CRITICAL🇬🇧 English

CVE-2024-4323

Krytyczna podatność memory corruption w Fluent Bit — RCE i ujawnienie danych

CVSS 9.8v3.1pub. 2024-05-20upd. 2025-05-05

Podatność typu heap buffer overflow (CWE-122/CWE-787) w wbudowanym serwerze HTTP Fluent Bit w wersjach 2.0.7–3.0.3 umożliwia zdalnemu, nieuwierzytelnionemu atakującemu wykonanie dowolnego kodu, ujawnienie informacji lub wywołanie odmowy usługi. Krytyczny wynik CVSS 9.8 oraz brak wymagań co do uprawnień lub interakcji użytkownika czynią tę podatność wyjątkowo niebezpieczną.

Pokaż oryginał (EN)

A memory corruption vulnerability in Fluent Bit versions 2.0.7 thru 3.0.3. This issue lies in the embedded http server’s parsing of trace requests and may result in denial of service conditions, information disclosure, or remote code execution.

🤖 Analiza AI
Jak działa

Błąd tkwi w mechanizmie parsowania żądań trace przez wbudowany serwer HTTP Fluent Bit. Nieprawidłowe przetwarzanie danych wejściowych prowadzi do uszkodzenia pamięci (memory corruption) w obszarze sterty (heap), co klasyfikowane jest jako heap buffer overflow. Atakujący może wysłać specjalnie spreparowane żądanie sieciowe do wyeksponowanego serwera HTTP bez konieczności posiadania jakichkolwiek uprawnień czy uwierzytelnienia. W zależności od kontekstu i zastosowanego payloadu skutkiem może być crash procesu, wyciek zawartości pamięci lub przejęcie kontroli nad wykonaniem kodu.

Skutki

Atakujący może zdalnie wykonać dowolny kod (RCE) w kontekście procesu Fluent Bit, uzyskać dostęp do poufnych danych przetwarzanych w pamięci procesu lub całkowicie unieruchomić usługę (DoS), co w środowiskach zbierania logów może oznaczać utratę widoczności zdarzeń bezpieczeństwa.

Mitygacja

Należy zaktualizować Fluent Bit do wersji wyższej niż 3.0.3, stosując patche dostępne w repozytorium producenta (commit 9311b43a258352797af40749ab31a63c32acfd04). Jeśli natychmiastowa aktualizacja nie jest możliwa, należy rozważyć wyłączenie wbudowanego serwera HTTP lub ograniczenie dostępu do niego na poziomie firewall wyłącznie do zaufanych hostów.

Kogo dotyczy

Fluent Bit (Treasuredata) w wersjach od 2.0.7 do 3.0.3 włącznie, z włączonym wbudowanym serwerem HTTP.

Uwagi

Podatność została opisana przez Tenable w raporcie TRA-2024-17 oraz opublikowana przez Vicarius jako 'Linguistic Lumberjack'. Poprawka dostępna jest jako konkretny commit w repozytorium GitHub projektu Fluent Bit.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Treasuredata Fluent Bit

    APP
    Treasuredata
    2.0.7 – 2.2.3 (bez)3.0.0 – 3.0.4 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCEDoS
CWE
Referencje

Powiązane podatności

CVE-2025-12977CRITICAL9.1PL ✓ten sam produkt

Fluent Bit: brak sanityzacji tag_key umożliwia path traversal i wstrzyknięcie danych

CVE-2021-36088CRITICAL9.8ten sam produkt

Fluent Bit (aka fluent-bit) 1.7.0 through 1.7.4 has a double free in flb_free (called from flb_parser_json_do ...

CVE-2025-12970HIGH8.8ten sam produkt

The extract_name function in Fluent Bit in_docker input plugin copies container names into a fixed size stack ...

CVE-2024-50608HIGH7.5ten sam produkt

An issue was discovered in Fluent Bit 3.1.9. When the Prometheus Remote Write input plugin is running and list...

CVE-2024-50609HIGH7.5ten sam produkt

An issue was discovered in Fluent Bit 3.1.9. When the OpenTelemetry input plugin is running and listening on a...

CVE-2024-4323 — Krytyczna podatność memory corruption w Fluent Bit — RCE i ujawnienie danych — CRITICAL 9.8 | CVEbaza.pl