Rabattoffert för flera licenser
Hotdatabas Sårbarhet Säkerhetssårbarheter i Fluent Bit

Säkerhetssårbarheter i Fluent Bit

Med Mezo år Sårbarhet
Översätt till:

Utförd forskning har belyst fem allvarliga säkerhetsproblem inom Fluent Bit, en allmänt distribuerad telemetriagent med öppen källkod. När dessa svagheter kopplas samman ger de hotande aktörer flera vägar att ta kontroll över molntillgångar, störa loggintegriteten eller störa tjänsttillgängligheten i moln- och Kubernetes-miljöer.

Hur angripare kunde utnyttja bristerna

De upptäckta defekterna öppnar tillsammans dörren för autentiseringskring, filmanipulation, fjärrkörning av kod, tjänsteavbrott och taggmanipulering. Om de utnyttjas som vapen ger de en inkräktare möjlighet att korrumpera loggar, maskera skadlig aktivitet, injicera fabricerad telemetri och knyta djupare in i molninfrastrukturen.

Fördelning av de identifierade CVE:erna

Följande sårbarheter illustrerar hur bred attackytan blir när Fluent Bit bearbetar otillförlitlig inmatning:

  • CVE‑2025‑12972 – En svaghet i sökvägsgenomgången kopplad till osanerade taggvärden som används för att generera filnamn. Detta utsätter system för godtyckliga filskrivningar, loggmanipulering och potentiell kodkörning.
  • CVE‑2025‑12970 – Ett stackbuffertöverskott i Docker Metrics input-plugin (in_docker). Att skapa containrar med alltför långa namn kan utlösa en krasch eller resultera i fjärrkörning av kod.
  • CVE‑2025‑12978 – En logisk brist i taggmatchning som tillåter förfalskade betrodda taggar genom att endast gissa det första tecknet i en Tag_Key, vilket gör det möjligt för angripare att omdirigera loggar, kringgå filtrering och injicera manipulerade poster.
  • CVE-2025-12977 – Felaktig validering av taggar som härrör från angriparkontrollerade fält. Skadlig inmatning kan injicera traversalsekvenser, radnyheter eller kontrolltecken som korrumperar nedströms loggpipelines.
  • CVE‑2025‑12969 – Saknad autentisering i in_forward-pluginet som används av Fluent Bit-instanser som kommunicerar via Forward-protokollet. Detta utelämnande tillåter injicering av förfalskade loggar eller översvämning av nedströms säkerhetsverktyg med fabricerade händelser.

Potentiell påverkan på molndrift

Tillsammans ger dessa sårbarheter omfattande inflytande över hur Fluent Bit samlar in, bearbetar och lagrar telemetridata. En beslutsam angripare kan omdirigera eller undertrycka viktiga händelser, plantera vilseledande information, radera tecken på intrång eller utlösa skadlig kodkörning genom manipulerade loggar. Med tanke på Fluent Bits breda användning hotar dessa risker tillförlitligheten i företagsmolnmiljöer och trovärdigheten hos deras logginfrastruktur.

Patchar och leverantörsvägledning

Problemen löstes efter samordnad offentliggörande, med korrigeringar i Fluent Bit version 4.1.1 och 4.0.12, som släpptes i oktober 2025. AWS, som också deltog i offentliggörandeprocessen, råder alla kunder som använder Fluent Bit att uppdatera omedelbart för att förbli skyddade.

Säkerhetsrekommendationer

För att minska exponeringen och stärka övervakningskanalerna rekommenderar experter att skärpa konfigurationen och begränsa anfallsytor. Viktiga defensiva åtgärder inkluderar:

Undvik att använda dynamiska taggar för routing och begränsa utdatavägar för att förhindra taggdriven sökvägsexpansion eller -genomgång.

Montera konfigurationskataloger som /fluent-bit/etc/ som skrivskyddade, blockera manipulation av körning och kör Fluent Bit under konton som inte är root.

Kontext från tidigare upptäckter

Detta avslöjande följer en tidigare Fluent Bit-sårbarhet som rapporterades mer än ett år tidigare: CVE-2024-4323, även känd som Linguistic Lumberjack. Den bristningen påverkade agentens inbyggda HTTP-server och exponerade instanser för DoS-förhållanden, dataexponering eller fjärrkodkörning. De nyligen identifierade problemen understryker den fortsatta vikten av att säkra telemetriverktyg som utgör grunden för molnobservabilitet.

Trendigt

Mest sedda

Läser in...