摘要:
etcd security update
安全等级: Critical
公告ID: KylinSec-SA-2025-2588
发布日期: 2025年7月7日
关联CVE: CVE-2023-32082 CVE-2022-41723 CVE-2022-34038 CVE-2021-28235 CVE-2022-3064
Etcd-io v.3.4.10 版本中发现身份验证漏洞,远程攻击者可通过调试功能提升权限。(CVE-2021-28235)
解析恶意或大型 YAML 文档可能导致 CPU 或内存资源过度消耗。(CVE-2022-3064)
Etcd v3.5.4 版本中,远程攻击者可通过 pagewriter.go 文件中的 PageWriter.write 函数发起拒绝服务攻击。注:厂商认为此问题不属于安全漏洞。(CVE-2022-34038)
恶意构造的 HTTP/2 数据流可能导致 HPACK 解码器过度消耗 CPU 资源,仅需少量小型请求即可造成拒绝服务。(CVE-2022-41723)
etcd 是用于分布式系统数据的分布式键值存储。在 3.4.26 和 3.5.9 之前的版本中,当 `Keys` 参数设置为 true 时,LeaseTimeToLive API 允许访问与租约关联的键名(非键值),即使用户没有该键的读取权限。此漏洞影响范围仅限于启用身份验证(RBAC)的集群。该问题已在 3.4.26 和 3.5.9 版本中修复,目前没有已知的临时解决方案。(CVE-2023-32082)
| cve名称 | 产品 | 组件 | 是否受影响 |
|---|---|---|---|
| CVE-2023-32082 | KY3.5.3 | etcd | Fixed |
| CVE-2022-41723 | KY3.5.3 | golang | Fixed |
| CVE-2022-34038 | KY3.5.3 | etcd | Fixed |
| CVE-2021-28235 | KY3.5.3 | etcd | Fixed |
| CVE-2022-3064 | KY3.5.3 | etcd | Fixed |
| 软件名称 | 架构 | 版本号 |
|---|---|---|
| etcd | x86_64 | 3.4.14-12.ky3_5.kb1 |
| etcd | aarch64 | 3.4.14-12.ky3_5.kb1 |
方法一:下载安装包进行升级安装
1、通过下载链接下载需要升级的升级包保存,如 xxx.rpm
2、通过rpm命令升级,如 rpm -Uvh xxx.rpm
方法二:通过软件源进行升级安装
1、保持能够连接上互联网
2、通过yum命令升级指定的包,如 yum install 包名
