Fluent Bit 安全漏洞

经研究发现，广泛部署的开源遥测代理程序 Fluent Bit 存在五个严重的安全漏洞。这些漏洞相互关联，为攻击者提供了多种途径来控制云资产、干扰日志完整性或破坏云和 Kubernetes 环境中的服务可用性。

攻击者如何利用这些漏洞

这些已发现的缺陷共同为绕过身份验证、文件篡改、远程代码执行、服务中断和标签篡改打开了方便之门。如果被恶意利用，这些缺陷将使入侵者能够破坏日志、掩盖恶意活动、注入伪造的遥测数据，并进一步深入云基础设施。

已识别的CVE细分

以下漏洞说明了当 Fluent Bit 处理不受信任的输入时，攻击面会变得多么广泛：

• CVE-2025-12972 – 一个与使用未经清理的标签值生成文件名相关的路径遍历漏洞。这会使系统面临任意文件写入、日志篡改和潜在代码执行的风险。
• CVE-2025-12970 – Docker Metrics 输入插件 (in_docker) 中存在栈缓冲区溢出漏洞。创建名称过长的容器可能会触发崩溃或导致远程代码执行。
• CVE-2025-12978 – 标签匹配中的一个逻辑缺陷，允许仅通过猜测 Tag_Key 的首字符来伪造可信标签，从而使攻击者能够重新路由日志、绕过过滤并注入篡改过的记录。
• CVE-2025-12977 – 对来自攻击者控制字段的标签验证不当。恶意输入可能注入遍历序列、换行符或控制字符，从而破坏下游日志管道。
• CVE-2025-12969 – Fluent Bit 实例通过 Forward 协议通信时使用的 in_forward 插件缺少身份验证。此漏洞允许注入伪造日志或用虚假事件淹没下游安全工具。

对云运营的潜在影响

这些漏洞共同赋予了攻击者对 Fluent Bit 收集、处理和存储遥测数据方式的广泛控制权。蓄意攻击者可以重定向或压制关键事件、植入误导性信息、抹除入侵痕迹，或通过篡改日志触发恶意代码执行。鉴于 Fluent Bit 的广泛应用，这些风险威胁着企业云环境的可靠性及其日志基础设施的可信度。

补丁和供应商指南

这些问题在协调披露后得到解决，修复程序已在 2025 年 10 月发布的 Fluent Bit 版本 4.1.1 和 4.0.12 中提供。AWS 也参与了披露过程，并建议所有使用 Fluent Bit 的客户及时更新以保持安全。

安全建议

为降低风险敞口并加强监控体系，专家建议收紧配置并缩小攻击面。关键防御措施包括：

避免使用动态标签进行路由，并限制输出路径，以防止标签驱动的路径扩展或遍历。

将 /fluent-bit/etc/ 等配置目录挂载为只读，阻止运行时操作，并在非 root 帐户下运行 Fluent Bit。

早期发现的背景

此次披露是在一年多前 Fluent Bit 曾报告过一个漏洞之后进行的：CVE-2024-4323，也称为 Linguistic Lumberjack。该漏洞影响了代理的内置 HTTP 服务器，使实例面临拒绝服务攻击、数据泄露或远程代码执行的风险。新发现的问题凸显了保护遥测工具（构成云可观测性基础的工具）的重要性。