之外,Fluent Bit 还受到思科、VMware、英特尔、Adobe 和戴尔等几家主要科技公司的信赖。据了解,该实用程序还被几家主要网络安全公司使用。
缓解和补救措施
该严重内存损坏漏洞在 Fluent Bit 2.0.7 版本中引入,一直存在到 2024 年 4 月 27 日发布的软件 3.0.3 版本中。该问题已在 Fluent Bit主源分支中修复,预计修复将包含在即将发布的软件版本 3.0.4 中。对于 Linux,包含修复程序的软件包已经可供下载。
对于无法立即升级的用户,研究人员建议审查对 Fluent Bit 监控 API 的现有访问,同时限制仅授权用户和服务的访问,并在端点未使用时将其禁用。
对于依赖已知使用 Fluent Bit 的云服务的组织,建议联系云提供商以确保及时更新或缓解措施。研究人员已于 2024 年 5 月 15 日向主要云提供商通报了该漏洞的存在,以便他们能够启动自己的内部响应。
发表评论
您还未登录,请先登录。
登录