Fluent Bit 的一個(gè)關(guān)鍵漏洞可被用于拒絕服務(wù)和遠(yuǎn)程代碼執(zhí)行攻擊，所有主要云服務(wù)商都可能受到影響。

Fluent Bit是一款非常流行的日志和度量解決方案，適用于Windows、Linux和macOS，主要存在于Kubernetes發(fā)行版本中，包括亞馬遜AWS、谷歌GCP和微軟Azure的發(fā)行版。

截至 2024 年 3 月，F(xiàn)luent Bit 的下載和部署次數(shù)已超過(guò) 130 億次，比 2022 年 10 月報(bào)告的 30 億次下載量有了大幅增長(zhǎng)。

Crowdstrike 和 Trend Micro 等網(wǎng)絡(luò)安全公司以及思科、VMware、英特爾、Adobe 和戴爾等許多科技公司也在使用 Fluent Bit。

Tenable 安全研究人員將該漏洞稱為 Linguistic Lumberjack，并將其追蹤為 CVE-2024-4323。據(jù)悉，該漏洞是在 2.0.7 版本中引入的，是由 Fluent Bit 的嵌入式 HTTP 服務(wù)器在解析跟蹤請(qǐng)求時(shí)的堆緩沖區(qū)溢出弱點(diǎn)引起的。

盡管未經(jīng)認(rèn)證的攻擊者可以輕松利用該安全漏洞觸發(fā)拒絕服務(wù)或遠(yuǎn)程捕獲敏感信息，但如果有合適的條件和足夠的時(shí)間創(chuàng)建可靠的漏洞，他們也可以利用該漏洞獲得遠(yuǎn)程代碼執(zhí)行。

Tenable 安全研究人員表示：雖然堆緩沖區(qū)溢出是可以被利用的，但創(chuàng)建一個(gè)可靠的漏洞不僅困難重重，而且需要耗費(fèi)大量時(shí)間。

研究人員認(rèn)為，最直接、最主要的風(fēng)險(xiǎn)是那些與輕易實(shí)現(xiàn) DoS 和信息泄露有關(guān)的風(fēng)險(xiǎn)。

隨 Fluent Bit 3.0.4 發(fā)布的補(bǔ)丁程序

4 月 30 日，Tenable 向供應(yīng)商報(bào)告了該安全漏洞，并于 5 月 15 日提交了該漏洞的修補(bǔ)程序，包含該補(bǔ)丁的正式版本預(yù)計(jì)將隨 Fluent Bit 3.0.4 一起發(fā)布。

Tenable 還通過(guò)其漏洞披露平臺(tái)向微軟、亞馬遜和谷歌通報(bào)了這一重大安全漏洞。

Tenable 方面上周三（5 月 15 日）表示：在所有受影響的平臺(tái)修復(fù)之前，那些已經(jīng)在基礎(chǔ)架構(gòu)上部署了該日志工具的客戶，可以通過(guò)限制授權(quán)用戶和服務(wù)訪問(wèn) Fluent Bit 的監(jiān)控 API 來(lái)緩解這一問(wèn)題。

如果用不到這個(gè)易受攻擊的 API 端點(diǎn)，也可以將其禁用，這樣可以最大程度地避免安全風(fēng)險(xiǎn)。