Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - etcd は、分散システムのデータ用の分散キー値ストアです。バージョン 3.4.42、 3.5.28、 3.6.9より前では、権限のないユーザーが、認証または承認チェックをバイパスし、クラスター内で特定の etcd 関数を呼び出すことで、信頼されていない、または部分的に信頼されているクライアントに gRPC API を漏洩する可能性があります。etcd auth が有効になっているパッチされていない etcd クラスターでは、認証されていないユーザーが MemberList を呼び出して、メンバー ID やアドバタイズされるエンドポイントなどのクラスタートポロジーを学習することができます。運用の中断またはサービス拒否に悪用される可能性がある Alarm を呼び出します。リース API を使用し、TTL ベースのキーおよびリース所有権に干渉履歴リビジョンを永久に削除し、監視、監査、復元のワークフローを中断させて、圧縮をトリガーできるようにします。Kubernetes は、etcd のビルトイン認証および承認に依存しません。代わりに、APIサーバーが認証と承認を自身で処理するため、一般的なKubernetesデプロイメントは影響を受けません。バージョン 3.4.42、 3.5.28、および 3.6.9 にはパッチが含まれています。すぐにアップグレードできない場合は、影響を受ける RPC を実際には未認証として扱うことで露出を減らします。
    信頼できるコンポーネントのみが接続できるように、またはトランスポートレイヤーで強力なクライアント ID を必要としないように、etcd サーバーポートへのネットワークアクセスを制限します。なお、これは、厳格なクライアント証明書配布を伴う mTLS などです。
    (CVE-2026-33413)

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

検出

Linux Distros のパッチ未適用の脆弱性: CVE-2026-33413

high Nessus プラグイン ID 303898

バージョン 1.4