検出

openSUSE 15 セキュリティ更新: etcd (openSUSE-SU-2025:0003-1)

critical Nessus プラグイン ID 213540

Language:

概要

リモートの openSUSE ホストに 1 つ以上のセキュリティ アップデートがありません。

説明

リモートの openSUSE 15 ホストには、openSUSE-SU-2025:0003-1 のアドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

 バージョン 3.5.12 への更新:

 * CVE-2023-48795 に対処するために golang.org/x/crypto を v0.17+ に更新
 * test: TestHashKVWhenCompacting を修正: すべての goroutine が終了したことを確認する
 * ピアリスナーの作成が失敗したときにエラーログを印刷
 * mvcc: scheduleCompaction 関数内のメトリクスに関連する etcd バックエンドデータベースの印刷
 * dependency: go バージョンを 1.20.13 に更新
 * 保留中の削除操作がある場合は、bbolt トランザクションをコミット
 * テストを追加して、tx 削除の一貫性をテストする。
 * スナップショットファイルを flock しない
 * etcd ベースイメージのダイジェスト追加をバックポート。
 * ユニットテストを追加し、etcd ヘルプに欠落しているフラグを追加。
 * etcd ヘルプに欠落しているフラグを追加。
 * testutils.ExecuteUntil を 3.5 ブランチにバックポート
 * メンバーが e2e テストを置換
 * 517 行目の recoverSnapshotBackend で be が nil でオーバーライドされたときにパニックを回避するために、be が nil であるかどうかをチェック
 * エラーとスナップショット変数の再宣言を行わないようにし、一貫性のあるインデックスの検証を修正し、延期時にデータベースを閉じる
 * test: リリース e2e test で gofail を有効にする。
 * [3.5] ヘルスチェック e2e テストをバックポートする。
 * tests: e2e クラスターセットアップを抽出してパッケージを分離

 - バージョン 3.5.11 への更新:

 * etcdserver: linearizable_read チェックを readyz に追加。
 * etcd: go バージョンを 1.20.12 に更新
 * server: ピア通信でのリダイレクトを無効にする
 * etcdserver: livez/readyz ヘルスチェック用のメトリクスカウンターを追加。
 * etcdserver: etcd 用に livez および準備完了 http エンドポイントを追加。
 * http ヘルスチェックのバグ修正
 * server: メトリクスとヘルスコードを分割
 * server: テストで V3 の健全性をカバー
 * server: ヘルスチェックのリファクタリング
 * server: サブテストでヘルスチェックテストを実行する
 * server: テストケース期待フィールドの名前を変更
 * server: ヘルスチェックテストで名前付き構造体初期化を使用します
 * Backport server: ピア URL をチェックするときはリダイレクトに従わない。
 * Backport embed: トレース統合テストを追加。
 * Backport server: 初期化する際に、tracingExporter にリソースを所有させる。
 * Backport server: 分散トレーシングにサンプリングレートを追加。
 * github.com/stretchr/testify、google.golang.org/genproto/googleapis/api,google.golang.org/grpc をアップグレードして、一貫性を保つ
 * CVE-2023-47108: go.opentelemetry.io/[email protected] および go.opentelemetry.io/contrib/instrumentation/google.golang.org/grpc/[email protected] をバックポート
 * github workflow: プッシュのたびに arm64 テストを実行
 * etcd: go バージョンを 1.20.10 から 1.20.11 にアップグレード
 * etcd 3.5 用に bbolt を 1.3.8 に更新
* 3.5: gRPC-go を 1.58.3 にアップグレード
 *「etcd サーバーは起動時に準備完了通知を無限に待機すべきではない」破損チェックテスト修正をバックポート
 * etcdserver: hashKVHandler のクラスター ID チェックを追加
 * [release-3.5]: gRPC-go を v1.52.0 にアップグレード
 * release-3.5 へ #14125 をバックポート: grpc-1.47 への更新 (および接続文字列フォーマットの修正)
 * golang.org/x/[email protected] がラウンドロビンの使用を開始したため、デフォルトの書き込みスケジューラに戻る
 * v1.20.10 に更新 (https://github.com/etcd-io/etcd/issues/16740* の一部)。golang.org/x/net を 0.17.0 に更新 (https://github.com/etcd-io/etcd/issues/16740* の一部)。etcd: go バージョンを 1.20.9 にアップグレード
 * 旧式の http 1.0 バージョンを削除。
 * fix: go バージョンがリリース 3.5 の 1 つのファイルでのみ定義されるようにする
 * etcd 検証の安全なエンドポイントのパニックを修正
 * dependency: golang を 1.20.8 に更新
 * リダイレクトメトリクスデータをファイルにバックポートし、出力を削減。
 * test.sh: grpcproxy テストのタイムアウトを増加
 * test: v3 curl テストを追加して、メンテナンス hash/hashkv REST API をカバー
 * api: 重複するゲートウェイ URL の問題を修正
 * pkg: > 0 でなければならない pagebytes に検証を追加
 * tests: TestWatchDelay のバックポートデフレーク
 * tests: TestPageWriterRandom のバックポートデフレーク
 * ソケットオプションのユニットテストを追加するバックポート。
 * reuse-port と reuse-address のバックポートエクスポート
 * rafthttp/transport.go の goword の失敗を修正。
 * golang 1.20 マイナーリリースにバックポート更新。
 * go バージョンを 1.19.12 に更新
 * ユニット、統合、e2e-release に対して makefile のレシピを使用するようにワークフローを更新。
 * 共通テストコマンドの Makefile レシピをバックポート。
 * pkg/flags: UniqueURLs'uss の重複を削除するために UniqueURLs'Set を修正
 * e2e リリース バージョン識別にバックポート修正。
 * #14368 を v3.5 にバックポート
 * https://github.com/etcd-io/etcd/pull/16068#discussion_r1263667496* をフォローアップ。etcdserver: ハッシュをリリース 3.5 に書き込む前に、scheduledCompactKeyName および finishedCompactKeyName をチェック。
 * バックポート #13577 既存のウォッチャーに影響を与えることなく、認証を適切に無効にする。
 * go バージョンを 1.19.11 に更新して、CVE GO-2023-1878 を修正
 * clientv3: ctx をキャンセルできる場合にのみ keepAliveCtxCloser goroutine を作成
 * [3.5] etcdutl: db 二重クローズを修正
 * clientv3: Barrier.Wait() の v3.WithFirstKey() を削除
 * スナップショットの復元のために etcdctl フラグの説明を更新
 * etcdutl: スナップショット復元コマンドの --mark-compacted および --bump-revision フラグの説明を更新
 * スナップショットの復元にオプションのリビジョンバンプと圧縮化されたマークを追加
 *「natusameer/release-3.5 からのプルリクエスト #16119 をマージ」を戻す
 * 1.30 に予定されている e2e-arm64.yaml および tests-arm64.yaml を release-3.5 リリースに追加
 * .github/workflows をバックポート: .go-version を、ワークフローを分離するのではなく、ステップとして読み取る。
 * authApplierV3 の最初のユニットテストを追加
 * リースプットの早期終了認証チェック
 * etcdutl の復元時にスタックログを削除
 * etcdserver: サーバーが圧縮されたばかりの場合の破損チェックを修正
 * gobin を go install で置換
 * [3.5] バックポートの更新が最新のパッチリリース 1.19.10 に移動
 * 助けるために圧縮ハッシュチェックを追加
 * clientv3/naming のテストを修正
 * clientv3/naming/endpoints: エンドポイントプレフィックスのバグを修正。同じプレフィックスを持つ複数のエンドポイントのバグを修正
 * grpcproxy: プロキシノードがダウンしたときにメンバーリストの結果が更新されない問題を修正

 - バージョン 3.5.9 への更新:

 * go バージョンを専用の .go-version ファイルに移動
 * tests: timetolive の e2e および統合テスト
 * etcdserver: auth でリース timetilive を保護
 * バックポート go の最新パッチリリース 1.19.9 に更新。
 * アクションワークフローの go バージョンを一元化バックポート。
 * server: バックポート 15743、--initial-cluster-state フラグの説明を改善

 - バージョン 3.5.8 への更新:

 * etcdserver: リクエストされた進捗通知の順序を保証
 * etcdserver: JWT トークンをデコードする際に、フィールド「username」および「revision」が存在することを検証
 * zap ロギングを wsproxy に設定
 * security: ユーザー認証後にパスワードを削除
 * test: 再現するための e2e テストを追加 https://nvd.nist.gov/vuln/detail/CVE-2021-28235* golang を 1.19.8 に更新
 * server/auth: 空のアクセス許可範囲の作成を許可しない
 * chore: テスト CI に対して strict モードを有効にする
 * 修正: #15266 アーキテクチャのすべての docker イメージが amd64 を表示
 * scripts: リリースワークフローのローカルイメージに etcd のテストを追加。
 * server: 延期関数クロージャのエスケープを修正
 * tests: 個別の http ポート接続の多重化をテスト
 * server: --listen-client-http-urls フラグを追加して、http サーバーとは別に grpc サーバーを実行できるようにする
 * server: すべての grpc ゲートウェイの接続先となるアドレスを 1 つ選択
 * server: resolveUrl ヘルパー関数を抽出
 * server: クライアントリスナーのグループ化をサービス提供から分離
 * リファクタリング: URL に適切な変数名を使用
 * sever/auth: store_test の addUserWithNoOption を修正
 * server/auth: ユーザーがパスワードを変更する際の認証パニックバグを修正
 * #14860 の自動自由選択: github ワークフローケースの現在のブランチでリリースをトリガー
 * server/embed: 安全でない grpc を開始する際のデータ競合を修正
 * server: ウォッチの復元をテスト
 * mvcc: ウォッチャーが同期したままの場合は minRev を更新
 * tests: 接続の多重化テストに v2 API を追加
 * tests: 接続マルチプレクサのテストを追加
 * tests: RunUtilCompletion をバックポート
 * tests: etcdctl の tls をバックポート
 * tests: e2e テスト utils を抽出
 * tests: curl での http バージョンの指定を許可
 * tests: newClient 引数のリファクタリング
 * tests: CURLPrefixArgs のリファクタリング
 * tls 1.3 のサポートをバックポート。
 * server: スタベーションを監視するレジリエンスを向上させるために、ランダムスケジューラに切り替える
 * test: 同じ接続を共有する際に、読み取り応答の負荷が高い状態で etcd ウォッチストリームスタベーションをテスト
 * tests: e2e tests の進捗通知間隔の設定を許可
 * go mod tidy を実行
 * go を 1.19.7に更新済み。
 * go_srcs_in_module の変更をバックポートし、goword の障害を修正。
 * go 1.19.6 用にフォーマットされたソースコード。
 * go 1.19.6 への更新
 * golang.org/x/net を v0.7.0 に更新し、CVE GO-2023-1571 に対処。
 * test: テストケース TestV3WatchProgressOnMemberRestart を強化
 * clientv3: 進行状況通知応答を受信する際の nextRev を修正
 * etcdserver: フェイルポイント walBeforeSync および walAfterSync を追加
 * タイムスタンプ解決の回帰を修正
 * cockroachdb/datadrive を v1.0.2 にアップグレードし、アーカイブされた依存関係を削除
 * github.com/stretchr/testify を v1.8.1 に更新
 * release-3.5 用に bbolt を v1.3.7 に更新
 * netutil: ipv6 アドレスを一貫してフォーマット
 * docker: nsswitch.conf を削除

 - バージョン 3.5.7 への更新:

 * etcdserver: memberID が見つからない場合は、membership.ErrIDNotFound を返します
 * etcdserver: ディスクに部分的に同期されている最後の WAL レコードのシナリオを処理
 * 3.5 用の nsswitch.conf を更新
 * 3.5: busybox の依存関係を削除
 * gobin の依存関係を削除
 * ビルドエラーを解決: パラメーターは引用符「'」で開始しない可能性がある
 * .travis.yml を削除
 * ソースコードをフォーマットし、go 1.17.13 を使用して依存関係を整理
 * go バージョンを 1.17.13 に更新
 * deps: golang.org/x/net を v0.4.0 に更新し、CVE に対処
 * security: 重要な脆弱性に対処するために distroless ベースイメージを使用
 * cidc: trivy ナイトリースキャンのワークフローで、release-3.5 の正しいブランチ名を指定
 * release-3.5 用の trivy ナイトリースキャンを追加
 * clientv3: 14547 のクライアント側の変更を元に戻します
 * client/pkg/v3: transport の Solaris ビルドを修正
 * etcdserver: 読み取り専用 txn に対する nil ポインターパニックを修正
 * go fmt エラーを修正
 * [3.5] バックポート: NOSPACE の場合、クォータ KV サーバーは変更のないリクエストをそのまま通過させる
 * etcdserver: 破損アラームで memberID を意図的に 0 に設定する

 - バージョン 3.5.6 への更新:

 * release: 一貫したパスでビルド
 * client/pkg/fileutil: 欠落しているロガーを {Create,Touch}DirAll に追加
 * test: CommonName ベースの認証をカバーするテストケースを追加
 * test: root CommonName の証明書を追加
 * clientv3: TLS CommonName ベースの認証を使用している場合、トークンをリフレッシュしない
 * etcdserver: unsafeCommit で OnPreCommitUnsafe を呼び出す
 * etcdctl で削除用の範囲フラグを追加
 * server: パニックメッセージにコンテキストをさらに追加
 * fix: conn を閉じる
 * clientv3: 二重バリアのデザインと実装を修正
 * test: 問題 14571 に対して e2e テストケースを追加: スナップショットから復元する際に、etcd が認証情報をロードしない
 * etcdserver: AuthStore の Recover() で refreshRangePermCache を呼び出す。 #14574
 * server: 空の rangePermCache で authStore.Reocver() の単体テストケースを追加
 * #14591 を 3.5 にバックポート。
 * client/v3: 監視ストリームが使用不可を返したときの再試行の前にバックオフを追加
 * etcdserver: purgeFile ゴルーチンにデバッグログを追加した
 * netutil: urlsEqual 関数の「raw」URL 比較部分を作成
 * コードレビューからの提案を適用
 * netutil: リゾルバーなしの URL 比較を URLStringsEqual に追加
 * tests/Dockerfile: ubuntu 22.04 base に切り替える
 * Makefile: 追加のロジック修正
 * *: ID 0 のウォッチを誤って終了しないようにする
 * tests: 認証トークンの期限切れのある watch のテストケース
 * *: watch の認証無効トークンおよび古いリビジョンのエラーを処理
 * server/etcdmain: 設定可能な暗号リストを gRPC プロキシリスナーに追加
 * github.com/form3tech-oss/jwt-go を https://github.com/golang-jwt/jwt/v4 で置き換える

 - バージョン 3.5.5 への更新:

 * 3.5 の不安定なテスト fix_TestV3AuthRestartMember_20220913 を修正
 * etcdctl: 複数のエンドポイントの move-leader を修正
 * テスト: TestOpenWithMaxIndex クリーンアップの修正
 * server,test: 各 NewAuthStore でキャッシュをリフレッシュ
 * server/etcdmain: Apple M1 に対するビルドサポートを追加
 * tests: CORRUPT アラームのメンバー ID を修正
 * server: 破損チェックをオプションにし、期間を設定可能にする
 * server: 圧縮ハッシュチェックを実装
 * tests: tests の定期チェックをカバー
 * server: リファクターコンパクションチェッカー
 * tests: CorruptBBolt を testutil に移動
 * tests: corruptHash の名前を CorruptBBolt に変更
 * tests: TestCompactionHash を統一し、それを Delete keys および Defrag にも拡張
 * tests: HashByRev HTTP API のテストを追加
 * tests: 圧縮ハッシュの統合テストを追加
 * server: HashByRev API のキャッシュ圧縮ハッシュ
 * server: インターフェースを分離するためにハッシャーを抽出
 * server: 重複する圧縮リビジョンを削除
 * server: ハッシュが計算されたリビジョン範囲を返す
 * server: 実際の rv 範囲を hasher に保存
 * server: 調整リビジョンを hasher に移動
 * server: リビジョンを int として渡す
 * server: 圧縮中にハッシュを計算します
 * server: 同じ数のキーと値を返していない疑似範囲を修正
 * server: scheduleCompaction 関数内で KV インデックスの読み取りを移動
 * server: scheduleCompaction からエラーを返す
 * server: リファクターハッシャー
 * server: kvHash 構造体を抽出
 * server: unsafeHashByRev を新しい hash.go ファイルに移動
 * server: unsafeHashByRev 関数を抽出
 * server: HashByRev 値をテストし、変更されないことを確認
 * server: テストで corruptionMonitor をカバー
 * server: 破損検出を専用構造体に抽出
 * server: 関数が triggerCorruptAlarm を抽出
 * alarmList 操作を実行する際に、consistent_index を前方に移動
 * メンバーが 1 つだけのクラスターの潜在的なデータ損失を修正
 * [バックポート 3.5] server: 読み取り専用のシリアル化可能な txn でパニックしない
 * pull/14354 の 3.5.5 へのバックポート
 * keepAliveListener および keepAliveConn のリファクタリングを行う
 * clientv3: lessor の keepAliveOnce メソッドで使用した後にストリームを閉じる
 * デフォルトのサンプリングレートを 100% から 0% に変更
 * TestEndpointSwitchResolvesViolation の失敗を修正
 * すべての関連する依存関係を更新
 * setupTracing を別のファイル config_tracing.go に移動
 * etcdserver: OpenTelemetry を 1.0.1 に更新
 * デフォルトのサンプリングレートを 100% から 0% に変更
 * server/auth: RW ロックで rangePermCache を保護
 * ETCD_CLIENT_DEBUG の不適切な値のエラーメッセージを改善
 * e2e テストケースを追加して、maxConcurrentStreams をカバー
 * フラグ `--max-concurrent-streams` を追加し、各クライアントが同時に開くことができる最大同時ストリームを設定
 * uint32Value データタイプを追加
 * Client: WithPrefix op のチェックを修正
 * client/v3: ダイヤルで authTokenBundle を上書きしない
 * 各 WAL エントリの最大サイズを、ファイルの残りのサイズに制限
 * FileReader および FileBufReader ユーティリティを追加
 * 2 つのリース関連のバグ修正を 3.5 にバックポート
 * scripts: ビルドリリースの前に、ステージングされたファイルを検出
 * scripts: 追加の repo の複製を回避
 * DRY_RUN を明示的にする
 * scripts: リリーススクリプトのテストを追加
 * server/auth: 取得ストアが認証を有効にする場合は、tokenProvider を有効にする
 * golang.org/x/crypto を最新版に更新

 - バージョン 3.5.4 への更新:

 * 適用が失敗した場合に conssitent_index を更新
 * 正規の SRV レコード用のユニットテストを追加
 *「etcd-client DNS 検索用の srv.Target から接尾辞のドットをトリミング」を戻す

 - 変数 ETCD_OPTIONS をサービスユニットと設定ファイルの両方に追加し、ユーザーが「--enable-v2=true」のようなものを簡単に追加できるようにする

 - バージョン 3.5.3 への更新:

 https://github.com/etcd-io/etcd/compare/v3.5.2...v3.5.3* clientv3: プロキシによるミラー認証テストを無効にする
 * cv3/mirror: 最新のプレフィックスリビジョンをフェッチ
 * applySnapshot でリースを回復する前に、バックエンドを cindex に設定
 * linearizable の更新リースをサポート
 * clientv3: 自動同期中に学習者のメンバーをフィルタリング
 * etcdserver: golang.org/x/crypto 依存関係をアップグレード
 * txPostLockHook をバックエンドに追加することで、データの不一致の問題を修正
 * server: 減少した場合でも、一貫性のあるインデックスと用語をバックエンドに保存
 * server: ロックが適用外の内から呼び出されたかどうかの検証を追加
 * go.mod: prometheus/client_golang v1.11.1 にアップグレード
 * server: zap 本番環境の代わりにデフォルトのロギング設定を使用
 * オフラインでのデフラグを修正
 * バックポート 3.5: #13676 バックエンドからすべてのリースをロード
 * server/storage/backend: デフラグ後に元の Bolt db オプションを復元
 * json でメンバーリストを表示する際に、raft 項を常に 10 進数で出力
 * シリアル化可能なリクエストをサポートするために、ヘルスチェックエンドポイントを強化
 * etcd-client DNS 検索用の srv.Target から接尾辞のドットをトリミング

 - ARM64 が現在公式にサポートされているため、sysconfig から ETCD_UNSUPPORTED_ARCH=arm64 をドロップ
 - etcd.conf 変数を更新
 - 新しい etcdutl を別のサブパッケージに追加

 - バージョン 3.5.2 への更新:

 * dep の更新: gopkg.in/yaml.v2 v2.2.8 -> v2.4.0 が必要。原因: CVE-2019-11254。
 * runlock のバグを修正
 * server: リース残り TTL を維持するには、クラスターバージョン v3.6 または --experimental-enable-lease-checkpoint-persist のいずれかが必要
 * etcdserver,integration: チェックポイントに残りの TTL を保存
 * lease,integration: リーダー変更後にチェックポイントスケジュールを追加
 * スナップショットから v3 バックエンドを復元した後に、バックエンドを再設定ます
 * *: クライアントの古いリビジョンを認証するために再試行ロジックを実装
 * client/v3: 再試行中に ErrUserEmpty を受信したときにトークンをリフレッシュ
 * server/etcdserver/api/etcdhttp: 複数のピアによってアクティブ化された同じアラームタイプを除外
 * storage/backend: デフラグがアクティブであるかどうかを示すためのゲージを追加 (3.6からのバックポート)

 - バージョン 3.5.1 への更新:

 * バージョン: 3.5.1
 * Dockerfile: debian Bullseye-20210927 を更新
 * client: 最初のエンドポイントを http2 権限ヘッダーとして使用
 * tests: grpc Authority e2e テストを追加
 * client: grpc 権限ヘッダー統合テストを追加
 * tests: TCP を使用するための統合テストの設定を許可
 * test: grpc ポートに一意の番号を使用
 * tests: ブリッジを直接露出することによるメンバーインターフェースのクリーンアップ
 * tests: ブリッジの使用を任意にする
 * tests: grpcAddr の名前を grpcURL に変更し、スキーマが含まれることを暗示
 * tests: unix でブリッジ依存関係を削除
 * os.Env 依存関係から prefixArgs を分離
 * server: メンバーの追加と削除によって storev2 とバックエンドの非同期処理が確実に実行されるようにする
 * CI での tip golang バージョンの使用を停止
 *self-signed-cert-validity パラメーターを設定ファイルで指定できない問題を修正
 * 認証が有効な場合に使用できない正常性エンドポイントを修正
 * workflows: メンテナンスのために ARM64 ジョブを削除

 - バージョン 3.5.0 への更新:

 * 以下のリンクを参照、diff が大きすぎる https://github.com/etcd-io/etcd/compare/v3.4.16...v3.5.0

 - systemd サービスに強化策を追加しました (boo#1181400)

 - sysuser-tools に変更して、システムユーザーを作成

 - バージョン 3.4.16 への更新:

 * Backport-3.4 は、ヘルスチェックから条件付きでアラームを除外
 * etcdserver/mvcc: trace.Step 条件を更新
 * Backport-3.4 etcdserver/util.go: 範囲リクエストをログする際にメモリを削減
 * .travis,Makefile,function: go 1.12 バージョンを v1.12.17 に更新
 * integration:「go test --tags cluster_proxy --timeout=30m -v ./integration/...」を修正
 * pkg/tlsutil: go 1.12 用に暗号化パッケージを調整
* 386 で失敗しないように pkg/tlsutil (テスト) を修正。
 * bill-of-materials.json: golang.org/x/sys を更新
 * .travis,test: go バージョン 1.15 の Travis で競合をオフにする
 * integration: go1.13 の TestTLSClientCipherSuitesMismatch を修正
 * vendor: go mod vendor を実行
 * go.mod,go.sum: パッチを含むように github.com/creack/pty を更新
 * go.mod,go.sum: go v1.15 に準拠
 * etcdserver,wal: rune() を使用して int を文字列に変換
 * integration,raft,tests: go v1.15 gofmt に準拠
 * .travis.yml: go v1.15.11 でテスト
 * pkpkg/testutil/leak.go: testing.runTests.func1 により作成された許可リスト
 * vendor: go mod vendor を実行
 * go.sum, go.mod: go 1.12 で go mod tidy を実行
 * go.mod: 1.12 バージョンに go を固定
 * etcdserver: クライアントがウォッチをキャンセルするときに生成される正しくないメトリクスを修正
 * integration: リーダーのタイムアウトを 3 秒から 4 秒に緩和
 * etcdserver: --unsafe-no-fsync の使用時、データを書き込む
 * server: 設定パラメーター experimental-warning-apply-duration を追加した
 * etcdserver: PeerURL 検証を修正

 - etcd.service の更新: 起動失敗につながるため、コマンドラインおよび環境からの引数を回避 (boo#1183703)

 - バージョン 3.4.15 への更新:

 * [Backport-3.4] etcdserver/api/etcdhttp: etcd サーバー側の正常なヘルスチェックをデバッグレベルでログに記録
 * etcdserver: 64 KB の websocket 通知メッセージ制限を修正
 * vendor: gorilla/websocket の更新
 * pkg/fileutil: F_OFD_ 定数を修正

 - バージョン 3.4.14 への更新:

 * pkg/netutil: 未使用の「iptables」ラッパーを削除
 * tools/etcd-dump-metrics: exec cmd 引数を検証
 * clientv3: clientConn の準備完了になった場合、AuthToken を自動的に取得。
 * etcdserver: 設定変更のリストに ConfChangeAddLearnerNode を追加
 * integration: 統合テストで WatchProgressNotifyInterval フラグを追加

 - バージョン 3.4.13 への更新:

 * pkg: ファイル状態の警告
 * リリース 3.4 における #12243 の自動チェリーピック
 * バージョン: 3.4.12
 * etcdserver: 統合テストで、遅い v2 リクエストをロギングするパニックを回避
 * バージョン: 3.4.11
 * 'etcdserver/api/v3rpc: 'MemberList' が空でない ClientURL を決して返しません」を元に戻します
 * *: PR12216 のバックポートを修正
 * *: 通知間隔の監視に実験的なフラグを追加
 * clientv3: 過剰なウォッチキャンセルのログ記録を削除しま
 * etcdserver: OS レベルの FD メトリクスを追加
 * pkg/runtime: ソートを削除することで FDUsage を最適化
 * clientv3: リクエスト送信エラーが発生した場合の警告をログに記録
 * etcdserver/api/v3rpc: 'MemberList' が空でない ClientURL を決して返さない

 - バージョン 3.4.10 [CVE-2020-15106][boo#1174951] への更新:

 * Documentation: データ暗号化に関する注記
 * etcdserver: protobuf フィールドタイプを int から int64 に変更 (#12000)
 * pkg: MkdirAll を使用する場合は umask を考慮
 * etcdmain: grpc プロキシに insecure-skip-tls-verify について警告させる
 * etcdmain: shadow エラーを修正
 * pkg/fileutil: エラーログで必要なファイルアクセス許可を出力
 * pkg: Windows の dir アクセス許可チェックを修正
 * auth: simpleTokenTTL 設定をカスタマイズ。
 * mvcc: chanLen 1024 が大きすぎるため、より多くのメモリを使用した。128 で十分と思われる。消費速度が生産速度を超える場合があります。
 * auth: ユーザー名またはユーザー名のないクライアントリクエストが空の場合、正しくない結果「ErrUserNotFound」を返す。
 * etcdmain: shadow エラーを修正
 * doc: TLS 関連の警告を追加
 * etcdserver:FDUsage のティッカーを 5 秒から 10 分に設定。このティッカーは、ファイル記述子の要件をチェックし、使用中のすべての fds をカウントします。また、使用中が limit/5*4 以上の場合にいくつかのログを記録します。単にメッセージを記録するだけです。fds が 10K を超えていた場合、FDUsage() が動作するためパフォーマンスが低下します。そのため、これを増やす必要があります。
 * clientv3: クライアントのコンテキストキャンセルで監視をプロアクティブにキャンセル
 * wal:「ReadAll」、「decoder」の範囲外のスライスをチェック
 * etcdctl、etcdmain: --insecure-skip-tls-verify オプションについて警告
 * Documentation: デフォルトで安全でないというポリシーに関する注記
 * etcdserver: InternalAuthenticateRequest にパスワードを持たせない
 * auth: パスワードのないユーザーに対するパスワード認証の場合の新しいエラーコード
 * Documentation: パスワードの強度に関する注記
 * etcdmain: tcp プロキシでのセルフポインティングのベストエフォート検出
 * Discovery: 負のクラスターサイズを渡すことを許可しない
 * wal: デコーダーが設定されないときのパニックを修正
 * Embedded: コンパクションランタイムエラーを修正
 * pkg: ファイルの統計をチェック
 * etcdserver, et al: --unsafe-no-fsync フラグを追加
 * wal: TestValidSnapshotEntriesAfterPurgeWal テストケースを追加
 * wal: crc の不一致クラッシュバグを修正
 * rafthttp: ログスナップショットのダウンロード期間
 * rafthttp: スナップショット送信ログを改善
 * *: スナップショット保存のダウンロードを SHA256 チェックサムで確認
 * etcdserver/api/snap: snapNames で孤立したデフラグファイルを除外
 * etcdserver: エラーが発生した場合に備えて、スナップ db のリリースを継続
 * etcdserver,wal: WAL とスナップショットの不一致を修正
 * #11564 のチェリーピック (#11880)
 * mvcc: deadlock バグを修正
 * auth: CheckPassword のロック範囲を最適化
 * auth: RoleGrantPermission が古いバージョンと互換性があることを確認
 * etcdserver: リクエストの適用に失敗したときに警告ログを出力
 * auth: NewAuthStore の saveConsistentIndex のクリーンアップ
 * auth: エラーが ErrAuthOldRevision の場合に警告ログを出力
 * auth: 新しいメトリクス「etcd_debugging_auth_revision」を追加
 * tools/etcd-dump-db: 認証デコーダーを追加し、印刷フォーマットを最適化
 * *: auth リビジョン破損のバグを修正
 * etcdserver: リクエストが許可されなくなると、ウォッチストリームが閉じられた (#11708)
 * バージョン: 3.4.7
 * wal:「etcd_wal_writes_bytes_total」を追加
 * pkg/ioutil:「FlushN」を追加
 * test: マージベースを見つける際にブランチを自動検出
 * mvcc/kvstore: Key-Value の数値が 100 万を超える場合、compact に時間がかかりすぎて他のリクエストをブロック
 * バージョン: 3.4.6
 * lease: ノードがフォローであるときの LeaseGrant でのメモリリークを修正
 * バージョン: 3.4.5
 * word: ホワイトリスト「racey」
 *「バージョン: 3.4.5」に戻す
 * word: ホワイトリスト「hasleader」
 * バージョン: 3.4.5
 * etcdserver/api/v3rpc: api バージョンメタデータを処理し、メトリクスを追加
 * clientv3: API バージョンをメタデータに埋め込む
 * etcdserver/api/etcdhttp: サーバー側/ヘルスチェックをログに記録
 * proxy/grpcproxy: メトリクスハンドラーのエラー戻りを追加
 * etcdctl: メンバー追加コマンドを修正
 * etcdserver: 学習者メンバーを昇格する際のクォーラム計算を修正
 * etcdserver: http による破損チェック
 * mvcc/backend: boltOpenOptions が nil であることをチェック
 * mvcc/backend: デフラグの前に、孤立した db.tmp ファイルを削除
 * auth: 正しいログレベル
 * e2e: onoption ユーザーで curl 認証をテスト
 * auth: ユーザー追加時の NoPassWord チェックを修正
 * auth: user.Options nil ポインターを修正
 * mvcc/kvstore:fixcompactbug
 * mvcc: 'etcd_debugging_mvcc_total_put_size_in_bytes' に更新
 * mvcc: put リクエストのスループットを監視するために、「etcd_mvcc_put_size_in_bytes」を追加。
 * clientv3: 再試行/ストリーマーのエラーメッセージを修正
 * etcdserver: シャットダウン中にパージファイルループを待機
 * integration: TestV3AuthOldRevConcurrent を無効にする
 * etcdserver: auth 検証ループを削除
 * scripts/release: タグ付けが必要な場合にのみ GPG キーを一覧表示

Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受ける etcd、etcdctl、etcdutl パッケージを更新してください。

参考資料

https://bugzilla.suse.com/1174951

https://bugzilla.suse.com/1181400

https://bugzilla.suse.com/1183703

https://bugzilla.suse.com/1199031

http://www.nessus.org/u?5c40afae

https://www.suse.com/security/cve/CVE-2019-11254

https://www.suse.com/security/cve/CVE-2020-15106

https://www.suse.com/security/cve/CVE-2021-28235

https://www.suse.com/security/cve/CVE-2023-47108

https://www.suse.com/security/cve/CVE-2023-48795

プラグインの詳細

深刻度: Critical

ID: 213540

ファイル名: openSUSE-2025-0003-1.nasl

バージョン: 1.1

タイプ: local

エージェント: unix

公開日: 2025/1/8

更新日: 2025/1/8

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Continuous Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: Medium

基本値: 4

現状値: 3.1

ベクトル: CVSS2#AV:N/AC:L/Au:S/C:N/I:N/A:P

CVSS スコアのソース: CVE-2020-15106

CVSS v3

リスクファクター: Critical

基本値: 9.8

現状値: 8.8

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

CVSS スコアのソース: CVE-2021-28235

CVSS v4

リスクファクター: Critical

Base Score: 9.3

Threat Score: 8.9

Threat Vector: CVSS:4.0/E:P

Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

CVSS スコアのソース: CVE-2023-48795

脆弱性情報

CPE: p-cpe:/a:novell:opensuse:etcd, cpe:/o:novell:opensuse:15.6, p-cpe:/a:novell:opensuse:etcdctl, p-cpe:/a:novell:opensuse:etcdutl

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2025/1/7

脆弱性公開日: 2020/3/31

参照情報

CVE: CVE-2019-11254, CVE-2020-15106, CVE-2021-28235, CVE-2023-47108, CVE-2023-48795

IAVA: 2024-A-0236, 2024-A-0425-S