Vulnerabilidad en OpenTelemetry (CVE-2024-42368)

OpenTelemetry, también conocido como OTel, es un framework de observabilidad de código abierto, independiente del proveedor, para instrumentar, generar, recopilar y exportar datos de telemetría, como seguimientos, métricas y registros. El autenticador del servidor de la extensión Bearertokenauth realiza una comparación de cadenas de tiempo simple y no constante de los tokens de portador recibidos y configurados. Esto afecta a cualquiera que utilice el autenticador del servidor "bearertokenauth". Los clientes malintencionados con acceso a la red del recopilador pueden realizar un ataque de sincronización contra un recopilador con este autenticador para adivinar el token configurado, enviando tokens de forma iterativa y comparando el tiempo de respuesta. Esto permitiría a un atacante introducir datos falsos o incorrectos en el canal de telemetría del recopilador. La vulnerabilidad de tiempo observable se solucionó mediante el uso de comparación de tiempo constante en 0.107.0