【 TiDB 使用环境】测试/ Poc
【 TiDB 版本】
【复现路径】做过哪些操作出现的问题
【遇到的问题:问题现象及影响】
1、etcd 3.3.23之前版本和3.4.10之前版本中存在资源管理错误漏洞。攻击者可利用该漏洞造成拒绝服务
2、etcd 3.3.23之前版本和3.4.10之前版本中存在安全漏洞,该漏洞源于程序没有进行任何的权限检查。攻击者可利用该漏洞绕过访问限制。
2、etcd 3.4.10之前版本和3.3.23之前版本中存在授权问题漏洞。该漏洞源于网络系统或产品中缺少身份验证措施或身份验证强度不足。
【资源配置】进入到 TiDB Dashboard -集群信息 (Cluster Info) -主机(Hosts) 截图此页面
【附件:截图/日志/监控】
这个应该不能单独升级某个组件的版本吧。
这个估计不好弄,现在tidb使用的etcd版本貌似都是跟着集群版本才会升级,没有单独升级的渠道
直接上白名单,只允许 PD 访问
追加允许内部管理员访问
啥漏洞也波及不到你
1 个赞
加白名单是用主机防火墙吗
加固方案:开启 TLS 或者禁止 etcd 相关端口公网访问
两个解:
1、开启 TLS ,未授权去直接访问 ETCD 端口是不会获取到任何数据的,可彻底解决,也是咱们产品支持的
2、做 ACL 访问控制,只对特定的 IP 放开访问,也可以避免该端口的未授权访问
1 个赞
此话题已在最后回复的 60 天后被自动关闭。不再允许新回复。