Katalog CVE

CVE-2026-45683

NiskieCVSS 3.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

OpenTelemetry eBPF Instrumentation przed wersją 0.9.0 zawierał lukę, w której Java TLS ioctl probe odczytywał wskaźniki ioctl kontrolowane przez użytkownika za pomocą bpf_probe_read zamiast bpf_probe_read_user. To umożliwiało lokalnemu procesowi wskazanie pamięci jądra, co mogło prowadzić do skopiowania tej pamięci do telemetrii.

Ocena ryzyka

Luka ta może prowadzić do ujawnienia wrażliwych danych z pamięci jądra, co stanowi poważne zagrożenie dla bezpieczeństwa systemu i danych organizacji.

Rekomendacja

Zaleca się aktualizację do wersji 0.9.0 lub nowszej, aby usunąć tę podatność i zabezpieczyć system przed potencjalnym wyciekiem danych.

Oryginalny opis (angielski, źródło NVD)

OpenTelemetry eBPF Instrumentation provides eBPF instrumentation based on the OpenTelemetry standard. Prior to version 0.9.0, the Java TLS ioctl probe reads user-controlled ioctl pointers with bpf_probe_read instead of bpf_probe_read_user. An instrumented local process can therefore point OBI at kernel memory and cause that memory to be copied into telemetry. This issue has been patched in version 0.9.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS