Fluent Bit 的一個關(guān)鍵漏洞可被用于拒絕服務(wù)和遠程代碼執(zhí)行攻擊，所有主要云服務(wù)商都可能受到影響。

Fluent Bit是一款非常流行的日志和度量解決方案，適用于Windows、Linux和macOS，主要存在于Kubernetes發(fā)行版本中，包括亞馬遜AWS、谷歌GCP和微軟Azure的發(fā)行版。

截至 2024 年 3 月，F(xiàn)luent Bit 的下載和部署次數(shù)已超過 130 億次，比 2022 年 10 月報告的 30 億次下載量有了大幅增長。

Crowdstrike 和 Trend Micro 等網(wǎng)絡(luò)安全公司以及思科、VMware、英特爾、Adobe 和戴爾等許多科技公司也在使用 Fluent Bit。

Tenable 安全研究人員將該漏洞稱為 Linguistic Lumberjack，并將其追蹤為 CVE-2024-4323。據(jù)悉，該漏洞是在 2.0.7 版本中引入的，是由 Fluent Bit 的嵌入式 HTTP 服務(wù)器在解析跟蹤請求時的堆緩沖區(qū)溢出弱點引起的。

盡管未經(jīng)認證的攻擊者可以輕松利用該安全漏洞觸發(fā)拒絕服務(wù)或遠程捕獲敏感信息，但如果有合適的條件和足夠的時間創(chuàng)建可靠的漏洞，他們也可以利用該漏洞獲得遠程代碼執(zhí)行。

Tenable 安全研究人員表示：雖然堆緩沖區(qū)溢出是可以被利用的，但創(chuàng)建一個可靠的漏洞不僅困難重重，而且需要耗費大量時間。

研究人員認為，最直接、最主要的風(fēng)險是那些與輕易實現(xiàn) DoS 和信息泄露有關(guān)的風(fēng)險。

隨 Fluent Bit 3.0.4 發(fā)布的補丁程序

4 月 30 日，Tenable 向供應(yīng)商報告了該安全漏洞，并于 5 月 15 日提交了該漏洞的修補程序，包含該補丁的正式版本預(yù)計將隨 Fluent Bit 3.0.4 一起發(fā)布。

Tenable 還通過其漏洞披露平臺向微軟、亞馬遜和谷歌通報了這一重大安全漏洞。

Tenable 方面上周三（5 月 15 日）表示：在所有受影響的平臺修復(fù)之前，那些已經(jīng)在基礎(chǔ)架構(gòu)上部署了該日志工具的客戶，可以通過限制授權(quán)用戶和服務(wù)訪問 Fluent Bit 的監(jiān)控 API 來緩解這一問題。

如果用不到這個易受攻擊的 API 端點，也可以將其禁用，這樣可以最大程度地避免安全風(fēng)險。