一、漏洞简介¶
1.1 漏洞背景¶
LeaseTimeToLive API 允许查询与租约关联的键信息。当 Keys 参数设置为 true 时,即使没有对应键的读取权限,API 也会返回键名信息。
1.2 漏洞概述(包含 CVE 编号、危害等级、漏洞类型、披露时间等)¶
| 项目 | 内容 |
|---|---|
| 漏洞编号 | 暂无统一编号 |
| 危害等级 | 暂未找到权威信息 |
| 漏洞类型 | LeaseTimeToLive API 键名信息泄露 |
| 披露时间 | 暂未找到权威信息 |
| 影响组件 | etcd 安全 |
| 项目 | 内容 |
|---|---|
| CVE 编号 | 待分配(GHSA-3p4g-rcw5-8298) |
| 危害等级 | 低 |
| CVSS 评分 | 低危 |
| 漏洞类型 | 信息泄露 |
核验说明:该问题未见统一 CVE 编号,本文结合原文与公开资料进行整理。
二、影响范围¶
2.1 受影响的版本¶
- etcd < 3.4.26
- etcd < 3.5.9
2.2 不受影响的版本¶
- etcd >= 3.4.26
- etcd >= 3.5.9
2.¶
2.3 触发条件(如特定模块、特定配置、特定运行环境等)¶
- 需要存在可被远程或本地触达的相关接口、服务、插件或默认配置条件;原文与公开资料未给出更精确的统一触发条件。
三、漏洞详情与原理解析¶
3.1 漏洞触发机制¶
- 原文已给出漏洞利用链路时已保留;若官方未公开更细粒度说明,本文不对触发细节作额外推演。
3.2 源码层面的根因分析(结合源码与补丁对比)¶
暂未检索到可公开验证的源码补丁信息,无法对根因实现细节作权威复原。
四、漏洞复现(可选)¶
4.1 环境搭建¶
暂无公开可验证复现信息。
4.2 PoC 演示与测试过程¶
暂无公开可验证复现信息。
五、修复建议与缓解措施¶
5.1 官方版本升级建议¶
- 暂未找到权威信息,建议以厂商安全公告、修复提交记录或发布说明为准。
5.2 临时缓解方案(如修改配置文件、关闭相关模块、增加 WAF 规则等)¶
- 在完成版本升级前,建议将相关服务限制在可信网络边界内,并最小化暴露面。
- 对高风险接口、插件或调试功能实施临时下线、访问控制与日志监控。
六、参考信息 / 参考链接¶
6.1 官方安全通告¶
- 暂未找到可直接引用的官方安全通告,请优先关注项目安全公告、发布说明与修复分支。
6.2 其他技术参考资料¶
- 暂未补充其他公开参考链接。