etcd
v3.5.32Kubernetes Core2026年7月2日
etcd v3.5.32は、--listen-client-http-urlsを設定した際にgRPCリスナーでCRLが適用されなかったHIGH深刻度の脆弱性(GHSA-3wh4-j44w-pg92)を修正するセキュリティリリースです。v2-deprecationのバイパスオプション追加やいくつかのバグ修正も含まれます。
securitygRPCリスナーのCRL適用バイパス(GHSA-3wh4-j44w-pg92)
--listen-client-http-urlsを設定している場合、gRPCリスナーでCRLが適用されず、失効した証明書が受け入れられる状態でした。mTLSと証明書失効リストを併用している環境では、v3.5.32へ更新してください。
主な変更 (6)
- セキュリティ(HIGH): --listen-client-http-urls設定時にgRPCリスナーでCRL検証が行われなかった問題を修正(GHSA-3wh4-j44w-pg92)
- --v2-deprecationフラグにwrite-only-skip-checkオプションを追加し、v2コンテンツチェックを迂回可能に
- 非管理者によるメンテナンスステータスリクエストをサーバーが許可するよう変更
- etcdutlのcheck v2storeがv2スナップショットとWALレコードの両方を検査するよう強化
- bearer形式のトークンを使ったWebSocket認証の不具合を修正
- トークン解析失敗時にJWTトークンの内容がログに記録されない処理を追加