セキュリティに関する公開情報

このページでは、次のプロダクトに関するすべてのセキュリティ情報について説明します。

  • Google Kubernetes Engine(GKE)
  • VMware 上の Google Distributed Cloud(ソフトウェアのみ)
  • AWS 上の GKE
  • Azure 上の GKE
  • ベアメタル上の Google Distributed Cloud(ソフトウェアのみ)

脆弱性に関する情報は多くの場合、影響を受けた当事者が対処するまで、情報制限により非公開となります。このような場合、そのプロダクトのリリースノートには、情報制限が解除されるまで「セキュリティ最新情報」が記載されます。リリースノートは情報制限が解除された時点で更新され、パッチによって対処された脆弱性の情報が反映されます。

クラスタの構成やバージョンに直接関連するセキュリティ情報を GKE が発行すると、脆弱性と実行できるアクションに関する情報を含む SecurityBulletinEvent クラスタ通知が送信されることがあります(該当する場合)。クラスタ通知の設定については、クラスタ通知をご覧ください。

Google が GKE と GKE Enterprise のセキュリティ脆弱性を管理してパッチを適用する方法については、セキュリティ パッチをご覧ください。

GKE と GKE Enterprise プラットフォームは、ingress-nginx や CRI-O コンテナ ランタイムなどのコンポーネントを使用しないため、そうしたコンポーネントの脆弱性による影響を受けません。他のソースからコンポーネントをインストールする場合は、ソースにあるそれらのコンポーネントのセキュリティ更新プログラムとパッチ適用に関する通知を参照してください。

このページのセキュリティに関する公開情報を定期的に受け取るには、こちらの XML フィードを使用してください。

GCP-2025-001

公開日: 2025 年 1 月 8 日
更新日: 2025 年 1 月 8 日
参照: なし

2025 年 1 月 8 日更新: 問題の開始日時を修正しました。

GKE

更新日: 2025 年 1 月 8 日

説明 重大度

2025 年 1 月 8 日更新: 問題の実際の開始日時: 2024 年 12 月 4 日 22:47 UTC

2024 年 12 月 8 日 13:44 UTC にセキュリティ問題が発生し、2025 年 1 月 4 日 04:00 UTC に解決されました。このセキュリティ問題は、GKE マルチクラスタ Gateway(MCG)が構成された VPC 内のリソースに影響しました。MCG は、GKE の一部のサブセットのお客様が使用するオプション機能です。この期間にこの機能を有効にしていたお客様には、個別にお知らせしています。

マルチクラスタ Gateway(MCG)は、複数のクラスタ間でトラフィックをロード バランシングできる GKE 機能です。この機能を実行するには、MCG がプロジェクト レベルの Google Cloud ファイアウォールを変更する必要があります。MCG 内のエラーにより、VPC 内のすべての IP(0.0.0.0/0)とポートへの TCP トラフィックを許可する上り(内向き)ファイアウォール ルールが作成されました。今後、このようなエラーが発生しないように対策を講じました。

ファイアウォールは VPC レベルの許可リストであるため、期間中に次のタイプのリソースにネットワークからアクセスできた可能性があります。

  • パブリック IP 経由でアクセス可能な GKE ワーカーノードで実行されているお客様のアプリケーション。
  • パブリック IP を使用して Compute Engine 仮想マシン(VM)で実行されているお客様のアプリケーション。
  • パブリック IP とリッスニング ポートを持つクラスタと同じ VPC 内の他の Google Cloud リソース。

プライベート IP のみを使用している GKE ワーカーノード、Compute Engine VM、その他のリソースは、VPC 内でより広範囲にアクセス可能だったかもしれませんが、インターネットからはアクセスできませんでした。次のメカニズムで保護されているアプリでは、この問題の影響は軽減または排除されます。

  • 優先度が同じかそれ以上の DENY ファイアウォール ルール(MCG はデフォルトでファイアウォール ルールの優先度を 1000 に設定します)
  • ID ベースの認可を使用するサービス メッシュ
  • アプリケーション レベルの認可

影響を受けるリソース

GKE MCG が構成され、パブリック IP でリッスンしている VPC に存在するリソースが影響を受けました。影響を受けるリソースには、GKE ワーカーノードで実行されているアプリケーションが含まれますが、これらに限定されません。

必要な対策

誤ったファイアウォール構成を修正することで、影響を受けたすべての VPC で問題が解決しました。誤って作成されたルールは、 Google Cloud ヘルスチェック インフラストラクチャからの上り(内向き)トラフィックと、必要に応じて内部ゲートウェイのプロキシ専用サブネット範囲を許可するように、適切な送信元範囲(130.211.0.0/22、35.191.0.0/16)で自動的に変更されています。プロジェクトで MCG によって自動的に作成されるファイアウォール ルールの詳細については、GKE Gateway ファイアウォール ルールをご覧ください。

必要に応じて、GKE MCG を使用して VPC の管理対象ファイアウォール ルールを確認して、解決を確認できます。接頭辞 gkemcg1-l7- を使用するマネージド ファイアウォール ルールに送信元範囲が設定されていることを確認します。これらのルールを調べて、ソース範囲が設定されていることを確認します。

現在の環境で MCG が管理するファイアウォール ルールを一覧表示するには、次のコマンドを実行します。

gcloud compute firewall-rules list --format="json" --filter="name:gkemcg1-l7-*" | jq -r '.[] | "\(.name): \(.sourceRanges // "No source range")"' | awk -F: '{if ($2 ~ /No source range|^\s*$/) print "Rule "$1" has an EMPTY or MISSING source range."; else print "Rule "$1" has source range(s): "$2;}'

MCG 管理のファイアウォール構成の更新をログで検索するには、ログ エクスプローラで次のクエリを使用します。

protoPayload.serviceName="compute.googleapis.com"
          resource.type="gce_firewall_rule"
          protoPayload.resourceName=~"projects/[^/]+/global/firewalls/gkemcg1-"
          -operation.last="true"

組織全体で MCG が管理するファイアウォール ルールを一覧表示するには、次のコマンドを実行して Cloud Asset Inventory をクエリします。

gcloud asset search-all-resources
          --scope='organizations/'
          --asset-types='compute.googleapis.com/Firewall'
          --query 'name: //compute.googleapis.com/projects/*/*/firewalls/gkemcg*'

次の追加のコントロールは、信頼できないネットワークに対する多層防御を提供し、セキュリティ対策を強化できます。

構成とログを確認して、前述の期間中に公開すべきでないアプリケーションやサービスが公開されていないか確認することをおすすめします。次のツールを使用して、 Google Cloudで実行されているリソースへのインバウンド トラフィックを確認できます。

  • ネットワークのスループットとパフォーマンスを可視化するための VPC フローログ
  • Cloud Logging: ログを送信するように構成された Google Cloud のサービスとアプリケーションのロギングデータとイベントを検索して分析します。
  • ファイアウォール ルール ロギング: ファイアウォール ルールの効果を監査、検証、分析する
  • Security Command Center: 不審なネットワーク アクティビティを示すセキュリティ検出結果を可視化
  • アプリケーション ログ

GDC(VMware)

説明 重大度

マルチクラスタ Gateway(MCG)に影響するセキュリティ問題が見つかりました。MCG は、複数のクラスタ間でトラフィックをロードバランスできる GKE 機能です。

GDC(VMware)クラスタは MCG をサポートしていないため、影響を受けません。

必要な対策

対応は不要です。

 なし

GKE on AWS

説明 重大度

マルチクラスタ Gateway(MCG)に影響するセキュリティ問題が見つかりました。MCG は、複数のクラスタ間でトラフィックをロードバランスできる GKE 機能です。

GKE on AWS クラスタは MCG をサポートしていないため、影響を受けません。

必要な対策

対応は不要です。

 なし

GKE on Azure

説明 重大度

マルチクラスタ Gateway(MCG)に影響するセキュリティ問題が見つかりました。MCG は、複数のクラスタ間でトラフィックをロードバランスできる GKE 機能です。

GKE on Azure クラスタは MCG をサポートしていないため、影響を受けません。

必要な対策

対応は不要です。

 なし

GDC(ベアメタル)

説明 重大度

マルチクラスタ Gateway(MCG)に影響するセキュリティ問題が見つかりました。MCG は、複数のクラスタ間でトラフィックをロードバランスできる GKE 機能です。

GDC(ベアメタル)クラスタは MCG をサポートしていないため、影響を受けません。

必要な対策

対応は不要です。

 なし

GCP-2024-062

公開日: 2024 年 12 月 2 日
更新日: 2024 年 12 月 12 日
参考情報: CVE-2024-46800

2024 年 12 月 12 日更新: GKE 上の Ubuntu ノードプール向けパッチ バージョンを追加しました。

GKE

更新日: 2024 年 12 月 12 日

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-46800

GKE Standard クラスタが影響を受けます。デフォルト構成の GKE Autopilot クラスタは影響を受けませんが、seccomp Unconfined プロファイルを明示的に設定するか、CAP_NET_ADMIN を許可すると脆弱性が生じる可能性があります。

GKE Sandbox を使用するクラスタは影響を受けません。

必要な対策

2024 年 12 月 12 日更新: 次のバージョンの GKE は、Ubuntu でこの脆弱性を修正するコードで更新されています。Ubuntu ノードプールを次のバージョン以降にアップグレードします。

  • 1.28.15-gke.1342000
  • 1.29.10-gke.1280000
  • 1.30.6-gke.1596000
  • 1.31.3-gke.1023000

影響を受けるマイナー バージョンは次のとおりです。Container-Optimized OS ノードプールを次のいずれかのパッチ バージョン以降にアップグレードします。

  • 1.27.16-gke.1576000
  • 1.28.14-gke.1217000
  • 1.29.9-gke.1496000
  • 1.30.5-gke.1355000
  • 1.31.1-gke.1678000

クラスタが独自のリリース チャンネルで同じマイナー バージョンを実行している場合、新しいリリース チャンネルのパッチ バージョンを適用できます。この機能を使用すると、パッチ バージョンがリリース チャンネルのデフォルトになるまでノードを保護できます。詳細については、新しいチャンネルからのパッチ バージョンの実行をご覧ください。

GDC(VMware)

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-46800

必要な対策

 保留

GKE on AWS

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-46800

必要な対策

 保留

GKE on Azure

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-46800

必要な対策

 保留中

GDC(ベアメタル)

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-46800

必要な対策

これは弊社の対応をパートナー様にご報告させていただくためにお知らせしているもので、ベアメタル向け GDC ソフトウェアは、ディストリビューションにオペレーティング システムがバンドルされていないため、影響を受けません。

 なし

GCP-2024-061

公開日: 2024 年 11 月 25 日
参考情報: CVE-2024-10220

GKE

説明 重大度

Kubernetes クラスタで見つかったセキュリティ問題により、gitRepo ボリュームを使用してリモートコードが実行される可能性があります。git リポジトリが悪意を持って作成されている場合、Pod を作成して gitRepo ボリュームを関連付ける権限を持つユーザーは、コンテナ境界を超えて任意のコマンドを実行できます。

必要な対策

GKE クラスタとノードプールをパッチ適用済みバージョンにアップグレードします。次の GKE バージョンは更新されており、この脆弱性が修正されています。

  • 1.27.16-gke.1008000
  • 1.28.12-gke.1052000
  • 1.29.7-gke.1008000
  • 1.30.3-gke.1225000
  • 1.31.0-gke.1058000

セキュリティ上の理由から、ノードの自動アップグレードが有効になっている場合でも、クラスタとノードプールをパッチ適用された GKE バージョンに手動でアップグレードすることをおすすめします。GKE のリリース チャンネルを使用すると、リリース チャンネルの登録を解除したり変更したりすることなくパッチを適用できます。これにより、選択したリリース チャンネルで新しいバージョンがデフォルトになる前に、クラスタとノードを保護できます。

このパッチで対処される脆弱性

CVE-2024-10220 により、攻撃者は Pod を作成し、gitRepo ボリュームを関連付けて、コンテナ境界を超えて任意のコマンドを実行できるようになります。

GDC(VMware)

説明 重大度

Kubernetes クラスタで見つかったセキュリティ問題により、gitRepo ボリュームを使用してリモートコードが実行される可能性があります。git リポジトリが悪意を持って作成されている場合、Pod を作成して gitRepo ボリュームを関連付ける権限を持つユーザーは、コンテナ境界を超えて任意のコマンドを実行できます。

必要な対策

GKE on AWS

説明 重大度

Kubernetes クラスタで見つかったセキュリティ問題により、gitRepo ボリュームを使用してリモートコードが実行される可能性があります。git リポジトリが悪意を持って作成されている場合、Pod を作成して gitRepo ボリュームを関連付ける権限を持つユーザーは、コンテナ境界を超えて任意のコマンドを実行できます。

必要な対策

GKE on Azure

説明 重大度

Kubernetes クラスタで見つかったセキュリティ問題により、gitRepo ボリュームを使用してリモートコードが実行される可能性があります。git リポジトリが悪意を持って作成されている場合、Pod を作成して gitRepo ボリュームを関連付ける権限を持つユーザーは、コンテナ境界を超えて任意のコマンドを実行できます。

必要な対策

GDC(ベアメタル)

説明 重大度

Kubernetes クラスタで見つかったセキュリティ問題により、gitRepo ボリュームを使用してリモートコードが実行される可能性があります。git リポジトリが悪意を持って作成されている場合、Pod を作成して gitRepo ボリュームを関連付ける権限を持つユーザーは、コンテナ境界を超えて任意のコマンドを実行できます。

必要な対策

GCP-2024-057

公開日: 2024 年 10 月 3 日
更新日: 2024 年 11 月 19 日
参考情報: CVE-2024-45016

2024 年 11 月 19 日更新: GKE 上の Ubuntu ノードプール向けパッチ バージョンを追加しました。

2024 年 10 月 15 日更新: GDC(VMware)向けのパッチ バージョンを追加しました。GDC(VMware)の重大度を保留から中程度に更新しました。GKE の重大度を「高」から「中」に更新しました。

GKE

更新日: 2024-11-19

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-45016

GKE Standard クラスタが影響を受けます。デフォルト構成の GKE Autopilot クラスタは影響を受けませんが、seccomp Unconfined プロファイルを明示的に設定するか、CAP_NET_ADMIN を許可すると脆弱性が生じる可能性があります。

GKE Sandbox を使用するクラスタは影響を受けません。

必要な対策

2024 年 11 月 19 日更新: 次のバージョンの GKE は、Ubuntu でこの脆弱性を修正するコードで更新されています。Ubuntu ノードプールを次のバージョン以降にアップグレードします。

  • 1.27.16-gke.1784000
  • 1.28.15-gke.1080000
  • 1.29.10-gke.1155000
  • 1.30.6-gke.1059000
  • 1.31.2-gke.1354000

影響を受けるマイナー バージョンは次のとおりです。Container-Optimized OS ノードプールを次のいずれかのパッチ バージョン以降にアップグレードします。

  • 1.27.16-gke.1478000
  • 1.28.14-gke.1099000
  • 1.29.9-gke.1177000
  • 1.30.5-gke.1145000

クラスタが独自のリリース チャンネルで同じマイナー バージョンを実行している場合、新しいリリース チャンネルのパッチ バージョンを適用できます。この機能を使用すると、パッチ バージョンがリリース チャンネルのデフォルトになるまでノードを保護できます。詳細については、新しいチャンネルからのパッチ バージョンの実行をご覧ください。

GDC(VMware)

更新日: 2024-10-15

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-45016

必要な対策

2024 年 10 月 15 日更新: GDC(VMware)の次のバージョンがこの脆弱性を修正するコードで更新されました。GDC(VMware)クラスタを次のバージョン以降にアップグレードします。

  • 1.30.100-gke.96
  • 1.29.600-gke.109
  • 1.28.1000-gke.59

GKE on AWS

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-45016

必要な対策

 保留

GKE on Azure

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-45016

必要な対策

 保留中

GDC(ベアメタル)

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-45016

必要な対策

これは弊社の対応をパートナー様にご報告させていただくためにお知らせしているもので、ベアメタル向け GDC ソフトウェアは、ディストリビューションにオペレーティング システムがバンドルされていないため、影響を受けません。

 なし

GCP-2024-056

公開日: 2024 年 9 月 27 日
参考情報: CVE-2024-47076CVE-2024-47175CVE-2024-47176CVE-2024-47177

GKE

説明 重大度

一部の Linux ディストリビューションで使用されている CUPS 印刷システムで、リモートコード実行につながる可能性がある一連の脆弱性(CVE-2024-47076、CVE-2024-47175、CVE-2024-47176、CVE-2024-47177)が見つかりました。CUPS サービスが UDP ポート 631 でリッスンしており、攻撃者がそのポートに接続できる場合、攻撃者はこの脆弱性を悪用できます。

GKE は CUPS 印刷システムを使用しないため、影響を受けません。

必要な対策

対応は不要です

 なし

GDC(VMware)

説明 重大度

一部の Linux ディストリビューションで使用されている CUPS 印刷システムで、リモートコード実行につながる可能性がある一連の脆弱性(CVE-2024-47076、CVE-2024-47175、CVE-2024-47176、CVE-2024-47177)が見つかりました。CUPS サービスが UDP ポート 631 でリッスンしており、攻撃者がそのポートに接続できる場合、攻撃者はこの脆弱性を悪用できます。

VMware 用の GDC ソフトウェアは CUPS 印刷システムを使用しないため、影響を受けません。

必要な対策

対応は不要です

 なし

GKE on AWS

説明 重大度

一部の Linux ディストリビューションで使用されている CUPS 印刷システムで、リモートコード実行につながる可能性がある一連の脆弱性(CVE-2024-47076、CVE-2024-47175、CVE-2024-47176、CVE-2024-47177)が見つかりました。CUPS サービスが UDP ポート 631 でリッスンしており、攻撃者がそのポートに接続できる場合、攻撃者はこの脆弱性を悪用できます。

GKE on AWS は CUPS 印刷システムを使用しないため、影響を受けません。

必要な対策

対応は不要です

 なし

GKE on Azure

説明 重大度

一部の Linux ディストリビューションで使用されている CUPS 印刷システムで、リモートコード実行につながる可能性がある一連の脆弱性(CVE-2024-47076、CVE-2024-47175、CVE-2024-47176、CVE-2024-47177)が見つかりました。CUPS サービスが UDP ポート 631 でリッスンしており、攻撃者がそのポートに接続できる場合、攻撃者はこの脆弱性を悪用できます。

GKE on Azure は CUPS 印刷システムを使用しないため、影響を受けません。

必要な対策

対応は不要です

 なし

GDC(ベアメタル)

説明 重大度

一部の Linux ディストリビューションで使用されている CUPS 印刷システムで、リモートコード実行につながる可能性がある一連の脆弱性(CVE-2024-47076、CVE-2024-47175、CVE-2024-47176、CVE-2024-47177)が見つかりました。CUPS サービスが UDP ポート 631 でリッスンしており、攻撃者がそのポートに接続できる場合、攻撃者はこの脆弱性を悪用できます。

ベアメタル向け GDC ソフトウェアは、ディストリビューションにオペレーティング システムがバンドルされていないため、影響を受けません。

必要な対策

対応は不要です

 なし

GCP-2024-054

公開日: 2024 年 9 月 23 日
参考情報: CVE-2024-5321

GKE

説明 重大度

Windows ノードを使用する Kubernetes クラスタでセキュリティ上の問題が見つかりました。この問題は、BUILTIN\Users がコンテナログを読み取ることができ、AUTHORITY\Authenticated ユーザーがコンテナログを変更できる可能性があるというものです。

Windows ノードを使用する Kubernetes 環境はすべて影響を受けます。kubectl get nodes -l kubernetes.io/os=windows を実行して、Windows ノードが使用されているかどうかを確認します。

影響を受ける GKE のバージョン

  • 1.27.15 以前
  • 1.28.11 以前
  • 1.29.6 以前
  • 1.30.2 以前

必要な対策

次のバージョンの GKE は更新されており、この脆弱性が修正されています。セキュリティ上の理由から、ノードの自動アップグレードが有効になっている場合でも、クラスタとノードプールを次のいずれかの GKE バージョン以降に手動でアップグレードすることをおすすめします。

  • 1.27.16-gke.1008000
  • 1.28.12-gke.1052000
  • 1.29.7-gke.1008000
  • 1.30.3-gke.1225000

クラスタが独自のリリース チャンネルで同じマイナー バージョンを実行している場合、新しいリリース チャンネルのパッチ バージョンを適用できます。この機能を使用すると、パッチ バージョンがリリース チャンネルのデフォルトになるまでノードを保護できます。詳細については、新しいチャンネルからのパッチ バージョンの実行をご覧ください。

対処されている脆弱性

CVE-2024-5321

GDC(VMware)

説明 重大度

Windows ノードを使用する Kubernetes クラスタでセキュリティ上の問題が見つかりました。この問題は、BUILTIN\Users がコンテナログを読み取ることができ、AUTHORITY\Authenticated ユーザーがコンテナログを変更できる可能性があるというものです。

Windows ノードを使用する Kubernetes 環境はすべて影響を受けます。kubectl get nodes -l kubernetes.io/os=windows を実行して、Windows ノードが使用されているかどうかを確認します。

必要な対策

VMware 向け GDC ソフトウェアのパッチ バージョンの準備が進行中です。情報が入手できましたら、このセキュリティ情報に更新情報を記載いたします。

対処されている脆弱性

CVE-2024-5321

GKE on AWS

説明 重大度

Windows ノードを使用する Kubernetes クラスタでセキュリティ上の問題が見つかりました。この問題は、BUILTIN\Users がコンテナログを読み取ることができ、AUTHORITY\Authenticated ユーザーがコンテナログを変更できる可能性があるというものです。

GKE on AWS クラスタは Windows ノードをサポートしていないため、影響を受けません。

必要な対策

対応は不要です

 なし

GKE on Azure

説明 重大度

Windows ノードを使用する Kubernetes クラスタでセキュリティ上の問題が見つかりました。この問題は、BUILTIN\Users がコンテナログを読み取ることができ、AUTHORITY\Authenticated ユーザーがコンテナログを変更できる可能性があるというものです。

GKE on Azure クラスタは Windows ノードをサポートしていないため、影響を受けません。

必要な対策

対応は不要です

 なし

GDC(ベアメタル)

説明 重大度

Windows ノードを使用する Kubernetes クラスタでセキュリティ上の問題が見つかりました。この問題は、BUILTIN\Users がコンテナログを読み取ることができ、AUTHORITY\Authenticated ユーザーがコンテナログを変更できる可能性があるというものです。

ベアメタル クラスタ用の GDC ソフトウェアは Windows ノードをサポートしていないため、影響を受けません。

必要な対策

対応は不要です

 なし

GCP-2024-050

公開日: 2024 年 9 月 4 日
参考情報: CVE-2024-38063

GKE

説明 重大度

Windows で新しいリモートコード実行の脆弱性(CVE-2024-38063)が見つかりました。攻撃者は、特別に細工した IPv6 パケットをホストに送信することで、この脆弱性をリモートで悪用することが可能性です。

必要な対策

GKE は Windows で IPv6 をサポートしていないため、この CVE の影響を受けません。特に対応は必要ありません。

なし

GDC(VMware)

説明 重大度

Windows で新しいリモートコード実行の脆弱性(CVE-2024-38063)が見つかりました。攻撃者は、特別に細工した IPv6 パケットをホストに送信することで、この脆弱性をリモートで悪用することが可能性です。

必要な対策

VMware 用の GDC ソフトウェアは Windows で IPv6 をサポートしていないため、この CVE の影響を受けません。このため、ご対応は不要です。

 なし

GKE on AWS

説明 重大度

Windows で新しいリモートコード実行の脆弱性(CVE-2024-38063)が見つかりました。攻撃者は、特別に細工した IPv6 パケットをホストに送信することで、この脆弱性をリモートで悪用することが可能性です。

必要な対策

GKE on AWS は、この CVE の影響を受けません。特に対応は必要ありません。

なし

GKE on Azure

説明 重大度

Windows で新しいリモートコード実行の脆弱性(CVE-2024-38063)が見つかりました。攻撃者は、特別に細工した IPv6 パケットをホストに送信することで、この脆弱性をリモートで悪用することが可能性です。

必要な対策

GKE on Azure は、この CVE の影響を受けません。このため、ご対応は不要です。

 なし

GDC(ベアメタル)

説明 重大度

Windows で新しいリモートコード実行の脆弱性(CVE-2024-38063)が見つかりました。攻撃者は、特別に細工した IPv6 パケットをホストに送信することで、この脆弱性をリモートで悪用することが可能性です。

必要な対策

GDC(ベアメタル)は、この CVE の影響を受けません。特に対応は必要ありません。

なし

GCP-2024-049

公開日: 2024 年 8 月 21 日
更新日: 2024 年 11 月 1 日
参考情報: CVE-2024-36978

2024 年 11 月 1 日更新: GKE 上の Ubuntu ノードプール向けパッチ バージョンを追加しました。

2024 年 10 月 21 日更新: GDC(VMware)向けのパッチ バージョンを追加し、重大度を更新しました。

GKE

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-36978

GKE Standard クラスタが影響を受けます。デフォルト構成の GKE Autopilot クラスタは影響を受けませんが、seccomp Unconfined プロファイルを明示的に設定するか、CAP_NET_ADMIN を許可すると脆弱性が生じる可能性があります。

GKE Sandbox を使用するクラスタは影響を受けません。

必要な対策

2024 年 11 月 1 日更新: 次のバージョンの GKE は、Ubuntu でこの脆弱性を修正するコードで更新されています。Ubuntu ノードプールを次のバージョン以降にアップグレードします。

  • 1.27.16-gke.1576000
  • 1.28.14-gke.1175000
  • 1.29.9-gke.1341000
  • 1.30.5-gke.1355000
  • 1.31.1-gke.1678000

影響を受けるマイナー バージョンは次のとおりです。Container-Optimized OS ノードプールを次のいずれかのパッチ バージョン以降にアップグレードします。

  • 1.27.16-gke.1008000
  • 1.28.12-gke.1052000
  • 1.29.7-gke.1008000
  • 1.30.3-gke.1225000
  • 1.31.0-gke.1058000

クラスタが独自のリリース チャンネルで同じマイナー バージョンを実行している場合、新しいリリース チャンネルのパッチ バージョンを適用できます。この機能を使用すると、パッチ バージョンがリリース チャンネルのデフォルトになるまでノードを保護できます。詳細については、新しいチャンネルからのパッチ バージョンの実行をご覧ください。

GDC(VMware)

更新日: 2024-10-21

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-36978

必要な対策

2024 年 10 月 21 日更新: VMware 向け GDC ソフトウェアの次のバージョンは、この脆弱性を修正するコードで更新されています。VMware クラスタ用の GDC ソフトウェアを次のバージョン以降にアップグレードします。

  • 1.28.1100-gke.91
  • 1.30.200-gke.101
  • 1.29.600-gke.109

GKE on AWS

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-36978

必要な対策

 保留

GKE on Azure

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-36978

必要な対策

 保留中

GDC(ベアメタル)

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-36978

必要な対策

これは弊社の対応をパートナー様にご報告させていただくためにお知らせしているもので、ベアメタル向け GDC ソフトウェアは、ディストリビューションにオペレーティング システムがバンドルされていないため、影響を受けません。

 なし

GCP-2024-048

公開日: 2024 年 8 月 20 日
更新日: 2024 年 10 月 30 日
参考情報: CVE-2024-41009

2024 年 10 月 30 日更新: GKE 上の Ubuntu ノードプール向けパッチ バージョンを追加しました。

2024 年 10 月 25 日更新: GDC(VMware)向けのパッチ バージョンを追加し、重大度を更新しました。

GKE

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-41009

GKE Standard クラスタと Autopilot クラスタが影響を受けます。

GKE Sandbox を使用するクラスタは影響を受けません。

必要な対策

2024 年 10 月 30 日更新: GKE の次のバージョンが更新され、Ubuntu でこの脆弱性を修正するコードが追加されました。Ubuntu ノードプールを次のバージョン以降にアップグレードします。

  • 1.27.16-gke.1576000
  • 1.28.14-gke.1175000
  • 1.29.9-gke.1341000
  • 1.30.5-gke.1355000
  • 1.31.1-gke.1678000

影響を受けるマイナー バージョンは次のとおりです。Container-Optimized OS ノードプールを次のいずれかのパッチ バージョン以降にアップグレードします。

  • 1.27.16-gke.1008000
  • 1.28.12-gke.1052000
  • 1.29.7-gke.1008000
  • 1.30.3-gke.1225000
  • 1.31.0-gke.1058000

クラスタが独自のリリース チャンネルで同じマイナー バージョンを実行している場合、新しいリリース チャンネルのパッチ バージョンを適用できます。この機能を使用すると、パッチ バージョンがリリース チャンネルのデフォルトになるまでノードを保護できます。詳細については、新しいチャンネルからのパッチ バージョンの実行をご覧ください。

GDC(VMware)

更新日: 2024-10-25

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-41009

必要な対策

2024 年 10 月 25 日更新: 次のバージョンの VMware 向け GDC ソフトウェアは、この脆弱性を修正するコードで更新されています。VMware クラスタ用の GDC ソフトウェアを次のバージョン以降にアップグレードします。

  • 1.29.700-gke.110
  • 1.28.1100-gke.91
  • 1.30.200-gke.101

GKE on AWS

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-41009

必要な対策

 保留

GKE on Azure

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-41009

必要な対策

 保留中

GDC(ベアメタル)

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-41009

必要な対策

これは弊社の対応をパートナー様にご報告させていただくためにお知らせしているもので、ベアメタル向け GDC ソフトウェアは、ディストリビューションにオペレーティング システムがバンドルされていないため、影響を受けません。

 なし

GCP-2024-047

公開日: 2024 年 8 月 19 日
更新日: 2024 年 10 月 30 日
参考情報: CVE-2024-39503

2024 年 10 月 30 日更新: GKE 上の Ubuntu ノードプール向けパッチ バージョンを追加しました。

2024 年 10 月 21 日更新: GDC(VMware)向けのパッチ バージョンを追加し、重大度を更新しました。

GKE

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-39503

GKE Standard クラスタが影響を受けます。デフォルト構成の GKE Autopilot クラスタは影響を受けませんが、seccomp Unconfined プロファイルを明示的に設定するか、CAP_NET_ADMIN を許可すると脆弱性が生じる可能性があります。

GKE Sandbox を使用するクラスタは影響を受けません。

必要な対策

2024 年 10 月 30 日更新: GKE の次のバージョンが更新され、Ubuntu でこの脆弱性を修正するコードが追加されました。Ubuntu ノードプールを次のバージョン以降にアップグレードします。

  • 1.27.16-gke.1576000
  • 1.28.14-gke.1175000
  • 1.29.9-gke.1341000
  • 1.30.5-gke.1355000
  • 1.31.1-gke.1678000

影響を受けるマイナー バージョンは次のとおりです。Container-Optimized OS ノードプールを次のいずれかのパッチ バージョン以降にアップグレードします。

  • 1.27.15-gke.1125000
  • 1.28.11-gke.1170000
  • 1.29.6-gke.1137000
  • 1.30.3-gke.1225000

クラスタが独自のリリース チャンネルで同じマイナー バージョンを実行している場合、新しいリリース チャンネルのパッチ バージョンを適用できます。この機能を使用すると、パッチ バージョンがリリース チャンネルのデフォルトになるまでノードを保護できます。詳細については、新しいチャンネルからのパッチ バージョンの実行をご覧ください。

GDC(VMware)

更新日: 2024-10-21

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-39503

必要な対策

2024 年 10 月 21 日更新: VMware 向け GDC ソフトウェアの次のバージョンは、この脆弱性を修正するコードで更新されています。VMware クラスタ用の GDC ソフトウェアを次のバージョン以降にアップグレードします。

  • 1.30.200-gke.101
  • 1.29.600-gke.109
  • 1.28.1100-gke.91

GKE on AWS

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-39503

必要な対策

 保留

GKE on Azure

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-39503

必要な対策

 保留中

GDC(ベアメタル)

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-39503

必要な対策

これは弊社の対応をパートナー様にご報告させていただくためにお知らせしているもので、ベアメタル向け GDC ソフトウェアは、ディストリビューションにオペレーティング システムがバンドルされていないため、影響を受けません。

 なし

GCP-2024-045

公開日: 2024 年 7 月 17 日
更新日: 2024 年 9 月 19 日
参考情報: CVE-2024-26925

2024 年 9 月 19 日更新: GDC(VMware)のパッチ バージョンを追加しました。

2024 年 8 月 21 日更新: GKE 上の Ubuntu ノードプール向けパッチ バージョンを追加しました。

GKE

更新日: 2024 年 8 月 21 日

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-26925

GKE Standard クラスタが影響を受けます。デフォルト構成の GKE Autopilot クラスタは影響を受けませんが、seccomp Unconfined プロファイルを明示的に設定するか、CAP_NET_ADMIN を許可すると脆弱性が生じる可能性があります。

GKE Sandbox を使用するクラスタは影響を受けません。

必要な対策

2024 年 8 月 21 日更新: GKE の次のバージョンが更新され、Ubuntu でこの脆弱性を修正するコードが追加されました。Ubuntu ノードプールを次のバージョン以降にアップグレードします。

  • 1.27.16-gke.1051000
  • 1.28.12-gke.1052000
  • 1.29.7-gke.1174000
  • 1.30.3-gke.1225000

影響を受けるマイナー バージョンは次のとおりです。Container-Optimized OS ノードプールを次のいずれかのパッチ バージョン以降にアップグレードします。

  • 1.27.14-gke.1093000
  • 1.28.10-gke.1141000
  • 1.29.5-gke.1192000
  • 1.30.2-gke.1394000

クラスタが独自のリリース チャンネルで同じマイナー バージョンを実行している場合、新しいリリース チャンネルのパッチ バージョンを適用できます。この機能を使用すると、パッチ バージョンがリリース チャンネルのデフォルトになるまでノードを保護できます。詳細については、新しいチャンネルからのパッチ バージョンの実行をご覧ください。

GDC(VMware)

更新日: 2024 年 9 月 19 日

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-26925

必要な対策

2024 年 9 月 19 日更新: 次のバージョンの VMware 向け GDC ソフトウェアは、この脆弱性を修正するコードで更新されています。VMware クラスタ用の GDC ソフトウェアを次のバージョン以降にアップグレードします。

  • 1.29.400
  • 1.28.900

 保留

GKE on AWS

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-26925

必要な対策

 保留

GKE on Azure

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-26925

必要な対策

 保留中

GDC(ベアメタル)

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-26925

必要な対策

これは弊社の対応をパートナー様にご報告させていただくためにお知らせしているもので、ベアメタル向け GDC ソフトウェアは、ディストリビューションにオペレーティング システムがバンドルされていないため、影響を受けません。

 なし

GCP-2024-044

公開日: 2024 年 7 月 16 日
更新日: 2024 年 10 月 30 日
参考情報: CVE-2024-36972

2024 年 10 月 30 日更新: GKE 上の Ubuntu ノードプール向けパッチ バージョンを追加しました。

2024 年 10 月 21 日更新: GDC(VMware)向けのパッチ バージョンを追加し、重大度を更新しました。

GKE

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-36972

GKE Standard クラスタと Autopilot クラスタが影響を受けます。

GKE Sandbox を使用するクラスタは影響を受けません。

必要な対策

2024 年 10 月 30 日更新: GKE の次のバージョンが更新され、Ubuntu でこの脆弱性を修正するコードが追加されました。Ubuntu ノードプールを次のバージョン以降にアップグレードします。

  • 1.27.16-gke.1576000
  • 1.28.14-gke.1175000
  • 1.29.9-gke.1341000
  • 1.30.5-gke.1355000
  • 1.31.1-gke.1678000

影響を受けるマイナー バージョンは次のとおりです。Container-Optimized OS ノードプールを次のいずれかのパッチ バージョン以降にアップグレードします。

  • 1.27.14-gke.1093000
  • 1.28.10-gke.1141000
  • 1.29.5-gke.1192000
  • 1.30.2-gke.1394000

クラスタが独自のリリース チャンネルで同じマイナー バージョンを実行している場合、新しいリリース チャンネルのパッチ バージョンを適用できます。この機能を使用すると、パッチ バージョンがリリース チャンネルのデフォルトになるまでノードを保護できます。詳細については、新しいチャンネルからのパッチ バージョンの実行をご覧ください。

GDC(VMware)

更新日: 2024-10-21

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-36972

必要な対策

2024 年 10 月 21 日更新: VMware 向け GDC ソフトウェアの次のバージョンは、この脆弱性を修正するコードで更新されています。VMware クラスタ用の GDC ソフトウェアを次のバージョン以降にアップグレードします。

  • 1.30.200-gke.101
  • 1.29.600-gke.109
  • 1.28.1100-gke.91

GKE on AWS

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-36972

必要な対策

 保留

GKE on Azure

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-36972

必要な対策

 保留中

GDC(ベアメタル)

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-36972

必要な対策

これは弊社の対応をパートナー様にご報告させていただくためにお知らせしているもので、ベアメタル向け GDC ソフトウェアは、ディストリビューションにオペレーティング システムがバンドルされていないため、影響を受けません。

 なし

GCP-2024-043

公開日: 2024 年 7 月 16 日
更新日: 2024 年 10 月 2 日
参考情報: CVE-2024-26921

2024 年 10 月 2 日更新: GKE 上の Ubuntu ノードプール向けパッチ バージョンを追加しました。

2024 年 9 月 20 日更新: GDC(VMware)のパッチ バージョンを追加しました。

GKE

更新日: 2024-10-02

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-26921

GKE Standard クラスタが影響を受けます。デフォルト構成の GKE Autopilot クラスタは影響を受けませんが、seccomp Unconfined プロファイルを明示的に設定するか、CAP_NET_ADMIN を許可すると脆弱性が生じる可能性があります。

GKE Sandbox を使用するクラスタは影響を受けません。

必要な対策

2024 年 10 月 2 日更新: 次のバージョンの GKE は、Ubuntu でこの脆弱性を修正するコードで更新されています。Ubuntu ノードプールを次のバージョン以降にアップグレードします。

  • 1.27.16-gke.1287000
  • 1.28.13-gke.1042000
  • 1.29.8-gke.1096000
  • 1.30.4-gke.1476000
  • 1.30.4-gke.1476000
  • 1.31.0-gke.1577000

影響を受けるマイナー バージョンは次のとおりです。Container-Optimized OS ノードプールを次のいずれかのパッチ バージョン以降にアップグレードします。

  • 1.26.15-gke.1360000
  • 1.27.14-gke.1022000
  • 1.28.9-gke.1209000
  • 1.29.4-gke.1542000
  • 1.30.2-gke.1394000

クラスタが独自のリリース チャンネルで同じマイナー バージョンを実行している場合、新しいリリース チャンネルのパッチ バージョンを適用できます。この機能を使用すると、パッチ バージョンがリリース チャンネルのデフォルトになるまでノードを保護できます。詳細については、新しいチャンネルからのパッチ バージョンの実行をご覧ください。

GDC(VMware)

更新日: 2024-09-20

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-26921

必要な対策

2024 年 9 月 20 日更新: VMware 向け GDC ソフトウェアの次のバージョンは、この脆弱性を修正するコードで更新されています。VMware クラスタ用の GDC ソフトウェアを次のバージョン以降にアップグレードします。

  • 1.30.200
  • 1.29.500
  • 1.28.1000

 保留

GKE on AWS

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-26921

必要な対策

 保留

GKE on Azure

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-26921

必要な対策

 保留中

GDC(ベアメタル)

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-26921

必要な対策

これは弊社の対応をパートナー様にご報告させていただくためにお知らせしているもので、ベアメタル向け GDC ソフトウェアは、ディストリビューションにオペレーティング システムがバンドルされていないため、影響を受けません。

 なし

GCP-2024-042

公開日: 2024 年 7 月 15 日
更新日: 2024 年 7 月 18 日
参考情報: CVE-2024-26809

2024 年 7 月 18 日更新: デフォルト構成の Autopilot クラスタは影響を受けないことを明確にしました。

GKE

更新日: 2024-07-18

説明 重大度

2024 年 7 月 18 日更新: この公開情報の元のバージョンでは、Autopilot クラスタが影響を受けると誤って記載されていました。デフォルト構成の Autopilot クラスタは影響を受けませんが、seccomp 制限なしプロファイルを明示的に設定するか、CAP_NET_ADMIN 機能を許可すると脆弱性が生じる可能性があります。

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-26809

GKE Standard クラスタと Autopilot クラスタが影響を受けます。

GKE Sandbox を使用するクラスタは影響を受けません。

必要な対策

影響を受けるマイナー バージョンは次のとおりです。Container-Optimized OS ノードプールを次のいずれかのパッチ バージョン以降にアップグレードします。

  • 1.27.13-gke.1166000
  • 1.28.9-gke.1209000
  • 1.29.4-gke.1542000

影響を受けるマイナー バージョンは次のとおりです。Ubuntu ノードプールを次のいずれかのパッチ バージョン以降にアップグレードします。

  • 1.26.15-gke.1469000
  • 1.27.14-gke.1100000
  • 1.28.10-gke.1148000
  • 1.29.6-gke.1038000

クラスタが独自のリリース チャンネルで同じマイナー バージョンを実行している場合、新しいリリース チャンネルのパッチ バージョンを適用できます。この機能を使用すると、パッチ バージョンがリリース チャンネルのデフォルトになるまでノードを保護できます。詳細については、新しいチャンネルからのパッチ バージョンの実行をご覧ください。

GDC(VMware)

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-26809

必要な対策

 保留

GKE on AWS

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-26809

必要な対策

 保留

GKE on Azure

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-26809

必要な対策

 保留中

GDC(ベアメタル)

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-26809

必要な対策

これは弊社の対応をパートナー様にご報告させていただくためにお知らせしているもので、ベアメタル向け GDC ソフトウェアは、ディストリビューションにオペレーティング システムがバンドルされていないため、影響を受けません。

 なし

GCP-2024-041

公開日: 2024 年 7 月 8 日
更新日: 2024 年 9 月 16 日
参考情報: CVE-2023-52654CVE-2023-52656

2024 年 9 月 16 日更新: GDC(VMware)のパッチ バージョンを追加しました。

2024 年 7 月 19 日更新: GKE 上の Ubuntu ノードプール向けパッチ バージョンを追加しました。

GKE

更新日: 2024-07-19

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-52654
  • CVE-2023-52656

GKE Standard クラスタと Autopilot クラスタが影響を受けます。

GKE Sandbox を使用するクラスタは影響を受けません。

必要な対策

2024 年 7 月 19 日更新: 次のバージョンの GKE には、Ubuntu でこの脆弱性を修正するコードが含まれています。Ubuntu ノードプールを次のいずれかのパッチ バージョン以降にアップグレードします。

  • 1.26.15-gke.1469000
  • 1.27.14-gke.1100000
  • 1.28.10-gke.1148000
  • 1.29.6-gke.1038000
  • 1.30.2-gke.1394000

影響を受けるマイナー バージョンは次のとおりです。Container-Optimized OS ノードプールを次のいずれかのパッチ バージョン以降にアップグレードします。

  • 1.26.15-gke.1300000
  • 1.27.13-gke.1166000
  • 1.28.9-gke.1209000
  • 1.29.4-gke.1542000

クラスタが独自のリリース チャンネルで同じマイナー バージョンを実行している場合、新しいリリース チャンネルのパッチ バージョンを適用できます。この機能を使用すると、パッチ バージョンがリリース チャンネルのデフォルトになるまでノードを保護できます。詳細については、新しいチャンネルからのパッチ バージョンの実行をご覧ください。

GDC(VMware)

更新日: 2024 年 9 月 16 日

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-52654
  • CVE-2023-52656

必要な対策

2024 年 9 月 16 日更新: VMware 向け GDC ソフトウェアの次のバージョンが、この脆弱性を修正するコードで更新されました。VMware クラスタ用の GDC ソフトウェアを次のバージョン以降にアップグレードします。

  • 1.29.200
  • 1.28.700
  • 1.16.11

 保留

GKE on AWS

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-52654
  • CVE-2023-52656

必要な対策

 保留

GKE on Azure

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-52654
  • CVE-2023-52656

必要な対策

 保留中

GDC(ベアメタル)

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-52654
  • CVE-2023-52656

必要な対策

これは弊社の対応をパートナー様にご報告させていただくためにお知らせしているもので、ベアメタル向け GDC ソフトウェアは、ディストリビューションにオペレーティング システムがバンドルされていないため、影響を受けません。

 なし

GCP-2024-040

公開日: 2024 年 7 月 1 日
更新日: 2024 年 7 月 11 日
参考情報: CVE-2024-6387

2024 年 7 月 11 日更新: VMware、GKE on AWS、GKE on Azure 向け GDC ソフトウェア用パッチ バージョンを追加しました。

2024 年 7 月 3 日更新: GKE のパッチ バージョンを追加しました

2024-07-02 更新:

  • Autopilot クラスタが影響を受け、ユーザーによる対応が必要になることを明確にしました。
  • GDC(VMware)、GKE on AWS、GKE on Azure の影響評価と緩和手順を追加しました。
  • GDC(ベアメタル)のセキュリティに関する公開情報を修正し、GDC(ベアメタル)は直接影響を受けず、パッチについては OS ベンダーに確認する必要があることを明確にしました。

GKE

更新日: 2024-07-03

説明 重大度

2024 年 7 月 3 日更新: 緊急ロールアウトが進行中です。2024 年 7 月 3 日午後 5 時(米国およびカナダの太平洋夏時間: UTC-7)までに、すべてのゾーンで新しいパッチ バージョンが利用可能になる予定です。特定のクラスタのパッチが利用可能になり次第通知を受け取るには、クラスタ通知を使用します。

2024 年 7 月 2 日更新: この脆弱性は、Autopilot モードと Standard モードの両方のクラスタに影響します。以降のセクションでは、各セクションが適用されるモードについて説明します。

先日、OpenSSH において、リモートコード実行の脆弱性である CVE-2024-6387 が発見されました。この脆弱性はリモートシェルへのアクセスの取得に使用可能な競合状態を悪用するため、攻撃者は GKE ノードへのルートアクセスを取得することができます。本情報の公開時点において、悪用は困難であり、攻撃にはマシン 1 台あたり数時間かかると考えられています。悪用されたという報告は確認されていません。

サポートされているすべての GKE 上の Container-Optimized OS および Ubuntu イメージにおいて、この問題に対して脆弱なバージョンの OpenSSH が動作しています。

パブリック ノード IP アドレスとインターネットに公開された SSH を持つ GKE クラスタは、緩和策として最優先に処理する必要があります。

GKE コントロール プレーンはこの問題の影響を受けません。

必要な対策

2024 年 7 月 3 日更新: GKE のパッチ バージョン

緊急リリースが進行中であり、2024 年 7 月 3 日午後 5 時(米国およびカナダの太平洋夏時間、UTC-7)までに、すべてのゾーンで新しいパッチ バージョンが利用可能になる予定です。

自動アップグレードが有効になっているクラスタとノードは、週が進むにつれてアップグレードが開始されますが、脆弱性の重大度が高いため、できるだけ早くパッチを取得するために、次のように手動でアップグレードすることをおすすめします。

Autopilot クラスタと Standard クラスタの両方で、パッチ適用されたバージョンにコントロール プレーンをアップグレードします。また、Standard モードのクラスタの場合は、パッチ適用済みバージョンにノードプールをアップグレードします。Autopilot クラスタは、コントロール プレーンのバージョンに合わせてノードのアップグレードをできるだけ早く開始します。

パッチ適用済みの GKE バージョンは、サポートされているすべてのバージョンで利用可能であり、パッチの適用に必要な変更を最小限に抑えることができます。各新バージョンのバージョン番号は、対応する既存バージョンのバージョン番号の末尾の数字を 1 つ増やしたものです。たとえば、1.27.14-gke.1100000 を使用している場合は、1.27.14-gke.1100002 にアップグレードして、変更を最小限に抑えて修正を適用します。パッチ適用済みの GKE バージョンは次のとおりです。

  • 1.26.15-gke.1090004
  • 1.26.15-gke.1191001
  • 1.26.15-gke.1300001
  • 1.26.15-gke.1320002
  • 1.26.15-gke.1381001
  • 1.26.15-gke.1390001
  • 1.26.15-gke.1404002
  • 1.26.15-gke.1469001
  • 1.27.13-gke.1070002
  • 1.27.13-gke.1166001
  • 1.27.13-gke.1201002
  • 1.27.14-gke.1022001
  • 1.27.14-gke.1042001
  • 1.27.14-gke.1059002
  • 1.27.14-gke.1100002
  • 1.27.15-gke.1012003
  • 1.28.9-gke.1069002
  • 1.28.9-gke.1209001
  • 1.28.9-gke.1289002
  • 1.28.10-gke.1058001
  • 1.28.10-gke.1075001
  • 1.28.10-gke.1089002
  • 1.28.10-gke.1148001
  • 1.28.11-gke.1019001
  • 1.29.4-gke.1043004
  • 1.29.5-gke.1060001
  • 1.29.5-gke.1091002
  • 1.29.6-gke.1038001
  • 1.30.1-gke.1329003
  • 1.30.2-gke.1023004

クラスタゾーンまたはリージョンでパッチを使用できるかどうかを確認するには、次のコマンドを実行します。

gcloud container get-server-config --location=LOCATION

LOCATION は、ゾーンまたはリージョンに置き換えます。

2024 年 7 月 2 日更新: Autopilot モードと Standard モードの両方のクラスタは、パッチ バージョンが利用可能になったらできるだけ早くアップグレードする必要があります。

更新後の OpenSSH を含めたパッチを適用した GKE が近日中に利用可能になります。パッチが公開されたら、このセキュリティ情報を更新する予定です。チャンネルでパッチが利用可能になったときに Pub/Sub 通知を受け取るには、クラスタ通知を有効にします。次の手順でクラスタの公開状態を確認し、必要に応じて説明されている緩和策を適用することをおすすめします。

ノードにパブリック IP アドレスがあるかどうかを確認する

2024 年 7 月 2 日更新: このセクションは、Autopilot クラスタと Standard クラスタの両方に適用されます。

enable-private-nodes を使用してクラスタを作成すると、ノードは限定公開になり、インターネットへの公開がなくなるため、脆弱性が軽減されます。次のコマンドを実行して、クラスタで限定公開ノードが有効になっているかどうかを確認します。

gcloud container clusters describe $CLUSTER_NAME \
--format="value(privateClusterConfig.enablePrivateNodes)"

戻り値が true の場合、すべてのノードがこのクラスタのプライベート ノードであり、脆弱性が軽減されます。値が空または false の場合は、次のセクションで緩和策のいずれかを適用します。

最初にパブリック ノードで作成されたすべてのクラスタを見つけるには、プロジェクトまたは組織で次の Cloud Asset Inventory クエリを使用します。

SELECT
  resource.data.name AS cluster_name,
  resource.parent AS project_name,
  resource.data.privateClusterConfig.enablePrivateNodes
FROM
  `container_googleapis_com_Cluster`
WHERE
  resource.data.privateClusterConfig.enablePrivateNodes is null OR
  resource.data.privateClusterConfig.enablePrivateNodes = false

クラスタノードへの SSH を禁止する

2024 年 7 月 2 日更新: このセクションは、Autopilot クラスタと Standard クラスタの両方に適用されます。

デフォルト ネットワークには、パブリック インターネットからの SSH アクセスを許可する default-allow-ssh ファイアウォール ルールが事前に設定されています。このアクセス権を削除するには、次の方法があります。

  • 必要に応じて、信頼できるネットワークからプロジェクト内の GKE ノードまたは他の Compute Engine VM への SSH アクセスを許可するルールを作成します。
  • 次のコマンドを使用して、デフォルトのファイアウォール ルールを無効にします。
    gcloud compute firewall-rules update default-allow-ssh --disabled --project=$PROJECT

ポート 22 で TCP 経由の SSH を許可する可能性のある他のファイアウォール ルールを作成した場合は、それらを無効にするか、送信元 IP を信頼できるネットワークに制限します。

インターネットからクラスタノードに SSH 接続できなくなったことを確認します。このファイアウォール構成により、脆弱性が軽減されます。

公開ノードプールを非公開にする

2024 年 7 月 2 日更新: 最初にパブリック クラスタとして作成された Autopilot クラスタの場合、nodeSelector を使用してワークロードをプライベート ノードに配置できます。ただし、元々パブリック クラスタとして作成されたクラスタでシステム ワークロードを実行する Autopilot ノードは、引き続きパブリック ノードであり、前のセクションで説明したファイアウォールの変更を使用して保護する必要があります。

最初に公開ノードで作成されたクラスタを最大限に保護するには、前述のように、まずファイアウォールを介した SSH を禁止することをおすすめします。ファイアウォール ルールで SSH を禁止できない場合は、このガイダンスに沿ってノードプールを分離して、GKE Standard クラスタのパブリック ノードプールをプライベートに変換できます。

SSHD 構成を変更する

2024 年 7 月 2 日更新: このセクションは Standard クラスタにのみ適用されます。Autopilot ワークロードはノードの構成を変更できません。

これらの緩和策を適用できない場合は、SSHD LoginGraceTime をゼロに設定し、SSH デーモンを再起動するデーモンセットを公開しました。この daemonset をクラスタに適用して、攻撃を軽減できます。この構成では、サービス拒否攻撃のリスクが高まり、正当な SSH アクセスで問題が発生する可能性があります。この daemonset は、パッチを適用した後に削除する必要があります。

 重大

GDC(VMware)

更新日: 2024 年 7 月 11 日

説明 重大度

2024 年 7 月 11 日更新: VMware 向け GDC ソフトウェアの次のバージョンが、この脆弱性を修正するコードで更新されました。管理ワークステーション、管理クラスタ、ユーザー クラスタ(ノードプールを含む)を、次のいずれかのバージョン以降にアップグレードします。手順については、クラスタまたはノードプールをアップグレードするをご覧ください。

  • 1.16.10-gke.36
  • 1.28.700-gke.151
  • 1.29.200-gke.245

この公開情報の 2024 年 7 月 2 日の更新で、VMware 向け GDC(ソフトウェアのみ)の Ubuntu イメージのサポートされているすべてのバージョンが、この問題に対して脆弱なバージョンの OpenSSH を実行していると誤って記載されていました。VMware バージョン 1.16 クラスタの GDC ソフトウェアの Ubuntu イメージは、この問題に対して脆弱性がないバージョンの OpenSSH を実行しています。VMware 1.28 および 1.29 の GDC ソフトウェアの Ubuntu イメージには脆弱性があります。VMware 向けのサポートされているすべてのバージョンの GDC ソフトウェアの Container-Optimized OS イメージには、この問題に対する脆弱性があります。

2024 年 7 月 2 日更新: VMware 向け GDC ソフトウェアでサポートされているすべてのバージョンの Container-Optimized OS および Ubuntu イメージは、この問題に対して脆弱なバージョンの OpenSSH を実行しています。

パブリック ノード IP アドレスとインターネットに公開された SSH を持つ VMware クラスタの GDC ソフトウェアは、緩和策として最優先に処理する必要があります。

先日、OpenSSH において、リモートコード実行の脆弱性である CVE-2024-6387 が発見されました。この脆弱性はリモートシェルへのアクセスの取得に使用可能な競合状態を悪用するため、攻撃者は GKE ノードへのルートアクセスを取得することができます。本情報の公開時点において、悪用は困難であり、攻撃にはマシン 1 台あたり数時間かかると考えられています。悪用されたという報告は確認されていません。

必要な対策

2024 年 7 月 2 日更新: 更新後の OpenSSH を含むパッチ適用済みの VMware 向け GDC ソフトウェア バージョンは、近日中に利用可能になります。パッチが利用可能になり次第、このセキュリティ情報は更新されます。必要に応じて、次の緩和策を適用することをおすすめします。

クラスタノードへの SSH を禁止する

パブリック インターネットなどの信頼できないソースからの SSH 接続を禁止するように、インフラストラクチャ ネットワークの設定を変更できます。

sshd 構成を変更する

上記の緩和策を適用できない場合は、sshd LoginGraceTime をゼロに設定して SSH デーモンを再起動する DaemonSet を公開しています。この DaemonSet をクラスタに適用して、攻撃を軽減できます。この構成では、サービス拒否攻撃のリスクが高まり、正当な SSH アクセスで問題が発生する可能性があります。パッチが適用されたら、この DaemonSet を削除します。

 重大

GKE on AWS

更新日: 2024 年 7 月 11 日

説明 重大度

2024 年 7 月 11 日更新: GKE on AWS の次のバージョンがこの脆弱性を修正するコードで更新されました。

  • 1.27.14-gke.1200
  • 1.28.10-gke.1300
  • 1.29.5-gke.1100

GKE on AWS コントロール プレーンとノードプールを、次のいずれかのパッチ バージョン以降にアップグレードします。手順については、AWS クラスタのバージョンをアップグレードするノードプールを更新するをご覧ください。

2024 年 7 月 2 日更新: サポートされているすべての GKE on AWS 上の Ubuntu イメージにおいて、この問題に対して脆弱なバージョンの OpenSSH が動作しています。

パブリック ノード IP アドレスとインターネットに公開された SSH を持つ GKE on AWS クラスタは、緩和策として最優先に処理する必要があります。

先日、OpenSSH において、リモートコード実行の脆弱性である CVE-2024-6387 が発見されました。この脆弱性はリモートシェルへのアクセスの取得に使用可能な競合状態を悪用するため、攻撃者は GKE ノードへのルートアクセスを取得することができます。本情報の公開時点において、悪用は困難であり、攻撃にはマシン 1 台あたり数時間かかると考えられています。悪用されたという報告は確認されていません。

必要な対策

2024 年 7 月 2 日更新: 更新後の OpenSSH を含めたパッチを適用した GKE on AWS が近日中に利用可能になります。パッチが利用可能になり次第、このセキュリティ情報は更新されます。次の手順に沿ってクラスタの公開状態を確認し、必要に応じて説明されている緩和策を適用することをおすすめします。

ノードにパブリック IP アドレスがあるかどうかを確認する

GKE on AWS では、デフォルトでは、パブリック IP アドレスまたはポート 22 へのトラフィックを許可するファイアウォール ルールを持つマシンはプロビジョニングされません。ただし、サブネット構成によっては、マシンがプロビジョニング中にパブリック IP アドレスを自動的に取得する場合があります。

ノードにパブリック IP アドレスがプロビジョニングされているかどうかを確認するには、AWS ノードプール リソースに関連付けられているサブネットの構成を確認します。

クラスタノードへの SSH を禁止する

GKE on AWS では、デフォルトではどのノードのポート 22 でもトラフィックが許可されていませんが、ノードプールに追加のセキュリティ グループを接続して、受信 SSH トラフィックを有効にできます。

指定されたセキュリティ グループから対応するルールを削除するか、スコープを狭めることをおすすめします。

公開ノードプールを非公開にする

公開ノードを使用しているクラスタを適切に保護するには、前のセクションで説明したように、まずセキュリティ グループを介して SSH を禁止することをおすすめします。セキュリティ グループ ルールで SSH を禁止できない場合は、サブネット内のマシンにパブリック IP を自動的に割り当てるオプションを無効にしてノードプールを再プロビジョニングすることで、公開ノードプールを非公開にできます。

 重大

Azure 上の GKE

更新日: 2024 年 7 月 11 日

説明 重大度

2024 年 7 月 11 日更新: GKE on Azure の次のバージョンがこの脆弱性を修正するコードで更新されました。

  • 1.27.14-gke.1200
  • 1.28.10-gke.1300
  • 1.29.5-gke.1100

GKE on Azure コントロール プレーンとノードプールを、次のいずれかのパッチ バージョン以降にアップグレードします。手順については、Azure クラスタのバージョンをアップグレードするノードプールを更新するをご覧ください。

2024 年 7 月 2 日更新: サポートされているすべての GKE on Azure 上の Ubuntu イメージにおいて、この問題に対して脆弱なバージョンの OpenSSH が動作しています。

パブリック ノード IP アドレスとインターネットに公開された SSH を持つ GKE on Azure クラスタは、緩和策として最優先に処理する必要があります。

先日、OpenSSH において、リモートコード実行の脆弱性である CVE-2024-6387 が発見されました。この脆弱性はリモートシェルへのアクセスの取得に使用可能な競合状態を悪用するため、攻撃者は GKE ノードへのルートアクセスを取得することができます。本情報の公開時点において、悪用は困難であり、攻撃にはマシン 1 台あたり数時間かかると考えられています。悪用されたという報告は確認されていません。

必要な対策

2024 年 7 月 2 日更新: 更新後の OpenSSH を含めたパッチを適用した GKE on Azure が近日中に利用可能になります。パッチが利用可能になり次第、このセキュリティ情報は更新されます。次の手順に沿ってクラスタの公開状態を確認し、必要に応じて説明されている緩和策を適用することをおすすめします。

ノードにパブリック IP アドレスがあるかどうかを確認する

GKE on Azure では、デフォルトでは、パブリック IP アドレスまたはポート 22 へのトラフィックを許可するファイアウォール ルールを持つマシンはプロビジョニングされません。Azure 構成を確認して、GKE on Azure クラスタにパブリック IP アドレスが構成されているかどうかを確認するには、次のコマンドを実行します。

az network public-ip list -g CLUSTER_RESOURCE_GROUP_NAME -o tsv
クラスタノードへの SSH を禁止する

GKE on Azure では、デフォルトではどのノードのポート 22 でもトラフィックが許可されていませんが、NetworkSecurityGroup ルールをノードプールに更新して、公共のインターネットからのインバウンド SSH トラフィックを有効にできます。

Kubernetes クラスタに関連付けられているネットワーク セキュリティ グループ(NSG)を確認することを強くおすすめします。ポート 22(SSH)で無制限の受信トラフィックを許可する NSG ルールが存在する場合は、次のいずれかを行います。

  • ルールを完全に削除する: インターネットからクラスタノードへの SSH アクセスが不要な場合は、ルールを削除して潜在的な攻撃ベクトルを排除します。
  • ルールのスコープを狭める: ポート 22 でのインバウンド アクセスを、必要な特定の IP アドレスまたは範囲にのみ制限します。これにより、潜在的な攻撃の対象となるサーフェスを最小限に抑えることができます。
公開ノードプールを非公開にする

公開ノードを使用しているクラスタを適切に保護するには、前のセクションで説明したように、まずセキュリティ グループを介して SSH を禁止することをおすすめします。セキュリティ グループ ルールで SSH を禁止できない場合は、VM に関連付けられたパブリック IP アドレスを削除して、パブリック ノードプールをプライベートに変換できます。

VM からパブリック IP アドレスを削除して、プライベート IP アドレス構成に置き換えるには、Azure VM からパブリック IP アドレスの関連付けを解除するをご覧ください。

影響: パブリック IP アドレスを使用している既存の接続は中断されます。VPN や Azure Bastion などの代替のアクセス方法があることを確認します。

 重大

GDC(ベアメタル)

更新日: 2024-07-02

説明 重大度

2024 年 7 月 2 日更新: ベアメタル向け GDC ソフトウェアに関するこの公開情報の元のバージョンでは、パッチ バージョンの開発中であると誤って記載されていました。ベアメタル向け GDC ソフトウェアは、オペレーティング システムの SSH デーモンや構成を管理しないため、直接影響を受けません。したがって、パッチ バージョンは、対処方法セクションで説明されているように、オペレーティング システム プロバイダの責任となります。

先日、OpenSSH において、リモートコード実行の脆弱性である CVE-2024-6387 が発見されました。この脆弱性はリモートシェルへのアクセスの取得に使用可能な競合状態を悪用するため、攻撃者は GKE ノードへのルートアクセスを取得することができます。本情報の公開時点において、悪用は困難であり、攻撃にはマシン 1 台あたり数時間かかると考えられています。悪用されたという報告は確認されていません。

必要な対策

2024 年 7 月 2 日更新: ベアメタル向け GDC ソフトウェアで使用しているオペレーティング システムのパッチを入手するには、OS プロバイダにお問い合わせください。

OS ベンダーのパッチを適用するまで、一般公開されているマシンでインターネットからの SSH 接続が許可されていないことを確認してください。それが不可能な場合は、LoginGraceTime をゼロに設定して sshd サーバーを再起動することもできます。

grep "^LoginGraceTime" /etc/ssh/sshd_config
            LoginGraceTime 0

この構成変更により、サービス拒否攻撃のリスクが増加し、正当な SSH アクセスで問題が発生する可能性があります。

2024 年 7 月 1 日の元のテキスト(修正については、前の 2024 年 7 月 2 日の更新を参照):

 重大

GCP-2024-039

公開日: 2024 年 6 月 28 日
更新日: 2024 年 9 月 25 日
参考情報: CVE-2024-26923

2024 年 9 月 25 日更新: GDC(VMware)向けのパッチ バージョンを追加しました。

2024 年 8 月 20 日更新: GKE 上の Ubuntu ノードプール向けパッチ バージョンを追加しました。

GKE

更新: 2024-08-20

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-26923

GKE Standard クラスタと Autopilot クラスタが影響を受けます。

GKE Sandbox を使用するクラスタは影響を受けません。

必要な対策

2024 年 8 月 20 日更新: 次のバージョンの GKE は、Ubuntu でこの脆弱性を修正するコードで更新されています。Ubuntu ノードプールを次のバージョン以降にアップグレードします。

  • 1.27.16-gke.1051000
  • 1.28.12-gke.1052000
  • 1.29.7-gke.1174000
  • 1.30.3-gke.1225000

影響を受けるマイナー バージョンは次のとおりです。Container-Optimized OS ノードプールを次のいずれかのパッチ バージョン以降にアップグレードします。

  • 1.26.15-gke.1360000
  • 1.27.14-gke.1022000
  • 1.28.9-gke.1289000
  • 1.29.5-gke.1010000

クラスタが独自のリリース チャンネルで同じマイナー バージョンを実行している場合、新しいリリース チャンネルのパッチ バージョンを適用できます。この機能を使用すると、パッチ バージョンがリリース チャンネルのデフォルトになるまでノードを保護できます。詳細については、新しいチャンネルからのパッチ バージョンの実行をご覧ください。

GDC(VMware)

更新: 2024-09-25

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-26923

必要な対策

2024 年 9 月 25 日更新: 次のバージョンの VMware 向け GDC ソフトウェアは、この脆弱性を修正するコードで更新されています。VMware クラスタ用の GDC ソフトウェアを次のバージョン以降にアップグレードします。

  • 1.29.400
  • 1.28.900

 保留

GKE on AWS

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-26923

必要な対策

 保留

GKE on Azure

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-26923

必要な対策

 保留中

GDC(ベアメタル)

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-26923

必要な対策

これは弊社の対応をパートナー様にご報告させていただくためにお知らせしているもので、ベアメタル向け GDC ソフトウェアは、ディストリビューションにオペレーティング システムがバンドルされていないため、影響を受けません。

 なし

GCP-2024-038

公開日: 2024 年 6 月 26 日
更新日: 2024 年 9 月 17 日
参考情報: CVE-2024-26924

2024 年 9 月 17 日更新: GDC(VMware)のパッチ バージョンを追加しました。

2024 年 8 月 6 日更新: GKE 上の Ubuntu ノードプール向けパッチ バージョンを追加しました。

GKE

更新日: 2024 年 8 月 6 日

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-26924

GKE Standard クラスタが影響を受けます。デフォルト構成の GKE Autopilot クラスタは影響を受けませんが、seccomp Unconfined プロファイルを明示的に設定するか、CAP_NET_ADMIN を許可すると脆弱性が生じる可能性があります。

GKE Sandbox を使用するクラスタは影響を受けません。

必要な対策

2024 年 8 月 6 日更新: GKE 上の Ubuntu ノードプール向けパッチ バージョンを追加しました。

次のバージョンの GKE は更新されており、Ubuntu でこの脆弱性を修正するためのコードが追加されています。Ubuntu ノードプールを次のバージョン以降にアップグレードします。

  • 1.27.15-gke.1252000
  • 1.28.11-gke.1260000
  • 1.29.6-gke.1326000
  • 1.30.2-gke.1394003

影響を受けるマイナー バージョンは次のとおりです。Container-Optimized OS ノードプールを次のいずれかのパッチ バージョン以降にアップグレードします。

  • 1.26.15-gke.1360000
  • 1.27.14-gke.1022000
  • 1.28.9-gke.1289000
  • 1.29.5-gke.1010000

クラスタが独自のリリース チャンネルで同じマイナー バージョンを実行している場合、新しいリリース チャンネルのパッチ バージョンを適用できます。この機能を使用すると、パッチ バージョンがリリース チャンネルのデフォルトになるまでノードを保護できます。詳細については、新しいチャンネルからのパッチ バージョンの実行をご覧ください。

GDC(VMware)

更新日: 2024-09-17

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-26924

必要な対策

2024 年 9 月 17 日更新: VMware 向け GDC ソフトウェアの次のバージョンが、この脆弱性を修正するコードで更新されました。VMware クラスタ用の GDC ソフトウェアを次のバージョン以降にアップグレードします。

  • 1.29.400
  • 1.28.800
  • 1.16.11

 保留

GKE on AWS

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-26924

必要な対策

 保留

GKE on Azure

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-26924

必要な対策

 保留中

GDC(ベアメタル)

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-26924

必要な対策

これは弊社の対応をパートナー様にご報告させていただくためにお知らせしているもので、ベアメタル向け GDC ソフトウェアは、ディストリビューションにオペレーティング システムがバンドルされていないため、影響を受けません。

 なし

GCP-2024-036

公開日: 2024 年 6 月 18日
参考情報: CVE-2024-26584

GKE

説明 重大度

Linux カーネルに、Container-Optimized OS ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-26584

GKE Standard クラスタと Autopilot クラスタが影響を受けます。

GKE Sandbox を使用するクラスタは影響を受けません。

必要な対策

影響を受けるマイナー バージョンは次のとおりです。Container-Optimized OS ノードプールを次のいずれかのパッチ バージョン以降にアップグレードします。

  • 1.28.9-gke.1209000
  • 1.29.4-gke.1542000

クラスタが独自のリリース チャンネルで同じマイナー バージョンを実行している場合、新しいリリース チャンネルのパッチ バージョンを適用できます。この機能を使用すると、パッチ バージョンがリリース チャンネルのデフォルトになるまでノードを保護できます。詳細については、新しいチャンネルからのパッチ バージョンの実行をご覧ください。

GKE on VMware

説明 重大度

Linux カーネルに、Container-Optimized OS ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-26584

必要な対策

 保留

GKE on AWS

説明 重大度

Linux カーネルに、Container-Optimized OS ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-26584

必要な対策

 保留

GKE on Azure

説明 重大度

Linux カーネルに、Container-Optimized OS ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-26584

必要な対策

 保留

GKE on Bare Metal

説明 重大度

Linux カーネルに、Container-Optimized OS ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-26584

必要な対策

これは弊社の対応をパートナー様にご報告させていただくためにお知らせしているもので、GKE on Bare Metal は、ディストリビューションにオペレーティング システムがバンドルされていないため、影響を受けません。

 なし

GCP-2024-035

公開日: 2024 年 6 月 12 日
更新日: 2024 年 7 月 18 日
参考情報: CVE-2024-26584

2024 年 7 月 18 日更新: GKE 上の Ubuntu ノードプール向けのパッチ バージョンと、Container-Optimized OS ノードプールのバージョン 1.27 向けのパッチ バージョンを追加しました。

GKE

更新日: 2024-07-18

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-26584

GKE Standard クラスタと Autopilot クラスタが影響を受けます。

GKE Sandbox を使用するクラスタは影響を受けません。

必要な対策

2024 年 7 月 18 日更新: 次のバージョンの GKE が更新され、Ubuntu でこの脆弱性を修正するコードが追加されました。Ubuntu ノードプールを次のいずれかのパッチ バージョン以降にアップグレードします。

  • 1.26.15-gke.1469000
  • 1.27.14-gke.1100000
  • 1.28.10-gke.1148000
  • 1.29.6-gke.1038000
  • 1.30.2-gke.1394000

次のバージョンの GKE は、Container-Optimized OS でこの脆弱性を修正するコードで更新されています。Container-Optimized OS ノードプールを次のパッチ バージョン以降にアップグレードします。

  • 1.27.15-gke.1125000

影響を受けるマイナー バージョンは次のとおりです。Container-Optimized OS ノードプールを次のいずれかのパッチ バージョン以降にアップグレードします。

  • 1.28.9-gke.1209000
  • 1.29.4-gke.1542000

影響を受けるマイナー バージョンは次のとおりです。パッチ バージョンはありません。パッチ バージョンが利用可能になり次第、このセキュリティ情報を更新する予定です。

  • 1.26
  • 1.27

クラスタが独自のリリース チャンネルで同じマイナー バージョンを実行している場合、新しいリリース チャンネルのパッチ バージョンを適用できます。この機能を使用すると、パッチ バージョンがリリース チャンネルのデフォルトになるまでノードを保護できます。詳細については、新しいチャンネルからのパッチ バージョンの実行をご覧ください。

GKE on VMware

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-26584

必要な対策

 保留

GKE on AWS

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-26584

必要な対策

 保留

GKE on Azure

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-26584

必要な対策

 保留

GKE on Bare Metal

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-26584

必要な対策

これは弊社の対応をパートナー様にご報告させていただくためにお知らせしているもので、GKE on Bare Metal は、ディストリビューションにオペレーティング システムがバンドルされていないため、影響を受けません。

 なし

GCP-2024-034

公開日: 2024 年 6 月 11 日
更新日: 2024 年 7 月 10 日
参考情報: CVE-2024-26583

2024 年 7 月 10 日更新: マイナー バージョン 1.26 と 1.27 を実行する Container-Optimized OS ノード向けのパッチ バージョンと、Ubuntu ノード向けのパッチ バージョンを追加しました。

GKE

更新日: 2024-07-10

説明 重大度

Linux カーネルに、Container-Optimized OS ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-26583

GKE Standard クラスタと Autopilot クラスタが影響を受けます。

GKE Sandbox を使用するクラスタは影響を受けません。

必要な対策

2024 年 7 月 10 日更新: 次のバージョンの GKE が、この脆弱性を修正するコードで更新されました。Ubuntu ノードプールを次のいずれかのパッチ バージョン以降にアップグレードします。

  • 1.26.15-gke.1444000
  • 1.27.14-gke.1096000
  • 1.28.10-gke.1148000
  • 1.29.5-gke.1041001
  • 1.30.1-gke.1156001

マイナー バージョン 1.26 と 1.27 の場合は、Container-Optimized OS ノードプールを次のいずれかのパッチ バージョン以降にアップグレードします。

  • 1.26.15-gke.1404002
  • 1.27.14-gke.1059002

影響を受けるマイナー バージョンは次のとおりです。Container-Optimized OS ノードプールを次のいずれかのパッチ バージョン以降にアップグレードします。

  • 1.28.8-gke.1095000
  • 1.29.3-gke.1093000

クラスタが独自のリリース チャンネルで同じマイナー バージョンを実行している場合、新しいリリース チャンネルのパッチ バージョンを適用できます。この機能を使用すると、パッチ バージョンがリリース チャンネルのデフォルトになるまでノードを保護できます。詳細については、新しいチャンネルからのパッチ バージョンの実行をご覧ください。

GKE on VMware

説明 重大度

Linux カーネルに、Container-Optimized OS ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-26583

必要な対策

 保留

GKE on AWS

説明 重大度

Linux カーネルに、Container-Optimized OS ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-26583

必要な対策

 保留

GKE on Azure

説明 重大度

Linux カーネルに、Container-Optimized OS ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-26583

必要な対策

 保留

GKE on Bare Metal

説明 重大度

Linux カーネルに、Container-Optimized OS ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-26583

必要な対策

これは弊社の対応をパートナー様にご報告させていただくためにお知らせしているもので、GKE on Bare Metal は、ディストリビューションにオペレーティング システムがバンドルされていないため、影響を受けません。

 なし

GCP-2024-033

公開日: 2024 年 6 月 10 日
更新日: 2024 年 9 月 26 日
参考情報: CVE-2022-23222

2024 年 9 月 26 日更新: GDC(VMware)向けのパッチ バージョンを追加しました。

GKE

説明 重大度

Linux カーネルに、Container-Optimized OS ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2022-23222

GKE Standard クラスタと Autopilot クラスタが影響を受けます。

GKE Sandbox を使用するクラスタは影響を受けません。

必要な対策

影響を受けるマイナー バージョンは次のとおりです。Container-Optimized OS ノードプールを次のいずれかのパッチ バージョン以降にアップグレードします。

  • 1.26.15-gke.1381000
  • 1.27.14-gke.1022000

クラスタが独自のリリース チャンネルで同じマイナー バージョンを実行している場合、新しいリリース チャンネルのパッチ バージョンを適用できます。この機能を使用すると、パッチ バージョンがリリース チャンネルのデフォルトになるまでノードを保護できます。詳細については、新しいチャンネルからのパッチ バージョンの実行をご覧ください。

GKE on VMware

更新日: 2024-09-26

説明 重大度

Linux カーネルに、Container-Optimized OS ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2022-23222

必要な対策

2024 年 9 月 26 日更新: VMware 向け GDC ソフトウェアの次のバージョンは、この脆弱性を修正するコードで更新されています。VMware クラスタ用の GDC ソフトウェアを次のバージョン以降にアップグレードします。

  • 1.28.900-gke.113
  • 1.29.400-gke.8

 保留

GKE on AWS

説明 重大度

Linux カーネルに、Container-Optimized OS ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2022-23222

必要な対策

 保留

GKE on Azure

説明 重大度

Linux カーネルに、Container-Optimized OS ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2022-23222

必要な対策

 保留

GKE on Bare Metal

説明 重大度

Linux カーネルに、Container-Optimized OS ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2022-23222

必要な対策

これは弊社の対応をパートナー様にご報告させていただくためにお知らせしているもので、GKE on Bare Metal は、ディストリビューションにオペレーティング システムがバンドルされていないため、影響を受けません。

 なし

GCP-2024-031

公開日: 2024 年 5 月 24 日
参考情報: CVE-2024-4323

GKE

説明 重大度

Fluent Bit で、リモートコード実行につながる新しい脆弱性(CVE-2024-4323)が見つかりました。影響を受ける Fluent Bit のバージョンは 2.0.7 ~ 3.0.3 です。

GKE は脆弱なバージョンの Fluent Bit を使用していないため、影響を受けません。

必要な対策

GKE はこの脆弱性の影響を受けません。 このため、ご対応は不要です。

 なし

GKE on VMware

説明 重大度

Fluent Bit で、リモートコード実行につながる新しい脆弱性(CVE-2024-4323)が見つかりました。影響を受ける Fluent Bit のバージョンは 2.0.7 ~ 3.0.3 です。

GKE on VMware は、脆弱なバージョンの Fluent Bit を使用していないため、影響を受けません。

必要な対策

GKE on VMware はこの脆弱性の影響を受けません。 このため、ご対応は不要です。

 なし

GKE on AWS

説明 重大度

Fluent Bit で、リモートコード実行につながる新しい脆弱性(CVE-2024-4323)が見つかりました。影響を受ける Fluent Bit のバージョンは 2.0.7 ~ 3.0.3 です。

GKE on AWS は、脆弱なバージョンの Fluent Bit を使用していないため、影響を受けません。

必要な対策

GKE on AWS は、この脆弱性の影響を受けません。このため、ご対応は不要です。

 なし

GKE on Azure

説明 重大度

Fluent Bit で、リモートコード実行につながる新しい脆弱性(CVE-2024-4323)が見つかりました。影響を受ける Fluent Bit のバージョンは 2.0.7 ~ 3.0.3 です。

GKE on Azure は、脆弱なバージョンの Fluent Bit を使用していないため、影響を受けません。

必要な対策

GKE on Azure は、この脆弱性の影響を受けません。 このため、ご対応は不要です。

 なし

GKE on Bare Metal

説明 重大度

Fluent Bit で、リモートコード実行につながる新しい脆弱性(CVE-2024-4323)が見つかりました。影響を受ける Fluent Bit のバージョンは 2.0.7 ~ 3.0.3 です。

GKE on Bare Metal は、脆弱なバージョンの Fluent Bit を使用していないため、影響を受けません。

必要な対策

GKE on Bare Metal は、この脆弱性の影響を受けません。このため、ご対応は不要です。

 なし

GCP-2024-030

公開日: 2024 年 5 月 15 日
更新日: 2024 年 7 月 18 日
参考情報: CVE-2023-52620

2024 年 7 月 18 日更新: GKE 上の Ubuntu ノードプール向けパッチ バージョンを追加しました。

GKE

更新日: 2024-07-18

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-52620

GKE Standard クラスタが影響を受けます。デフォルト構成の GKE Autopilot クラスタは影響を受けませんが、seccomp Unconfined プロファイルを明示的に設定するか、CAP_NET_ADMIN を許可すると脆弱性が生じる可能性があります。

GKE Sandbox を使用するクラスタは影響を受けません。

必要な対策

2024 年 7 月 18 日更新: 次のバージョンの GKE が更新され、Ubuntu でこの脆弱性を修正するコードが追加されました。Ubuntu ノードプールを次のいずれかのパッチ バージョン以降にアップグレードします。

  • 1.26.15-gke.1469000
  • 1.27.14-gke.1100000
  • 1.28.10-gke.1148000
  • 1.29.6-gke.1038000
  • 1.30.2-gke.1394000

影響を受けるマイナー バージョンは次のとおりです。Container-Optimized OS ノードプールを次のいずれかのパッチ バージョン以降にアップグレードします。

  • 1.27.13-gke.1166000
  • 1.28.8-gke.1095000
  • 1.29.3-gke.1093000

クラスタが独自のリリース チャンネルで同じマイナー バージョンを実行している場合、新しいリリース チャンネルのパッチ バージョンを適用できます。この機能を使用すると、パッチ バージョンがリリース チャンネルのデフォルトになるまでノードを保護できます。詳細については、新しいチャンネルからのパッチ バージョンの実行をご覧ください。

GKE on VMware

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-52620

必要な対策

 保留

GKE on AWS

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-52620

必要な対策

 保留

GKE on Azure

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-52620

必要な対策

 保留

GKE on Bare Metal

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-52620

必要な対策

これは弊社の対応をパートナー様にご報告させていただくためにお知らせしているもので、GKE on Bare Metal は、ディストリビューションにオペレーティング システムがバンドルされていないため、影響を受けません。

 なし

GCP-2024-029

公開日: 2024 年 5 月 14 日
更新日: 2024 年 8 月 19 日
参考情報: CVE-2024-26642

2024 年 8 月 19 日更新: Ubuntu ノードのパッチ バージョンを追加しました。

GKE

更新: 2024-08-19

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-26642

GKE Standard クラスタが影響を受けます。デフォルト構成の GKE Autopilot クラスタは影響を受けませんが、seccomp Unconfined プロファイルを明示的に設定するか、CAP_NET_ADMIN を許可すると脆弱性が生じる可能性があります。

GKE Sandbox を使用するクラスタは影響を受けません。

必要な対策

2024 年 8 月 19 日更新: 次のバージョンの GKE は、Ubuntu でこの脆弱性を修正するコードで更新されています。Ubuntu ノードプールを次のバージョン以降にアップグレードします。

  • 1.27.16-gke.1051000
  • 1.28.12-gke.1052000
  • 1.29.7-gke.1174000
  • 1.30.3-gke.1225000

影響を受けるマイナー バージョンは次のとおりです。Container-Optimized OS ノードプールを次のいずれかのパッチ バージョン以降にアップグレードします。

  • 1.27.13-gke.1166000
  • 1.28.8-gke.1095000
  • 1.29.3-gke.1093000

クラスタが独自のリリース チャンネルで同じマイナー バージョンを実行している場合、新しいリリース チャンネルのパッチ バージョンを適用できます。この機能を使用すると、パッチ バージョンがリリース チャンネルのデフォルトになるまでノードを保護できます。詳細については、新しいチャンネルからのパッチ バージョンの実行をご覧ください。

GKE on VMware

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-26642

必要な対策

 保留

GKE on AWS

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-26642

必要な対策

 保留

GKE on Azure

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-26642

必要な対策

 保留

GKE on Bare Metal

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-26642

必要な対策

これは弊社の対応をパートナー様にご報告させていただくためにお知らせしているもので、GKE on Bare Metal は、ディストリビューションにオペレーティング システムがバンドルされていないため、影響を受けません。

 なし

GCP-2024-028

公開日: 2024 年 5 月 13 日
更新日: 2024 年 5 月 22 日
参考情報: CVE-2024-26581

2024 年 5 月 22 日更新: Ubuntu ノードのパッチ バージョンを追加しました。

GKE

更新日: 2024 年 5 月 22 日

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-26581

GKE Standard クラスタが影響を受けます。デフォルト構成の GKE Autopilot クラスタは影響を受けませんが、seccomp Unconfined プロファイルを明示的に設定するか、CAP_NET_ADMIN を許可すると脆弱性が生じる可能性があります。

GKE Sandbox を使用するクラスタは影響を受けません。

必要な対策

2024 年 5 月 22 日更新: 次のバージョンの GKE は、Ubuntu でこの脆弱性を修正するコードで更新されています。Ubuntu ノードプールを次のバージョン以降にアップグレードします。

  • 1.26.15-gke.1300000
  • 1.27.13-gke.1011000
  • 1.28.9-gke.1209000
  • 1.29.4-gke.1542000
  • 1.30.0-gke.1712000

影響を受けるマイナー バージョンは次のとおりです。Container-Optimized OS ノードプールを次のいずれかのパッチ バージョン以降にアップグレードします。

  • 1.25.16-gke.1596000
  • 1.26.14-gke.1076000
  • 1.27.11-gke.1202000
  • 1.28.8-gke.1095000
  • 1.29.3-gke.1093000

影響を受けるマイナー バージョンは次のとおりです。Ubuntu ノードプールを次のいずれかのパッチ バージョン以降にアップグレードします。

  • 1.26.15-gke.1300000
  • 1.28.9-gke.1209000

クラスタが独自のリリース チャンネルで同じマイナー バージョンを実行している場合、新しいリリース チャンネルのパッチ バージョンを適用できます。この機能を使用すると、パッチ バージョンがリリース チャンネルのデフォルトになるまでノードを保護できます。詳細については、新しいチャンネルからのパッチ バージョンの実行をご覧ください。

GKE on VMware

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-26581

必要な対策

 保留

GKE on AWS

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-26581

必要な対策

 保留

GKE on Azure

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-26581

必要な対策

 保留

GKE on Bare Metal

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-26581

必要な対策

これは弊社の対応をパートナー様にご報告させていただくためにお知らせしているもので、GKE on Bare Metal は、ディストリビューションにオペレーティング システムがバンドルされていないため、影響を受けません。

 なし

GCP-2024-027

公開日: 2024 年 5 月 8 日
更新日: 2024 年 9 月 25 日
参考情報: CVE-2024-26808

2024 年 9 月 25 日更新: GDC(VMware)のパッチ バージョンを追加しました。

2024 年 5 月 15 日更新: GKE Ubuntu ノードプールのパッチ バージョンを追加しました。

2024 年 5 月 9 日更新: 重大度が中から高に修正され、デフォルト構成の GKE Autopilot クラスタが影響を受けないことが明記されました。

GKE

更新日: 2024 年 5 月 9 日、2024 年 5 月 15 日

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-26808

2024 年 5 月 9 日更新: 重大度が中から高に修正されました。元の情報では、Autopilot クラスタについて影響があるとしていましたが、これは正しくありません。デフォルト構成の GKE Autopilot クラスタは影響を受けませんが、seccomp による制限なしプロファイルを明示的に設定するか、CAP_NET_ADMIN を許可した場合、脆弱性が生じる可能性があります。

GKE Standard クラスタと Autopilot クラスタが影響を受けます。

GKE Sandbox を使用するクラスタは影響を受けません。

必要な対策

2024 年 5 月 15 日更新: GKE の次のバージョンが、Ubuntu でこの脆弱性を修正するコードで更新されました。Ubuntu ノードプールを次のバージョン以降にアップグレードします。

  • 1.26.15-gke.1323000
  • 1.27.13-gke.1206000
  • 1.28.10-gke.1000000
  • 1.29.3-gke.1282004
  • 1.30.0-gke.1584000

影響を受けるマイナー バージョンは次のとおりです。Container-Optimized OS ノードプールを次のいずれかのパッチ バージョン以降にアップグレードします。

  • 1.27.8-gke.1067000
  • 1.28.8-gke.1095000
  • 1.29.3-gke.1093000

クラスタが独自のリリース チャンネルで同じマイナー バージョンを実行している場合、新しいリリース チャンネルのパッチ バージョンを適用できます。この機能を使用すると、パッチ バージョンがリリース チャンネルのデフォルトになるまでノードを保護できます。詳細については、新しいチャンネルからのパッチ バージョンの実行をご覧ください。

GKE on VMware

更新: 2024-09-25

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-26808

必要な対策

2024 年 9 月 25 日更新: 次のバージョンの VMware 向け GDC ソフトウェアは、この脆弱性を修正するコードで更新されています。VMware クラスタ用の GDC ソフトウェアを次のバージョン以降にアップグレードします。

  • 1.28.600
  • 1.16.9

 保留

GKE on AWS

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-26808

必要な対策

 保留

GKE on Azure

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-26808

必要な対策

 保留

GKE on Bare Metal

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-26808

必要な対策

これは弊社の対応をパートナー様にご報告させていただくためにお知らせしているもので、GKE on Bare Metal は、ディストリビューションにオペレーティング システムがバンドルされていないため、影響を受けません。

 なし

GCP-2024-026

公開日: 2024 年 5 月 7 日
更新日: 2024 年 8 月 6 日
参考情報: CVE-2024-26643

2024 年 8 月 6 日更新: GKE 上の Ubuntu ノードプール向けパッチ バージョンを追加しました。

2024 年 5 月 9 日更新: 重大度が中から高に修正されました。

GKE

更新日: 2024 年 8 月 6 日

説明 重大度

2024 年 5 月 9 日更新: 重大度が中から高に修正されました。

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-26643

GKE Standard クラスタが影響を受けます。デフォルト構成の GKE Autopilot クラスタは影響を受けませんが、seccomp Unconfined プロファイルを明示的に設定するか、CAP_NET_ADMIN を許可すると脆弱性が生じる可能性があります。

GKE Sandbox を使用するクラスタは影響を受けません。

必要な対策

2024 年 8 月 6 日更新: GKE 上の Ubuntu ノードプール向けパッチ バージョンを追加しました。

次のバージョンの GKE は更新されており、Ubuntu でこの脆弱性を修正するためのコードが追加されています。Ubuntu ノードプールを次のバージョン以降にアップグレードします。

  • 1.27.15-gke.1252000
  • 1.28.11-gke.1260000
  • 1.29.6-gke.1326000
  • 1.30.2-gke.1394003

影響を受けるマイナー バージョンは次のとおりです。Container-Optimized OS ノードプールを次のいずれかのパッチ バージョン以降にアップグレードします。

  • 1.27.8-gke.1067000
  • 1.28.8-gke.1095000
  • 1.29.3-gke.1093000

クラスタが独自のリリース チャンネルで同じマイナー バージョンを実行している場合、新しいリリース チャンネルのパッチ バージョンを適用できます。この機能を使用すると、パッチ バージョンがリリース チャンネルのデフォルトになるまでノードを保護できます。詳細については、新しいチャンネルからのパッチ バージョンの実行をご覧ください。

GKE on VMware

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-26643

必要な対策

 保留

GKE on AWS

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-26643

必要な対策

 保留

GKE on Azure

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-26643

必要な対策

 保留

GKE on Bare Metal

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-26643

必要な対策

これは弊社の対応をパートナー様にご報告させていただくためにお知らせしているもので、GKE on Bare Metal は、ディストリビューションにオペレーティング システムがバンドルされていないため、影響を受けません。

 なし

GCP-2024-024

公開日: 2024 年 4 月 25 日
更新日: 2024 年 7 月 18 日
参考情報: CVE-2024-26585

2024 年 7 月 18 日更新: GKE 上の Ubuntu ノードプール向けパッチ バージョンを追加しました。

GKE

更新日: 2024-07-18

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-26585

GKE Standard クラスタと Autopilot クラスタが影響を受けます。

GKE Sandbox を使用するクラスタは影響を受けません。

必要な対策

2024 年 7 月 18 日更新: Ubuntu でこの脆弱性を修正するコードが GKE の次のバージョンに追加されました。Ubuntu ノードプールを次のいずれかのパッチ バージョン以降にアップグレードします。

  • 1.26.15-gke.1469000
  • 1.27.14-gke.1100000
  • 1.28.10-gke.1148000
  • 1.29.6-gke.1038000
  • 1.30.2-gke.1394000

影響を受けるマイナー バージョンは次のとおりです。Container-Optimized OS ノードプールを次のいずれかのパッチ バージョン以降にアップグレードします。

  • 1.25.16-gke.1759000
  • 1.26.15-gke.1158000
  • 1.27.12-gke.1190000
  • 1.28.8-gke.1175000
  • 1.29.3-gke.1282000

クラスタが独自のリリース チャンネルで同じマイナー バージョンを実行している場合、新しいリリース チャンネルのパッチ バージョンを適用できます。この機能を使用すると、パッチ バージョンがリリース チャンネルのデフォルトになるまでノードを保護できます。詳細については、新しいチャンネルからのパッチ バージョンの実行をご覧ください。

GKE on VMware

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-26585

必要な対策

 保留

GKE on AWS

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-26585

必要な対策

 保留

GKE on Azure

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-26585

必要な対策

 保留

GKE on Bare Metal

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-26585

必要な対策

これは弊社の対応をパートナー様にご報告させていただくためにお知らせしているもので、GKE on Bare Metal は、ディストリビューションにオペレーティング システムがバンドルされていないため、影響を受けません。

 なし

GCP-2024-022

公開日: 2024 年 4 月 3 日
更新日: 2024 年 7 月 17 日
参考情報: CVE-2023-45288

2024 年 7 月 17 日更新: GKE on VMware のパッチ バージョンを追加しました。
2024 年 7 月 9 日更新: GKE on Bare Metal のパッチ バージョンを追加しました。
2024 年 4 月 24 日更新: GKE のパッチ バージョンを追加しました。

GKE

更新日: 2024 年 4 月 24 日

説明 重大度

先ごろ、サービス拒否攻撃(DoS)の脆弱性(CVE-2023-45288)が HTTP/2 プロトコルの複数の実装で発見されました。これには、Kubernetes で使用されている GoLang HTTP サーバーも含まれます。この脆弱性により、Google Kubernetes Engine(GKE)コントロール プレーンの DoS が発生する可能性があります。承認済みネットワークが構成されている GKE クラスタはネットワーク アクセスを制限することで保護されますが、他のすべてのクラスタは影響を受けます。

GKE Autopilot クラスタと GKE Standard クラスタが影響を受けます。

必要な対策

2024 年 4 月 24 日更新: GKE のパッチ バージョンを追加しました。

次のバージョンの GKE には、この脆弱性を修正する Golang セキュリティ パッチが含まれています。GKE クラスタを次のバージョン以降にアップグレードしてください。

  • 1.25.16-gke.1759000
  • 1.26.15-gke.1158000
  • 1.27.12-gke.1190000
  • 1.28.8-gke.1175000
  • 1.29.3-gke.1282000

golang プロジェクトは 2024 年 4 月 3 日にパッチをリリースしました。これらのパッチが組み込まれた GKE バージョンが利用可能になり次第、このセキュリティ情報を更新します。早期のスケジュールでパッチをリクエストするには、サポートにお問い合わせください。

コントロール プレーン アクセス用の承認済みネットワークを構成して、この問題を軽減します。

承認済みネットワークを構成することで、このクラスの攻撃からクラスタを保護できます。手順に沿って既存のクラスタで承認済みネットワークを有効にする

承認済みネットワークがコントロール プレーンへのアクセスを制御する方法の詳細については、承認済みネットワークの仕組みをご覧ください。デフォルトの承認済みネットワーク アクセスを確認するには、コントロール プレーン エンドポイントへのアクセスのセクションの表をご覧ください。

このパッチで対処される脆弱性

この脆弱性(CVE-2023-45288)により、攻撃者は Kubernetes コントロール プレーンで DoS 攻撃を実行できます。

GKE on VMware

更新日: 2024-07-17

説明 重大度

先ごろ、サービス拒否攻撃(DoS)の脆弱性(CVE-2023-45288)が HTTP/2 プロトコルの複数の実装で発見されました。これには、Kubernetes で使用されている GoLang HTTP サーバーも含まれます。この脆弱性により、Google Kubernetes Engine(GKE)コントロール プレーンの DoS が発生する可能性があります。

必要な対策

2024 年 7 月 17 日更新: GKE on VMware のパッチ バージョンを追加しました。

この脆弱性を修正するコードは、次のバージョンの GKE on VMware に含まれています。GKE on VMware クラスタを次のバージョン以降にアップグレードします。

  • 1.29.0
  • 1.28.500
  • 1.16.8

golang プロジェクトは 2024 年 4 月 3 日にパッチをリリースしました。これらのパッチが組み込まれた GKE on VMware のバージョンが利用可能になり次第、このセキュリティ情報は更新されます。早期のスケジュールでパッチをリクエストするには、サポートにお問い合わせください。

このパッチで対処される脆弱性

この脆弱性(CVE-2023-45288)により、攻撃者は Kubernetes コントロール プレーンで DoS 攻撃を実行できます。

GKE on AWS

説明 重大度

先ごろ、サービス拒否攻撃(DoS)の脆弱性(CVE-2023-45288)が HTTP/2 プロトコルの複数の実装で発見されました。これには、Kubernetes で使用されている GoLang HTTP サーバーも含まれます。この脆弱性により、Google Kubernetes Engine(GKE)コントロール プレーンの DoS が発生する可能性があります。

必要な対策

golang プロジェクトは 2024 年 4 月 3 日にパッチをリリースしました。これらのパッチが組み込まれた GKE on AWS バージョンが利用可能になり次第、このセキュリティ情報を更新します。早期のスケジュールでパッチをリクエストするには、サポートにお問い合わせください。

このパッチで対処される脆弱性

この脆弱性(CVE-2023-45288)により、攻撃者は Kubernetes コントロール プレーンで DoS 攻撃を実行できます。

GKE on Azure

説明 重大度

先ごろ、サービス拒否攻撃(DoS)の脆弱性(CVE-2023-45288)が HTTP/2 プロトコルの複数の実装で発見されました。これには、Kubernetes で使用されている GoLang HTTP サーバーも含まれます。この脆弱性により、Google Kubernetes Engine(GKE)コントロール プレーンの DoS が発生する可能性があります。

必要な対策

golang プロジェクトは 2024 年 4 月 3 日にパッチをリリースしました。これらのパッチが組み込まれた GKE on Azure のバージョンが利用可能になり次第、この公開情報を更新します。早期のスケジュールでパッチをリクエストするには、サポートにお問い合わせください。

このパッチで対処される脆弱性

この脆弱性(CVE-2023-45288)により、攻撃者は Kubernetes コントロール プレーンで DoS 攻撃を実行できます。

GKE on Bare Metal

更新日: 2024-07-09

説明 重大度

先ごろ、サービス拒否攻撃(DoS)の脆弱性(CVE-2023-45288)が HTTP/2 プロトコルの複数の実装で発見されました。これには、Kubernetes で使用されている GoLang HTTP サーバーも含まれます。この脆弱性により、Google Kubernetes Engine(GKE)コントロール プレーンの DoS が発生する可能性があります。

必要な対策

2024 年 7 月 9 日更新: GKE on Bare Metal のパッチ バージョンを追加しました。

次のバージョンの GKE on Bare Metal には、この脆弱性を修正するコードが含まれています。GKE on Bare Metal クラスタを次のバージョン以降にアップグレードします。

  • 1.29.100
  • 1.28.600
  • 1.16.9

golang プロジェクトは 2024 年 4 月 3 日にパッチをリリースしました。これらのパッチが組み込まれた GKE on Bare Metal のバージョンが利用可能になり次第、このセキュリティ情報を更新します。早期のスケジュールでパッチをリクエストするには、サポートにお問い合わせください。

このパッチで対処される脆弱性

この脆弱性(CVE-2023-45288)により、攻撃者は Kubernetes コントロール プレーンで DoS 攻撃を実行できます。

GCP-2024-018

公開日: 2024 年 3 月 12 日
更新日: 2024 年 5 月 6 日
参考情報: CVE-2024-1085

2024 年 5 月 6 日更新: GKE Ubuntu ノードプールのパッチ バージョンを追加し、2024 年 4 月 4 日の更新から余分な水平線要素を削除しました。

2024 年 4 月 4 日更新: GKE Container-Optimized OS ノードプールの最小バージョンを修正しました。

GKE

更新日: 2024 年 5 月 6 日

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-1085

GKE Standard クラスタが影響を受けます。デフォルト構成の GKE Autopilot クラスタは影響を受けませんが、seccomp Unconfined プロファイルを明示的に設定するか、CAP_NET_ADMIN を許可すると脆弱性が生じる可能性があります。

GKE Sandbox を使用するクラスタは影響を受けません。

必要な対策

2024 年 5 月 6 日更新: 次のバージョンの GKE が Ubuntu の脆弱性を修正するコードで更新されました。Ubuntu ノードプールを次のバージョン以降にアップグレードします。

  • 1.26.15-gke.1158000
  • 1.27.12-gke.1190000
  • 1.28.8-gke.1175000
  • 1.29.3-gke.1093000

2024 年 4 月 4 日更新: GKE Container-Optimized OS ノードプールの最小バージョンを修正しました。

前述の Container-Optimized OS の修正を含む GKE の最小バージョンが正しくありませんでした。次のバージョンの GKE は更新されており、Container-Optimized OS でこの脆弱性を修正するためのコードが追加されています。Container-Optimized OS ノードプールを次のバージョン以降にアップグレードしてください。

  • 1.25.16-gke.1520000
  • 1.26.13-gke.1221000
  • 1.27.10-gke.1243000
  • 1.28.8-gke.1083000
  • 1.29.3-gke.1054000

影響を受けるマイナー バージョンは次のとおりです。Container-Optimized OS ノードプールを次のいずれかのパッチ バージョン以降にアップグレードします。

  • 1.25.16-gke.1518000
  • 1.26.13-gke.1219000
  • 1.27.10-gke.1240000
  • 1.28.6-gke.1433000
  • 1.29.1-gke.1716000

クラスタが独自のリリース チャンネルで同じマイナー バージョンを実行している場合、新しいリリース チャンネルのパッチ バージョンを適用できます。この機能を使用すると、パッチ バージョンがリリース チャンネルのデフォルトになるまでノードを保護できます。詳細については、新しいチャンネルからのパッチ バージョンの実行をご覧ください。

GKE on VMware

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-1085

必要な対策

 保留

GKE on AWS

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-1085

必要な対策

 保留

GKE on Azure

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-1085

必要な対策

 保留

GKE on Bare Metal

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-1085

必要な対策

これは弊社の対応をパートナー様にご報告させていただくためにお知らせしているもので、GKE on Bare Metal は、ディストリビューションにオペレーティング システムがバンドルされていないため、影響を受けません。

 なし

GCP-2024-017

公開日: 2024 年 3 月 06 日
参考情報: CVE-2023-3611

GKE

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-3611

GKE Standard クラスタが影響を受けます。デフォルト構成の GKE Autopilot クラスタは影響を受けませんが、seccomp Unconfined プロファイルを明示的に設定するか、CAP_NET_ADMIN を許可すると脆弱性が生じる可能性があります。

GKE Sandbox を使用するクラスタは影響を受けません。

必要な対策

影響を受けるマイナー バージョンは次のとおりです。Container-Optimized OS ノードプールを次のいずれかのパッチ バージョン以降にアップグレードします。

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1021001
  • 1.27.3-gke.1001002

影響を受けるマイナー バージョンは次のとおりです。Ubuntu ノードプールを次のいずれかのパッチ バージョン以降にアップグレードします。

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1021001
  • 1.27.3-gke.1001002

クラスタが独自のリリース チャンネルで同じマイナー バージョンを実行している場合、新しいリリース チャンネルのパッチ バージョンを適用できます。この機能を使用すると、パッチ バージョンがリリース チャンネルのデフォルトになるまでノードを保護できます。詳細については、新しいチャンネルからのパッチ バージョンの実行をご覧ください。

GKE on VMware

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-3611

必要な対策

 保留

GKE on AWS

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-3611

必要な対策

 保留

GKE on Azure

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-3611

必要な対策

 保留

GKE on Bare Metal

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-3611

必要な対策

これは弊社の対応をパートナー様にご報告させていただくためにお知らせしているもので、GKE on Bare Metal は、ディストリビューションにオペレーティング システムがバンドルされていないため、影響を受けません。

 なし

GCP-2024-014

公開日: 2024 年 2 月 26 日
参考情報: CVE-2023-3776

GKE

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-3776

GKE Standard クラスタが影響を受けます。デフォルト構成の GKE Autopilot クラスタは影響を受けませんが、seccomp Unconfined プロファイルを明示的に設定するか、CAP_NET_ADMIN を許可すると脆弱性が生じる可能性があります。

GKE Sandbox を使用するクラスタは影響を受けません。

必要な対策

影響を受けるマイナー バージョンは次のとおりです。Container-Optimized OS ノードプールを次のいずれかのパッチ バージョン以降にアップグレードします。

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1014001
  • 1.27.3-gke.1001002
  • 1.28.0-gke.100

影響を受けるマイナー バージョンは次のとおりです。Ubuntu ノードプールを次のいずれかのパッチ バージョン以降にアップグレードします。

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1021001
  • 1.27.3-gke.1001002

クラスタが独自のリリース チャンネルで同じマイナー バージョンを実行している場合、新しいリリース チャンネルのパッチ バージョンを適用できます。この機能を使用すると、パッチ バージョンがリリース チャンネルのデフォルトになるまでノードを保護できます。詳細については、新しいチャンネルからのパッチ バージョンの実行をご覧ください。

GKE on VMware

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-3776

必要な対策

 保留

GKE on AWS

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-3776

必要な対策

 保留

GKE on Azure

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-3776

必要な対策

 保留

GKE on Bare Metal

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-3776

必要な対策

これは弊社の対応をパートナー様にご報告させていただくためにお知らせしているもので、GKE on Bare Metal は、ディストリビューションにオペレーティング システムがバンドルされていないため、影響を受けません。

 なし

GCP-2024-013

公開日: 2024 年 2 月 23 日
参考情報: CVE-2023-3610

GKE

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-3610

GKE Standard クラスタが影響を受けます。デフォルト構成の GKE Autopilot クラスタは影響を受けませんが、seccomp Unconfined プロファイルを明示的に設定するか、CAP_NET_ADMIN を許可すると脆弱性が生じる可能性があります。

GKE Sandbox を使用するクラスタは影響を受けません。

必要な対策

影響を受けるマイナー バージョンは次のとおりです。Container-Optimized OS ノードプールを次のいずれかのパッチ バージョン以降にアップグレードします。

  • 1.27.3-gke.1001002
  • 1.28.0-gke.100

影響を受けるマイナー バージョンは次のとおりです。Ubuntu ノードプールを次のいずれかのパッチ バージョン以降にアップグレードします。

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1021001
  • 1.27.3-gke.1001002

クラスタが独自のリリース チャンネルで同じマイナー バージョンを実行している場合、新しいリリース チャンネルのパッチ バージョンを適用できます。この機能を使用すると、パッチ バージョンがリリース チャンネルのデフォルトになるまでノードを保護できます。詳細については、新しいチャンネルからのパッチ バージョンの実行をご覧ください。

GKE on VMware

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-3610

必要な対策

 保留

GKE on AWS

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-3610

必要な対策

 保留

GKE on Azure

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-3610

必要な対策

 保留

GKE on Bare Metal

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-3610

必要な対策

これは弊社の対応をパートナー様にご報告させていただくためにお知らせしているもので、GKE on Bare Metal は、ディストリビューションにオペレーティング システムがバンドルされていないため、影響を受けません。

 なし

GCP-2024-012

公開日: 2024 年 2 月 20 日
参考情報: CVE-2024-0193

GKE

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-0193

GKE Standard クラスタが影響を受けます。デフォルト構成の GKE Autopilot クラスタは影響を受けませんが、seccomp Unconfined プロファイルを明示的に設定するか、CAP_NET_ADMIN を許可すると脆弱性が生じる可能性があります。

GKE Sandbox を使用するクラスタは影響を受けません。

必要な対策

影響を受けるマイナー バージョンは次のとおりです。Container-Optimized OS ノードプールを次のいずれかのパッチ バージョン以降にアップグレードします。

  • 1.27.10-gke.1149000
  • 1.28.6-gke.1274000
  • 1.29.1-gke.1388000

影響を受けるマイナー バージョンは次のとおりです。Ubuntu ノードプールを次のいずれかのパッチ バージョン以降にアップグレードします。

  • 1.25.16-gke.1412001
  • 1.26.6-gke.1017002
  • 1.27.10-gke.1055001
  • 1.28.6-gke.1276000
  • 1.29.1-gke.1392000

クラスタが独自のリリース チャンネルで同じマイナー バージョンを実行している場合、新しいリリース チャンネルのパッチ バージョンを適用できます。この機能を使用すると、パッチ バージョンがリリース チャンネルのデフォルトになるまでノードを保護できます。詳細については、新しいチャンネルからのパッチ バージョンの実行をご覧ください。

GKE on VMware

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-0193

必要な対策

 保留

GKE on AWS

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-0193

必要な対策

 保留

GKE on Azure

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-0193

必要な対策

 保留

GKE on Bare Metal

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-0193

必要な対策

これは弊社の対応をパートナー様にご報告させていただくためにお知らせしているもので、GKE on Bare Metal は、ディストリビューションにオペレーティング システムがバンドルされていないため、影響を受けません。

 なし

GCP-2024-011

公開日: 2024 年 2 月 15 日
参考情報: CVE-2023-6932

GKE

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-6932

GKE Standard クラスタが影響を受けます。デフォルト構成の GKE Autopilot クラスタは影響を受けませんが、seccomp Unconfined プロファイルを明示的に設定するか、CAP_NET_ADMIN を許可すると脆弱性が生じる可能性があります。

GKE Sandbox を使用するクラスタは影響を受けません。

必要な対策

影響を受けるマイナー バージョンは次のとおりです。Container-Optimized OS ノードプールを次のいずれかのパッチ バージョン以降にアップグレードします。

  • 1.24.17-gke.2364001
  • 1.25.16-gke.1229000
  • 1.26.6-gke.1017002
  • 1.27.3-gke.1001003
  • 1.28.5-gke.1194000
  • 1.29.0-gke.1340000

影響を受けるマイナー バージョンは次のとおりです。Ubuntu ノードプールを次のいずれかのパッチ バージョン以降にアップグレードします。

  • 1.25.16-gke.1412001
  • 1.26.6-gke.1017002
  • 1.27.10-gke.1055001
  • 1.28.6-gke.1276000
  • 1.29.1-gke.1221000

クラスタが独自のリリース チャンネルで同じマイナー バージョンを実行している場合、新しいリリース チャンネルのパッチ バージョンを適用できます。この機能を使用すると、パッチ バージョンがリリース チャンネルのデフォルトになるまでノードを保護できます。詳細については、新しいチャンネルからのパッチ バージョンの実行をご覧ください。

GKE on VMware

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-6932

必要な対策

 保留

GKE on AWS

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-6932

必要な対策

 保留

GKE on Azure

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-6932

必要な対策

 保留

GKE on Bare Metal

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-6932

必要な対策

これは弊社の対応をパートナー様にご報告させていただくためにお知らせしているもので、GKE on Bare Metal は、ディストリビューションにオペレーティング システムがバンドルされていないため、影響を受けません。

 なし

GCP-2024-010

公開日: 2024 年 2 月 14 日
更新日: 2024 年 4 月 17 日
参考情報: CVE-2023-6931

2024 年 4 月 17 日更新: GKE on VMware のパッチ バージョンを追加しました。

GKE

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-6931

GKE Standard クラスタが影響を受けます。デフォルト構成の GKE Autopilot クラスタは影響を受けませんが、seccomp Unconfined プロファイルを明示的に設定するか、CAP_NET_ADMIN を許可すると脆弱性が生じる可能性があります。

GKE Sandbox を使用するクラスタは影響を受けません。

必要な対策

影響を受けるマイナー バージョンは次のとおりです。Container-Optimized OS ノードプールを次のいずれかのパッチ バージョン以降にアップグレードします。

  • 1.24.17-gke.2364001
  • 1.25.16-gke.1229000
  • 1.26.6-gke.1017002
  • 1.27.3-gke.1001003
  • 1.28.5-gke.1194000
  • 1.29.0-gke.1340000

影響を受けるマイナー バージョンは次のとおりです。Ubuntu ノードプールを次のいずれかのパッチ バージョン以降にアップグレードします。

  • 1.25.16-gke.1412001
  • 1.26.6-gke.1017002
  • 1.27.10-gke.1055001
  • 1.28.6-gke.1276000
  • 1.29.1-gke.1221000

クラスタが独自のリリース チャンネルで同じマイナー バージョンを実行している場合、新しいリリース チャンネルのパッチ バージョンを適用できます。この機能を使用すると、パッチ バージョンがリリース チャンネルのデフォルトになるまでノードを保護できます。詳細については、新しいチャンネルからのパッチ バージョンの実行をご覧ください。

GKE on VMware

更新日: 2024 年 4 月 17 日

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-6931

必要な対策

2024 年 4 月 17 日更新: GKE on VMware のパッチ バージョンを追加しました。

以下のバージョンの GKE on VMware は更新されており、この脆弱性を修正するためのコードが追加されています。クラスタを次のバージョン以降にアップグレードしてください。

  • 1.28.200
  • 1.16.6
  • 1.15.10

 保留

GKE on AWS

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-6931

必要な対策

 保留

GKE on Azure

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-6931

必要な対策

 保留

GKE on Bare Metal

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-6931

必要な対策

これは弊社の対応をパートナー様にご報告させていただくためにお知らせしているもので、GKE on Bare Metal は、ディストリビューションにオペレーティング システムがバンドルされていないため、影響を受けません。

 なし

GCP-2024-008

公開日: 2024 年 2 月 12 日
参考情報: CVE-2023-5528

GKE

説明 重大度

CVE-2023-5528 により、攻撃者は Windows ノードで Pod と永続ボリュームを作成し、それらのノードで管理者権限昇格を実行できるようになります。

Windows Server ノードを実行し、インツリー ストレージ プラグインを使用している GKE Standard クラスタは影響を受ける可能性があります。

GKE Sandbox を使用する GKE Autopilot クラスタと GKE ノードプールは、Windows Server ノードをサポートしていないため、影響を受けません。

必要な対策

クラスタで Windows Server ノードが使用されているかどうかを確認します。

kubectl get nodes -l kubernetes.io/os=windows

監査ログで悪用の証拠を確認します。Kubernetes 監査ログを監査して、この脆弱性が悪用されているかどうかを確認できます。特殊文字を含むローカルパス フィールドによる永続ボリューム作成イベントは、悪用の可能性が高いです。

GKE クラスタとノードプールをパッチ適用済みバージョンに更新します。次のバージョンの GKE は更新されており、この脆弱性が修正されています。ノードの自動アップグレードが有効になっている場合でも、クラスタと Windows Server ノードプールを次のいずれかの GKE バージョンに手動でアップグレードすることをおすすめします。

  • 1.24.17-gke.6100
  • 1.25.15-gke.2000
  • 1.26.10-gke.2000
  • 1.27.7-gke.2000
  • 1.28.3-gke.1600

クラスタが独自のリリース チャンネルで同じマイナー バージョンを実行している場合、新しいリリース チャンネルのパッチ バージョンを適用できます。この機能を使用すると、パッチ バージョンがリリース チャンネルのデフォルトになるまでノードを保護できます。詳細については、新しいチャンネルからのパッチ バージョンの実行をご覧ください。

このパッチで対処される脆弱性

CVE-2023-5528 により、攻撃者は Windows ノードで Pod と永続ボリュームを作成し、それらのノードで管理者権限昇格を実行できるようになります。

GKE on VMware

説明 重大度

CVE-2023-5528 により、攻撃者は Windows ノードで Pod と永続ボリュームを作成し、それらのノードで管理者権限昇格を実行できるようになります。

Windows Server ノードを実行し、インツリー ストレージ プラグインを使用する GKE on VMware クラスタが影響を受ける可能性があります。

必要な対策

クラスタで Windows Server ノードが使用されているかどうかを確認します。

kubectl get nodes -l kubernetes.io/os=windows

監査ログで悪用の証拠を確認します。Kubernetes 監査ログを監査して、この脆弱性が悪用されているかどうかを確認できます。特殊文字を含むローカルパス フィールドによる永続ボリューム作成イベントは、悪用の可能性が高いです。

GKE on VMware クラスタとノードプールをパッチ適用済みバージョンに更新します。以下のバージョンの GKE on VMware は更新されており、この脆弱性が修正されています。ノードの自動アップグレードが有効になっている場合でも、クラスタと Windows Server ノードプールを次のいずれかの GKE on VMware バージョンに手動でアップグレードすることをおすすめします。

  • 1.28.100-gke.131
  • 1.16.5-gke.28
  • 1.15.8-gke.41

このパッチで対処される脆弱性

CVE-2023-5528 により、攻撃者は Windows ノードで Pod と永続ボリュームを作成し、それらのノードで管理者権限昇格を実行できるようになります。

GKE on AWS

説明 重大度

CVE-2023-5528 により、攻撃者は Windows ノードで Pod と永続ボリュームを作成し、それらのノードで管理者権限昇格を実行できるようになります。

GKE on AWS クラスタは影響を受けません。

必要な対策

対応は不要です

 なし

GKE on Azure

説明 重大度

CVE-2023-5528 により、攻撃者は Windows ノードで Pod と永続ボリュームを作成し、それらのノードで管理者権限昇格を実行できるようになります。

GKE on Azure クラスタは影響を受けません。

必要な対策

対応は不要です

 なし

GKE on Bare Metal

説明 重大度

CVE-2023-5528 により、攻撃者は Windows ノードで Pod と永続ボリュームを作成し、それらのノードで管理者権限昇格を実行できるようになります。

GKE on Bare Metal クラスタは影響を受けません。

必要な対策

対応は不要です

 なし

GCP-2024-005

公開日: 2024 年 1 月 31 日
更新日: 2024 年 5 月 6 日
参考情報: CVE-2024-21626

2024 年 5 月 6 更新日: GKE on AWS と GKE on Azure のパッチ バージョンを追加しました。
2024 年 4 月 2 日更新: GKE on Bare Metal のパッチ バージョンを追加しました。
2024 年 3 月 6 日更新: GKE on VMware のパッチ バージョンを追加しました。
2024 年 2 月 28 日更新: Ubuntu のパッチ バージョンを追加しました。
2024 年 2 月 15 日更新: 2024 年 2 月 14 日更新の 1.25 および 1.26 Ubuntu パッチ バージョンでは、異常なノードが発生する可能性あります。
2024 年 2 月 14 日更新: Ubuntu のパッチ バージョンを追加しました。
2024 年 2 月 6 日更新: Container-Optimized OS のパッチ バージョンを追加しました。

GKE

更新日時: 2024年3月6日

説明 重大度

セキュリティ上の脆弱性 CVE-2024-21626 が runc で発見されました。この脆弱性により、Container-Optimized OS ノードと Ubuntu ノードで Pod を作成する権限を持つユーザーが、ノードのファイルシステムへの完全アクセス権を取得できる可能性があります。

GKE Standard クラスタと Autopilot クラスタが影響を受けます。

GKE Sandbox を使用するクラスタは影響を受けません。

必要な対策

2024 年 2 月 28 日更新: 次のバージョンの GKE が Ubuntu の脆弱性を修正するコードで更新されました。Ubuntu ノードプールを次のいずれかのパッチ バージョン以降にアップグレードします。

  • 1.25.16-gke.1537000
  • 1.26.14-gke.1006000

2024 年 2 月 15 日更新: 問題により、2024 年 2 月 14 日の更新で提供された次の Ubuntu パッチ バージョンが原因で、ノードが異常な状態になる可能性があります。次のパッチ バージョンにアップグレードしないでください。Ubuntu の新しいパッチ バージョンが 1.25 と 1.26 で利用可能になったら、このセキュリティ情報を更新します。

  • 1.25.16-gke.1497000
  • 1.26.13-gke.1189000

これらのパッチ バージョンのいずれかにすでにアップグレードしている場合は、リリース チャンネルの以前のバージョンにノードプールを手動でダウングレードします。

2024 年 2 月 14 日更新: 次のバージョンの GKE が Ubuntu の脆弱性を修正するコードで更新されました。Ubuntu ノードプールを次のいずれかのパッチ バージョン以降にアップグレードします。

  • 1.25.16-gke.1497000
  • 1.26.13-gke.1189000
  • 1.27.10-gke.1207000
  • 1.28.6-gke.1369000
  • 1.29.1-gke.1575000

2024 年 2 月 6 日更新: 次のバージョンの GKE が Container-Optimized OS の脆弱性を修正するコードで更新されました。セキュリティ上の理由から、ノードの自動アップグレードが有効になっている場合でも、クラスタと Container-Optimized OS ノードプールを次のいずれかの GKE バージョン以降に手動でアップグレードすることをおすすめします。

  • 1.25.16-gke.1460000
  • 1.26.13-gke.1144000
  • 1.27.10-gke.1152000
  • 1.28.6-gke.1289000
  • 1.29.1-gke.1425000

クラスタが独自のリリース チャンネルで同じマイナー バージョンを実行している場合、新しいリリース チャンネルのパッチ バージョンを適用できます。この機能を使用すると、パッチ バージョンがリリース チャンネルのデフォルトになるまでノードを保護できます。詳細については、新しいチャンネルからのパッチ バージョンの実行をご覧ください。

この脆弱性を修正するコードで GKE を更新しています。パッチ バージョンが公開されたら、このセキュリティ情報を更新する予定です。

このパッチで対処される脆弱性

runc は、Kubernetes Pod で使用される Linux コンテナのスポーンと実行を行う低レベルのツールです。このセキュリティ バグ修正情報でリリースされたパッチより前の runc バージョンでは、コンテナ内で実行される runc init プロセスに複数のファイル記述子が誤って漏洩していました。また、runc は、コンテナの最終的な作業ディレクトリがコンテナのマウント Namespace 内にあることを確認していませんでした。悪意のあるコンテナ イメージや、任意のポッドを実行する権限を持つユーザーが、漏洩したファイル記述子と作業ディレクトリ検証の組み合わせを使用して、ノードのホスト マウント名前空間にアクセスし、ホスト全体にアクセスする可能性があり、ファイルシステムを使用してノード上の任意のバイナリを上書きします。

GKE on VMware

更新日時: 2024年3月6日

説明 重大度

セキュリティ上の脆弱性 CVE-2024-21626 が runc で発見されました。この脆弱性により、Container-Optimized OS ノードと Ubuntu ノードで Pod を作成する権限を持つユーザーが、ノードのファイルシステムへの完全アクセス権を取得できる可能性があります。

必要な対策

2024 年 3 月 6 日更新: 次のバージョンの GKE on VMware は、この脆弱性を修正するコードで更新されています。クラスタを次のバージョン以降にアップグレードしてください。

  • 1.28.200
  • 1.16.6
  • 1.15.9

GKE on VMware のパッチ バージョンと重大度の評価が進行中です。情報が入手できましたら、このセキュリティ情報に更新して通知いたします。

このパッチで対処される脆弱性

runc は、Kubernetes Pod で使用される Linux コンテナのスポーンと実行を行う低レベルのツールです。このセキュリティ バグ修正情報でリリースされたパッチより前の runc バージョンでは、複数のファイル記述子がコンテナ内で実行される runc init プロセスに誤って漏洩していました。また、runc は、コンテナの最終的な作業ディレクトリがコンテナのマウント Namespace 内にあることを確認していませんでした。悪意のあるコンテナ イメージや、任意のポッドを実行する権限を持つユーザーが、漏洩したファイル記述子と作業ディレクトリ検証の組み合わせを使用して、ノードのホスト マウント名前空間にアクセスし、ホスト全体にアクセスする可能性があり、ファイルシステムを使用してノード上の任意のバイナリを上書きします。

GKE on AWS

更新日: 2024 年 5 月 6 日

説明 重大度

セキュリティ上の脆弱性 CVE-2024-21626 が runc で発見されました。この脆弱性により、Container-Optimized OS ノードと Ubuntu ノードで Pod を作成する権限を持つユーザーが、ノードのファイルシステムへの完全アクセス権を取得できる可能性があります。

必要な対策

2024 年 5 月 6 日更新: 次のバージョンの GKE on AWS が CVE-2024-21626 のパッチで更新されました。

  • 1.28.5-gke.1200
  • 1.27.10-gke.500
  • 1.26.13-gke.400

GKE on AWS のパッチ バージョンと重大度の評価は進行中です。情報が入手できましたら、このセキュリティ情報に更新して通知いたします。

このパッチで対処される脆弱性

runc は、Kubernetes Pod で使用される Linux コンテナのスポーンと実行を行う低レベルのツールです。このセキュリティ バグ修正情報でリリースされたパッチより前の runc バージョンでは、複数のファイル記述子がコンテナ内で実行される runc init プロセスに誤って漏洩していました。また、runc は、コンテナの最終的な作業ディレクトリがコンテナのマウント Namespace 内にあることを確認していませんでした。悪意のあるコンテナ イメージや、任意のポッドを実行する権限を持つユーザーが、漏洩したファイル記述子と作業ディレクトリ検証の組み合わせを使用して、ノードのホスト マウント名前空間にアクセスし、ホスト全体にアクセスする可能性があり、ファイルシステムを使用してノード上の任意のバイナリを上書きします。

GKE on Azure

更新日: 2024 年 5 月 6 日

説明 重大度

セキュリティ上の脆弱性 CVE-2024-21626 が runc で発見されました。この脆弱性により、Container-Optimized OS ノードと Ubuntu ノードで Pod を作成する権限を持つユーザーが、ノードのファイルシステムへの完全アクセス権を取得できる可能性があります。

必要な対策

2024 年 5 月 6 日更新: 次のバージョンの GKE on Azure が CVE-2024-21626 のパッチで更新されました。

  • 1.28.5-gke.1200
  • 1.27.10-gke.500
  • 1.26.13-gke.400

GKE on Azure のパッチ バージョンと重大度の評価は進行中です。情報が入手できましたら、このセキュリティ情報に更新して通知いたします。

このパッチで対処される脆弱性

runc は、Kubernetes Pod で使用される Linux コンテナのスポーンと実行を行う低レベルのツールです。このセキュリティ バグ修正情報でリリースされたパッチより前の runc バージョンでは、複数のファイル記述子がコンテナ内で実行される runc init プロセスに誤って漏洩していました。また、runc は、コンテナの最終的な作業ディレクトリがコンテナのマウント Namespace 内にあることを確認していませんでした。悪意のあるコンテナ イメージや、任意のポッドを実行する権限を持つユーザーが、漏洩したファイル記述子と作業ディレクトリ検証の組み合わせを使用して、ノードのホスト マウント名前空間にアクセスし、ホスト全体にアクセスする可能性があり、ファイルシステムを使用してノード上の任意のバイナリを上書きします。

GKE on Bare Metal

更新日: 2024 年 4 月 2 日

説明 重大度

セキュリティ上の脆弱性 CVE-2024-21626 が runc で発見されました。この脆弱性により、Pod を作成する権限を持つユーザーが、ノードのファイルシステムへの完全アクセス権を取得できる可能性があります。

必要な対策

2024 年 4 月 2 日更新: 次のバージョンの GKE on Bare Metal は、この脆弱性を修正するコードで更新されています。クラスタを次のバージョン以降にアップグレードしてください。

  • 1.28.200-gke.118
  • 1.16.6
  • 1.15.10

GKE on Bare Metal のパッチ バージョンと重大度の評価が進行中です。情報が入手できましたら、このセキュリティ情報に更新して通知いたします。

このパッチで対処される脆弱性

runc は、Kubernetes Pod で使用される Linux コンテナのスポーンと実行を行う低レベルのツールです。このセキュリティ バグ修正情報でリリースされたパッチより前の runc バージョンでは、複数のファイル記述子がコンテナ内で実行される runc init プロセスに誤って漏洩していました。また、runc は、コンテナの最終的な作業ディレクトリがコンテナのマウント Namespace 内にあることを確認していませんでした。悪意のあるコンテナ イメージや、任意のポッドを実行する権限を持つユーザーが、漏洩したファイル記述子と作業ディレクトリ検証の組み合わせを使用して、ノードのホスト マウント名前空間にアクセスし、ホスト全体にアクセスする可能性があり、ファイルシステムを使用してノード上の任意のバイナリを上書きします。

GCP-2024-004

公開日: 2024 年 1 月 24 日
更新日: 2024 年 2 月 7 日
参考情報: CVE-2023-6817

2024 年 2 月 7 日更新: Ubuntu のパッチ バージョンを追加しました。

GKE

更新日時: 2024年2月7日

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-6817

GKE Standard クラスタが影響を受けます。デフォルト構成の GKE Autopilot クラスタは影響を受けませんが、seccomp Unconfined プロファイルを明示的に設定するか、CAP_NET_ADMIN を許可すると脆弱性が生じる可能性があります。

GKE Sandbox を使用するクラスタは影響を受けません。

必要な対策

2024 年 2 月 7 日更新: 次のマイナー バージョンが影響を受けます。 Ubuntu ノードプールを次のいずれかのパッチ バージョン以降にアップグレードします。

  • 1.25.16-gke.1458000
  • 1.26.13-gke.1143000
  • 1.27.10-gke.1152000
  • 1.28.6-gke.1276000
  • 1.29.1-gke.1221000

影響を受けるマイナー バージョンは次のとおりです。Container-Optimized OS ノードプールを次のいずれかのパッチ バージョン以降にアップグレードします。

  • 1.25.16-gke.1229000
  • 1.26.12-gke.1087000
  • 1.27.3-gke.1001003
  • 1.28.5-gke.1194000
  • 1.29.0-gke.1340000

クラスタが独自のリリース チャンネルで同じマイナー バージョンを実行している場合、新しいリリース チャンネルのパッチ バージョンを適用できます。この機能を使用すると、パッチ バージョンがリリース チャンネルのデフォルトになるまでノードを保護できます。詳細については、新しいチャンネルからのパッチ バージョンの実行をご覧ください。

GKE on VMware

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-6817

必要な対策

 保留

GKE on AWS

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-6817

必要な対策

 保留

GKE on Azure

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-6817

必要な対策

 保留

GKE on Bare Metal

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-6817

必要な対策

これは弊社の対応をパートナー様にご報告させていただくためにお知らせしているもので、GKE on Bare Metal は、ディストリビューションにオペレーティング システムがバンドルされていないため、影響を受けません。

 なし

GCP-2024-003

公開日: 2024 年 1 月 19 日
更新日時: 2024 年 1 月 26 日
2024 年 1 月 26 日更新: 影響を受けたクラスタの数と、影響を軽減するために Google が行ったアクションを明確にしました。

GKE

更新日時: 2024 年 1 月 26 日

説明 重大度

2024 年 1 月 26 日更新: system:authenticated グループに関連するお客様作成の構成ミスがある GKE クラスタが少数見つかったセキュリティ調査が公開されました。研究者のブログ投稿では、バインディングの構成が間違っているクラスタが 1,300 個、高い権限を持つクラスタが 108 個あると報告されています。Google は、影響を受けたお客様と緊密に連携し、お客様に通知し、構成ミスのあるバインディングの削除をサポートしてきました。

ユーザーが Google アカウントを持つすべてのユーザーが含まれる system:authenticated グループにユーザーが Kubernetes 権限を付与しているクラスタをいくつか特定しました。これらのタイプのバインディングは、最小権限の原則に違反し、大規模なユーザー グループにアクセスを許可するため、推奨されません。これらのタイプのバインディングを見つける方法については、必要な対策のガイダンスをご覧ください。

最近、セキュリティ研究者が Google の脆弱性報告プログラムを通じて、RBAC の構成ミスのあるクラスタの検出結果を報告しました。

Google の認証アプローチでは、複雑な構成手順を踏まなくても、 Google Cloud と GKE の認証を可能な限りシンプルかつ安全に行うことができます。 認証は、ユーザーが誰であるかを伝えるだけであり、認可はアクセス付与を決定する場所です。したがって、Google の ID プロバイダを通じて認証されたすべてのユーザーを含む GKE の system:authenticated グループは意図したとおりに動作し、IAM allAuthenticatedUsers 識別子と同じように機能します。

Google ではこれらのことを念頭に置いて、ユーザーが Kubernetes の組み込みユーザーおよびグループで認可エラーを起こすリスクを軽減するために、system:anonymoussystem:authenticatedsystem:unauthenticated などのいくつかの手順を実行しました。これらのユーザー / グループはすべて、権限が付与されている場合にクラスタに対するリスクとなります。2023 年 11 月に開催された Kubecon では、RBAC の構成ミスを狙った攻撃者のアクティビティの一部と、利用可能な防御策について議論しました。

これらのシステム ユーザー/グループでの偶発的な認証エラーからユーザーを保護するために、Google では以下の対策を講じました。

  • GKE バージョン 1.28 では、高い権限を持つ ClusterRole cluster-admin からユーザー system:anonymous、グループ system:authenticated、またはグループ system:unauthenticated への新しいバインディングがデフォルトでブロックされました
  • Event Threat Detection(GKE_CONTROL_PLANE_CREATE_SENSITIVE_BINDING)に、Security Command Center の一部として検出ルールを組み込みました。
  • K8sRestrictRoleBindings を使用して、構成可能な防止ルールを Policy Controller に組み込みました。
  • これらのユーザーまたはグループへのバインディングを含むメール通知を、すべての GKE ユーザーに送信し、構成の確認を依頼しました。
  • ネットワーク認証機能を組み込み、最前線の防御層としてクラスタへのネットワーク アクセスを制限するための推奨事項を作成しました
  • 2023 年 11 月の Kubecon での講演を通じて、この問題に関する認識を高めました。

承認済みネットワークの制限を適用するクラスタには、最初の防御レイヤがあります。インターネットから直接攻撃されることはありません。ただし、多層防御とネットワーク制御のエラーを防ぐため、これらのバインディングを削除することをおすすめします。
Kubernetes システム ユーザーまたはグループへのバインディングが意図的に使用されるケースが数多くあることに注意してください(例: kubeadm ブートストラッピングRancher ダッシュボードBitnami で保護されたシークレットなど)。これらのバインディングが意図したとおりに機能することは各ソフトウェア ベンダーに確認済みです。

Google は、これらのシステム ユーザー/グループによるユーザー RBAC の構成ミスを防止および検出することで、さらに保護する方法を調査しています。

必要な対策

ユーザー system:anonymous、グループ system:authenticated、グループ system:unauthenticated への cluster-admin新しいバインディングを防ぐために、ユーザーが GKE v1.28 以降(リリースノート)にアップグレードすると、これらのバインディングの作成はブロックされます。

既存のバインディングは、こちらのガイダンスに沿って確認する必要があります。

GKE on VMware

現時点で更新はありません。

GKE on AWS

現時点で更新はありません。

GKE on Azure

現時点で更新はありません。

GKE on Bare Metal

現時点で更新はありません。

GCP-2024-002

公開日: 2024 年 1 月 17 日
更新日: 2024 年 2 月 20 日
参考情報: CVE-2023-6111

2024 年 2 月 20 日更新: GKE on VMware のパッチ バージョンを追加しました。

GKE

説明 重大度

Linux カーネルで、Container-Optimized OS ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-6111

GKE Standard クラスタが影響を受けます。デフォルト構成の GKE Autopilot クラスタは影響を受けませんが、seccomp Unconfined プロファイルを明示的に設定するか、CAP_NET_ADMIN を許可すると脆弱性が生じる可能性があります。

GKE Sandbox を使用するクラスタは影響を受けません。

必要な対策

影響を受けるマイナー バージョンは次のとおりです。Container-Optimized OS ノードプールを次のいずれかのパッチ バージョン以降にアップグレードします。

  • 1.27.7-gke.1063001
  • 1.28.5-gke.1194000
  • 1.29.0-gke.1340000

クラスタが独自のリリース チャンネルで同じマイナー バージョンを実行している場合、新しいリリース チャンネルのパッチ バージョンを適用できます。この機能を使用すると、パッチ バージョンがリリース チャンネルのデフォルトになるまでノードを保護できます。詳細については、新しいチャンネルからのパッチ バージョンの実行をご覧ください。

GKE on VMware

更新日時: 2024年2月20日

説明 重大度

Linux カーネルで、Container-Optimized OS ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-6111

必要な対策

2024 年 2 月 20 日更新: 次のバージョンの GKE on VMware は、この脆弱性を修正するコードで更新されています。クラスタを次のバージョン以降にアップグレードしてくださいr: 1.28.100

 保留

GKE on AWS

説明 重大度

Linux カーネルで、Container-Optimized OS ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-6111

必要な対策

 保留

GKE on Azure

説明 重大度

Linux カーネルで、Container-Optimized OS ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-6111

必要な対策

 保留

GKE on Bare Metal

説明 重大度

Linux カーネルで、Container-Optimized OS ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-6111

必要な対策

これは弊社の対応をパートナー様にご報告させていただくためにお知らせしているもので、GKE on Bare Metal は、ディストリビューションにオペレーティング システムがバンドルされていないため、影響を受けません。

 なし

GCP-2023-051

公開日: 2023 年 12 月 28 日
参考情報: CVE-2023-3609

GKE

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-3609

GKE Standard クラスタが影響を受けます。デフォルト構成の GKE Autopilot クラスタは影響を受けませんが、seccomp Unconfined プロファイルを明示的に設定するか、CAP_NET_ADMIN を許可すると脆弱性が生じる可能性があります。

GKE Sandbox を使用するクラスタは影響を受けません。

必要な対策

影響を受けるマイナー バージョンは次のとおりです。Container-Optimized OS ノードプールを次のいずれかのパッチ バージョン以降にアップグレードします。

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1014001
  • 1.27.3-gke.1001002
  • 1.28.0-gke.100

影響を受けるマイナー バージョンは次のとおりです。Ubuntu ノードプールを次のいずれかのパッチ バージョン以降にアップグレードします。

  • 1.24.14-gke.1027001
  • 1.26.5-gke.1021001
  • 1.27.3-gke.1001002

クラスタが独自のリリース チャンネルで同じマイナー バージョンを実行している場合、新しいリリース チャンネルのパッチ バージョンを適用できます。この機能を使用すると、パッチ バージョンがリリース チャンネルのデフォルトになるまでノードを保護できます。詳細については、新しいチャンネルからのパッチ バージョンの実行をご覧ください。

GKE on VMware

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-3609

必要な対策

 保留

GKE on AWS

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-3609

必要な対策

 保留

GKE on Azure

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-3609

必要な対策

 保留

GKE on Bare Metal

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-3609

必要な対策

これは弊社の対応をパートナー様にご報告させていただくためにお知らせしているもので、GKE on Bare Metal は、ディストリビューションにオペレーティング システムがバンドルされていないため、影響を受けません。

 なし

GCP-2023-050

公開日: 2023 年 12 月 27 日
参考情報: CVE-2023-3389

GKE

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-3389

GKE Standard クラスタと Autopilot クラスタが影響を受けます。

GKE Sandbox を使用するクラスタは影響を受けません。

必要な対策

影響を受けるマイナー バージョンは次のとおりです。Container-Optimized OS ノードプールを次のいずれかのパッチ バージョン以降にアップグレードします。

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1014001
  • 1.27.3-gke.1001002
  • 1.28.0-gke.100

影響を受けるマイナー バージョンは次のとおりです。Ubuntu ノードプールを次のいずれかのパッチ バージョン以降にアップグレードします。

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1014001
  • 1.27.3-gke.1001002
  • 1.28.1-gke.1002003

クラスタが独自のリリース チャンネルで同じマイナー バージョンを実行している場合、新しいリリース チャンネルのパッチ バージョンを適用できます。この機能を使用すると、パッチ バージョンがリリース チャンネルのデフォルトになるまでノードを保護できます。詳細については、新しいチャンネルからのパッチ バージョンの実行をご覧ください。

GKE on VMware

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-3389

必要な対策

 保留

GKE on AWS

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-3389

必要な対策

 保留

GKE on Azure

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-3389

必要な対策

 保留

GKE on Bare Metal

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-3389

必要な対策

これは弊社の対応をパートナー様にご報告させていただくためにお知らせしているもので、GKE on Bare Metal は、ディストリビューションにオペレーティング システムがバンドルされていないため、影響を受けません。

 なし

GCP-2023-049

公開日: 2023 年 12 月 20 日
参考情報: CVE-2023-3090

GKE

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-3090

GKE Standard クラスタが影響を受けます。デフォルト構成の GKE Autopilot クラスタは影響を受けませんが、seccomp Unconfined プロファイルを明示的に設定するか、CAP_NET_ADMIN を許可すると脆弱性が生じる可能性があります。

GKE Sandbox を使用するクラスタは影響を受けません。

必要な対策

影響を受けるマイナー バージョンは次のとおりです。Container-Optimized OS ノードプールを次のいずれかのパッチ バージョン以降にアップグレードします。

  • 1.24.14-gke.1027001
  • 1.25.12-gke.900
  • 1.26.5-gke.1014001
  • 1.27.4-gke.400
  • 1.28.0-gke.100

影響を受けるマイナー バージョンは次のとおりです。Ubuntu ノードプールを次のいずれかのパッチ バージョン以降にアップグレードします。

  • 1.24.14-gke.1027001
  • 1.25.12-gke.900
  • 1.26.5-gke.1014001
  • 1.27.4-gke.900
  • 1.28.1-gke.1050000

クラスタが独自のリリース チャンネルで同じマイナー バージョンを実行している場合、新しいリリース チャンネルのパッチ バージョンを適用できます。この機能を使用すると、パッチ バージョンがリリース チャンネルのデフォルトになるまでノードを保護できます。詳細については、新しいチャンネルからのパッチ バージョンの実行をご覧ください。

GKE on VMware

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-3090

必要な対策

 保留

GKE on AWS

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-3090

必要な対策

 保留

GKE on Azure

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-3090

必要な対策

 保留

GKE on Bare Metal

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-3090

必要な対策

これは弊社の対応をパートナー様にご報告させていただくためにお知らせしているもので、GKE on Bare Metal は、ディストリビューションにオペレーティング システムがバンドルされていないため、影響を受けません。

 なし

GCP-2023-048

公開日: 2023 年 12 月 15 日
更新日: 2023 年 12 月 21 日
参考情報: CVE-2023-3390

2023 年 12 月 21 日更新: デフォルト構成の GKE Autopilot クラスタは影響を受けないことを明記しました。

GKE

更新日: 2023 年 12 月 21 日

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-3390

2023 年 12 月 21 日更新: 元の情報では、Autopilot クラスタについて影響があるとしていましたが、これは正しくありません。デフォルト構成の GKE Autopilot クラスタは影響を受けませんが、seccomp による制限なしプロファイルを明示的に設定するか、CAP_NET_ADMIN を許可した場合、脆弱性が生じる可能性があります。

GKE Standard クラスタと Autopilot クラスタが影響を受けます。

GKE Sandbox を使用するクラスタは影響を受けません。

必要な対策

影響を受けるマイナー バージョンは次のとおりです。Container-Optimized OS ノードプールを次のいずれかのパッチ バージョン以降にアップグレードします。

  • 1.27.4-gke.400
  • 1.28.0-gke.100

影響を受けるマイナー バージョンは次のとおりです。Ubuntu ノードプールを次のいずれかのパッチ バージョン以降にアップグレードします。

  • 1.24.14-gke.1027001
  • 1.25.12-gke.900
  • 1.26.5-gke.1014001
  • 1.27.4-gke.900
  • 1.28.1-gke.1050000

クラスタが独自のリリース チャンネルで同じマイナー バージョンを実行している場合、新しいリリース チャンネルのパッチ バージョンを適用できます。この機能を使用すると、パッチ バージョンがリリース チャンネルのデフォルトになるまでノードを保護できます。詳細については、新しいチャンネルからのパッチ バージョンの実行をご覧ください。

GKE on VMware

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-3390

必要な対策

 保留

GKE on AWS

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-3390

必要な対策

 保留

GKE on Azure

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-3390

必要な対策

 保留

GKE on Bare Metal

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-3390

必要な対策

これは弊社の対応をパートナー様にご報告させていただくためにお知らせしているもので、GKE on Bare Metal は、ディストリビューションにオペレーティング システムがバンドルされていないため、影響を受けません。

 なし

GCP-2023-047

公開: 2023-12-14

GKE

説明 重大度

Fluent Bit ロギング コンテナを侵害した攻撃者によって、そのアクセス権を Cloud Service Mesh で必要な高い権限(権限を有効にしたクラスタにおいて)と組み合わせ、クラスタ内の権限を昇格させられる危険性が見つかりました。Fluent Bit と Cloud Service Mesh の問題は軽減され、修正が含まれるようになりました。これらの脆弱性は、GKE 自体では悪用できず、最初の侵害が必要です。Google では、これらの脆弱性が悪用されたことは認識していません。

これらの問題は、脆弱性報奨金プログラムを通じて報告されました。

必要な対策

次のバージョンの GKE は更新されており、Fluent Bit の脆弱性を修正するコードが追加されています。また、マネージド Cloud Service Mesh のユーザー向けに更新されました。セキュリティ上の理由から、ノードの自動アップグレードが有効になっている場合でも、クラスタとノードプールを次のいずれかの GKE バージョン以降に手動でアップグレードすることをおすすめします。

  • 1.25.16-gke.1020000
  • 1.26.10-gke.1235000
  • 1.27.7-gke.1293000
  • 1.28.4-gke.1083000

リリース チャンネルの新しい機能を使用すると、チャンネルの登録を解除することなくパッチを適用できます。これにより、新しいバージョンがリリース チャンネル固有のデフォルトになるまで、ノードを保護できます。

クラスタでクラスタ内 Cloud Service Mesh を使用する場合は、次のバージョン(リリースノート)のいずれかに手動でアップグレードする必要があります。

  • 1.17.8-asm.8
  • 1.18.6-asm.2
  • 1.19.5-asm.4

このパッチで対処される脆弱性

この情報で対処される脆弱性では、攻撃者は Fluent Bit ロギング コンテナを不正使用する必要があります。Google は、この権限昇格の前提条件となる Fluent Bit の既存の脆弱性を認識していません。今後、完全な攻撃チェーンを防ぐための堅牢策として、これらの脆弱性にパッチを適用しました。

GKE は Fluent Bit を使用して、クラスタで実行中のワークロードのログを処理します。GKE 上の Fluent Bit は、Cloud Run ワークロードのログを収集するように構成されています。これらのログを収集するように構成されたボリューム マウントにより、Fluent Bit はノードで実行されている他の Pod の Kubernetes サービス アカウント トークンにアクセスできるようになりました。調査担当者は、このアクセス権を使用して、Cloud Service Mesh が有効になっているクラスタの、高い権限を持つサービス アカウント トークンを検出しました。

Cloud Service Mesh では、Pod の作成と削除などのクラスタの構成に必要な変更を行うために、高い権限が必要でした。調査担当者は、Cloud Service Mesh の特権 Kubernetes サービス アカウント トークンを使用して、クラスタ管理者権限を持つ新しい Pod を作成し、最初に不正使用された権限をエスカレーションしました。

Fluent Bit のサービス アカウント トークンへのアクセス権を削除し、Cloud Service Mesh の機能を再設計して、過剰な権限を削除しました。

GKE on VMware

説明 重大度

Cloud Service Mesh を使用する GKE on VMware クラスタのみが影響を受けます。

必要な対策

クラスタでクラスタ内 Cloud Service Mesh を使用する場合は、次のいずれかのバージョン(リリースノート)に手動でアップグレードする必要があります。

  • 1.17.8-asm.8
  • 1.18.6-asm.2
  • 1.19.5-asm.4

このパッチで対処される脆弱性

この情報で対処される脆弱性では、攻撃者は最初にコンテナを不正使用するかコンテナから抜け出すか、クラスタノードに root を持つ必要があります。Google は、この権限昇格の前提条件となる既存の脆弱性を認識していません。今後、潜在的な攻撃チェーンを防ぐために、セキュリティ対策としてこれらの脆弱性にパッチを適用しました。

Cloud Service Mesh では、Pod の作成と削除などのクラスタの構成に必要な変更を行うために、高い権限が必要でした。調査担当者は、Cloud Service Mesh の特権 Kubernetes サービス アカウント トークンを使用して、クラスタ管理者権限を持つ新しい Pod を作成し、最初に不正使用された権限をエスカレーションしました。

Cloud Service Mesh の機能を再設計し、過剰な権限を削除しました。

GKE on AWS

説明 重大度

Cloud Service Mesh を使用する GKE on AWS クラスタのみが影響を受けます。

必要な対策

クラスタでクラスタ内 Cloud Service Mesh を使用する場合は、次のいずれかのバージョン(リリースノート)に手動でアップグレードする必要があります。

  • 1.17.8-asm.8
  • 1.18.6-asm.2
  • 1.19.5-asm.4

このパッチで対処される脆弱性

この情報で対処される脆弱性では、攻撃者は最初にコンテナを不正使用するかコンテナから抜け出すか、クラスタノードに root を持つ必要があります。Google は、この権限昇格の前提条件となる既存の脆弱性を認識していません。今後、潜在的な攻撃チェーンを防ぐために、セキュリティ対策としてこれらの脆弱性にパッチを適用しました。

Cloud Service Mesh では、Pod の作成と削除などのクラスタの構成に必要な変更を行うために、高い権限が必要でした。調査担当者は、Cloud Service Mesh の特権 Kubernetes サービス アカウント トークンを使用して、クラスタ管理者権限を持つ新しい Pod を作成し、最初に不正使用された権限をエスカレーションしました。

Cloud Service Mesh の機能を再設計し、過剰な権限を削除しました。

GKE on Azure

説明 重大度

Cloud Service Mesh を使用する GKE on Azure クラスタのみが影響を受けます。

必要な対策

クラスタでクラスタ内 Cloud Service Mesh を使用する場合は、次のいずれかのバージョン(リリースノート)に手動でアップグレードする必要があります。

  • 1.17.8-asm.8
  • 1.18.6-asm.2
  • 1.19.5-asm.4

このパッチで対処される脆弱性

この情報で対処される脆弱性では、攻撃者は最初にコンテナを不正使用するかコンテナから抜け出すか、クラスタノードに root を持つ必要があります。Google は、この権限昇格の前提条件となる既存の脆弱性を認識していません。今後、潜在的な攻撃チェーンを防ぐために、セキュリティ対策としてこれらの脆弱性にパッチを適用しました。

Cloud Service Mesh では、Pod の作成と削除などのクラスタの構成に必要な変更を行うために、高い権限が必要でした。調査担当者は、Cloud Service Mesh の特権 Kubernetes サービス アカウント トークンを使用して、クラスタ管理者権限を持つ新しい Pod を作成し、最初に不正使用された権限をエスカレーションしました。

Cloud Service Mesh の機能を再設計し、過剰な権限を削除しました。

GKE on Bare Metal

説明 重大度

影響を受けるのは、Cloud Service Mesh を使用する GKE on Bare Metal クラスタのみです。

必要な対策

クラスタでクラスタ内 Cloud Service Mesh を使用する場合は、次のいずれかのバージョン(リリースノート)に手動でアップグレードする必要があります。

  • 1.17.8-asm.8
  • 1.18.6-asm.2
  • 1.19.5-asm.4

このパッチで対処される脆弱性

この情報で対処される脆弱性では、攻撃者は最初にコンテナを不正使用するかコンテナから抜け出すか、クラスタノードに root を持つ必要があります。Google は、この権限昇格の前提条件となる既存の脆弱性を認識していません。今後、潜在的な攻撃チェーンを防ぐために、セキュリティ対策としてこれらの脆弱性にパッチを適用しました。

Anthos Service Mesh では、Pod の作成と削除などのクラスタの構成に必要な変更を行うために、高い権限が必要でした。調査担当者は、Cloud Service Mesh の特権 Kubernetes サービス アカウント トークンを使用して、クラスタ管理者権限を持つ新しい Pod を作成し、最初に不正使用された権限をエスカレーションしました。

Cloud Service Mesh の機能を再設計し、過剰な権限を削除しました。

GCP-2023-046

公開日: 2023 年 11 月 22 日
更新日: 2024 年 3 月 4 日
参考情報: CVE-2023-5717

2024 年 3 月 4 日更新: GKE on VMware の GKE バージョンを追加しました。

2024 年 1 月 22 日更新: Ubuntu パッチ バージョンを追加しました。

GKE

更新日時: 2024 年 1 月 22 日

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-5717

GKE Standard クラスタと Autopilot クラスタが影響を受けます。

GKE Sandbox を使用するクラスタは影響を受けません。

必要な対策

2024 年 1 月 22 日更新: 次のマイナー バージョンが影響を受けます。 Ubuntu ノードプールを次のいずれかのパッチ バージョン以降にアップグレードします。

  • 1.24.17-gke.2472000
  • 1.25.16-gke.1268000
  • 1.26.12-gke.1111000
  • 1.27.9-gke.1092000
  • 1.28.5-gke.1217000
  • 1.29.0-gke.138100

影響を受けるマイナー バージョンは次のとおりです。Container-Optimized OS ノードプールを次のいずれかのパッチ バージョン以降にアップグレードします。

  • 1.24.17-gke.2113000
  • 1.25.14-gke.1421000
  • 1.25.15-gke.1083000
  • 1.26.10-gke.1073000
  • 1.27.7-gke.1088000
  • 1.28.3-gke.1203000

クラスタが独自のリリース チャンネルで同じマイナー バージョンを実行している場合、新しいリリース チャンネルのパッチ バージョンを適用できます。この機能を使用すると、パッチ バージョンがリリース チャンネルのデフォルトになるまでノードを保護できます。詳細については、新しいチャンネルからのパッチ バージョンの実行をご覧ください。

GKE on VMware

更新日時: 2024年2月29日

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-5717

必要な対策

2024 年 3 月 4 日更新: 次のバージョンの GKE on VMware は、この脆弱性を修正するコードで更新されています。クラスタを次のバージョン以降にアップグレードしてください。

  • 1.28.200
  • 1.16.5
  • 1.15.8

GKE on AWS

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-5717

必要な対策

 保留

GKE on Azure

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-5717

必要な対策

 保留

GKE on Bare Metal

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-5717

必要な対策

これは弊社の対応をパートナー様にご報告させていただくためにお知らせしているもので、GKE on Bare Metal は、ディストリビューションにオペレーティング システムがバンドルされていないため、影響を受けません。

 なし

GCP-2023-045

公開日: 2023 年 11 月 20 日
更新日: 2023 年 12 月 21 日
参考情報: CVE-2023-5197

2023 年 12 月 21 日更新: デフォルト構成の GKE Autopilot クラスタは影響を受けないことを明記しました。

GKE

更新日: 2023 年 12 月 21 日

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-5197

2023 年 12 月 21 日更新: 元の情報では、Autopilot クラスタについて影響があるとしていましたが、これは正しくありません。デフォルト構成の GKE Autopilot クラスタは影響を受けませんが、seccomp による制限なしプロファイルを明示的に設定するか、CAP_NET_ADMIN を許可した場合、脆弱性が生じる可能性があります。

GKE Standard クラスタと Autopilot クラスタが影響を受けます。

GKE Sandbox を使用するクラスタは影響を受けません。

必要な対策

影響を受けるマイナー バージョンは次のとおりです。Container-Optimized OS ノードプールを次のいずれかのパッチ バージョン以降にアップグレードします。

  • 1.25.13-gke.1002003
  • 1.26.9-gke.1514000
  • 1.27.6-gke.1513000
  • 1.28.2-gke.1164000

影響を受けるマイナー バージョンは次のとおりです。Ubuntu ノードプールを次のいずれかのパッチ バージョン以降にアップグレードします。

  • 1.24.16-gke.1005001
  • 1.25.13-gke.1002003
  • 1.26.9-gke.1548000
  • 1.27.7-gke.1039000
  • 1.28.3-gke.1061000

クラスタが独自のリリース チャンネルで同じマイナー バージョンを実行している場合、新しいリリース チャンネルのパッチ バージョンを適用できます。この機能を使用すると、パッチ バージョンがリリース チャンネルのデフォルトになるまでノードを保護できます。詳細については、新しいチャンネルからのパッチ バージョンの実行をご覧ください。

GKE on VMware

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-5197

必要な対策

 保留

GKE on AWS

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-5197

必要な対策

 保留

GKE on Azure

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-5197

必要な対策

 保留

GKE on Bare Metal

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-5197

必要な対策

これは弊社の対応をパートナー様にご報告させていただくためにお知らせしているもので、GKE on Bare Metal は、ディストリビューションにオペレーティング システムがバンドルされていないため、影響を受けません。

 なし

GCP-2023-042

公開日: 2023 年 11 月 13 日
更新日: 2023 年 11 月 15 日
参考情報: CVE-2023-4147

2023 年 11 月 15 日更新: GKE の対応するパッチ適用済みバージョンへのアップグレードが必要なのは、リストされているマイナー バージョンのみであることを明確にしました。

GKE

更新日: 2023 年 11 月 15 日

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-4147

GKE Standard クラスタが影響を受けます。GKE Autopilot クラスタは影響を受けません。

GKE Sandbox を使用するクラスタは影響を受けません。

必要な対策

2023 年 11 月 15 日更新: ノードでこのマイナー バージョンを使用する場合、この公開情報に記載されているパッチ バージョンのいずれかにアップグレードするだけで済みます。たとえば、GKE バージョン 1.27 を使用している場合は、対応するパッチ適用バージョンにアップグレードする必要があります。ただし、GKE バージョン 1.24 を使用している場合は、パッチ適用バージョンにアップグレードする必要はありません。

Container-Optimized OS ノードプールを次のいずれかのバージョン以降にアップグレードします。

  • 1.27.5-gke.200
  • 1.28.2-gke.1157000

Ubuntu ノードプールを次のいずれかのバージョン以降にアップグレードします。

  • 1.25.14-gke.1421000
  • 1.26.9-gke.1437000
  • 1.27.6-gke.1248000
  • 1.28.2-gke.1157000

クラスタが独自のリリース チャンネルで同じマイナー バージョンを実行している場合、新しいリリース チャンネルのパッチ バージョンを適用できます。この機能を使用すると、パッチ適用済みバージョンがリリース チャンネルのデフォルトになるまでノードを保護できます。詳細については、新しいチャンネルからのパッチ バージョンの実行をご覧ください。

GKE on VMware

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-4147

必要な対策

 保留

GKE on AWS

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-4147

必要な対策

 保留

GKE on Azure

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-4147

必要な対策

 保留

GKE on Bare Metal

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-4147

必要な対策

これは弊社の対応をパートナー様にご報告させていただくためにお知らせしているもので、GKE on Bare Metal は、ディストリビューションにオペレーティング システムがバンドルされていないため、影響を受けません。

 なし

GCP-2023-041

公開日: 2023 年 11 月 8 日
更新日: 2023 年 11 月 21 日、2023 年 12 月 5 日、2023 年 12 月 21 日
参考情報: CVE-2023-4004

2023 年 12 月 21 日更新: デフォルト構成の GKE Autopilot クラスタは影響を受けないことを明確にしました。

2023 年 12 月 5 日更新: Container-Optimized OS ノードプールの GKE バージョンを追加しました。

2023 年 11 月 21 日更新: リストされているマイナー バージョンのみ、GKE の対応するパッチ バージョンにアップグレードする必要があることを明記しました。

GKE

更新日: 2023 年 11 月 21 日、2023 年 12 月 5 日、2023 年 12 月 21 日

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-4004

2023 年 12 月 21 日更新: 元の情報では、Autopilot クラスタについて影響があるとしていましたが、これは正しくありません。デフォルト構成の GKE Autopilot クラスタは影響を受けませんが、seccomp による制限なしプロファイルを明示的に設定するか、CAP_NET_ADMIN を許可した場合、脆弱性が生じる可能性があります。

Autopilot クラスタが影響を受けます。

GKE Sandbox を使用するクラスタは影響を受けません。

必要な対策

2023 年 12 月 5 日更新: 一部の GKE バージョンが欠落していました。Container-Optimized OS を更新できる GKE バージョンの最新リストは次のとおりです。

  • 1.24.17-gke.200 以降
  • 1.25.13-gke.200 以降
  • 1.26.8-gke.200 以降
  • 1.27.4-gke.2300 以降
  • 1.28.1-gke.1257000 以降

2023 年 11 月 21 日更新: ノードでこのマイナー バージョンを使用する場合、この公開情報に記載されているパッチ バージョンのいずれかにアップグレードするだけで済みます。リストにないマイナー バージョンは影響を受けません。

Container-Optimized OS ノードプールを次のいずれかのバージョン以降にアップグレードします。

  • 1.27.4-gke.2300
  • 1.28.1-gke.1257000

Ubuntu ノードプールを次のいずれかのバージョン以降にアップグレードします。

  • 1.24.14-gke.1027001
  • 1.25.13-gke.700
  • 1.26.8-gke.700
  • 1.27.5-gke.700
  • 1.28.1-gke.1050000

GKE on VMware

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-4004

必要な対策

 保留

GKE on AWS

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-4004

必要な対策

 保留

GKE on Azure

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-4004

必要な対策

 保留

GKE on Bare Metal

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-4004

必要な対策

これは弊社の対応をパートナー様にご報告させていただくためにお知らせしているもので、GKE on Bare Metal は、ディストリビューションにオペレーティング システムがバンドルされていないため、影響を受けません。

 なし

GCP-2023-040

公開日: 2023 年 11 月 6 日
更新日: 2023 年 11 月 21 日、2023 年 12 月 21 日
参考情報: CVE-2023-4921

2023 年 12 月 21 日更新: デフォルト構成の GKE Autopilot クラスタは影響を受けないことを明確にしました。

2023 年 11 月 21 日更新: リストされているマイナー バージョンのみ、GKE の対応するパッチ バージョンにアップグレードする必要があることを明記しました。

GKE

更新日: 2023 年 11 月 21 日、2023 年 12 月 21 日

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-4921

2023 年 12 月 21 日更新: 元の情報では、Autopilot クラスタについて影響があるとしていましたが、これは正しくありません。デフォルト構成の GKE Autopilot クラスタは影響を受けませんが、seccomp による制限なしプロファイルを明示的に設定するか、CAP_NET_ADMIN を許可した場合、脆弱性が生じる可能性があります。

Autopilot クラスタが影響を受けます。

GKE Sandbox を使用するクラスタは影響を受けません。

必要な対策

2023 年 11 月 21 日更新: ノードでこのマイナー バージョンを使用する場合、この公開情報に記載されているパッチ バージョンのいずれかにアップグレードするだけで済みます。リストにないマイナー バージョンは影響を受けません。

Container-Optimized OS ノードプールを次のいずれかのバージョン以降にアップグレードします。

  • 1.24.14-gke.1027001
  • 1.25.14-gke.1351000
  • 1.26.9-gke.1345000
  • 1.27.6-gke.1389000

Ubuntu ノードプールを次のいずれかのバージョン以降にアップグレードします。

  • 1.24.17-gke.2186000
  • 1.25.15-gke.1016000
  • 1.26.9-gke.1548000
  • 1.27.6-gke.1551000
  • 1.28.2-gke.1256000

GKE on VMware

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-4921

必要な対策

 保留

GKE on AWS

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-4921

必要な対策

 保留

GKE on Azure

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-4921

必要な対策

 保留

GKE on Bare Metal

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-4921

必要な対策

これは弊社の対応をパートナー様にご報告させていただくためにお知らせしているもので、GKE on Bare Metal は、ディストリビューションにオペレーティング システムがバンドルされていないため、影響を受けません。

 なし

GCP-2023-039

公開日: 2023 年 11 月 06 日
更新日: 2023 年 11 月 21 日、2023 年 11 月 16 日
参考情報: CVE-2023-4622

2023 年 11 月 21 日更新: リストされているマイナー バージョンのみ、GKE の対応するパッチ バージョンにアップグレードする必要があることを明記しました。

2023 年 11 月 16 日更新: このセキュリティに関する公開情報に関連する脆弱性は CVE-2023-4622 です。CVE-2023-4623 は、以前のバージョンのセキュリティに関する公開情報における脆弱性として誤ってリストされました。

GKE

更新日: 2023 年 11 月 21 日、2023 年 11 月 16 日

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-4623

Autopilot クラスタが影響を受けます。

GKE Sandbox を使用するクラスタは影響を受けません。

必要な対策

2023 年 11 月 21 日更新: ノードでこのマイナー バージョンを使用する場合、この公開情報に記載されているパッチ バージョンのいずれかにアップグレードするだけで済みます。リストにないマイナー バージョンは影響を受けません。

Container-Optimized OS ノードプールを次のいずれかのバージョン以降にアップグレードします。

  • 1.24.14-gke.1027001
  • 1.25.14-gke.1351000
  • 1.26.9-gke.1345000
  • 1.27.5-gke.1647000

Ubuntu ノードプールを次のいずれかのバージョン以降にアップグレードします。

  • 1.24.17-gke.2186000
  • 1.25.15-gke.1016000
  • 1.26.9-gke.1548000
  • 1.27.6-gke.1551000
  • 1.28.2-gke.1256000

GKE on VMware

更新日: 2023 年 11 月 16 日

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-4623

必要な対策

 保留

GKE on AWS

更新日: 2023 年 11 月 16 日

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-4623

必要な対策

 保留

GKE on Azure

更新日: 2023 年 11 月 16 日

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-4623

必要な対策

 保留

GKE on Bare Metal

更新日: 2023 年 11 月 16 日

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-4623

必要な対策

これは弊社の対応をパートナー様にご報告させていただくためにお知らせしているもので、GKE on Bare Metal は、ディストリビューションにオペレーティング システムがバンドルされていないため、影響を受けません。

 なし

GCP-2023-038

公開日: 2023 年 11 月 6 日
更新日: 2023 年 11 月 21 日、2023 年 12 月 21 日
参考情報: CVE-2023-4623

2023 年 12 月 21 日更新: デフォルト構成の GKE Autopilot クラスタは影響を受けないことを明記しました。

2023 年 11 月 21 日更新: リストされているマイナー バージョンのみ、GKE の対応するパッチ バージョンにアップグレードする必要があることを明記しました。

GKE

更新日: 2023 年 11 月 21 日、2023 年 12 月 21 日

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-4623

2023 年 12 月 21 日更新: 元の情報では、Autopilot クラスタについて影響があるとしていましたが、これは正しくありません。デフォルト構成の GKE Autopilot クラスタは影響を受けませんが、seccomp による制限なしプロファイルを明示的に設定するか、CAP_NET_ADMIN を許可した場合、脆弱性が生じる可能性があります。

Autopilot クラスタが影響を受けます。

GKE Sandbox を使用するクラスタは影響を受けません。

必要な対策

2023 年 11 月 21 日更新: ノードでこのマイナー バージョンを使用する場合、この公開情報に記載されているパッチ バージョンのいずれかにアップグレードするだけで済みます。リストにないマイナー バージョンは影響を受けません。

Container-Optimized OS ノードプールを次のいずれかのバージョン以降にアップグレードします。

  • 1.24.14-gke.1027001
  • 1.25.14-gke.1351000
  • 1.26.9-gke.1345000
  • 1.27.6-gke.1389000

Ubuntu ノードプールを次のいずれかのバージョン以降にアップグレードします。

  • 1.24.17-gke.2186000
  • 1.25.15-gke.1016000
  • 1.26.9-gke.1548000
  • 1.27.6-gke.1551000
  • 1.28.2-gke.1256000

GKE on VMware

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-4623

必要な対策

 保留

GKE on AWS

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-4623

必要な対策

 保留

GKE on Azure

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-4623

必要な対策

 保留

GKE on Bare Metal

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-4623

必要な対策

これは弊社の対応をパートナー様にご報告させていただくためにお知らせしているもので、GKE on Bare Metal は、ディストリビューションにオペレーティング システムがバンドルされていないため、影響を受けません。

 なし

GCP-2023-037

公開日: 2023 年 11 月 6 日
更新日: 2023 年 11 月 21 日、2023 年 12 月 21 日
参考情報: CVE-2023-4015

2023 年 12 月 21 日更新: デフォルト構成の GKE Autopilot クラスタは影響を受けないことを明記しました。

2023 年 11 月 21 日更新: リストされているマイナー バージョンのみ、GKE の対応するパッチ バージョンにアップグレードする必要があることを明記しました。

GKE

更新日: 2023 年 11 月 21 日、2023 年 12 月 21 日

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-4015

2023 年 12 月 21 日更新: 元の情報では、Autopilot クラスタについて影響があるとしていましたが、これは正しくありません。デフォルト構成の GKE Autopilot クラスタは影響を受けませんが、seccomp による制限なしプロファイルを明示的に設定するか、CAP_NET_ADMIN を許可した場合、脆弱性が生じる可能性があります。

Autopilot クラスタが影響を受けます。

GKE Sandbox を使用するクラスタは影響を受けません。

必要な対策

2023 年 11 月 21 日更新: ノードでこのマイナー バージョンを使用する場合、この公開情報に記載されているパッチ バージョンのいずれかにアップグレードするだけで済みます。リストにないマイナー バージョンは影響を受けません。

Container-Optimized OS ノードプールを次のいずれかのバージョン以降にアップグレードします。

  • 1.27.5-gke.1647000

Ubuntu ノードプールを次のいずれかのバージョン以降にアップグレードします。

  • 1.24.14-gke.1027001
  • 1.25.13-gke.700
  • 1.26.8-gke.700
  • 1.27.5-gke.700
  • 1.28.1-gke.1050000

GKE on VMware

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-4015

必要な対策

 保留

GKE on AWS

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-4015

必要な対策

 保留

GKE on Azure

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-4015

必要な対策

 保留

GKE on Bare Metal

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-4015

必要な対策

これは弊社の対応をパートナー様にご報告させていただくためにお知らせしているもので、GKE on Bare Metal は、ディストリビューションにオペレーティング システムがバンドルされていないため、影響を受けません。

 なし

GCP-2023-035

公開日: 2023 年 10 月 26 日
更新日: 2023 年 11 月 21 日、2023 年 12 月 21 日
参考情報: CVE-2023-4206CVE-2023-4207CVE-2023-4208CVE-2023- 4128

2023 年 12 月 21 日更新: デフォルト構成の GKE Autopilot クラスタは影響を受けないことを明記しました。

2023 年 11 月 21 日更新: リストされているマイナー バージョンのみ、GKE の対応するパッチ バージョンにアップグレードする必要があることを明記しました。

GKE

更新日: 2023 年 11 月 21 日、2023 年 12 月 21 日

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-4206
  • CVE-2023-4207
  • CVE-2023-4208
  • CVE-2023-4128

2023 年 12 月 21 日更新: 元の情報では、Autopilot クラスタについて影響があるとしていましたが、これは正しくありません。デフォルト構成の GKE Autopilot クラスタは影響を受けませんが、seccomp による制限なしプロファイルを明示的に設定するか、CAP_NET_ADMIN を許可した場合、脆弱性が生じる可能性があります。

Autopilot クラスタが影響を受けます。

GKE Sandbox を使用するクラスタは影響を受けません。

必要な対策

2023 年 11 月 21 日更新: ノードでこのマイナー バージョンを使用する場合、この公開情報に記載されているパッチ バージョンのいずれかにアップグレードするだけで済みます。リストにないマイナー バージョンは影響を受けません。

Container-Optimized OS ノードプールを次のいずれかのバージョン以降にアップグレードします。

  • 1.24.14-gke.1027001
  • 1.25.13-gke.1008000
  • 1.26.8-gke.1647000
  • 1.27.5-gke.200

Ubuntu ノードプールを次のいずれかのバージョン以降にアップグレードします。

  • 1.24.14-gke.1027001
  • 1.25.13-gke.1706000
  • 1.26.8-gke.1647000
  • 1.27.5-gke.1648000
  • 1.28.1-gke.1050000

GKE on VMware

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-4206
  • CVE-2023-4207
  • CVE-2023-4208
  • CVE-2023-4128

必要な対策

GKE on AWS

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-4206
  • CVE-2023-4207
  • CVE-2023-4208
  • CVE-2023-4128

必要な対策

GKE on Azure

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-4206
  • CVE-2023-4207
  • CVE-2023-4208
  • CVE-2023-4128

必要な対策

GKE on Bare Metal

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-4206
  • CVE-2023-4207
  • CVE-2023-4208
  • CVE-2023-4128

必要な対策

これは弊社の対応をパートナー様にご報告させていただくためにお知らせしているもので、GKE on Bare Metal は、ディストリビューションにオペレーティング システムがバンドルされていないため、影響を受けません。

GCP-2023-033

公開日: 2023 年 10 月 24 日
更新日: 2023 年 11 月 21 日、2023 年 12 月 21 日
参考情報: CVE-2023-3777

2023 年 12 月 21 日更新: デフォルト構成の GKE Autopilot クラスタは影響を受けず、GKE Sandbox ワークロードは影響を受けないことを明記しました。

2023 年 11 月 21 日更新: リストされているマイナー バージョンのみ、GKE の対応するパッチ バージョンにアップグレードする必要があることを明記しました。

GKE

更新日: 2023 年 11 月 21 日、2023 年 12 月 21 日

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-3777

2023 年 12 月 21 日更新: 元の情報では、Autopilot クラスタについて影響があるとしていましたが、これは正しくありません。デフォルト構成の GKE Autopilot クラスタは影響を受けませんが、seccomp 制限なしプロファイルを明示的に設定するか、CAP_NET_ADMIN を許可すると、脆弱性が生じる可能性があります。GKE Sandbox のワークロードにも影響はありません。

Autopilot クラスタが影響を受けます。

GKE Sandbox を使用するクラスタが影響を受けます。

必要な対策

2023 年 11 月 21 日更新: ノードでこのマイナー バージョンを使用する場合、この公開情報に記載されているパッチ バージョンのいずれかにアップグレードするだけで済みます。リストにないマイナー バージョンは影響を受けません。

Container-Optimized OS ノードプールを次のいずれかのバージョン以降にアップグレードします。

  • 1.24.16-gke.2200
  • 1.25.12-gke.2200
  • 1.26.7-gke.2200
  • 1.27.4-gke.2300

Ubuntu ノードプールを次のいずれかのバージョン以降にアップグレードします。

  • 1.24.17-gke.700
  • 1.25.13-gke.700
  • 1.26.8-gke.700
  • 1.27.5-gke.700
  • 1.28.0-gke.100

GKE on VMware

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-3777

必要な対策

GKE on AWS

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-3777

必要な対策

GKE on Azure

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-3777

必要な対策

GKE on Bare Metal

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-3777

必要な対策

これは弊社の対応をパートナー様にご報告させていただくためにお知らせしているもので、GKE on Bare Metal は、ディストリビューションにオペレーティング システムがバンドルされていないため、影響を受けません。

GCP-2023-030

公開日: 2023 年 10 月 10 日
更新日: 2024 年 3 月 20 日
参考情報: CVE-2023-44487CVE-2023-39325

2024 年 3 月 20 日更新: GKE on AWS と GKE on Azure のパッチ バージョンを追加しました
2024 年 2 月 14 日更新: GKE on VMware のパッチ バージョンを追加しました。
2023 年 11 月 9 日更新: CVE-2023-39325 を追加しました。CVE-2023-44487 と CVE-2023-39325 の最新のパッチで GKE バージョンを更新しました。

GKE

更新日: 2023 年 11 月 09 日

説明 重大度

先ごろ、サービス拒否攻撃(DoS)の脆弱性が HTTP/2 プロトコル(CVE-2023-44487)の複数の実装で発見されました(CVE-2023-44487)。これには、Kubernetes で使用される golang HTTP サーバーも含まれます。この脆弱性により、Google Kubernetes Engine(GKE)コントロール プレーンの DoS が発生する可能性があります。承認済みネットワークが構成されている GKE クラスタはネットワーク アクセスを制限することで保護されますが、他のすべてのクラスタは影響を受けます。

必要な対策

2023 年 11 月 9 日更新: Go と Kubernetes のセキュリティ パッチを含む GKE の新しいバージョンがリリースされました。クラスタをこのバージョンに更新できます。この問題をさらに軽減するため、今後数週間のうちに GKE コントロール プレーンの追加の変更をリリースします。

次の GKE バージョンは CVE-2023-44487 と CVE-2023-39325 のパッチで更新されました。

  • 1.24.17-gke.2155000
  • 1.25.14-gke.1474000
  • 1.26.10-gke.1024000
  • 1.27.7-gke.1038000
  • 1.28.3-gke.1090000

できるだけ早く次の緩和策を適用し、入手可能な最新のパッチ適用済みバージョンにアップグレードすることをおすすめします。

Golang パッチは 10 月 10 日にリリースされます。パッチが利用可能になり次第、これらのパッチを使用して新しい Kubernetes API サーバーをビルドして適格性評価を行い、GKE のパッチ適用リリースを作成します。GKE リリースが利用可能になり次第、この公開情報は更新され、コントロール プレーンをアップグレードするバージョンに関するガイダンスが提供されます。また、クラスタで利用可能な場合は、GKE の GKE セキュリティ ポスチャーでパッチが表示されます。チャンネルでパッチが利用可能になったときに Pub/Sub 通知を受け取るには、クラスタ通知を有効にします

リリース チャンネルの新しい機能を使用すると、チャンネルの登録を解除することなくパッチを適用できます。これにより、新しいバージョンがリリース固有のチャンネルのデフォルトになるまで、ノードを保護できます。

コントロール プレーン アクセス用の承認済みネットワークを構成して、この問題を軽減します。

既存のクラスタに承認済みネットワークを追加できます。詳細については、既存のクラスタの承認済みネットワークをご覧ください。

追加する承認済みネットワークに加えて、GKE コントロール プレーンにアクセスできるプリセット IP アドレスがあります。これらのアドレスの詳細については、コントロール プレーン エンドポイントへのアクセスをご覧ください。クラスタの分離の概要は次のとおりです。

  • 限定公開クラスタ--master-authorized-networksと PSC ベースのクラスタ--master-authorized-networks--no-enable-google-cloud構成が最も分離されています。
  • --master-authorized-networks を使用するレガシー パブリック クラスタと、--master-authorized-networks--enable-google-cloud(デフォルト)を構成した PSC ベースのクラスタには、次の方法でもアクセスできます。
    • Google Cloud内のすべての Compute Engine VM のパブリック IP アドレス
    • Google Cloud プラットフォームの IP アドレス

このパッチで対処される脆弱性

脆弱性 CVE-2023-44487 により、攻撃者は GKE コントロール プレーン ノードに対してサービス拒否攻撃を実行できるようになります。

GKE on VMware

更新日時: 2024年2月14日

説明 重大度

先ごろ、サービス拒否攻撃(DoS)の脆弱性が HTTP/2 プロトコル(CVE-2023-44487)の複数の実装で発見されました(CVE-2023-44487)。これには、Kubernetes で使用される golang HTTP サーバーも含まれます。この脆弱性により、Kubernetes コントロール プレーンの DoS が発生する可能性があります。GKE on VMware は、デフォルトではインターネットに直接アクセスできず、この脆弱性から保護される Kubernetes クラスタを作成します。

必要な対策

2024 年 2 月 14 日更新: GKE on VMware の次のバージョンがこの脆弱性を修正するコードで更新されました。クラスタを次のパッチ バージョン以降にアップグレードします。

  • 1.28.100
  • 1.16.6
  • 1.15.8

インターネットや他の信頼できないネットワークに直接アクセスできるようにGKE on VMware Kubernetes クラスタを構成している場合は、ファイアウォール管理者と協力してアクセスをブロックまたは制限することをおすすめします。

入手可能な場合は、できるだけ早く最新のパッチ バージョンにアップグレードすることをおすすめします。

Golang パッチは 10 月 10 日にリリースされます。パッチが利用可能になり次第、これらのパッチを使用して新しい Kubernetes API サーバーをビルドして適格性評価を行い、GKE のパッチ適用リリースを作成します。GKE リリースが利用可能になり次第、この公開情報に、コントロール プレーンをアップグレードするバージョンに関するガイダンスを追加します。

このパッチで対処される脆弱性

この脆弱性(CVE-2023-44487)により、攻撃者は Kubernetes コントロール プレーン ノードに対してサービス拒否攻撃を実行できます。

GKE on AWS

説明 重大度

先ごろ、サービス拒否攻撃(DoS)の脆弱性が HTTP/2 プロトコル(CVE-2023-44487)の複数の実装で発見されました(CVE-2023-44487)。これには、Kubernetes で使用される golang HTTP サーバーも含まれます。この脆弱性により、Kubernetes コントロール プレーンの DoS が発生する可能性があります。GKE on AWS は、デフォルトではインターネットに直接アクセスできず、この脆弱性から保護される限定公開 Kubernetes クラスタを作成します。

必要な対策

2024 年 3 月 20 日更新: 次の GKE on AWS のバージョンが CVE-2023-44487 のパッチで更新されました。

  • 1.26.10-gke.600
  • 1.27.7-gke.600
  • 1.28.3-gke.700

インターネットや他の信頼できないネットワークに直接アクセスできるように GKE on AWS を構成している場合は、ファイアウォール管理者と協力してアクセスをブロックまたは制限することをおすすめします。

入手可能な場合は、できるだけ早く最新のパッチ バージョンにアップグレードすることをおすすめします。

Golang パッチは 10 月 10 日にリリースされます。パッチが利用可能になり次第、これらのパッチを使用して新しい Kubernetes API サーバーをビルドして適格性評価を行い、GKE のパッチ適用リリースを作成します。GKE リリースが利用可能になり次第、この公開情報に、コントロール プレーンをアップグレードするバージョンに関するガイダンスを追加します。

このパッチで対処される脆弱性

この脆弱性(CVE-2023-44487)により、攻撃者は Kubernetes コントロール プレーン ノードに対してサービス拒否攻撃を実行できます。

GKE on Azure

説明 重大度

先ごろ、サービス拒否攻撃(DoS)の脆弱性が HTTP/2 プロトコル(CVE-2023-44487)の複数の実装で発見されました(CVE-2023-44487)。これには、Kubernetes で使用される golang HTTP サーバーも含まれます。この脆弱性により、Kubernetes コントロール プレーンの DoS が発生する可能性があります。GKE on Azure は、デフォルトではインターネットに直接アクセスできず、この脆弱性から保護される限定公開 Kubernetes クラスタを作成します。

必要な対策

2024 年 3 月 20 日更新: 次の GKE on Azure のバージョンが CVE-2023-44487 に対するパッチで更新されました。

  • 1.26.10-gke.600
  • 1.27.7-gke.600
  • 1.28.3-gke.700

インターネットや他の信頼できないネットワークに直接アクセスできるように GKE on Azure クラスタを構成している場合は、ファイアウォール管理者と協力してアクセスをブロックまたは制限することをおすすめします。

入手可能な場合は、できるだけ早く最新のパッチ バージョンにアップグレードすることをおすすめします。

Golang パッチは 10 月 10 日にリリースされます。パッチが利用可能になり次第、これらのパッチを使用して新しい Kubernetes API サーバーをビルドして適格性評価を行い、GKE のパッチ適用リリースを作成します。GKE リリースが利用可能になり次第、この公開情報に、コントロール プレーンをアップグレードするバージョンに関するガイダンスを追加します。

このパッチで対処される脆弱性

この脆弱性(CVE-2023-44487)により、攻撃者は Kubernetes コントロール プレーン ノードに対してサービス拒否攻撃を実行できます。

GKE on Bare Metal

説明 重大度

先ごろ、サービス拒否攻撃(DoS)の脆弱性が HTTP/2 プロトコル(CVE-2023-44487)の複数の実装で発見されました(CVE-2023-44487)。これには、Kubernetes で使用される golang HTTP サーバーも含まれます。この脆弱性により、Kubernetes コントロール プレーンの DoS が発生する可能性があります。Anthos on bare metal は、デフォルトではインターネットに直接アクセスできず、この脆弱性から保護される Kubernetes クラスタを作成します。

必要な対策

インターネットや他の信頼できないネットワークに直接アクセスできるようにAnthos on bare metal Kubernetes クラスタを構成している場合は、ファイアウォール管理者と協力してアクセスをブロックまたは制限することをおすすめします。詳細については、GKE on Bare Metal のセキュリティの概要をご覧ください。

入手可能な場合は、できるだけ早く最新のパッチ バージョンにアップグレードすることをおすすめします。

Golang パッチは 10 月 10 日にリリースされます。パッチが利用可能になり次第、これらのパッチを使用して新しい Kubernetes API サーバーをビルドして適格性評価を行い、GKE のパッチ適用リリースを作成します。GKE リリースが利用可能になり次第、この公開情報に、コントロール プレーンをアップグレードするバージョンに関するガイダンスを追加します。

このパッチで対処される脆弱性

この脆弱性(CVE-2023-44487)により、攻撃者は Kubernetes コントロール プレーン ノードに対してサービス拒否攻撃を実行できます。

GCP-2023-026

公開日: 2023 年 9 月 6 日
参考情報: CVE-2023-3676CVE-2023-3955CVE-2023-3893

GKE

説明 重大度

Kubernetes で 3 つの脆弱性(CVE-2023-3676、CVE-2023-3955、CVE-2023-3893)が見つかりました。この脆弱性により、Windows ノードで Pod を作成できるユーザーは、そのノードに対して管理者権限を持つよう昇格できる可能性があります。これらの脆弱性は、Windows バージョンの Kubelet と Kubernetes CSI プロキシに影響します。

GKE クラスタが影響を受けるのは、Windows ノードが含まれている場合のみです。

必要な対策

次のバージョンの GKE は更新されており、この脆弱性を修正するためのコードが追加されています。セキュリティ上の理由から、ノードの自動アップグレードが有効になっている場合でも、ノードプールを次のいずれかの GKE バージョンに手動でアップグレードすることをおすすめします。

  • 1.24.17-gke.200
  • 1.25.13-gke.200
  • 1.26.8-gke.200
  • 1.27.5-gke.200
  • 1.28.1-gke.200

GKE コントロール プレーンは 2023 年 9 月 4 週に更新され、csi-proxy がバージョン 1.1.3 に更新されます。コントロール プレーンのアップグレード前にノードを更新した場合は、新しいプロキシを利用するために、アップグレード後にノードを再度更新する必要があります。ノードのバージョンを変更しなくても、gcloud container clusters upgrade コマンドを実行して、すでにノードプールと同じ GKE バージョンで --cluster-version フラグを渡すことで、ノードを再び更新できます。この回避策には、gcloud CLI を使用する必要があります。 メンテナンスの時間枠に関係なく更新が行われることにご注意ください。

リリース チャンネルの新しい機能を使用すると、チャンネルの登録を解除することなくパッチを適用できます。これにより、新しいバージョンがリリース チャンネル固有のデフォルトになるまで、ノードを保護できます。

このパッチで対処される脆弱性

CVE-2023-3676 では、悪意のある攻撃者が PowerShell コマンドを含むホストパス文字列を使用して Pod 仕様を作成できます。Kubelet には入力の消毒機能がなく、この不正なパス文字列を引数としてコマンド エグゼキュータに渡します。ここで、文字列の一部が個別のコマンドとして実行されます。これらのコマンドは Kubelet と同じ管理者権限で実行されます。

CVE-2023-3955 では、Kubelet は Pod を作成できるユーザーに、Kubelet エージェントと同じ権限レベル(特権権限)でコードを実行する権限を付与します。

CVE-2023-3893 では、同様のサニタイズがないため、kubernetes-csi-proxy を実行している Windows ノードで Pod を作成できるユーザーが、そのノードに対する管理者権限に昇格できます。

Kubernetes 監査ログを使用して、この脆弱性が悪用されているかどうかを検出できます。埋め込みの PowerShell コマンドによる Pod 作成イベントは、悪用の強いことを示しています。 埋め込み PowerShell コマンドが含まれ、Pod にマウントされる ConfigMap と Secret も、脆弱性利用の強力な兆候です。

GKE on VMware

説明 重大度

Kubernetes で 3 つの脆弱性(CVE-2023-3676、CVE-2023-3955、CVE-2023-3893)が見つかりました。この脆弱性により、Windows ノードで Pod を作成できるユーザーは、そのノードに対して管理者権限を持つよう昇格できる可能性があります。これらの脆弱性は、Windows バージョンの Kubelet と Kubernetes CSI プロキシに影響します。

クラスタが影響を受けるのは、Windows ノードが含まれている場合のみです。

必要な対策

このパッチで対処される脆弱性

CVE-2023-3676 では、悪意のある攻撃者が PowerShell コマンドを含むホストパス文字列を使用して Pod 仕様を作成できます。Kubelet には入力の消毒機能がなく、この不正なパス文字列を引数としてコマンド エグゼキュータに渡します。ここで、文字列の一部が個別のコマンドとして実行されます。これらのコマンドは Kubelet と同じ管理者権限で実行されます。

CVE-2023-3955 では、Kubelet は Pod を作成できるユーザーに、Kubelet エージェントと同じ権限レベル(特権権限)でコードを実行する権限を付与します。

CVE-2023-3893 では、同様のサニタイズがないため、kubernetes-csi-proxy を実行している Windows ノードで Pod を作成できるユーザーが、そのノードに対する管理者権限に昇格できます。

Kubernetes 監査ログを使用して、この脆弱性が悪用されているかどうかを検出できます。埋め込みの PowerShell コマンドによる Pod 作成イベントは、悪用の強いことを示しています。 埋め込み PowerShell コマンドが含まれ、Pod にマウントされる ConfigMap と Secret も、脆弱性利用の強力な兆候です。

GKE on AWS

説明 重大度

Kubernetes で 3 つの脆弱性(CVE-2023-3676、CVE-2023-3955、CVE-2023-3893)が見つかりました。この脆弱性により、Windows ノードで Pod を作成できるユーザーは、そのノードに対して管理者権限を持つよう昇格できる可能性があります。これらの脆弱性は、Windows バージョンの Kubelet と Kubernetes CSI プロキシに影響します。

必要な対策

GKE on AWS は、これらの CVE の影響を受けません。このため、ご対応は不要です。

 なし

GKE on Azure

説明 重大度

Kubernetes で 3 つの脆弱性(CVE-2023-3676、CVE-2023-3955、CVE-2023-3893)が見つかりました。この脆弱性により、Windows ノードで Pod を作成できるユーザーは、そのノードに対して管理者権限を持つよう昇格できる可能性があります。これらの脆弱性は、Windows バージョンの Kubelet と Kubernetes CSI プロキシに影響します。

必要な対策

GKE on Azure は、これらの CVE の影響を受けません。このため、ご対応は不要です。

 なし

GKE on Bare Metal

説明 重大度

Kubernetes で 3 つの脆弱性(CVE-2023-3676、CVE-2023-3955、CVE-2023-3893)が見つかりました。この脆弱性により、Windows ノードで Pod を作成できるユーザーは、そのノードに対して管理者権限を持つよう昇格できる可能性があります。これらの脆弱性は、Windows バージョンの Kubelet と Kubernetes CSI プロキシに影響します。

必要な対策

GKE on Bare Metal は、これらの CVE の影響を受けません。このため、ご対応は不要です。

 なし

GCP-2023-018

公開日: 2023 年 6 月 27 日
参考情報: CVE-2023-2235

GKE

説明 重大度

Linux カーネルで、ノードでの権限昇格が発生する可能性がある新しい脆弱性(CVE-2023-2235)が見つかりました。GKE Autopilot ノードは常に Container-Optimized OS ノードイメージを使用するため、GKE Autopilot クラスタが影響を受けます。影響を受けるのは、Container-Optimized OS ノードイメージを実行しているバージョン 1.25 以降の GKE Standard クラスタです。

GKE クラスタは、Ubuntu ノードイメージのみを実行している場合、1.25 より前のバージョンを実行している場合、GKE Sandbox を使用している場合には影響を受けません。

必要な対策

次のバージョンの GKE は更新されており、この脆弱性を修正するためのコードが追加されています。セキュリティ上の理由から、ノードの自動アップグレードが有効になっている場合でも、クラスタとノードプールを次のいずれかの GKE バージョンに手動でアップグレードすることをおすすめします。

  • 1.25.9-gke.1400
  • 1.26.4-gke.1500
  • 1.27.1-gke.2400

リリース チャンネルの新しい機能を使用すると、チャンネルの登録を解除することなくパッチを適用できます。これにより、新しいバージョンがリリース固有のチャンネルのデフォルトになるまで、ノードを保護できます。

対処されている脆弱性

CVE-2023-2235 では、perf_group_attach 関数で add_event_to_groups() を呼び出す前にイベントの兄弟 attach_state をチェックしませんでしたが、remove_on_exec によりグループから切断する前に list_del_event() を呼び出すことができるようになり、use-after-free 脆弱性の原因となるダングリング ポインタを使用できるようになりました。

GKE on VMware

説明 重大度

Linux カーネルで、ノードでの権限昇格が発生する可能性がある新しい脆弱性(CVE-2023-2235)が見つかりました。GKE on VMware クラスタが影響を受けます。

必要な対策

対処されている脆弱性

CVE-2023-2235 では、perf_group_attach 関数で add_event_to_groups() を呼び出す前にイベントの兄弟 attach_state をチェックしませんでしたが、remove_on_exec によりグループから切断する前に list_del_event() を呼び出すことができるようになり、use-after-free 脆弱性の原因となるダングリング ポインタを使用できるようになりました。

GKE on AWS

説明 重大度

Linux カーネルで、ノードでの権限昇格が発生する可能性がある新しい脆弱性(CVE-2023-2235)が見つかりました。GKE on AWS クラスタが影響を受けます。

必要な対策

このパッチで対処される脆弱性

CVE-2023-2235 では、perf_group_attach 関数で add_event_to_groups() を呼び出す前にイベントの兄弟 attach_state をチェックしませんでしたが、remove_on_exec によりグループから切断する前に list_del_event() を呼び出すことができるようになり、use-after-free 脆弱性の原因となるダングリング ポインタを使用できるようになりました。

GKE on Azure

説明 重大度

Linux カーネルで、ノードでの権限昇格が発生する可能性がある新しい脆弱性(CVE-2023-2235)が見つかりました。GKE on Azure クラスタが影響を受けます。

必要な対策

このパッチで対処される脆弱性

CVE-2023-2235 では、perf_group_attach 関数で add_event_to_groups() を呼び出す前にイベントの兄弟 attach_state をチェックしませんでしたが、remove_on_exec によりグループから切断する前に list_del_event() を呼び出すことができるようになり、use-after-free 脆弱性の原因となるダングリング ポインタを使用できるようになりました。

GKE on Bare Metal

説明 重大度

Linux カーネルで、ノードでの権限昇格が発生する可能性がある新しい脆弱性(CVE-2023-2235)が見つかりました。

Google Distributed Cloud Virtual for Bare Metal は、この CVE の影響を受けません。

必要な対策

このため、ご対応は不要です。

 なし

GCP-2023-017

公開日: 2023 年 6 月 26 日
更新日: 2023 年 7 月 11 日
参考情報: CVE-2023-31436

2023 年 7 月 11 日更新: 新しい GKE バージョンが更新され、CVE-2023-31436 にパッチを適用する最新の Ubuntu バージョンが追加されました。

GKE

更新日: 2023 年 7 月 11 日

説明 重大度

Linux カーネルで、ノードでの権限昇格が発生する可能性がある新しい脆弱性(CVE-2023-31436)が見つかりました。Autopilot クラスタを含む GKE クラスタが影響を受けます。

GKE Sandbox を使用する GKE クラスタは影響を受けません。

必要な対策

2023 年 7 月 11 日更新: Ubuntu のパッチ バージョンが利用可能になりました。

次の GKE バージョンが更新され、CVE-2023-31436 にパッチを適用する最新の Ubuntu バージョンが追加されました。

  • 1.23.17-gke.8200
  • 1.24.14-gke.2600
  • 1.25.10-gke.2700
  • 1.26.5-gke.2700
  • 1.27.2-gke.2700

次のバージョンの GKE は更新されており、この脆弱性を修正するためのコードが追加されています。セキュリティ上の理由から、ノードの自動アップグレードが有効になっている場合でも、クラスタとノードプールを次のいずれかの GKE バージョンに手動でアップグレードすることをおすすめします。

  • 1.22.17-gke.11400
  • 1.23.17-gke.6800
  • 1.24.14-gke.1200
  • 1.25.10-gke.1200
  • 1.26.5-gke.1200
  • 1.27.2-gke.1200

リリース チャンネルの新しい機能を使用すると、チャンネルの登録を解除することなくパッチを適用できます。これにより、新しいバージョンがリリース固有のチャンネルのデフォルトになるまで、ノードを保護できます。

対処されている脆弱性

CVE-2023-31436 により、Linux カーネルのトラフィック制御(QoS)サブシステムで、ユーザーが lmax として使用するネットワーク デバイスの MTU 値が正しくない状態で qfq_change_class 関数をトリガーする方法で、メモリアクセスの範囲外エラーが見つかりました。この欠陥により、ローカル ユーザーがシステムをクラッシュさせたり、権限をエスカレーションしたりする可能性があります。

GKE on VMware

説明 重大度

Linux カーネルで、ノードでの権限昇格が発生する可能性がある新しい脆弱性(CVE-2023-31436)が見つかりました。GKE on VMware クラスタが影響を受けます。

必要な対策

対処されている脆弱性

CVE-2023-31436 により、Linux カーネルのトラフィック制御(QoS)サブシステムで、ユーザーが lmax として使用するネットワーク デバイスの MTU 値が正しくない状態で qfq_change_class 関数をトリガーする方法で、メモリアクセスの範囲外エラーが見つかりました。この欠陥により、ローカル ユーザーがシステムをクラッシュさせたり、権限をエスカレーションしたりする可能性があります。

GKE on AWS

説明 重大度

Linux カーネルで、ノードでの権限昇格が発生する可能性がある新しい脆弱性(CVE-2023-31436)が見つかりました。GKE on AWS クラスタが影響を受けます。

必要な対策

このパッチで対処される脆弱性

CVE-2023-31436 により、Linux カーネルのトラフィック制御(QoS)サブシステムで、ユーザーが lmax として使用するネットワーク デバイスの MTU 値が正しくない状態で qfq_change_class 関数をトリガーする方法で、メモリアクセスの範囲外エラーが見つかりました。この欠陥により、ローカル ユーザーがシステムをクラッシュさせたり、権限をエスカレーションしたりする可能性があります。

GKE on Azure

説明 重大度

Linux カーネルで、ノードでの権限昇格が発生する可能性がある新しい脆弱性(CVE-2023-31436)が見つかりました。GKE on Azure クラスタが影響を受けます。

必要な対策

このパッチで対処される脆弱性

CVE-2023-31436 により、Linux カーネルのトラフィック制御(QoS)サブシステムで、ユーザーが lmax として使用するネットワーク デバイスの MTU 値が正しくない状態で qfq_change_class 関数をトリガーする方法で、メモリアクセスの範囲外エラーが見つかりました。この欠陥により、ローカル ユーザーがシステムをクラッシュさせたり、権限をエスカレーションしたりする可能性があります。

GKE on Bare Metal

説明 重大度

Linux カーネルで、ノードでの権限昇格が発生する可能性がある新しい脆弱性(CVE-2023-31436)が見つかりました。

Google Distributed Cloud Virtual for Bare Metal は、この CVE の影響を受けません。

必要な対策

このため、ご対応は不要です。

 なし

GCP-2023-016

公開日: 2023 年 6 月 26 日
参考情報: CVE-2023-27496CVE-2023-27488CVE-2023-27493CVE-2023-27492CVE-2023-27491CVE-2023-27487

GKE

説明 重大度

Envoy でいくつかの脆弱性が発見されており、これらは Cloud Service Mesh(ASM)で使用されます。これらは GCP-2023-002 として個別に報告されました。

GKE は ASM に付属しておらず、これらの脆弱性の影響を受けません。

必要な対策

GKE クラスタに ASM を別途インストールしている場合は、GCP-2023-002 をご覧ください。

なし

GKE on VMware

説明 重大度

Envoy でいくつかの脆弱性(CVE-2023-27496、CVE-2023-27488、CVE-2023-27493、CVE-2023-27492、CVE-2023-27491、CVE-2023-27487)が発見されました。これは、GKE on VMware の Cloud Service Mesh で使用され、悪意のある攻撃者がサービス拒否攻撃や Envoy のクラッシュを引き起こす可能性があります。これらは GCP-2023-002 として個別に報告されていますが、GKE Enterprise のお客様は ASM を含むバージョンを更新できるようにしたいと考えています。

必要な対策

以下のバージョンの GKE on VMware は更新されており、この脆弱性を修正するためのコードが追加されています。管理クラスタとユーザー クラスタを、次のいずれかの GKE on VMware バージョンにアップグレードすることをおすすめします。

  • 1.13.8
  • 1.14.5
  • 1.15.1

このパッチで対処される脆弱性

CVE-2023-27496: Envoy が OAuth フィルタを公開して実行している場合、悪意のあるアクターが Envoy をクラッシュすることでサービス拒否攻撃を引き起こすリクエストを作成できます。

CVE-2023-27488: 攻撃者は、ext_authz が使用されているときに、この脆弱性を使用して認証チェックをバイパスできます。

CVE-2023-27493: Envoy の構成には、ピア証明書 SAN など、リクエストからの入力を使用して生成されたリクエスト ヘッダーを追加するオプションも含める必要があります。

CVE-2023-27492: 攻撃者は、Lua フィルタを有効にしているルートに対して大きなリクエスト本文を送信し、クラッシュをトリガーすることができます。

CVE-2023-27491: 攻撃者が、特別に細工された HTTP/2 または HTTP/3 リクエストを送信して、HTTP/1 アップストリーム サービスで解析エラーを誘発させる可能性があります。

CVE-2023-27487: ヘッダー x-envoy-original-path は内部ヘッダーである必要がありますが、信頼できないクライアントから送信された場合、Envoy はリクエスト処理の開始時にこのヘッダーをリクエストから削除しません。

GKE on AWS

説明 重大度

Envoy で、Cloud Service Mesh で使用されているいくつかの脆弱性(CVE-2023-27496、CVE-2023-27488、CVE-2023-27493、CVE-2023-27492、CVE-2023-27491、CVE-2023-27487)が発見されました。これらは GCP-2023-002 として個別に報告されました。

GKE on AWS は ASM に付属しておらず、影響を受けません。

必要な対策

このため、ご対応は不要です。

 なし

GKE on Azure

説明 重大度

Envoy で、Cloud Service Mesh で使用されているいくつかの脆弱性(CVE-2023-27496、CVE-2023-27488、CVE-2023-27493、CVE-2023-27492、CVE-2023-27491、CVE-2023-27487)が発見されました。これらは GCP-2023-002 として個別に報告されました。

GKE on Azure は ASM に付属しておらず、影響を受けません。

必要な対策

このため、ご対応は不要です。

 なし

GKE on Bare Metal

説明 重大度

Envoy で、GKE on Bare Metal の Cloud Service Mesh で使用されているいくつかの脆弱性(CVE-2023-27496、CVE-2023-27488、CVE-2023-27493、CVE-2023-27492、CVE-2023-27491、CVE-2023-27487)が発見されました。これらは、悪意のある攻撃者がサービス拒否攻撃や Envoy のクラッシュを引き起こす可能性があります。これらは GCP-2023-002 として個別に報告されていますが、GKE Enterprise のお客様は ASM を含むバージョンを更新できるようにしたいと考えています。

必要な対策

次のバージョンの GKE on Bare Metal は更新されており、この脆弱性を修正するためのコードが追加されています。管理クラスタとユーザー クラスタを、次のいずれかの GKE on Bare Metal バージョンにアップグレードすることをおすすめします。

  • 1.13.9
  • 1.14.6
  • 1.15.2

このパッチで対処される脆弱性

CVE-2023-27496: Envoy が OAuth フィルタを公開して実行している場合、悪意のあるアクターが Envoy をクラッシュすることでサービス拒否攻撃を引き起こすリクエストを作成できます。

CVE-2023-27488: 攻撃者は、ext_authz が使用されているときに、この脆弱性を使用して認証チェックをバイパスできます。

CVE-2023-27493: Envoy の構成には、ピア証明書 SAN など、リクエストからの入力を使用して生成されたリクエスト ヘッダーを追加するオプションも含める必要があります。

CVE-2023-27492: 攻撃者は、Lua フィルタを有効にしているルートに対して大きなリクエスト本文を送信し、クラッシュをトリガーすることができます。

CVE-2023-27491: 攻撃者が、特別に細工された HTTP/2 または HTTP/3 リクエストを送信して、HTTP/1 アップストリーム サービスで解析エラーを誘発させる可能性があります。

CVE-2023-27487: ヘッダー x-envoy-original-path は内部ヘッダーである必要がありますが、信頼できないクライアントから送信された場合、Envoy はリクエスト処理の開始時にこのヘッダーをリクエストから削除しません。

GCP-2023-015

公開日: 2023 年 6 月 20 日
参考情報: CVE-2023-0468

GKE

説明 重大度

Linux カーネル バージョン 5.15 で、ノードでのサービス拒否につながる新しい脆弱性(CVE-2023-0468)が見つかりました。Autopilot クラスタを含む GKE クラスタが影響を受けます。

GKE Sandbox を使用する GKE クラスタは影響を受けません。

必要な対策

次のバージョンの GKE は更新されており、この脆弱性を修正するためのコードが追加されています。セキュリティ上の理由から、ノードの自動アップグレードが有効になっている場合でも、クラスタとノードプールを次のいずれかの GKE バージョンに手動でアップグレードすることをおすすめします。

  • 1.25.7-gke.1200
  • 1.26.2-gke.1200

リリース チャンネルの新しい機能を使用すると、チャンネルの登録を解除することなくパッチを適用できます。これにより、新しいバージョンがリリース固有のチャンネルのデフォルトになるまで、ノードを保護できます。

対処されている脆弱性

CVE-2023-0468 では、Linux カーネルの io_uring サブコンポーネントの io_poll_check_events の io_uring/poll.c で、use-after-free の不具合が見つかりました。この欠陥により、NULL ポインタのデリファレンスが原因でシステムがクラッシュし、サービス拒否につながる可能性があります。

GKE on VMware

説明 重大度

Linux カーネル バージョン 5.15 で、ノードでのサービス拒否につながる新しい脆弱性(CVE-2023-0468)が見つかりました。

GKE on VMware は Linux カーネルのバージョン 5.4 を使用しているため、この CVE の影響を受けません。

必要な対策

  • なんらかのご対応を行っていただく必要はありません
 なし

GKE on AWS

説明 重大度

Linux カーネル バージョン 5.15 で、ノードでのサービス拒否につながる新しい脆弱性(CVE-2023-0468)が見つかりました。

GKE on AWS は、この CVE の影響を受けません。

必要な対策

  • なんらかのご対応を行っていただく必要はありません
 なし

GKE on Azure

説明 重大度

Linux カーネル バージョン 5.15 で、ノードでのサービス拒否につながる新しい脆弱性(CVE-2023-0468)が見つかりました。

GKE on Azure は、この CVE の影響を受けません。

必要な対策

  • なんらかのご対応を行っていただく必要はありません
 なし

GKE on Bare Metal

説明 重大度

Linux カーネル バージョン 5.15 で、ノードでのサービス拒否につながる新しい脆弱性(CVE-2023-0468)が見つかりました。

Google Distributed Cloud Virtual for Bare Metal は、この CVE の影響を受けません。

必要な対策

  • なんらかのご対応を行っていただく必要はありません
 なし

GCP-2023-014

公開日: 2023 年 6 月 15 日
更新日: 2023 年 8 月 11 日
参考情報: CVE-2023-2727CVE-2023-2728

2023 年 8 月 11 日更新: GKE on VMware、GKE on AWS、GKE on Azure、GKE on Bare Metal のパッチ バージョンを追加しました。

GKE

説明 重大度

Kubernetes で 2 つの新しいセキュリティ問題が見つかりました。この脆弱性を利用すると、エフェメラル コンテナとともに ImagePolicyWebhook(CVE-2023-2727)または ServiceAccount アドミッション プラグイン(CVE-2023-2728)のどちらかを使用した際に、ポリシー制限をバイパスするコンテナを起動できる可能性があります。

GKE は ImagePolicyWebhook を使用しないため、CVE-2023-2727 の影響を受けません。

GKE のすべてのバージョンは CVE-2023-2728 に対して脆弱になる可能性があります。

必要な対策

次のバージョンの GKE は更新されており、この脆弱性を修正するためのコードが追加されています。セキュリティ上の理由から、ノードの自動アップグレードが有効になっている場合でも、クラスタとノードプールを次のいずれかの GKE バージョンに手動でアップグレードすることをおすすめします。

  • 1.27.2-gke.1200
  • 1.26.5-gke.1200
  • 1.25.10-gke.1200
  • 1.24.14-gke.1200
  • 1.23.17-gke.6800

リリース チャンネルの新しい機能を使用すると、チャンネルの登録を解除することなくパッチを適用できます。これにより、新しいバージョンがリリース チャンネル固有のデフォルトになるまで、ノードを保護できます。

対処されている脆弱性

CVE-2023-2727 では、エフェメラル コンテナの使用時に、ImagePolicyWebhook によって制限されているイメージを使用してコンテナを起動できる可能性があります。Kubernetes クラスタが影響を受けるのは、ImagePolicyWebhook アドミッション プラグインがエフェメラル コンテナとともに使用されている場合のみです。この CVE は、Gatekeeper や Kyverno などの検証 Webhook を使用して同じ制限を適用することでも軽減できます。

CVE-2023-2728 では、エフェメラル コンテナの使用時に、ServiceAccount アドミッション プラグインによって強制適用されるマウント可能なシークレット ポリシーをバイパスして、コンテナを起動できる可能性があります。このポリシーにより、サービス アカウントで実行されている Pod は、サービス アカウントの secrets フィールドで指定された Secret のみを参照できます。次の場合、クラスタはこの脆弱性の影響を受けます。

  • ServiceAccount アドミッション プラグインが使用されます。
  • kubernetes.io/enforce-mountable-secrets アノテーションは、サービス アカウントによって使用されます。このアノテーションはデフォルトでは追加されません。
  • Pod が一時コンテナを使用している。

GKE on VMware

更新日: 2023 年 8 月 11 日

説明 重大度

Kubernetes で 2 つの新しいセキュリティ問題が見つかりました。この脆弱性を利用すると、エフェメラル コンテナとともに ImagePolicyWebhook(CVE-2023-2727)または ServiceAccount アドミッション プラグイン(CVE-2023-2728)のどちらかを使用した際に、ポリシー制限をバイパスするコンテナを起動できる可能性があります。Anthos on VMware は ImagePolicyWebhook を使用せず、CVE-2023-2727 の影響を受けません。

Anthos on VMware のすべてのバージョンは CVE-2023-2728 に対して脆弱になる可能性があります。

必要な対策

2023 年 8 月 11 日更新: 次のバージョンの GKE on VMware は、この脆弱性を修正するコードで更新されています。管理クラスタとユーザー クラスタを、次のいずれかの GKE on VMware バージョンにアップグレードします。

  • 1.13.10
  • 1.14.6
  • 1.15.3

対処されている脆弱性

CVE-2023-2727 では、エフェメラル コンテナの使用時に、ImagePolicyWebhook によって制限されているイメージを使用してコンテナを起動できる可能性があります。Kubernetes クラスタが影響を受けるのは、ImagePolicyWebhook アドミッション プラグインがエフェメラル コンテナとともに使用されている場合のみです。この CVE は、Gatekeeper や Kyverno などの検証 Webhook を使用して同じ制限を適用することでも軽減できます。

CVE-2023-2728 では、エフェメラル コンテナの使用時に、ServiceAccount アドミッション プラグインによって強制適用されるマウント可能なシークレット ポリシーをバイパスして、コンテナを起動できる可能性があります。このポリシーにより、サービス アカウントで実行されている Pod は、サービス アカウントの secrets フィールドで指定された Secret のみを参照できます。次の場合、クラスタはこの脆弱性の影響を受けます。

  • ServiceAccount アドミッション プラグインが使用されます。
  • kubernetes.io/enforce-mountable-secrets アノテーションは、サービス アカウントによって使用されます。このアノテーションはデフォルトでは追加されません。
  • Pod が一時コンテナを使用している。

GKE on AWS

更新日: 2023 年 8 月 11 日

説明 重大度

Kubernetes で 2 つの新しいセキュリティ問題が見つかりました。この脆弱性を利用すると、エフェメラル コンテナとともに ImagePolicyWebhook(CVE-2023-2727)または ServiceAccount アドミッション プラグイン(CVE-2023-2728)のどちらかを使用した際に、ポリシー制限をバイパスするコンテナを起動できる可能性があります。
Anthos on AWS は ImagePolicyWebhook を使用せず、CVE-2023-2727 の影響を受けません。
Anthos on AWS のすべてのバージョンは CVE-2023-2728 に対して脆弱になる可能性があります。

必要な対策

2023 年 8 月 11 日更新: GKE on AWS の次のバージョンがこの脆弱性を修正するコードで更新されました。ノードを次の GKE on AWS バージョンにアップグレードします。

  • 1.15.2

対処されている脆弱性

CVE-2023-2727 では、エフェメラル コンテナの使用時に、ImagePolicyWebhook によって制限されているイメージを使用してコンテナを起動できる可能性があります。Kubernetes クラスタが影響を受けるのは、ImagePolicyWebhook アドミッション プラグインがエフェメラル コンテナとともに使用されている場合のみです。この CVE は、Gatekeeper や Kyverno などの検証 Webhook を使用して同じ制限を適用することでも軽減できます。

CVE-2023-2728 では、エフェメラル コンテナの使用時に、ServiceAccount アドミッション プラグインによって強制適用されるマウント可能なシークレット ポリシーをバイパスして、コンテナを起動できる可能性があります。このポリシーにより、サービス アカウントで実行されている Pod は、サービス アカウントの secrets フィールドで指定された Secret のみを参照できます。次の場合、クラスタはこの脆弱性の影響を受けます。

  • ServiceAccount アドミッション プラグインが使用されます。
  • kubernetes.io/enforce-mountable-secrets アノテーションは、サービス アカウントによって使用されます。このアノテーションはデフォルトでは追加されません。
  • Pod が一時コンテナを使用している。

GKE on Azure

更新日: 2023 年 8 月 11 日

説明 重大度

Kubernetes で 2 つの新しいセキュリティ問題が見つかりました。この脆弱性を利用すると、エフェメラル コンテナとともに ImagePolicyWebhook(CVE-2023-2727)または ServiceAccount アドミッション プラグイン(CVE-2023-2728)のどちらかを使用した際に、ポリシー制限をバイパスするコンテナを起動できる可能性があります。
Anthos on Azure は ImagePolicyWebhook を使用せず、CVE-2023-2727 の影響を受けません。
Anthos on Azure のすべてのバージョンは CVE-2023-2728 に対して脆弱でになる可能性があります。

必要な対策

2023 年 8 月 11 日更新: GKE on Azure の次のバージョンがこの脆弱性を修正するコードで更新されました。ノードを次の GKE on Azure バージョンにアップグレードしてください。

  • 1.15.2

対処されている脆弱性

CVE-2023-2727 では、エフェメラル コンテナの使用時に、ImagePolicyWebhook によって制限されているイメージを使用してコンテナを起動できる可能性があります。Kubernetes クラスタが影響を受けるのは、ImagePolicyWebhook アドミッション プラグインがエフェメラル コンテナとともに使用されている場合のみです。この CVE は、Gatekeeper や Kyverno などの検証 Webhook を使用して同じ制限を適用することでも軽減できます。

CVE-2023-2728 では、エフェメラル コンテナの使用時に、ServiceAccount アドミッション プラグインによって強制適用されるマウント可能なシークレット ポリシーをバイパスして、コンテナを起動できる可能性があります。このポリシーにより、サービス アカウントで実行されている Pod は、サービス アカウントの secrets フィールドで指定された Secret のみを参照できます。次の場合、クラスタはこの脆弱性の影響を受けます。

  • ServiceAccount アドミッション プラグインが使用されます。
  • kubernetes.io/enforce-mountable-secrets アノテーションは、サービス アカウントによって使用されます。このアノテーションはデフォルトでは追加されません。
  • Pod が一時コンテナを使用している。

GKE on Bare Metal

更新日: 2023 年 8 月 11 日

説明 重大度

Kubernetes で 2 つの新しいセキュリティ問題が見つかりました。この脆弱性を利用すると、エフェメラル コンテナとともに ImagePolicyWebhook(CVE-2023-2727)または ServiceAccount アドミッション プラグイン(CVE-2023-2728)のどちらかを使用した際に、ポリシー制限をバイパスするコンテナを起動できる可能性があります。
Anthos on bare metal は ImagePolicyWebhook を使用せず、CVE-2023-2727 の影響を受けません
Anthos on bare metal のすべてのバージョンは、CVE-2023-2728 に対して脆弱になる可能性があります。

必要な対策

2023 年 8 月 11 日更新: Google Distributed Cloud Virtual for Bare Metal の次のバージョンは、この脆弱性を修正するコードで更新されています。ノードを次のいずれかの Google Distributed Cloud Virtual for Bare Metal バージョンにアップグレードします。

  • 1.13.9
  • 1.14.7
  • 1.15.3

対処されている脆弱性

CVE-2023-2727 では、エフェメラル コンテナの使用時に、ImagePolicyWebhook によって制限されているイメージを使用してコンテナを起動できる可能性があります。Kubernetes クラスタが影響を受けるのは、ImagePolicyWebhook アドミッション プラグインがエフェメラル コンテナとともに使用されている場合のみです。この CVE は、Gatekeeper や Kyverno などの検証 Webhook を使用して同じ制限を適用することでも軽減できます。

CVE-2023-2728 では、エフェメラル コンテナの使用時に、ServiceAccount アドミッション プラグインによって強制適用されるマウント可能なシークレット ポリシーをバイパスして、コンテナを起動できる可能性があります。このポリシーにより、サービス アカウントで実行されている Pod は、サービス アカウントの secrets フィールドで指定された Secret のみを参照できます。次の場合、クラスタはこの脆弱性の影響を受けます。

  • ServiceAccount アドミッション プラグインが使用されます。
  • kubernetes.io/enforce-mountable-secrets アノテーションは、サービス アカウントによって使用されます。このアノテーションはデフォルトでは追加されません。
  • Pod が一時コンテナを使用している。

GCP-2023-009

公開日: 2023 年 6 月 6 日
参考情報: CVE-2023-2878

GKE

説明 重大度

Secret ストアの CSI ドライバに新しい脆弱性(CVE-2023-2878)が見つかりました。この脆弱性により、ドライバログにアクセスできるアクターがサービス アカウント トークンを観察できる可能性があります。これらのトークンは、外部クラウド プロバイダと交換して、クラウド バウト ソリューションに保存されているシークレットにアクセスできます。

GKE は、この CVE の影響を受けません。

必要な対策

GKE は影響を受けませんが、secrets-store-csi-driver コンポーネントをインストールしている場合は、パッチ適用済みバージョンでインストールを更新する必要があります。

このパッチで対処される脆弱性

secrets-store-csi-driver で脆弱性 CVE-2023-2878 が見つかりました。この脆弱性により、ドライバログにアクセスできるアクターがサービス アカウント トークンを観察できる可能性があります。これらのトークンは、外部クラウド プロバイダと交換して、クラウド ボールト ソリューションに保存されているシークレットにアクセスできます。トークンがログに記録されるのは、CSIDriver オブジェクトで TokenRequests が構成され、ドライバが -v フラグを使用してログレベル 2 以上で実行するように設定されている場合のみです。

 なし

GKE on VMware

説明 重大度

Secret ストアの CSI ドライバに新しい脆弱性(CVE-2023-2878)が見つかりました。この脆弱性により、ドライバログにアクセスできるアクターがサービス アカウント トークンを観察できる可能性があります。これらのトークンは、外部クラウド プロバイダと交換して、クラウド バウト ソリューションに保存されているシークレットにアクセスできます。

GKE on VMware は、この CVE の影響を受けません。

必要な対策

GKE on VMware は影響を受けませんが、secrets-store-csi-driver コンポーネントをインストールしている場合は、パッチ適用済みバージョンでインストールを更新する必要があります。

このパッチで対処される脆弱性

secrets-store-csi-driver で脆弱性 CVE-2023-2878 が見つかりました。この脆弱性により、ドライバログにアクセスできるアクターがサービス アカウント トークンを観察できる可能性があります。これらのトークンは、外部クラウド プロバイダと交換して、クラウド ボールト ソリューションに保存されているシークレットにアクセスできます。トークンがログに記録されるのは、CSIDriver オブジェクトで TokenRequests が構成され、ドライバが -v フラグを使用してログレベル 2 以上で実行するように設定されている場合のみです。

 なし

GKE on AWS

説明 重大度

Secret ストアの CSI ドライバに新しい脆弱性(CVE-2023-2878)が見つかりました。この脆弱性により、ドライバログにアクセスできるアクターがサービス アカウント トークンを観察できる可能性があります。これらのトークンは、外部クラウド プロバイダと交換して、クラウド バウト ソリューションに保存されているシークレットにアクセスできます。

GKE on AWS は、この CVE の影響を受けません。

必要な対策

GKE on AWS は影響を受けませんが、secrets-store-csi-driver コンポーネントをインストールしている場合は、パッチ適用済みバージョンでインストールを更新する必要があります。

このパッチで対処される脆弱性

secrets-store-csi-driver で脆弱性 CVE-2023-2878 が見つかりました。この脆弱性により、ドライバログにアクセスできるアクターがサービス アカウント トークンを観察できる可能性があります。これらのトークンは、外部クラウド プロバイダと交換して、クラウド ボールト ソリューションに保存されているシークレットにアクセスできます。トークンがログに記録されるのは、CSIDriver オブジェクトで TokenRequests が構成され、ドライバが -v フラグを使用してログレベル 2 以上で実行するように設定されている場合のみです。

 なし

GKE on Azure

説明 重大度

Secret ストアの CSI ドライバに新しい脆弱性(CVE-2023-2878)が見つかりました。この脆弱性により、ドライバログにアクセスできるアクターがサービス アカウント トークンを観察できる可能性があります。これらのトークンは、外部クラウド プロバイダと交換して、クラウド ボールト ソリューションに保存されているシークレットにアクセスできます。

GKE on Azure は、この CVE の影響を受けません

必要な対策

GKE on Azure は影響を受けませんが、secrets-store-csi-driver コンポーネントをインストールしている場合は、パッチ適用済みバージョンでインストールを更新する必要があります。

このパッチで対処される脆弱性

secrets-store-csi-driver で脆弱性 CVE-2023-2878 が見つかりました。この脆弱性により、ドライバログにアクセスできるアクターがサービス アカウント トークンを観察できる可能性があります。これらのトークンは、外部クラウド プロバイダと交換して、クラウド ボールト ソリューションに保存されているシークレットにアクセスできます。トークンがログに記録されるのは、CSIDriver オブジェクトで TokenRequests が構成され、ドライバが -v フラグを使用してログレベル 2 以上で実行するように設定されている場合のみです。

 なし

GKE on Bare Metal

説明 重大度

Secret ストアの CSI ドライバに新しい脆弱性(CVE-2023-2878)が見つかりました。この脆弱性により、ドライバログにアクセスできるアクターがサービス アカウント トークンを観察できる可能性があります。これらのトークンは、外部クラウド プロバイダと交換して、クラウド ボールト ソリューションに保存されているシークレットにアクセスできます。

GKE on Bare Metal は、この CVE の影響を受けません。

必要な対策

GKE on Bare Metal は影響を受けませんが、secrets-store-csi-driver コンポーネントをインストールしている場合は、パッチ適用済みバージョンでインストールを更新する必要があります。

このパッチで対処される脆弱性

secrets-store-csi-driver で脆弱性 CVE-2023-2878 が見つかりました。この脆弱性により、ドライバログにアクセスできるアクターがサービス アカウント トークンを観察できる可能性があります。これらのトークンは、外部クラウド プロバイダと交換して、クラウド ボールト ソリューションに保存されているシークレットにアクセスできます。トークンがログに記録されるのは、CSIDriver オブジェクトで TokenRequests が構成され、ドライバが -v フラグを使用してログレベル 2 以上で実行するように設定されている場合のみです。

 なし

GCP-2023-008

公開日: 2023 年 6 月 5 日
参考情報: CVE-2023-1872

GKE

説明 重大度

Linux カーネルで、ノードの root への権限昇格を引き起こす可能性がある新しい脆弱性 (CVE-2023-1872) が見つかりました。GKE Standard クラスタと Autopilot クラスタが影響を受けます。

GKE Sandbox を使用するクラスタは影響を受けません。

必要な対策

次のバージョンの GKE は更新されており、この脆弱性を修正するためのコードが追加されています。セキュリティ上の理由から、ノードの自動アップグレードが有効になっている場合でも、クラスタとノードプールを次のいずれかの GKE バージョンに手動でアップグレードすることをおすすめします。

  • 1.22.17-gke.11400
  • 1.23.17-gke.5600
  • 1.24.13-gke.2500
  • 1.25.9-gke.2300
  • 1.26.5-gke.1200

リリース チャンネルの新しい機能を使用すると、チャンネルの登録を解除することなくパッチを適用できます。これにより、新しいバージョンがリリース固有のチャンネルのデフォルトになるまで、ノードを保護できます。

このパッチで対処される脆弱性

CVE-2023-1872 は、Linux カーネルの io_uring サブシステムにある use-after-free の脆弱性で、ローカルの権限昇格に悪用される可能性があります。io_file_get_fixed 関数に ctx->uring_lock が存在しないため、固定ファイルが登録解除される競合状態により、使用後の解放の脆弱性につながる可能性があります。

GKE on VMware

説明 重大度

Linux カーネルで、ノードの root への権限昇格を引き起こす可能性がある新しい脆弱性 (CVE-2023-1872) が見つかりました。

必要な対策

このパッチで対処される脆弱性

CVE-2023-1872 は、Linux カーネルの io_uring サブシステムにある use-after-free の脆弱性で、ローカルの権限昇格に悪用される可能性があります。io_file_get_fixed 関数に ctx->uring_lock が存在しないため、固定ファイルが登録解除される競合状態により、使用後の解放の脆弱性につながる可能性があります。

GKE on AWS

説明 重大度

Linux カーネルで、ノードの root への権限昇格を引き起こす可能性がある新しい脆弱性 (CVE-2023-1872) が見つかりました。

必要な対策

次のバージョンの GKE on AWS は更新されており、これらの脆弱性を修正するコードが追加されています。

  • 1.15.1

    • このパッチで対処される脆弱性

    CVE-2023-1872 は、Linux カーネルの io_uring サブシステムにある use-after-free の脆弱性で、ローカルの権限昇格に悪用される可能性があります。io_file_get_fixed 関数に ctx->uring_lock が存在しないため、固定ファイルが登録解除される競合状態により、使用後の解放の脆弱性につながる可能性があります。

    GKE on Azure

    説明 重大度

    Linux カーネルで、ノードの root への権限昇格を引き起こす可能性がある新しい脆弱性 (CVE-2023-1872) が見つかりました。

    必要な対策

    次のバージョンの GKE on Azure は更新されており、これらの脆弱性を修正するためのコードが追加されています。

  • 1.15.1

    • このパッチで対処される脆弱性

    CVE-2023-1872 は、Linux カーネルの io_uring サブシステムにある use-after-free の脆弱性で、ローカルの権限昇格に悪用される可能性があります。io_file_get_fixed 関数に ctx->uring_lock が存在しないため、固定ファイルが登録解除される競合状態により、使用後の解放の脆弱性につながる可能性があります。

    GKE on Bare Metal

    説明 重大度

    Linux カーネルで、ノードの root への権限昇格を引き起こす可能性がある新しい脆弱性 (CVE-2023-1872) が見つかりました。

    GKE on Bare Metal は、この CVE の影響を受けません。

    必要な対策

    対応は不要です。

    		 なし

    GCP-2023-005

    公開日: 2023 年 5 月 18 日
    更新日: 2023 年 6 月 6 日
    参考情報: CVE-2023-1281CVE-2023-1829

    2023 年 6 月 6 日更新: 新しい GKE バージョンが更新され、CVE-2023-1281 および CVE-2023-1829 にパッチを適用する最新の Ubuntu バージョンが追加されました。

    GKE

    更新日: 2023 年 6 月 6 日

    説明 重大度

    Linux カーネルで 2 つの新しい脆弱性(CVE-2023-1281、CVE-2023-1829)が発見されました。この脆弱性により、ノードの root への権限昇格を引き起こす可能性があります。GKE Standard クラスタが影響を受けます。

    GKE Autopilot クラスタと GKE Sandbox を使用するクラスタは影響を受けません。

    必要な対策

    2023 年 6 月 6 日更新: Ubuntu のパッチ バージョンが利用可能になりました。

    次の GKE バージョンが更新され、CVE-2023-1281 および CVE-2023-1829 にパッチを適用する最新の Ubuntu バージョンが追加されました。

    • 1.23.17-gke.6800
    • 1.24.14-gke.1200
    • 1.25.10-gke.1200
    • 1.26.5-gke.1200

    次のバージョンの GKE は更新されており、この脆弱性を修正するためのコードが追加されています。セキュリティ上の理由から、ノードの自動アップグレードが有効になっている場合でも、クラスタとノードプールを次のいずれかの GKE バージョンに手動でアップグレードすることをおすすめします。

    • 1.22.17-gke.8100
    • 1.23.17-gke.2300
    • 1.24.12-gke.1100
    • 1.25.8-gke.1000
    • 1.26.3-gke.1000

    リリース チャンネルの新しい機能を使用すると、チャンネルの登録を解除することなくパッチを適用できます。これにより、新しいバージョンがリリース固有のチャンネルのデフォルトになるまで、ノードを保護できます。

    このパッチで対処される脆弱性

    CVE-2023-1281 と CVE-2023-1829 はどちらも、Linux カーネル トラフィック制御インデックス フィルタ(tcindex)の use-after-free の脆弱性で、ローカルの権限昇格に悪用される可能性があります。

    CVE-2023-1829 では、特定のケースで tcindex_delete 関数がフィルタを適切に無効にせず、後でデータ構造が二重に解放される可能性があります。

    CVE-2023-1281 では、パケットの転送中に不完全なハッシュ領域が更新される可能性があります。これにより、破棄された tcf_ext で tcf_exts_exec() が呼び出されると、use-after-free が発生します。ローカル攻撃者は、この脆弱性を利用して権限を root に昇格させることができます。

    GKE on VMware

    説明 重大度

    Linux カーネルで 2 つの新しい脆弱性(CVE-2023-1281、CVE-2023-1829)が発見されました。この脆弱性により、ノードの root への権限昇格を引き起こす可能性があります。

    必要な対策

    このパッチで対処される脆弱性

    CVE-2023-1281 と CVE-2023-1829 はどちらも、Linux カーネルのトラフィック コントロール インデックス フィルタ(tcindex)の use-after-free の脆弱性で、ローカルの権限昇格に悪用される可能性があります。

    CVE-2023-1829 では、特定のケースで tcindex_delete 関数がフィルタを適切に無効にせず、後でデータ構造が二重に解放される可能性があります。

    CVE-2023-1281 では、パケットの転送中に不完全なハッシュ領域が更新される可能性があります。これにより、破棄された tcf_ext で tcf_exts_exec() が呼び出されると、use-after-free が発生します。ローカル攻撃者は、この脆弱性を利用して権限を root に昇格させることができます。

    GKE on AWS

    説明 重大度

    Linux カーネルで 2 つの新しい脆弱性(CVE-2023-1281、CVE-2023-1829)が発見されました。この脆弱性により、ノードの root への権限昇格を引き起こす可能性があります。

    必要な対策

    このパッチで対処される脆弱性

    CVE-2023-1281 と CVE-2023-1829 はどちらも、Linux カーネルのトラフィック コントロール インデックス フィルタ(tcindex)の use-after-free の脆弱性で、ローカルの権限昇格に悪用される可能性があります。

    CVE-2023-1829 では、特定のケースで tcindex_delete 関数がフィルタを適切に無効にせず、後でデータ構造が二重に解放される可能性があります。

    CVE-2023-1281 では、パケットの転送中に不完全なハッシュ領域が更新される可能性があります。これにより、破棄された tcf_ext で tcf_exts_exec() が呼び出されると、use-after-free が発生します。ローカル攻撃者は、この脆弱性を利用して権限を root に昇格させることができます。

    GKE on Azure

    説明 重大度

    Linux カーネルで 2 つの新しい脆弱性(CVE-2023-1281、CVE-2023-1829)が発見されました。この脆弱性により、ノードの root への権限昇格を引き起こす可能性があります。

    必要な対策

    このパッチで対処される脆弱性

    CVE-2023-1281 と CVE-2023-1829 はどちらも、Linux カーネルのトラフィック コントロール インデックス フィルタ(tcindex)の use-after-free の脆弱性で、ローカルの権限昇格に悪用される可能性があります。

    CVE-2023-1829 では、特定のケースで tcindex_delete 関数がフィルタを適切に無効にせず、後でデータ構造が二重に解放される可能性があります。

    CVE-2023-1281 では、パケットの転送中に不完全なハッシュ領域が更新される可能性があります。これにより、破棄された tcf_ext で tcf_exts_exec() が呼び出されると、use-after-free が発生します。ローカル攻撃者は、この脆弱性を利用して権限を root に昇格させることができます。

    GKE on Bare Metal

    説明 重大度

    Linux カーネルで 2 つの新しい脆弱性(CVE-2023-1281、CVE-2023-1829)が発見されました。この脆弱性により、ノードの root への権限昇格を引き起こす可能性があります。

    GKE on Bare Metal は、この CVE の影響を受けません。

    必要な対策

    対応は不要です。

    		 なし

    GCP-2023-003

    公開日: 2023 年 4 月 11 日
    更新日: 2023 年 12 月 21 日
    参考情報: CVE-2023-0240CVE-2023-23586

    2023 年 12 月 21 日更新: デフォルト構成の GKE Autopilot クラスタは影響を受けないことを明確にしました。

    GKE

    更新日: 2023 年 12 月 21 日

    説明 重大度

    2023 年 12 月 21 日更新: 元の情報では、Autopilot クラスタについて影響があるとしていましたが、これは正しくありません。デフォルト構成の GKE Autopilot クラスタは影響を受けませんが、seccomp による制限なしプロファイルを明示的に設定するか、CAP_NET_ADMIN を許可した場合、脆弱性が生じる可能性があります。

    Linux カーネルで新たに 2 つの脆弱性 CVE-2023-0240 と CVE-2023-23586 が発見されました。この脆弱性により、権限のないユーザーが権限をエスカレーションできるようになります。Linux カーネル バージョン 5.10 ~ 5.10.162 を使用した COS がある GKE クラスタ(Autopilot クラスタを含む)が影響を受けます。Ubuntu イメージや GKE Sandbox を使用する GKE クラスタは影響を受けません。

    必要な対策

    次のバージョンの GKE は、これらの脆弱性を修正するコードで更新されています。セキュリティ上の理由から、ノードの自動アップグレードが有効になっている場合でも、ノードプールを次のいずれかの GKE バージョンに手動でアップグレードすることをおすすめします。

    • 1.22.17-gke.4000
    • 1.23.16-gke.1100
    • 1.24.10-gke.1200

    リリース チャンネルの新しい機能を使用すると、チャンネルの登録を解除することなくパッチを適用できます。これにより、新しいバージョンがリリース固有のチャンネルのデフォルトになるまで、ノードを保護できます。

    このパッチで対処される脆弱性

    脆弱性 1(CVE-2023-0240): io_uring の競合状態により、ノード上の root への完全なコンテナ ブレークアウトが発生する可能性があります。Linux カーネル バージョン 5.10 は 5.10.162 まで影響を受けます。

    脆弱性 2(CVE-2023-23586): io_uring/time_ns での Use-After-Free(UAF)により、ノード上の root への完全なコンテナ ブレイクアウトが発生する可能性があります。Linux カーネル バージョン 5.10 は 5.10.162 まで影響を受けます。

    GKE on VMware

    説明 重大度

    Linux カーネルで新たに 2 つの脆弱性 CVE-2023-0240 と CVE-2023-23586 が発見されました。この脆弱性により、権限のないユーザーが権限をエスカレーションできるようになります。Linux カーネル バージョン 5.10 ~ 5.10.162 を使用した COS がある GKE on VMware クラスタが影響を受けます。Ubuntu イメージを使用する GKE Enterprise クラスタは影響を受けません。

    必要な対策

    以下のバージョンの GKE on VMware は更新されており、これらの脆弱性を修正するためのコードが追加されています。

    • 1.12.6
    • 1.13.5

    このパッチで対処される脆弱性

    脆弱性 1(CVE-2023-0240): io_uring の競合状態により、ノード上の root への完全なコンテナ ブレイクアウトが発生する可能性があります。Linux カーネル バージョン 5.10 は 5.10.162 まで影響を受けます。

    脆弱性 2(CVE-2023-23586): io_uring/time_ns での use-after-free(UAF)により、ノード上の root への完全なコンテナ ブレークアウトが発生する可能性があります。Linux カーネル バージョン 5.10 は 5.10.162 まで影響を受けます。

    GKE on AWS

    説明 重大度

    Linux カーネルで新たに 2 つの脆弱性 CVE-2023-0240 と CVE-2023-23586 が発見されました。この脆弱性により、権限のないユーザーが権限をエスカレーションできるようになります。GKE on AWS は、これらの CVE の影響を受けません。

    必要な対策

    対応は不要です。

    		 なし

    GKE on Azure

    説明 重大度

    Linux カーネルで新たに 2 つの脆弱性 CVE-2023-0240 と CVE-2023-23586 が発見されました。この脆弱性により、権限のないユーザーが権限をエスカレーションできるようになります。GKE on Azure は、これらの CVE の影響を受けません

    必要な対策

    対応は不要です。

    		 なし

    GKE on Bare Metal

    説明 重大度

    Linux カーネルで新たに 2 つの脆弱性 CVE-2023-0240 と CVE-2023-23586 が発見されました。この脆弱性により、権限のないユーザーが権限をエスカレーションできるようになります。GKE on Bare Metal は、これらの CVE の影響を受けません。

    必要な対策

    対応は不要です。

    		 なし

    GCP-2023-001

    公開日: 2023 年 3 月 1 日
    更新日: 2023 年 12 月 21 日
    参考情報: CVE-2022-4696

    2023 年 12 月 21 日更新: デフォルト構成の GKE Autopilot クラスタは影響を受けないことを明確にしました。

    GKE

    説明 重大度

    2023 年 12 月 21 日更新: 元の情報では、Autopilot クラスタについて影響があるとしていましたが、これは正しくありません。デフォルト構成の GKE Autopilot クラスタは影響を受けませんが、seccomp による制限なしプロファイルを明示的に設定するか、CAP_NET_ADMIN を許可した場合、脆弱性が生じる可能性があります。

    Linux カーネルで、ノードでの権限昇格が発生する可能性がある新しい脆弱性(CVE-2022-4696)が見つかりました。Autopilot クラスタを含む GKE クラスタが影響を受けます。GKE Sandbox を使用する GKE クラスタは影響を受けません。

    必要な対策

    次のバージョンの GKE は更新されており、この脆弱性を修正するためのコードが追加されています。セキュリティ上の理由から、ノードの自動アップグレードが有効になっている場合でも、クラスタおよびノードプールを次のいずれかの GKE バージョンに手動でアップグレードすることをおすすめします。

    • 1.22.17-gke.3100
    • 1.23.16-gke.200
    • 1.24.9-gke.3200

    リリース チャンネルの新しい機能を使用すると、チャンネルの登録を解除することなくパッチを適用できます。これにより、新しいバージョンがリリース固有のチャンネルのデフォルトになるまで、ノードを保護できます。

    このパッチで対処される脆弱性

    CVE-2022-4696 で、Linux カーネルの io_uring と ioring_op_splice に use-after-free の不具合が見つかりました。この欠陥により、ローカル ユーザーがローカル権限昇格を作成できるようになります。

    GKE on VMware

    説明 重大度

    Linux カーネルで、ノードでの権限昇格が発生する可能性がある新しい脆弱性(CVE-2022-4696)が見つかりました。v1.12 と v1.13 を実行している GKE on VMware が影響を受けます。v1.14 以降を実行している GKE on VMware は影響を受けません。

    必要な対策

    以下のバージョンの GKE on VMware は更新されており、この脆弱性を修正するためのコードが追加されています。管理クラスタとユーザー クラスタを、次のいずれかの GKE on VMware バージョンにアップグレードすることをおすすめします。

    • 1.12.5
    • 1.13.5

    このパッチで対処される脆弱性

    CVE-2022-4696 で、Linux カーネルの io_uring と ioring_op_splice に use-after-free の不具合が見つかりました。この欠陥により、ローカル ユーザーがローカル権限昇格を作成できるようになります。

    GKE on AWS

    説明 重大度

    Linux カーネルで、ノードでの権限昇格が発生する可能性がある新しい脆弱性(CVE-2022-4696)が見つかりました。GKE on AWS は、この脆弱性の影響を受けません。

    必要な対策

    このため、ご対応は不要です。

    		 なし

    GKE on Azure

    説明 重大度

    Linux カーネルで、ノードでの権限昇格が発生する可能性がある新しい脆弱性(CVE-2022-4696)が見つかりました。GKE on Azure は、この脆弱性の影響を受けません。

    必要な対策

    このため、ご対応は不要です。

    		 なし

    GKE on Bare Metal

    説明 重大度

    Linux カーネルで、ノードでの権限昇格が発生する可能性がある新しい脆弱性(CVE-2022-4696)が見つかりました。GKE on Bare Metal は、この脆弱性の影響を受けません。

    必要な対策

    このため、ご対応は不要です。

    		 なし

    GCP-2022-026

    公開: 2023 年 1 月 11 日
    参照: CVE-2022-3786CVE-2022-3602

    GKE

    説明 重大度

    OpenSSL v3.0.6 でクラッシュを引き起こす可能性のある 2 つの新しい脆弱性(CVE-2022-3786 と CVE-2022-3602)が発見されました。これは NVD データベースで高評価ですが、GKE エンドポイントは影響を受けない boringSSL または古いバージョンの OpenSSL を使用しているため、GKE の評価は中程度に引き下げられました。

    必要な対策

    次のバージョンの GKE は更新されており、この脆弱性を修正するためのコードが追加されています。

    • 1.25.4-gke.1600
    • 1.24.8-gke.401
    • 1.23.14-gke.401
    • 1.22.16-gke.1300
    • 1.21.14-gke.14100

    リリース チャンネルの新しい機能を使用すると、チャンネルの登録を解除することなくパッチを適用できます。これにより、新しいバージョンがリリース固有のチャンネルのデフォルトになるまで、ノードを保護できます。

    このパッチで対処される脆弱性

    CVE-2022-3786 と CVE-2022-3602 では、X.509 証明書の検証でバッファ オーバーランが発生し、クラッシュを引き起こしてサービス拒否につながる可能性があります。この脆弱性が悪用されるには、CA が悪意のある証明書に署名するか、信頼できる発行元へのパスを構築できなかったにもかかわらず、アプリケーションが証明書の検証を続行する必要があります。

    GKE on VMware

    説明 重大度

    OpenSSL v3.0.6 でクラッシュを引き起こす可能性のある 2 つの新しい脆弱性(CVE-2022-3786 と CVE-2022-3602)が発見されました。

    必要な対策

    GKE on VMware は、影響を受けるバージョンの OpenSSL を使用していないため、この CVE の影響を受けません。

    このパッチで対処される脆弱性

    対応は不要です。

    		 なし

    GKE on AWS

    説明 重大度

    OpenSSL v3.0.6 でクラッシュを引き起こす可能性のある 2 つの新しい脆弱性(CVE-2022-3786 と CVE-2022-3602)が発見されました。

    必要な対策

    GKE on AWS は、影響を受けるバージョンの OpenSSL を使用していないため、この CVE の影響を受けません。

    このパッチで対処される脆弱性

    対応は不要です。

    		 なし

    GKE on Azure

    説明 重大度

    OpenSSL v3.0.6 でクラッシュを引き起こす可能性のある 2 つの新しい脆弱性(CVE-2022-3786 と CVE-2022-3602)が発見されました。

    必要な対策

    GKE on Azure は、影響を受けるバージョンの OpenSSL を使用していないため、この CVE の影響を受けません。

    このパッチで対処される脆弱性

    対応は不要です。

    		 なし

    GKE on Bare Metal

    説明 重大度

    OpenSSL v3.0.6 でクラッシュを引き起こす可能性のある 2 つの新しい脆弱性(CVE-2022-3786 と CVE-2022-3602)が発見されました。

    必要な対策

    GKE on Bare Metal は、影響を受けるバージョンの OpenSSL を使用していないため、この CVE の影響を受けません。

    このパッチで対処される脆弱性

    対応は不要です。

    		 なし

    GCP-2022-025

    公開日: 2022 年 12 月 21 日
    更新日: 2023 年 1 月 19 日、2023 年 12 月 21 日
    参考情報: CVE-2022-2602

    2023 年 12 月 21 日更新: デフォルト構成の GKE Autopilot クラスタは影響を受けないことを明確にしました。

    2023 年 1 月 19 日更新: GKE バージョン 1.21.14-gke.14100 が利用可能になりました。

    GKE

    更新日: 2023 年 1 月 19 日

    説明 重大度

    2023 年 12 月 21 日更新: 元の情報では、Autopilot クラスタについて影響があるとしていましたが、これは正しくありません。デフォルト構成の GKE Autopilot クラスタは影響を受けませんが、seccomp による制限なしプロファイルを明示的に設定するか、CAP_NET_ADMIN を許可した場合、脆弱性が生じる可能性があります。

    Linux カーネルの io_uring サブシステムで、攻撃者が任意のコードを実行できる可能性がある新しい脆弱性(CVE-2022-2602)が見つかりました。Autopilot クラスタを含む GKE クラスタが影響を受けます。

    GKE Sandbox を使用する GKE クラスタは影響を受けません。

    必要な対策

    2023 年 1 月 19 日更新: バージョン 1.21.14-gke.14100 が利用可能になりました。ノードプールをこのバージョン以降にアップグレードします。

    次のバージョンの GKE は更新されており、この脆弱性を修正するためのコードが追加されています。セキュリティ上の理由から、ノードの自動アップグレードが有効になっている場合でも、ノードプールを次のいずれかの GKE バージョンに手動でアップグレードすることをおすすめします。

    • Container-Optimized OS:
      • 1.22.16-gke.1300 以降
      • 1.23.14-gke.401 以降
      • 1.24.7-gke.900 以降
      • 1.25.4-gke.1600 以降
    • Ubuntu:
      • 1.22.15-gke.2500 以降
      • 1.23.13-gke.900 以降
      • 1.24.7-gke.900 以降
      • 1.25.3-gke.800 以降

    リリース チャンネルの新しい機能を使用すると、チャンネルの登録を解除することなくパッチを適用できます。これにより、新しいバージョンがリリース固有のチャンネルのデフォルトになるまで、ノードを保護できます。

    このパッチで対処される脆弱性

    CVE-2022-2602 では、io_uring リクエスト処理と Unix ソケットのガベージ コレクション間の競合状態により、use-after-free の脆弱性が生じる可能性があります。ローカルの攻撃者がこれを利用して、サービス拒否をトリガーしたり、任意のコードを実行したりする可能性があります。

    GKE on VMware

    説明 重大度

    Linux カーネルの io_uring サブシステムで、攻撃者が任意のコードを実行できる可能性がある新しい脆弱性(CVE-2022-2602)が見つかりました。

    GKE on VMware のバージョン 1.11、1.12、1.13 が影響を受けます。

    必要な対策

    クラスタをパッチ適用済みバージョンにアップグレードします。次のバージョンの GKE on VMware には、この脆弱性を修正するコードが含まれています。

    • 1.13.2
    • 1.12.4
    • 1.11.5

    このパッチで対処される脆弱性

    CVE-2022-2602 では、io_uring リクエスト処理と Unix ソケットのガベージ コレクション間の競合状態により、use-after-free の脆弱性が生じる可能性があります。ローカルの攻撃者がこれを利用して、サービス拒否をトリガーしたり、任意のコードを実行したりする可能性があります。

    GKE on AWS

    説明 重大度

    Linux カーネルの io_uring サブシステムで、攻撃者が任意のコードを実行できる可能性がある新しい脆弱性(CVE-2022-2602)が見つかりました。

    必要な対策

    GKE on AWS の現行バージョンと以前のバージョンがこの脆弱性を修正するコードで更新されました。ノードを、次に示す GKE on AWS バージョンのいずれかにアップグレードすることをおすすめします。

    • 現行世代:
      • 1.22.15-gke.100
      • 1.23.11-gke.300
      • 1.24.5-gke.200
    • 前の世代:
      • 1.22.15-gke.1400
      • 1.23.12-gke.1400
      • 1.24.6-gke.1300

    このパッチで対処される脆弱性

    CVE-2022-2602 では、io_uring リクエスト処理と Unix ソケットのガベージ コレクション間の競合状態により、use-after-free の脆弱性が生じる可能性があります。ローカルの攻撃者がこれを利用して、サービス拒否をトリガーしたり、任意のコードを実行したりする可能性があります。

    GKE on Azure

    説明 重大度

    Linux カーネルの io_uring サブシステムで、攻撃者が任意のコードを実行できる可能性がある新しい脆弱性(CVE-2022-2602)が見つかりました。

    必要な対策

    次のバージョンの GKE on Azure は更新されており、この脆弱性を修正するためのコードが追加されています。ノードを、次に示す GKE on Azure バージョンのいずれかにアップグレードすることをおすすめします。

    • 1.22.15-gke.100
    • 1.23.11-gke.300
    • 1.24.5-gke.200

    このパッチで対処される脆弱性

    CVE-2022-2602 では、io_uring リクエスト処理と Unix ソケットのガベージ コレクション間の競合状態により、use-after-free の脆弱性が生じる可能性があります。ローカルの攻撃者がこれを利用して、サービス拒否をトリガーしたり、任意のコードを実行したりする可能性があります。

    GKE on Bare Metal

    説明 重大度

    Linux カーネルの io_uring サブシステムで、攻撃者が任意のコードを実行できる可能性がある新しい脆弱性(CVE-2022-2602)が見つかりました。

    GKE on Bare Metal は、ディストリビューションにオペレーティング システムがバンドルされていないため、この CVE の影響を受けません。

    必要な対策

    対応は不要です。

    		 なし

    GCP-2022-024

    公開日: 2022 年 11 月 9 日
    更新日: 2022 年 1 月 19 日
    参考情報: CVE-2022-2585CVE-2022-2588

    2023 年 1 月 19 日更新: GKE バージョン 1.21.14-gke.14100 が利用可能になりました。
    2022 年 12 月 16 日更新: GKE と GKE on VMware の修正済みパッチ バージョンを追加しました。

    GKE

    更新日: 2023 年 1 月 19 日

    説明 重大度

    Linux カーネルに 2 つの新しい脆弱性(CVE-2022-2585 と CVE-2022-2588)が見つかりました。これにより、ノード上のルートで完全なコンテナ ブレイクアウトが引き起こされる可能性があります。Autopilot クラスタを含む GKE クラスタが影響を受けます。

    GKE Sandbox を使用する GKE クラスタは影響を受けません。

    必要な対策

    2023 年 1 月 19 日更新: バージョン 1.21.14-gke.14100 が利用可能になりました。ノードプールをこのバージョン以降にアップグレードします。

    2022 年 12 月 16 日更新: リリースの回帰により、以前のバージョンの公開情報を改訂しました。ノードプールを次のいずれかの GKE バージョンに手動でアップグレードしてください。

    • 1.22.16-gke.1300 以降
    • 1.23.14-gke.401 以降
    • 1.24.7-gke.900 以降
    • 1.25.4-gke.1600 以降

    次のバージョンの GKE は更新されており、この脆弱性を修正するためのコードが追加されています。セキュリティ上の理由から、ノードの自動アップグレードが有効になっている場合でも、ノードプールを次のいずれかの GKE バージョンに手動でアップグレードすることをおすすめします。

    • 1.21.14-gke.9500
    • 1.24.7-gke.900

    GKE v1.22、1.23、1.25 のアップデートは近日提供される予定です。このセキュリティに関する情報は、利用可能になり次第、更新されます。

    リリース チャンネルの新しい機能を使用すると、チャンネルの登録を解除することなくパッチを適用できます。これにより、新しいバージョンがリリース固有のチャンネルのデフォルトになるまで、ノードを保護できます。

    このパッチで対処される脆弱性

    • CVE-2022-2585 では、Posix CPU タイマーでタイマーが不適切にクリーンアップされるため、タイマーの作成と削除方法に応じて、use-after-free エクスプロイトが可能になります。
    • CVE-2022-2588 で、Linux カーネルの route4_change に use-after-free 不具合がありました。この欠陥により、ローカル ユーザーがシステムをクラッシュさせ、ローカルで権限を昇格させられる可能性があります。

    GKE on VMware

    更新日: 2022 年 12 月 16 日

    説明 重大度

    Linux カーネルに 2 つの新しい脆弱性(CVE-2022-2585 と CVE-2022-2588)が見つかりました。これにより、ノード上のルートで完全なコンテナ ブレイクアウトが引き起こされる可能性があります。

    GKE on VMware のバージョン 1.13、1.12、1.11 が影響を受けます。

    必要な対策

    2022 年 12 月 16 日更新: GKE on VMware の次のバージョンがこの脆弱性を修正するコードで更新されました。管理クラスタとユーザー クラスタを、次のいずれかの GKE on VMware バージョンにアップグレードすることをおすすめします。

    • 1.13.2
    • 1.12.4
    • 1.11.6
    • 注: Container-Optimized OS パッチを含む GKE on VMware のバージョンが、近日中にリリースされる予定です。このセキュリティに関する情報は、GKE on VMware のバージョンがダウンロード可能になると更新されます。

    このパッチで対処される脆弱性

    • CVE-2022-2585 では、Posix CPU タイマーでタイマーが不適切にクリーンアップされるため、タイマーの作成と削除方法に応じて、use-after-free エクスプロイトが可能になります。
    • CVE-2022-2588 で、Linux カーネルの route4_change に use-after-free 不具合がありました。この欠陥により、ローカル ユーザーがシステムをクラッシュさせ、ローカルで権限を昇格させられる可能性があります。

    GKE on AWS

    説明 重大度

    Linux カーネルに 2 つの新しい脆弱性(CVE-2022-2585 と CVE-2022-2588)が見つかりました。これにより、ノード上のルートで完全なコンテナ ブレイクアウトが引き起こされる可能性があります。

    影響を受ける可能性がある Kubernetes on AWS のバージョンは次のとおりです。

    • 1.23: 1.23.9-gke.800 より古いバージョン 新しいマイナー バージョンは影響を受けません
    • 1.22: 1.22.12-gke.1100 より古いバージョン 新しいマイナー バージョンは影響を受けません

    Kubernetes V1.24 は影響を受けません。

    必要な対策

    クラスタを次のいずれかの AWS Kubernetes バージョンにアップグレードすることをおすすめします。

    • 1.23: v1.23.9-gke.800 より新しいバージョン
    • 1.22: 1.22.12-gke-1100 以降のバージョン

    対処されている脆弱性

    CVE-2022-2585 では、Posix CPU タイマーでタイマーが不適切にクリーンアップされるため、タイマーの作成と削除方法に応じて、use-after-free エクスプロイトが可能になります。

    CVE-2022-2588 で、Linux カーネルの route4_change に use-after-free 不具合がありました。この欠陥により、ローカル ユーザーがシステムをクラッシュさせ、ローカルで権限を昇格させられる可能性があります。

    GKE on Azure

    説明 重大度

    Linux カーネルに 2 つの新しい脆弱性(CVE-2022-2585 と CVE-2022-2588)が見つかりました。これにより、ノード上のルートで完全なコンテナ ブレイクアウトが引き起こされる可能性があります。

    影響を受ける可能性がある Kubernetes on Azure のバージョンは次のとおりです。

    • 1.23: 1.23.9-gke.800 より古いバージョン 新しいマイナー バージョンは影響を受けません。
    • 1.22: 1.22.12-gke.1100 より古いバージョン 新しいマイナー バージョンは影響を受けません。

    Kubernetes V1.24 は影響を受けません。

    必要な対策

    クラスタを次のいずれかの Azure Kubernetes バージョンにアップグレードすることをおすすめします。

    • 1.23: v1.23.9-gke.800 より新しいバージョン
    • 1.22: 1.22.12-gke-1100 以降のバージョン

    対処されている脆弱性

    CVE-2022-2585 では、Posix CPU タイマーでタイマーが不適切にクリーンアップされるため、タイマーの作成と削除方法に応じて、use-after-free エクスプロイトが可能になります。

    CVE-2022-2588 で、Linux カーネルの route4_change に use-after-free 不具合がありました。この欠陥により、ローカル ユーザーがシステムをクラッシュさせ、ローカルで権限を昇格させられる可能性があります。

    GKE on Bare Metal

    説明 重大度

    Linux カーネルに 2 つの新しい脆弱性(CVE-2022-2585 と CVE-2022-2588)が見つかりました。これにより、ノード上のルートで完全なコンテナ ブレイクアウトが引き起こされる可能性があります。

    GKE on Bare Metal は、ディストリビューションにオペレーティング システムが含まれていないため、この CVE の影響を受けません。

    必要な対策

    対応は不要です。

    		 なし

    GCP-2022-023

    公開日: 2022 年 11 月 4 日
    参考情報: CVE-2022-39278

    GKE

    説明 重大度

    Istio で、Cloud Service Mesh で使用されているセキュリティ上の脆弱性、CVE-2022-39278 が発見されました。これは、悪意のある攻撃者がコントロール プレーンをクラッシュできるというものです。

    必要な対策

    Google Kubernetes Engine(GKE)には Istio が付属していないため、この脆弱性の影響を受けません。ただし、GKE クラスタに Cloud Service Mesh または Istio を個別にインストールしている場合は、GCP-2022-020(この CVE の Cloud Service Mesh のセキュリティに関する公開情報)をご覧ください。

    		 なし

    GKE on VMware

    説明 重大度

    Istio で、GKE on VMware の Cloud Service Mesh で使用されているセキュリティ上の脆弱性 CVE-2022-39278 が発見されました。これは、悪意のある攻撃者が Istio コントロール プレーンをクラッシュさせることができるというものです。

    必要な対策

    以下のバージョンの GKE on VMware は更新されており、この脆弱性を修正するためのコードが追加されています。管理クラスタとユーザー クラスタを、次のいずれかの GKE on VMware バージョンにアップグレードすることをおすすめします。

    • 1.11.4
    • 1.12.3
    • 1.13.1

    このパッチで対処される脆弱性

    脆弱性 CVE-2022-39278 により、Istio コントロール プレーン istiod はリクエスト処理中のエラーに対して脆弱であり、悪意のある攻撃者が特別に細工されたメッセージを送信すると、クラスタの検証 Webhook が一般公開されたときにコントロール プレーンがクラッシュします。このエンドポイントは TLS ポート 15017 経由で提供されますが、攻撃者からの認証は必要ありません。

    GKE on AWS

    説明 重大度

    Istio で、Cloud Service Mesh で使用されているセキュリティ上の脆弱性(CVE-2022-39278)が見つかりました。これは、悪意のある攻撃者がコントロール プレーンをクラッシュできるというものです。

    必要な対策

    GKE on AWS はこの脆弱性の影響を受けないため、対応は必要ありません。

    		 なし

    GKE on Azure

    説明 重大度

    Istio で、Cloud Service Mesh で使用されているセキュリティ上の脆弱性、CVE-2022-39278 が発見されました。これは、悪意のある攻撃者がコントロール プレーンをクラッシュできるというものです。

    必要な対策

    GKE on Azure はこの脆弱性の影響を受けないため、対応は必要ありません。

    		 なし

    GKE on Bare Metal

    説明 重大度

    Istio で、GKE on Bare Metal の Cloud Service Mesh で使用されているセキュリティ上の脆弱性 CVE-2022-39278 が発見されました。これは、悪意のある攻撃者が Istio コントロール プレーンをクラッシュさせることができるというものです。

    必要な対策

    次のバージョンの GKE on Bare Metal は更新されており、この脆弱性を修正するためのコードが追加されています。クラスタを次のいずれかの GKE on Bare Metal バージョンにアップグレードすることをおすすめします。

    • 1.11.7
    • 1.12.4
    • 1.13.1

    このパッチで対処される脆弱性

    脆弱性 CVE-2022-39278 により、Istio コントロール プレーン istiod はリクエスト処理中のエラーに対して脆弱であり、悪意のある攻撃者が特別に細工されたメッセージを送信すると、クラスタの検証 Webhook が一般公開されたときにコントロール プレーンがクラッシュします。このエンドポイントは TLS ポート 15017 経由で提供されますが、攻撃者からの認証は必要ありません。

    GCP-2022-022-更新済み

    公開日: 2022 年 12 月 8 日
    参考情報: CVE-2022-20409

    GKE

    更新日: 2022 年 12 月 14 日

    説明 重大度

    Linux カーネルで、ローカルでの権限昇格につながる可能性がある新しい脆弱性(CVE-2022-20409)が見つかりました。Container-Optimized OS バージョン 93 と 97 を使用する Google Kubernetes Engine(GKE)v1.22、v1.23、v1.24 クラスタ(Autopilot クラスタを含む)が影響を受けます。サポートされている他の GKE バージョンは影響を受けません。GKE Sandbox を使用する GKE クラスタは影響を受けません。

    必要な対策

    2022 年 12 月 14 日更新: リリースの回帰により、以前のバージョンの公開情報を改訂しました。ノードプールを次のいずれかの GKE バージョンに手動でアップグレードしてください。

    • 1.22.15-gke.2500 以降
    • 1.23.13-gke.900 以降
    • 1.24.7-gke.900 以降

    Container-Optimized OS バージョン 93 と 97 を使用する GKE の以下のバージョンは、今後のリリースでこの脆弱性を修正するコードが追加されています。セキュリティ上の理由から、ノードの自動アップグレードが有効になっている場合でも、ノードプールを次のいずれかの GKE バージョンに手動でアップグレードすることをおすすめします。

    • 1.22.15-gke.2300 以降
    • 1.23.13-gke.700 以降
    • 1.24.7-gke.700 以降

    リリース チャンネルの新しい機能により、チャンネルの登録を解除することなくパッチを適用できます。この機能を使用すると、新しいバージョンがリリース固有のチャネルのデフォルトになるまでノードを保護できます。

    このパッチで対処される脆弱性

    CVE-2022-20409 では、Linux カーネルにおいて、io_uring サブシステムの io_identity_cow に脆弱性が存在します。Use-After-Free(UAF)の脆弱性により、メモリが破損するおそれがあります。ローカルの攻撃者は、このメモリ破損を利用して、サービス拒否(システム クラッシュ)や任意のコードの実行を行う可能性があります。

    GKE on VMware

    更新日: 2022 年 12 月 14 日

    説明 重大度

    Linux カーネルで、ローカルでの権限昇格につながる可能性がある新しい脆弱性(CVE-2022-20409)が見つかりました。

    必要な対策

    2022 年 12 月 14 日更新: GKE on VMware の次のバージョンがこの脆弱性を修正するコードで更新されました。 ノードを次のいずれかの GKE on VMware バージョンにアップグレードすることをおすすめします。

    • 1.13.1 以降
    • 1.12.3 以降
    • 1.11.4 以降:

    このパッチで対処される脆弱性

    CVE-2022-20409 では、Linux カーネルにおいて、io_uring サブシステムの io_identity_cow に脆弱性が存在します。Use-After-Free(UAF)の脆弱性により、メモリが破損するおそれがあります。ローカルの攻撃者は、このメモリ破損を利用して、サービス拒否(システム クラッシュ)や任意のコードの実行を行う可能性があります。

    GKE on AWS

    説明 重大度

    Linux カーネルで、権限のないユーザーがシステム実行権限に昇格する可能性がある新しい脆弱性(CVE-2022-20409)が見つかりました。

    必要な対策

    対応は不要です。GKE on AWS は、Linux カーネルの影響を受けるバージョンを使用しません。

    このパッチで対処される脆弱性

    CVE-2022-20409 では、Linux カーネルにおいて、io_uring サブシステムの io_identity_cow に脆弱性が存在します。Use-After-Free(UAF)の脆弱性により、メモリが破損するおそれがあります。ローカルの攻撃者は、このメモリ破損を利用して、サービス拒否(システム クラッシュ)や任意のコードの実行を行う可能性があります。

    		 なし

    GKE on Azure

    説明 重大度

    Linux カーネルで、権限のないユーザーがシステム実行権限に昇格する可能性がある新しい脆弱性(CVE-2022-20409)が見つかりました。

    必要な対策

    対応は不要です。GKE on Azure は、影響を受ける Linux カーネルのバージョンを使用しません。

    このパッチで対処される脆弱性

    CVE-2022-20409 では、Linux カーネルにおいて、io_uring サブシステムの io_identity_cow に脆弱性が存在します。Use-After-Free(UAF)の脆弱性により、メモリが破損するおそれがあります。ローカルの攻撃者は、このメモリ破損を利用して、サービス拒否(システム クラッシュ)や任意のコードの実行を行う可能性があります。

    		 なし

    GKE on Bare Metal

    説明 重大度

    Linux カーネルで、ローカルでの権限昇格につながる可能性がある新しい脆弱性(CVE-2022-20409)が見つかりました。

    必要な対策

    • 対応は不要です。GKE on Bare Metal は、ディストリビューションにオペレーティング システムが含まれていないため、この CVE の影響を受けません。
    		 なし

    GCP-2022-021

    公開日: 2022 年 10 月 27 日
    更新日: 2023 年 1 月 19 日、2023 年 12 月 21 日
    参考情報: CVE-2022-3176

    2023 年 12 月 21 日更新: デフォルト構成の GKE Autopilot クラスタは影響を受けないことを明記しました。

    2023 年 1 月 19 日更新: GKE バージョン 1.21.14-gke.14100 が利用可能になりました。
    2022 年 12 月 15 日更新: Google Kubernetes Engine のバージョン 1.21.14-gke.9400 がロールアウトを保留中であり、高いバージョン番号に置き換えられる可能性があるという情報を更新しました。
    2022 年 11 月 21 日更新: GKE on VMware、GKE on AWS、GKE on Azure のパッチ バージョンを追加しました。

    GKE

    更新日: 2023 年 1 月 19 日、2023 年 12 月 21 日

    説明 重大度

    Linux カーネルで、ローカルでの権限昇格につながる可能性がある新しい脆弱性(CVE-2022-3176)が見つかりました。この脆弱性により、権限のないユーザーがノード上のルートで完全なコンテナ ブレイクアウトを引き起こす可能性があります。

    2023 年 12 月 21 日更新: 元の情報では、Autopilot クラスタについて影響があるとしていましたが、これは正しくありません。デフォルト構成の GKE Autopilot クラスタは影響を受けませんが、seccomp による制限なしプロファイルを明示的に設定するか、CAP_NET_ADMIN を許可した場合、脆弱性が生じる可能性があります。

    Container-Optimized OS バージョン 89 を使用する Google Kubernetes Engine(GKE)v1.21 クラスタ(Autopilot クラスタを含む)が影響を受けます。それ以降のバージョンの GKE は影響を受けません。Ubuntu を使用するすべての Linux クラスタが影響を受けます。GKE Sandbox を使用する GKE クラスタは影響を受けません。

    必要な対策

    2023 年 1 月 19 日更新: バージョン 1.21.14-gke.14100 が利用可能になりました。ノードプールをこのバージョン以降にアップグレードします。

    2022 年 12 月 15 日更新: バージョン 1.21.14-gke.9400 はロールアウトを保留中であり、高いバージョン番号に置き換えられる可能性があります。新しいバージョンが公開されたら、このドキュメントを更新します。

    次のバージョンの GKE は更新されており、この脆弱性を修正するためのコードが追加されています。セキュリティ上の理由から、ノードの自動アップグレードが有効になっている場合でも、ノードプールを次のいずれかの GKE バージョンに手動でアップグレードすることをおすすめします。

    • Container-Optimized OS:
      • 1.21.14-gke.7100 以降
    • Ubuntu:
      • 1.21.14-gke.9400 以降
      • 1.22.15-gke.2400 以降
      • 1.23.13-gke.800 以降
      • 1.24.7-gke.800 以降
      • 1.25.3-gke.700 以降

    リリース チャンネルの新しい機能により、チャンネルの登録を解除することなくパッチを適用できます。この機能を使用すると、新しいバージョンがリリース固有のチャネルのデフォルトになるまでノードを保護できます。

    このパッチで対処される脆弱性

    CVE-2022-3176 では、Linux カーネルに io_uring サブシステムの脆弱性が存在します。POLLFREE 処理がないと、権限昇格に使用できる Use-After-Free(UAF)の悪用につながる可能性があります。

    GKE on VMware

    更新日: 2022 年 11 月 21 日

    説明 重大度

    Linux カーネルで、ローカルでの権限昇格につながる可能性がある新しい脆弱性(CVE-2022-3176)が見つかりました。この脆弱性により、権限のないユーザーが、ノード上で root への完全なコンテナ ブレークアウトを実現できます。

    必要な対策

    • Container-Optimized OS を使用する GKE on VMware のバージョンは影響を受けません。

    2022 年 11 月 21 日更新: 次のバージョンの GKE on VMware for Ubuntu は、この脆弱性を修正するコードで更新されています。ノードを次のいずれかの GKE on VMware バージョンにアップグレードすることをおすすめします。

    • 1.12.3 以降
    • 1.13.1 以降
    • 1.11.5 以降

    Ubuntu パッチを含む GKE on VMware のバージョンは、近日中にリリースされる予定です。このセキュリティに関する情報は、GKE on VMware のバージョンがダウンロード可能になると更新されます。

    このパッチで対処される脆弱性

    CVE-2022-3176 では、Linux カーネルに io_uring サブシステムの脆弱性が存在します。POLLFREE 処理がないと、権限昇格に使用できる Use-After-Free(UAF)の悪用につながる可能性があります。

    GKE on AWS

    更新日: 2022 年 11 月 21 日

    説明 重大度

    Linux カーネルで、ローカルでの権限昇格につながる可能性がある新しい脆弱性(CVE-2022-3176)が見つかりました。この脆弱性により、権限のないユーザーが、ノード上で root への完全なコンテナ ブレークアウトを実現できます。

    必要な対策

    2022 年 11 月 21 日更新: GKE on AWS の現行バージョンと以前のバージョンがこの脆弱性を修正するコードで更新されました。ノードを、次に示す GKE on AWS バージョンのいずれかにアップグレードすることをおすすめします。

    現行世代
    • 1.21.14-gke.7100
    • 1.22.15-gke.100
    • 1.23.11-gke.300
    • 1.24.5-gke.200
    前の世代
    • 1.22.15-gke.1400
    • 1.23.12-gke.1400
    • 1.24.6-gke.1300

    Ubuntu パッチを含む GKE on AWS のバージョンは、近日中にリリースされる予定です。このセキュリティに関する情報は、GKE on AWS のバージョンがダウンロード可能になると更新されます。

    このパッチで対処される脆弱性

    CVE-2022-3176 では、Linux カーネルに io_uring サブシステムの脆弱性が存在します。POLLFREE 処理がないと、権限昇格に使用できる Use-After-Free(UAF)の悪用につながる可能性があります。

    GKE on Azure

    更新日: 2022 年 11 月 21 日

    説明 重大度

    Linux カーネルで、ローカルでの権限昇格につながる可能性がある新しい脆弱性(CVE-2022-3176)が見つかりました。この脆弱性により、権限のないユーザーが、ノード上で root への完全なコンテナ ブレークアウトを実現できます。

    必要な対策

    2022 年 11 月 21 日更新: GKE on Azure の次のバージョンがこの脆弱性を修正するコードで更新されました。ノードを、次に示す GKE on Azure バージョンのいずれかにアップグレードすることをおすすめします。

    • 1.21.14-gke.7100
    • 1.22.15-gke.100
    • 1.23.11-gke.300
    • 1.24.5-gke.200

    Ubuntu パッチを含む GKE on Azure のバージョンは、近日中にリリースされる予定です。このセキュリティに関する公開情報は、GKE on Azure のバージョンがダウンロード可能になった時点で更新されます。

    このパッチで対処される脆弱性

    CVE-2022-3176 では、Linux カーネルに io_uring サブシステムの脆弱性が存在します。POLLFREE 処理がないと、権限昇格に使用できる Use-After-Free(UAF)の悪用につながる可能性があります。

    GKE on Bare Metal

    説明 重大度

    Linux カーネルで、ローカルでの権限昇格につながる可能性がある新しい脆弱性(CVE-2022-3176)が見つかりました。この脆弱性により、権限のないユーザーが、ノード上で root への完全なコンテナ ブレークアウトを実現できます。

    必要な対策

    対応は不要です。GKE on Bare Metal は、ディストリビューションにオペレーティング システムが含まれていないため、この CVE の影響を受けません。

    		 なし

    GCP-2022-018

    公開日: 2022 年 8 月 1 日
    更新日: 2022 年 9 月 14 日、2023 年 12 月 21 日
    参考情報: CVE-2022-2327

    2023 年 12 月 21 日更新: デフォルト構成の GKE Autopilot クラスタは影響を受けないことを明記しました。

    2022 年 9 月 14 日更新: GKE on VMware、GKE on AWS、GKE on Azure のパッチ バージョンを追加しました。

    GKE

    更新日: 2023 年 12 月 21 日

    説明 重大度

    Linux カーネルで、ローカルでの権限昇格につながる可能性がある新しい脆弱性(CVE-2022-2327)が見つかりました。この脆弱性により、権限のないユーザーが、ノード上で root への完全なコンテナ ブレークアウトを実現できます。

    技術的な詳細

    2023 年 12 月 21 日更新: 元の情報では、Autopilot クラスタについて影響があるとしていましたが、これは正しくありません。デフォルト構成の GKE Autopilot クラスタは影響を受けませんが、seccomp による制限なしプロファイルを明示的に設定するか、CAP_NET_ADMIN を許可した場合、脆弱性が生じる可能性があります。

    Linux カーネル バージョン 5.10 を使用した Container-Optimized OS(COS)がある GKE クラスタ(Autopilot クラスタを含む)が影響を受けます。Ubuntu イメージや GKE Sandbox を使用する GKE クラスタは影響を受けません。

    必要な対策

    修正を含むバージョンに GKE クラスタをアップグレードします。COS の Linux ノードイメージは、それらの COS バージョンを使用して GKE バージョンとともに更新されています。

    セキュリティ上の理由から、ノードの自動アップグレードを有効にしている場合でも、ノードプールを次のいずれかの GKE バージョンに手動でアップグレードすることをおすすめします。

    COS のバージョン

    • 1.22.12-gke.300
    • 1.23.8-gke.1900
    • 1.24.2-gke.1900


    リリース チャンネルの新しい機能を使用すると、チャンネルの登録を解除することなくパッチを適用できます。これにより、パッチ適用済みバージョンが、選択したリリース チャンネルのデフォルトになる前に、ノードをアップグレードできます。

    このパッチで対処される脆弱性

    CVE-2022-2327 により、バージョン 5.10 の Linux カーネルには、さまざまなリクエストにアイテムタイプ(フラグ)が欠落しているという脆弱性が io_uring サブシステムにあります。適切なアイテムタイプを指定せずにこれらのリクエストを使用すると、root に権限昇格される可能性があります。

    GKE on VMware

    最終更新: 2022 年 9 月 14 日

    説明 重大度

    Linux カーネルで、ローカルでの権限昇格につながる新しい脆弱性(CVE-2022-2327)が見つかりました。この脆弱性により、権限のないユーザーが、ノード上で root への完全なコンテナ ブレークアウトを実現できます。

    GKE on VMware バージョン 1.10、1.11、1.12 を使用し Container Optimized OS(COS)イメージがあるクラスタが影響を受けます。

    必要な対策

    2022 年 9 月 14 日更新: 次のバージョンの GKE on VMware には、この脆弱性を修正するコードが含まれています。

    • 1.10.6 以降
    • 1.11.3 以降
    • 1.12.1 以降

    パッチを含む GKE on VMware のバージョンは、近日中にリリースされる予定です。このセキュリティに関する情報は、GKE on VMware のバージョンがダウンロード可能になると更新されます。

    このパッチで対処される脆弱性

    CVE-2022-2327 により、バージョン 5.10 の Linux カーネルには、さまざまなリクエストにアイテムタイプ(フラグ)が欠落しているという脆弱性が io_uring サブシステムにあります。適切なアイテムタイプを指定せずにこれらのリクエストを使用すると、root に権限昇格される可能性があります。

    GKE on AWS

    最終更新: 2022 年 9 月 14 日

    説明 重大度

    Linux カーネルで、ローカルでの権限昇格につながる新しい脆弱性(CVE-2022-2327)が見つかりました。この脆弱性により、権限のないユーザーが、ノード上で root への完全なコンテナ ブレークアウトを実現できます。

    必要な対策

    2022 年 9 月 14 日更新: GKE on AWS の現行バージョンと以前のバージョンがこの脆弱性を修正するコードで更新されました。ノードを、次に示す GKE on AWS バージョンのいずれかにアップグレードすることをおすすめします。

    現行世代

    • 1.23.8-gke.1700
    • 1.22.12-gke.200
    • 1.21.14-gke.2100

    前の世代

    • 1.23.8-gke.2000
    • 1.22.12-gke.300
    • 1.21.14-gke.2100

    パッチを含む GKE on AWS のバージョンは、近日中にリリースされる予定です。このセキュリティに関する情報は、GKE on AWS のバージョンがダウンロード可能になると更新されます。

    このパッチで対処される脆弱性

    CVE-2022-2327 により、バージョン 5.10 の Linux カーネルには、さまざまなリクエストにアイテムタイプ(フラグ)が欠落しているという脆弱性が io_uring サブシステムにあります。適切なアイテムタイプを指定せずにこれらのリクエストを使用すると、root に権限昇格される可能性があります。

    GKE on Azure

    最終更新: 2022 年 9 月 14 日

    説明 重大度

    Linux カーネルで、ローカルでの権限昇格につながる新しい脆弱性(CVE-2022-2327)が見つかりました。この脆弱性により、権限のないユーザーが、ノード上で root への完全なコンテナ ブレークアウトを実現できます。

    必要な対策

    2022 年 9 月 14 日更新: GKE on Azure の次のバージョンがこの脆弱性を修正するコードで更新されました。ノードを、次に示す GKE on Azure バージョンのいずれかにアップグレードすることをおすすめします。

    • 1.23.8-gke.1700
    • 1.22.12-gke.200
    • 1.21.14-gke.2100

    パッチを含む GKE on Azure のバージョンは、近日中にリリースされる予定です。 このセキュリティに関する公開情報は、GKE on Azure のバージョンがダウンロード可能になった時点で更新されます。

    このパッチで対処される脆弱性

    CVE-2022-2327 により、バージョン 5.10 の Linux カーネルには、さまざまなリクエストにアイテムタイプ(フラグ)が欠落しているという脆弱性が io_uring サブシステムにあります。適切なアイテムタイプを指定せずにこれらのリクエストを使用すると、root に権限昇格される可能性があります。

    Google Distributed Cloud Virtual for Bare Metal

    説明 重大度

    Linux カーネルで、ローカルでの権限昇格につながる新しい脆弱性(CVE-2022-2327)が見つかりました。この脆弱性により、権限のないユーザーが、ノード上で root への完全なコンテナ ブレークアウトを実現できます。

    必要な対策

    これは弊社の対応をパートナー様にご報告させていただくためにお知らせしているもので、Google Distributed Cloud Virtual for Bare Metal は、ディストリビューションにオペレーティング システムがバンドルされていないため、この CVE の影響を受けません。

    		なし

    GCP-2022-017

    公開日: 2022 年 6 月 29 日
    更新日: 2022 年 11 月 22 日
    参考情報: CVE-2022-1786
    2022 年 11 月 22 日更新: GKE Sandbox を使用するワークロードに関する情報を更新しました。
    2022 年 7 月 21 日更新: GKE on VMware COS イメージに影響する情報を更新しました。

    GKE

    更新日: 2022 年 11 月 22 日

    説明 重大度

    2022 年 11 月 22 日更新: GKE Sandbox を使用するワークロードは、これらの脆弱性の影響を受けません。

    Linux カーネル バージョン 5.10 と 5.11 で、新しい脆弱性(CVE-2022-1786)が見つかりました。この脆弱性により、クラスタへのローカル アクセス権限を持つ非特権ユーザーが、ノード上で root への完全なコンテナ ブレークアウトを実現できます。Container-Optimized OS を実行しているクラスタのみが影響を受けます。GKE Ubuntu バージョンは、バージョン 5.4 または 5.15 のカーネルを使用しており、影響を受けません。

    必要な対策

    GKE の次のバージョンで Container-Optimized OS 用 Linux ノードイメージのバージョンを、この脆弱性を修正するコードを使用して更新しました。ノードの自動アップグレードを有効にしている場合でも、セキュリティ上の理由から、ノードプールを次のいずれかの GKE バージョンに手動でアップグレードすることをおすすめします。

    • 1.22.10-gke.600
    • 1.23.7-gke.1400
    • 1.24.1-gke.1400

    最新のリリース チャンネル機能を使用すると、チャンネルの登録を解除することなくパッチを適用できます。これにより、パッチ適用済みバージョンが、選択したリリース チャンネルのデフォルトになる前に、ノードをアップグレードできます。

    このパッチで対処される脆弱性

    CVE-2022-1786 により、Linux カーネルの io_uring サブシステムで、use-after-free の不具合が見つかりました。ユーザーが、リングで送信が完了した複数のタスクで IORING_SETUP_IOPOLL を含むリングをセットアップした場合、ローカル ユーザーはシステムの権限をクラッシュまたはエスカレーションできます。

    GKE on VMware

    更新日: 2022 年 7 月 14 日

    説明 重大度

    Linux カーネル バージョン 5.10 と 5.11 で、新しい脆弱性(CVE-2022-1786)が見つかりました。この脆弱性により、クラスタへのローカル アクセス権限を持つ非特権ユーザーが、ノード上で root への完全なコンテナ ブレークアウトを実現できます。

    必要な対策

    2022 年 7 月 21 日更新: 次のバージョンの GKE on VMware には、この脆弱性を修正するコードが含まれています。

    COS
    • 1.10.5 以降
    • 1.11.2 以降
    • 1.12.0 以降
    Ubuntu

    これは弊社の対応をパートナー様にご報告させていただくためにお知らせしているもので、GKE on VMware は、Linux カーネルの影響を受けるバージョンを使用しません。

    		なし

    GKE on AWS

    説明 重大度

    Linux カーネル バージョン 5.10 と 5.11 で、新しい脆弱性(CVE-2022-1786)が見つかりました。この脆弱性により、クラスタへのローカル アクセス権限を持つ非特権ユーザーが、ノード上で root への完全なコンテナ ブレークアウトを実現できます。

    必要な対策

    これは弊社の対応をパートナー様にご報告させていただくためにお知らせしているもので、GKE on AWS は、Linux カーネルの影響を受けるバージョンを使用しません。

    		なし

    GKE on Azure

    説明 重大度

    Linux カーネル バージョン 5.10 と 5.11 で、新しい脆弱性(CVE-2022-1786)が見つかりました。この脆弱性により、クラスタへのローカル アクセス権限を持つ非特権ユーザーが、ノード上で root への完全なコンテナ ブレークアウトを実現できます。

    必要な対策

    これは弊社の対応をパートナー様にご報告させていただくためにお知らせしているもので、GKE on Azure は、Linux カーネルの影響を受けるバージョンを使用しません。

    		 なし

    Google Distributed Cloud Virtual for Bare Metal

    説明 重大度

    Linux カーネル バージョン 5.10 と 5.11 で、新しい脆弱性(CVE-2022-1786)が見つかりました。この脆弱性により、クラスタへのローカル アクセス権限を持つ非特権ユーザーが、ノード上で root への完全なコンテナ ブレークアウトを実現できます。

    必要な対策

    これは弊社の対応をパートナー様にご報告させていただくためにお知らせしているもので、Google Distributed Cloud Virtual for Bare Metal は、ディストリビューションにオペレーティング システムがバンドルされていないため、この CVE の影響を受けません。

    		なし

    GCP-2022-016

    公開日: 2022 年 6 月 23 日
    更新日: 2022 年 11 月 22 日
    参考情報: CVE-2022-29581CVE-2022-29582CVE-2022-1116
    2022 年 11 月 22 日更新: Autopilot クラスタで実行されているワークロードに関する情報を追加しました。
    2022 年 7 月 29 日更新: GKE on VMware、GKE on AWS、GKE on Azure のバージョンを更新しました。

    GKE

    更新日: 2022 年 11 月 22 日

    説明 重大度

    2022 年 11 月 22 日更新: Autopilot クラスタは CVE-2022-29581 の影響を受けませんが、CVE-2022-29582 と CVE-2022-1116 の脆弱性があります。

    2022 年 7 月 29 日更新: GKE Sandbox を使用する Pod には、これらの脆弱性はありません。

    Linux カーネルで 3 つの新しいメモリ破損の脆弱性(CVE-2022-29581、CVE-2022-29582、CVE-2022-1116)が発見されました。この脆弱性により、クラスタへのローカル アクセス権限を持つ非特権ユーザーが、ノード上のルートで完全なコンテナ ブレイクアウトを引き起こす可能性があります。すべての Linux クラスタ(Container-Optimized OS と Ubuntu)が影響を受けます。

    必要な対策

    この脆弱性を修正するコードで、次の GKE バージョンに対する Container-Optimized OS および Ubuntu 用 Linux ノードイメージのバージョンが更新されました。セキュリティ上の理由から、ノードの自動アップグレードが有効になっている場合でも、ノードプールを次のいずれかの GKE バージョンに手動でアップグレードすることをおすすめします。

    • Container-Optimized OS:
      • 1.19.16-gke.13800
      • 1.20.15-gke.8000
      • 1.21.12-gke.1500
      • 1.22.9-gke.1300
      • 1.23.6-gke.1500
      • 1.24.1-gke.1400
    • Ubuntu:
      • 1.20.15-gke.9600
      • 1.21.13-gke.900
      • 1.22.10-gke.600
      • 1.23.7-gke.1400
      • 1.24.1-gke.1400

    リリース チャンネルの新しい機能を使用すると、チャンネルの登録を解除することなくパッチを適用できます。これにより、パッチ適用済みバージョンが、選択したリリース チャンネルのデフォルトになる前に、ノードをアップグレードできます。

    このパッチで対処される脆弱性

    CVE-2022-29582 により、バージョン 5.17.3 よりも前の Linux カーネルには、io_uring タイムアウトでの競合状態が原因となる use-after-free 問題があります。

    CVE-2022-29581 と CVE-2022-1116 は、ローカルの攻撃者が、io_uring や Linux カーネル内の net/sched でメモリ破壊を引き起こし、権限を root に昇格させることができる脆弱性です。

    GKE on VMware

    更新日: 2022 年 7 月 29 日

    説明 重大度

    2022 年 7 月 29 日更新: 次のバージョンの GKE on VMware には、これらの脆弱性を修正するコードが含まれています。

    • 1.9.7 以降
    • 1.10.5 以降
    • 1.11.2 以降
    • 1.12.0 以降

    Linux カーネルで 3 つの新しいメモリ破損の脆弱性(CVE-2022-29581、CVE-2022-29582、CVE-2022-1116)が発見されました。この脆弱性により、クラスタへのローカル アクセス権限を持つ非特権ユーザーが、ノード上のルートで完全なコンテナ ブレイクアウトを引き起こす可能性があります。これらの脆弱性は、Container-Optimized OS と Ubuntu イメージの GKE on VMware v1.9 以降に影響します。

    必要な対策

    パッチを含む GKE on VMware のバージョンは、近日中にリリースされる予定です。このセキュリティに関する情報は、GKE on VMware のバージョンがダウンロード可能になると更新されます。

    このパッチで対処される脆弱性

    CVE-2022-29582 により、バージョン 5.17.3 よりも前の Linux カーネルには、io_uring タイムアウトでの競合状態が原因となる use-after-free 問題があります。

    CVE-2022-29581 と CVE-2022-1116 は、ローカルの攻撃者が、io_uring や Linux カーネル内の net/sched でメモリ破壊を引き起こし、権限を root に昇格させることができる脆弱性です。

    GKE on AWS

    更新日: 2022 年 7 月 29 日

    説明 重大度

    2022 年 7 月 29 日更新: 更新: 次に示す現在と以前の GKE on AWS のバージョンは、これらの脆弱性を修正するコードで更新されています。ノードを、次に示す GKE on AWS バージョンのいずれかにアップグレードすることをおすすめします。

    現行世代:

    • 1.23.7-gke.1300
    • 1.22.10-gke.1500
    • 1.21.11-gke.1900
    前の世代:
    • 1.23.7-gke.1500
    • 1.22.10-gke.1500
    • 1.21.13-gke.1600

    Linux カーネルで 3 つの新しいメモリ破損の脆弱性(CVE-2022-29581、CVE-2022-29582、CVE-2022-1116)が発見されました。この脆弱性により、クラスタへのローカル アクセス権限を持つ非特権ユーザーが、ノード上のルートで完全なコンテナ ブレイクアウトを引き起こす可能性があります。これらの脆弱性は、GKE on AWS のすべてのバージョンに影響します。

    必要な対策

    パッチを含む GKE on AWS のバージョンは、近日中にリリースされる予定です。このセキュリティに関する情報は、GKE on AWS のバージョンがダウンロード可能になると更新されます。

    このパッチで対処される脆弱性

    CVE-2022-29582 により、バージョン 5.17.3 よりも前の Linux カーネルには、io_uring タイムアウトでの競合状態が原因となる use-after-free 問題があります。

    CVE-2022-29581 と CVE-2022-1116 は、ローカルの攻撃者が、io_uring や Linux カーネル内の net/sched でメモリ破壊を引き起こし、権限を root に昇格させることができる脆弱性です。

    GKE on Azure

    説明 重大度

    2022 年 7 月 29 日更新: 更新: 次に示す GKE on Azure のバージョンは、これらの脆弱性を修正するコードで更新されています。使用中のノードを、次に示す GKE on Azure バージョンのいずれかにアップグレードすることをおすすめします。

    • 1.23.7-gke.1300
    • 1.22.10-gke.1500
    • 1.21.11-gke.1900

    Linux カーネルで 3 つの新しいメモリ破損の脆弱性(CVE-2022-29581、CVE-2022-29582、CVE-2022-1116)が発見されました。この脆弱性により、クラスタへのローカル アクセス権限を持つ非特権ユーザーが、ノード上のルートで完全なコンテナ ブレイクアウトを引き起こす可能性があります。これらの脆弱性は、GKE on Azure のすべてのバージョンに影響します。

    必要な対策

    パッチを含む GKE on Azure のバージョンは、近日中にリリースされる予定です。このセキュリティに関する情報は、GKE on Azure のバージョンがダウンロード可能になった時点で更新されます。

    このパッチで対処される脆弱性

    CVE-2022-29582 により、バージョン 5.17.3 よりも前の Linux カーネルには、io_uring タイムアウトでの競合状態が原因となる use-after-free 問題があります。

    CVE-2022-29581 と CVE-2022-1116 は、ローカルの攻撃者が、io_uring や Linux カーネル内の net/sched でメモリ破壊を引き起こし、権限を root に昇格させることができる脆弱性です。

    Google Distributed Cloud Virtual for Bare Metal

    説明 重大度

    Linux カーネルで 3 つの新しいメモリ破損の脆弱性(CVE-2022-29581、CVE-2022-29582、CVE-2022-1116)が発見されました。この脆弱性により、クラスタへのローカル アクセス権限を持つ非特権ユーザーが、ノード上のルートで完全なコンテナ ブレイクアウトを引き起こす可能性があります。

    必要な対策

    これは弊社の対応をパートナー様にご報告させていただくためにお知らせしているもので、Google Distributed Cloud Virtual for Bare Metal は、ディストリビューションにオペレーティング システムがバンドルされていないため、この脆弱性の影響を受けません。

    		なし

    GCP-2022-014

    公開日: 2022 年 4 月 26 日
    更新日: 2022 年 11 月 22 日
    2022 年 11 月 22 日更新: Autopilot クラスタで実行されているワークロードに関する情報を追加しました。
    2022 年 5 月 12 日更新: GKE on AWS と GKE on Azure のパッチ バージョンを更新しました。
    参考情報: CVE-2022-1055CVE-2022-27666

    GKE

    更新日: 2022 年 11 月 22 日

    説明 重大度

    2022 年 11 月 22 日更新: GKE Sandbox で実行されている GKE Autopilot クラスタとワークロードは、これらの脆弱性の影響を受けません。

    Linux カーネルで CVE-2022-1055CVE-2022-27666 の 2 つのセキュリティの脆弱性が見つかりました。いずれも、ローカルの攻撃者がコンテナ ブレークアウト、ホストでの権限昇格、またはその両方を実行できる可能性があります。これらの脆弱性は、すべての GKE ノード オペレーティング システム(Container-Optimized OS と Ubuntu)に影響します。

    詳細な技術情報

    CVE-2022-1055 では、攻撃者が tc_new_tfilter() で use-after-free を悪用して、コンテナ内のローカル攻撃者が、ノードで権限を root に昇格させることができます。

    CVE-2022-27666 では、esp/esp6_output_head のバッファ オーバーフローによって、コンテナ内のローカル攻撃者が、ノードで権限を root に昇格させることができます。

    必要な対策

    次の GKE バージョン用の Linux ノードイメージ バージョンは、この脆弱性を修正するコードで更新されています。クラスタは、次のいずれかの GKE バージョンにアップグレードしてください。

    • 1.19.16-gke.11000 以降
    • 1.20.15-gke.5200 以降
    • 1.21.11-gke.1100 以降
    • 1.22.8-gke.200 以降
    • 1.23.5-gke.1500 以降

    このパッチで対処される脆弱性

    GKE on VMware

    説明 重大度

    Linux カーネルで CVE-2022-1055CVE-2022-27666 の 2 つのセキュリティの脆弱性が見つかりました。いずれも、ローカルの攻撃者がコンテナ ブレークアウト、ホストでの権限昇格、またはその両方を実行できる可能性があります。これらの脆弱性は、すべての GKE ノード オペレーティング システム(Container-Optimized OS と Ubuntu)に影響します。

    詳細な技術情報

    CVE-2022-1055 では、攻撃者が tc_new_tfilter() で use-after-free を悪用して、コンテナ内のローカル攻撃者が、ノードで権限を root に昇格させることができます。

    CVE-2022-27666 では、esp/esp6_output_head のバッファ オーバーフローによって、コンテナ内のローカル攻撃者が、ノードで権限を root に昇格させることができます。

    必要な対策

    クラスタをパッチ適用済みバージョンにアップグレードします。次の GKE on VMware バージョン以降には、この脆弱性に対する修正が含まれています。

    • 1.9.6 (今後)
    • 1.10.3
    • 1.11.0 (今後)

    このパッチで対処される脆弱性

    GKE on AWS

    更新日時: 2022 年 5 月 12 日

    説明 重大度

    Linux カーネルで CVE-2022-1055CVE-2022-27666 の 2 つのセキュリティの脆弱性が見つかりました。いずれも、ローカルの攻撃者がコンテナ ブレークアウト、ホストでの権限昇格、またはその両方を実行できる可能性があります。これらの脆弱性は、すべての GKE ノード オペレーティング システム(Container-Optimized OS と Ubuntu)に影響します。

    詳細な技術情報

    CVE-2022-1055 では、攻撃者が tc_new_tfilter() で use-after-free を悪用して、コンテナ内のローカル攻撃者が、ノードで権限を root に昇格させることができます。

    CVE-2022-27666 では、esp/esp6_output_head のバッファ オーバーフローによって、コンテナ内のローカル攻撃者が、ノードで権限を root に昇格させることができます。

    必要な対策

    2022 年 5 月 12 日更新: GKE on AWS の現行バージョンと以前のバージョンは、これらの脆弱性を修正するコードで更新されました。ノードを、次に示す GKE on AWS バージョンのいずれかにアップグレードすることをおすすめします。

    現行世代
    • 1.21.11-gke.1100
    • 1.22.8-gke.1300
    前の世代
    • 1.20.15-gke.5200
    • 1.21.11-gke.1100
    • 1.22.8-gke.1300

    クラスタをパッチ適用済みバージョンにアップグレードします。パッチは今後のリリースで提供される予定です。このセキュリティ情報は、利用可能になり次第、更新されます。

    このパッチで対処される脆弱性

    GKE on Azure

    更新日時: 2022 年 5 月 12 日

    説明 重大度

    Linux カーネルで CVE-2022-1055CVE-2022-27666 の 2 つのセキュリティの脆弱性が見つかりました。いずれも、ローカルの攻撃者がコンテナ ブレークアウト、ホストでの権限昇格、またはその両方を実行できる可能性があります。これらの脆弱性は、すべての GKE ノード オペレーティング システム(Container-Optimized OS と Ubuntu)に影響します。

    詳細な技術情報

    CVE-2022-1055 では、攻撃者が tc_new_tfilter() で use-after-free を悪用して、コンテナ内のローカル攻撃者が、ノードで権限を root に昇格させることができます。

    CVE-2022-27666 では、esp/esp6_output_head のバッファ オーバーフローによって、コンテナ内のローカル攻撃者が、ノードで権限を root に昇格させることができます。

    必要な対策

    2022 年 5 月 12 日更新: 次に示す GKE on Azure のバージョンが、これらの脆弱性を修正するコードで更新されました。ノードを、次に示す GKE on Azure バージョンのいずれかにアップグレードすることをおすすめします。

    • 1.21.11-gke.1100
    • 1.22.8-gke.1300

    クラスタをパッチ適用済みバージョンにアップグレードします。パッチは今後のリリースで提供される予定です。このセキュリティ情報は、利用可能になり次第、更新されます。

    このパッチで対処される脆弱性

    Google Distributed Cloud Virtual for Bare Metal

    説明 重大度

    Linux カーネルで CVE-2022-1055CVE-2022-27666 の 2 つのセキュリティの脆弱性が見つかりました。いずれも、ローカルの攻撃者がコンテナ ブレークアウト、ホストでの権限昇格、またはその両方を実行できる可能性があります。これらの脆弱性は、すべての GKE ノード オペレーティング システム(Container-Optimized OS と Ubuntu)に影響します。

    詳細な技術情報

    CVE-2022-1055 では、攻撃者が tc_new_tfilter() で use-after-free を悪用して、コンテナ内のローカル攻撃者が、ノードで権限を root に昇格させることができます。

    CVE-2022-27666 では、esp/esp6_output_head のバッファ オーバーフローによって、コンテナ内のローカル攻撃者が、ノードで権限を root に昇格させることができます。

    必要な対策

    これは弊社の対応をパートナー様にご報告させていただくためにお知らせしているもので、Google Distributed Cloud Virtual for Bare Metal は、パッケージに Linux が含まれていないため、この CVE の影響を受けません。使用するノードイメージが、CVE-2022-1055 と CVE-2022-27666 の修正を含むバージョンに更新されていることを確認してください。

    このパッチで対処される脆弱性

    GCP-2022-013

    公開日: 2022 年 4 月 11 日
    最終更新日: 2022 年 4 月 20 日
    参考情報: CVE-2022-23648
    2022 年 4 月 22 日更新: Google Distributed Cloud Virtual for Bare Metal と GKE on VMware のパッチ バージョンを更新しました。

    GKE

    説明 重大度

    セキュリティ上の脆弱性(CVE-2022-23648)が、OCI イメージ ボリューム仕様におけるコンテナパスのパス走査の処理で見つかりました。特別に作成されたイメージ構成で containerd の CRI 実装を使ってコンテナが起動されると、ホスト上の任意のファイルとディレクトリへの完全な読み取りアクセス権を取得できます。

    この脆弱性により、コンテナの設定に対するポリシーベースの適用(Kubernetes Pod セキュリティ ポリシーを含む)がバイパスされる可能性があります。この脆弱性は、デフォルトで containerd を使用するすべての GKE ノードのオペレーティング システム(Container-Optimized OS と Ubuntu)に影響します。すべての GKE、Autopilot、GKE Sandbox のノードが影響を受けます。

    必要な対策

    次の GKE バージョン用の Linux ノードイメージ バージョンは、この脆弱性を修正するコードで更新されています。セキュリティ上の理由から、ノードの自動アップグレードが有効になっている場合でも、ノードを次のいずれかの GKE バージョンに手動でアップグレードすることをおすすめします。

    • 1.19.16-gke.9400
    • 1.20.15-gke.3600
    • 1.21.10-gke.1500
    • 1.22.7-gke.1500
    • 1.23.4-gke.1500

    リリース チャンネルの新しい機能を使用すると、チャンネルの登録を解除することなくパッチを適用できます。これにより、新しいバージョンがリリース チャンネル固有のデフォルトになるまで、ノードを保護できます。

    GKE on VMware

    最終更新 2022年4月22日

    説明 重大度

    セキュリティ上の脆弱性(CVE-2022-23648)が、OCI イメージ ボリューム仕様におけるコンテナパスのパス走査の処理で見つかりました。特別に作成されたイメージ構成で containerd の CRI 実装を使ってコンテナが起動されると、ホスト上の任意のファイルとディレクトリへの完全な読み取りアクセス権を取得できます。

    この脆弱性により、コンテナの設定に対するポリシーベースの適用(Kubernetes Pod セキュリティ ポリシーを含む)がバイパスされる可能性があります。この脆弱性は、containerd を使用する Stackdriver が有効になっているすべての GKE on VMware に影響します。GKE on VMware バージョン 1.8、1.9、1.10 に影響があります。

    必要な対策

    2022 年 4 月 22 日更新: 次のバージョンの GKE on VMware には、この脆弱性を修正するコードが含まれています。

    • 1.9.5 以降
    • 1.10.3 以降
    • 1.11.0 以降

    以下のバージョンの GKE on VMware は更新されており、この脆弱性を修正するためのコードが追加されています。ノードを次のいずれかの GKE on VMware バージョンにアップグレードすることをおすすめします。

    • 1.8.8 以降
    • 1.9.5 以降
    • 1.10.2 以降

    この CVE は、IgnoreImageDefinedVolumes を true に設定することで軽減できます。

    GKE on AWS

    説明 重大度

    セキュリティ上の脆弱性(CVE-2022-23648)が、OCI イメージ ボリューム仕様におけるコンテナパスのパス走査の処理で見つかりました。特別に作成されたイメージ構成で containerd の CRI 実装を使ってコンテナが起動されると、ホスト上の任意のファイルとディレクトリへの完全な読み取りアクセス権を取得できます。

    この脆弱性により、コンテナの設定に対するポリシーベースの適用(Kubernetes Pod セキュリティ ポリシーを含む)がバイパスされる可能性があります。すべての GKE on AWS バージョンが影響を受けます。

    必要な対策

    次のバージョンの GKE on AWS は更新されており、この脆弱性を修正するためのコードが追加されています。ノードを、次に示す GKE on AWS バージョンのいずれかにアップグレードすることをおすすめします。

    GKE on AWS(現行世代)
    • バージョン 1.22: 1.22.8-gke.200
    • バージョン 1.21: 1.21.11-gke.100
    GKE on AWS(前の世代)
    • バージョン 1.22: 1.22.8-gke.300
    • バージョン 1.21: 1.21.11-gke.100
    • バージョン 1.20: 1.20.15-gke.2200

    この CVE は、IgnoreImageDefinedVolumes を true に設定することで軽減できます。

    GKE on Azure

    説明 重大度

    セキュリティ上の脆弱性(CVE-2022-23648)が、OCI イメージ ボリューム仕様におけるコンテナパスのパス走査の処理で見つかりました。特別に作成されたイメージ構成で containerd の CRI 実装を使ってコンテナが起動されると、ホスト上の任意のファイルとディレクトリへの完全な読み取りアクセス権を取得できます。

    この脆弱性により、コンテナの設定に対するポリシーベースの適用(Kubernetes Pod セキュリティ ポリシーを含む)がバイパスされる可能性があります。GKE on Azure のすべてのバージョンが影響を受けます。

    必要な対策

    次のバージョンの GKE on Azure は更新されており、この脆弱性を修正するためのコードが追加されています。ノードを、次のようにアップグレードすることをおすすめします。

    • バージョン 1.22: 1.22.8-gke.200
    • バージョン 1.21: 1.21.11-gke.100

    この CVE は、IgnoreImageDefinedVolumes を true に設定することで軽減できます。

    Google Distributed Cloud Virtual for Bare Metal

    最終更新 2022年4月22日

    説明 重大度

    セキュリティ上の脆弱性(CVE-2022-23648)が、OCI イメージ ボリューム仕様におけるコンテナパスのパス走査の処理で見つかりました。特別に作成されたイメージ構成で containerd の CRI 実装を使ってコンテナが起動されると、ホスト上の任意のファイルとディレクトリへの完全な読み取りアクセス権を取得できます。

    この脆弱性により、コンテナの設定に対するポリシーベースの適用(Kubernetes Pod セキュリティ ポリシーを含む)がバイパスされる可能性があります。この脆弱性は、containerd を使用するすべての Google Distributed Cloud Virtual for Bare Metal に影響します。Google Distributed Cloud Virtual for Bare Metal バージョン 1.8、1.9、1.10 に影響があります。

    必要な対策

    2022 年 4 月 22 日更新: Google Distributed Cloud Virtual for Bare Metal の次のバージョンには、この脆弱性を修正するコードが含まれています。

    • 1.8.9 以降
    • 1.9.6 以降
    • 1.10.3 以降
    • 1.11.0 以降

    次のバージョンの Google Distributed Cloud Virtual for Bare Metal は更新されており、この脆弱性を修正するためのコードが追加されています。ノードを次のいずれかの Google Distributed Cloud Virtual for Bare Metal バージョンにアップグレードすることをおすすめします。

    • 1.8.8 以降
    • 1.9.5 以降
    • 1.10.2 以降

    この CVE は、IgnoreImageDefinedVolumes を true に設定することで軽減できます。

    GCP-2022-012

    公開日: 2022 年 4 月 7 日
    更新日: 2022 年 11 月 22 日
    参考情報: CVE-2022-0847
    2022 年 11 月 22 日更新: GKE Sandbox を使用するワークロードに関する情報を更新しました。

    GKE

    更新日: 2022 年 11 月 22 日

    説明 重大度

    2022 年 11 月 22 日更新: GKE Sandbox を使用するワークロードは、これらの脆弱性の影響を受けません。

    Linux カーネル バージョン 5.8 以降で、コンテナの権限を root に昇格できる可能性があるセキュリティ上の脆弱性(CVE-2022-0847)が見つかりました。この脆弱性は、Container-Optimized OS イメージ(Container-Optimized OS 93 以降)を使用するすべての GKE ノードプール バージョン v1.22 以降に影響します。Ubuntu OS を使用する GKE ノードプールは影響を受けません。

    必要な対策

    次の GKE バージョン用の Linux ノードイメージ バージョンは、この脆弱性を修正するコードで更新されています。セキュリティ上の理由から、ノードの自動アップグレードが有効になっている場合でも、ノードプールを次のいずれかの GKE バージョンに手動でアップグレードすることをおすすめします。

    • 1.22.7-gke.1500 以降
    • 1.23.4-gke.1600 以降

    リリース チャンネルの新しい機能を使用すると、チャンネルの登録を解除することなく、他のリリース チャンネルのパッチ バージョンを適用できます。これにより、新しいバージョンがリリース固有のチャンネルのデフォルトになるまで、ノードを保護できます。

    このパッチで対処される脆弱性

    CVE-2022-0847 は、Linux カーネルのバージョン 5.8 で導入された PIPE_BUF_FLAG_CAN_MERGE フラグに関連するものです。この脆弱性では、Linux カーネルで新しいパイプバッファ構造の「flags」メンバーが適切に初期化されていませんでした。権限のないローカル攻撃者は、この欠陥を利用して、読み取り専用ファイルによって裏付けられたページ キャッシュ内のページに書き込むことや、権限を昇格させることができます。

    この問題を解決する Container-Optimized OS の新しいバージョンは、GKE の更新後のノードプール バージョンに統合されました。

    GKE on VMware

    説明 重大度

    Linux カーネル バージョン 5.8 以降で、権限を root に昇格できる可能性があるセキュリティ上の脆弱性(CVE-2022-0847)が見つかりました。この脆弱性は、Container-Optimized OS イメージ用の GKE on VMware v1.10 に影響します。現在 Ubuntu での GKE on VMware は、カーネル バージョン 5.4 に基づいており、この攻撃に対する脆弱性はありません。

    必要な対策

    次の GKE on Azure バージョンの Linux ノードイメージ バージョンは、この脆弱性を修正するコードで更新されています。管理クラスタとユーザー クラスタを、次の GKE on VMware バージョンにアップグレードすることをおすすめします。

    • 1.10.3

    このパッチで対処される脆弱性

    CVE-2022-0847 は、Linux カーネルのバージョン 5.8 で導入された PIPE_BUF_FLAG_CAN_MERGE フラグに関連するものです。この脆弱性では、Linux カーネルで新しいパイプバッファ構造の「flags」メンバーが適切に初期化されていませんでした。権限のないローカル攻撃者は、この欠陥を利用して、読み取り専用ファイルによって裏付けられたページ キャッシュ内のページに書き込むことや、権限を昇格させることができます。

    この問題を解決する Container-Optimized OS の新しいバージョンは、GKE on VMware の更新バージョンに統合されています。

    GKE on AWS

    説明 重大度

    Linux カーネル バージョン 5.8 以降で、権限を root に昇格できる可能性があるセキュリティ上の脆弱性(CVE-2022-0847)が見つかりました。

    この脆弱性は、Ubuntu を使用する GKE on AWS v1.21 のマネージド クラスタと、Ubuntu を使用する GKE on AWS(旧世代)v1.19、v1.20、v1.21 で実行されているクラスタに影響します。

    必要な対策

    次の GKE on Azure バージョンの Linux ノードイメージ バージョンは、この脆弱性を修正するコードで更新されています。

    AWS 上のマネージド GKE クラスタの場合、ユーザー クラスタとノードプールを次のいずれかのバージョンにアップグレードすることをおすすめします。

    • 1.21.11-gke.100

    AWS 上の k-lite GKE クラスタでは、AWSManagementService、AWSCluster、AWSNodePool オブジェクトを、次のバージョンにアップグレードすることをおすすめします。

    • 1.21.11-gke.100
    • 1.20.15-gke.2200

    このパッチで対処される脆弱性

    CVE-2022-0847 は、Linux カーネルのバージョン 5.8 で導入された PIPE_BUF_FLAG_CAN_MERGE フラグに関連するものです。この脆弱性では、Linux カーネルで新しいパイプバッファ構造の「flags」メンバーが適切に初期化されていませんでした。権限のないローカル攻撃者は、この欠陥を利用して、読み取り専用ファイルによって裏付けられたページ キャッシュ内のページに書き込むことや、権限を昇格させることができます。

    GKE on Azure

    説明 重大度

    Linux カーネル バージョン 5.8 以降で、権限を root に昇格できる可能性があるセキュリティ上の脆弱性(CVE-2022-0847)が見つかりました。この脆弱性は、Ubuntu を使用する GKE on Azure v1.21 のマネージド クラスタに影響します。

    必要な対策

    次の GKE on Azure バージョンの Linux ノードイメージ バージョンは、この脆弱性を修正するコードで更新されています。ユーザー クラスタとノードプールを、次のバージョンにアップグレードすることをおすすめします。

    • 1.21.11-gke.100

    このパッチで対処される脆弱性

    CVE-2022-0847 は、Linux カーネルのバージョン 5.8 で導入された PIPE_BUF_FLAG_CAN_MERGE フラグに関連するものです。この脆弱性では、Linux カーネルで新しいパイプバッファ構造の「flags」メンバーが適切に初期化されていませんでした。権限のないローカル攻撃者は、この欠陥を利用して、読み取り専用ファイルによって裏付けられたページ キャッシュ内のページに書き込むことや、権限を昇格させることができます。

    Google Distributed Cloud Virtual for Bare Metal

    説明 重大度

    Linux カーネル バージョン 5.8 以降で、権限を root に昇格できる可能性があるセキュリティ上の脆弱性(CVE-2022-0847)が見つかりました。

    必要な対策

    これは弊社の対応をパートナー様にご報告させていただくためにお知らせしているもので、Google Distributed Cloud Virtual for Bare Metal は、パッケージに Linux が含まれていないため、この CVE の影響を受けません。使用するノードイメージが、CVE-2022-0847 の修正を含むバージョンに更新されていることを確認してください。

    GCP-2022-011

    公開日: 2022 年 3 月 22 日
    最終更新日: 2022 年 8 月 11 日

    2022 年 8 月 11 日更新: SMT の構成ミスの影響について詳しく説明しました。

    GKE

    説明 重大度

    2022 年 8 月 11 日更新: 同時マルチスレッディング(SMT)構成に関する情報を追加しました。SMT は無効になっていることが想定されていましたが、リストにあるバージョンでは有効になっています。

    サンドボックス化されたノードプールに対して SMT を手動で有効にした場合、この問題が発生しても SMT は手動で有効にされたままになります。

    GKE Sandbox イメージに、ハイパー スレッディングとも呼ばれる同時マルチ スレッディング(SMT)の構成ミスが存在します。構成ミスにより、ノードがマイクロアーキテクチャ データ サンプリング(MDS)などのサイドチャネル攻撃を受ける可能性があります(詳細については、GKE Sandbox のドキュメントをご覧ください)。次の影響を受けるバージョンの使用はおすすめしません。

    • 1.22.4-gke.1501
    • 1.22.6-gke.300
    • 1.23.2-gke.300
    • 1.23.3-gke.600

    手動でノードプールに対して SMT を有効にした場合、この問題はサンドボックス化されたノードには影響しません。

    必要な対策

    ノードを、次のいずれかのバージョンにアップグレードしてください。

    • 1.22.6-gke.1500 以降
    • 1.23.3-gke.1100 以降

    このパッチで対処される脆弱性

    GKE Sandbox ノードは、デフォルトで SMT が無効になっており、サイドチャネルの攻撃が軽減されます。

    GCP-2022-009

    公開日: 2022 年 3 月 1 日
    更新日: 2022 年 3 月 15 日

    GKE

    説明 重大度

    2022 年 3 月 15 日更新: GKE on AWS と GKE on Azure のセキュリティ強化ガイドを追加しました。webhook を使用した永続性のセクションを追加しました。

    GKE Autopilot クラスタのノード VM にアクセスする予期せぬパスの一部が、クラスタ内の権限を昇格させるために使用された可能性があります。これらの問題は修正済みであり、これ以上の操作は必要ありません。この修正は、脆弱性報奨金プログラムを通じて報告された事象に対処したものです。

    GKE Standard と GKE クラスタのユーザーは、オプションで同様の強化ポリシーを下記の手順で適用できます。

    詳細な技術情報

    サードパーティ ポリシーの除外を使用したホストアクセス

    Google Cloud がノードと Pod レベルの SLA を完全に管理できるようにするため、GKE Autopilot は特権の高い Kubernetes プリミティブの一部を制限して、ワークロードによるノード VM への低レベルアクセスを制限します。これをコンテキストで設定するために、GKE Standard では基盤となるコンピューティングへの完全アクセス権が提示され、Autopilot では制限付きアクセス権が提示され、Cloud Run ではアクセス権が付与されません。

    Autopilot は、サードパーティ ツールの事前定義リストに関する制限の一部を軽減することで、お客様がこれらのツールを変更なしで Autopilot 上で実行できるようにしています。研究者は、権限を使用してホストのパスをマウントする Pod を作成し、これらの許可リストに登録されたサードパーティ ツールのような特権付きコンテナを Pod で実行してホストにアクセスできました。

    この方法で Pod をスケジュールすることは GKE Standard では想定されていますが、GKE Autopilot では想定されていません。これは、前述の SLA の有効化に使用されたホストアクセス制限がバイパスされるためです。

    この問題は、サードパーティの許可リストの Pod 仕様を強化することで修正されました。

    root-on-node からの権限昇格

    また、ホストアクセスに加えて、stackdriver-metadata-agent-cluster-level Pod と metrics-server Pod に高い権限が付与されました。ノードへのルートレベルでのアクセスを取得した後、これらのサービスを使用して、クラスタをより細かく制御できます。

    GKE Standard と Autopilot の両方の stackdriver-metadata-agent が非推奨になり、削除されました。このコンポーネントは、GKE on VMware と Bare Metal 向け Google Distributed Cloud Virtual で引き続き使用されています。

    この種の攻撃を今後防ぐためのシステム強化策として、今後のリリースで Autopilot 制約を適用し、kube-system Namespace 内のさまざまなオブジェクトのサービス アカウントに対する更新を防ぐ予定です。Google は、GKE Standard クラスタと GKE クラスタに同様の保護を適用して特権ワークロードの自己変更を防止できるようにするための Gatekeeper ポリシーを開発しました。このポリシーは Autopilot クラスタに自動的に適用されます。手順については、次の強化ガイドをご覧ください。

    2022 年 3 月 15 日追加: 変更用 Webhook を使用する永続性

    変更用 Webhook がレポートで使用され、不正使用後のクラスタで特権的な足がかりが確立されました。これらは、クラスタ管理者が作成する Kubernetes API の標準部分であり、Autopilot で顧客定義の Webhook のサポートが追加されたときに管理者に表示されるようになりました。

    デフォルトの Namespace 内の特権サービス アカウント

    Autopilot ポリシー施行者は、デフォルトの Namespace に csi-attacherotelsvc の 2 つのサービス アカウントを許可リストに登録し、サービス アカウントに特別な権限を付与しました。ClusterRoleBinding オブジェクトを作成する権限やデフォルトの Namespace で Pod を作成する権限などの高い権限を持つ攻撃者は、これらのサービス アカウント名を使用して追加の権限にアクセスするおそれがあります。既存の Autopilot ポリシーを保護するため、これらのサービスは kube-system Namespace に移動しました。GKE Standard クラスタと GKE クラスタは影響を受けません。

    必要な対策

    すべての GKE Autopilot クラスタでは、意図しないホストアクセスを削除するためのポリシーが更新されました。以後の対応は特に必要はありません

    Autopilot には、二次的な保護としてさらなるポリシー強化機能が今後数週間以内に適用される予定です。このため、ご対応は不要です。

    GKE Standard クラスタと GKE クラスタは、ユーザーがすでにホストにアクセスできるため、影響を受けません。システムの強化策として、GKE Standard クラスタと GKE クラスタのユーザーは、特権付きワークロードの自己変更を防ぐ Gatekeeper ポリシーを使用して、同様の保護を適用できます。手順については、次の強化ガイドをご覧ください。

    GCP-2022-008

    公開: 2022 年 2 月 23 日
    更新: 2022 年 4 月 28 日
    参照: CVE-2022-23606、         CVE-2022-21655、         CVE-2021-43826、         CVE-2021-43825、         CVE-2021-43824、         CVE-2022-21654、         CVE-2022-21657、         CVE-2022-21656

    GKE

    説明 重大度
    Envoy プロジェクトは、CVE-2022-23606CVE-2022-21655CVE-2021-43826CVE-2021-43825CVE-2021-43824CVE-2022-21654CVE-2022-21657CVE-2022-21656といったいくつかの脆弱性を最近発見しました。これらは、Anthos Service MeshIstio-on-GKE、またはカスタム Istio デプロイを使用する GKE クラスタに影響を与える可能性があります。
    以下の問題はすべて、Envoy リリース 1.21.1 で修正されています。
    技術的背景
    これらの脆弱性の詳細については、こちらをご覧ください。

    必要な対策

    Anthos Service Mesh を実行する GKE クラスタは、上記の脆弱性を修正したサポートされているバージョンにアップグレードする必要があります。
    • Anthos Service Mesh 1.12 を使用している場合は、v1.12.4-asm.0 にアップグレードします。
    • Anthos Service Mesh 1.11 を使用している場合は、v1.11.7-asm.1 にアップグレードします。
    • Anthos Service Mesh 1.10 を使用している場合は、v1.10.6-asm.1 にアップグレードします
    Anthos Service Mesh v1.9 以前を使用している場合ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。ASM 1.10 以降にアップグレードする必要があります。

    Istio-on-GKE を実行している GKE クラスタは、上記の脆弱性を修正してサポートされているバージョンにアップグレードする必要があります。
    • Istio-on-GKE 1.6 を使用している場合は、v1.6.14-gke.8 にアップグレードします。
    • Istio-on-GKE 1.4.11 を使用している場合は、v1.4.11-gke.4 にアップグレードします。
    • Istio-on-GKE 1.4.10 を使用している場合は、v1.4.10-gke.23 にアップグレードします。
    • GKE 1.22 以降を使用している場合は、Istio GKE 1.4.10 を使用してください。それ以外の場合は、Istio-on-GKE 1.4.11 を使用します。

    このパッチで対処される脆弱性

    CVE-2022-23606CVE-2022-21655CVE-2021-43826CVE-2021-43825CVE-2021-43824CVE-2022-21654CVE-2022-21657CVE-2022-21656

    GKE on VMware

    更新日時: 2022 年 4 月 28 日

    説明 重大度
    Envoy は最近、複数のセキュリティ上の脆弱性の修正をリリースしました。Envoy は metrics-server で使用されるため、GKE on VMware は影響を受けます。現在修正している Envoy CVE は、次のとおりです。このセキュリティ情報は、特定のバージョンを含めて利用可能になり次第、更新されます。
    • CVE-2021-43824(CVSS スコア 6.5、中): JWT フィルタ safe_regex 一致の使用時、null ポインタ逆参照の可能性があります。
      注: ASM/Istio-on-GKE は Envoy フィルタをサポートしていませんが、JWT フィルタ正規表現を使用すると影響を受ける可能性があります
    • CVE-2021-43825(CVSS スコア 6.1、中): レスポンス フィルタがレスポンス データを増やし、増加したデータがダウンストリームのバッファ上限を超えた場合の Use After Free(解放済みメモリ使用)。
      注: ASM/Istio-on-GKE は Envoy フィルタをサポートしていませんが、解凍フィルタを使用すると影響を受ける可能性があります。
    • CVE-2021-43826(CVSS スコア 6.1、中): アップストリーム接続の確立中にダウンストリームが切断された場合に、HTTP で TCP をトンネリングする場合の Use After Free。
      注: ASM/Istio-on-GKE は Envoy フィルタをサポートしていませんが、トンネリング フィルタを使用すると影響を受ける可能性があります。
    • CVE-2022-21654(CVSS スコア 7.3、高): 正しくない構成を処理することで、検証設定の変更後に再検証を行わずに mTLS セッションを再利用できます。
      注: mTLS を使用する ASM/Istio-on-GKE サービスはすべて、この CVE の影響を受けます。
    • CVE-2022-21655(CVSS スコア 7.5、高): ダイレクト レスポンス エントリを含むルートへの内部リダイレクトの処理が正しく行われません。
      注: ASM/Istio-on-GKE は Envoy フィルタをサポートしていませんが、ダイレクト レスポンス フィルタを使用すると、影響を受ける可能性があります。
    • CVE-2022-23606(CVSS スコア 4.4、中): クラスタ ディスカバリ サービス経由でクラスタを削除すると、スタックが枯渇します。
      注: ASM 1.11+ はこの CVE の影響を受けます。ASM 1.10 とすべての Istio-on-GKE は、この CVE の影響を受けません。
    • CVE-2022-21657(CVSS Score 3.1、低): Envoy から 1.20.1 までには、X.509 Extended Key Usage and Trust Purpose バイパスにより、リモートで悪用される脆弱性が含まれています。
    • CVE-2022-21656(CVSS Score 3.1、低): Envoy から 1.20.1 までには、X.509 subjectAltName マッチング(および nameConstraints)バイパスにより、リモートで悪用される脆弱性が含まれています。

    Istio は最近、セキュリティ上の脆弱性の修正を 1 つリリースしました。Istio が Ingress に使用されているため、Anthos on VMware が影響を受けます。現在修正している Istio CVE は、次のとおりです。このセキュリティ情報は、特定のバージョンを含めて利用可能になり次第、更新されます。

    CVE-2022-23635(CVSS スコア 7.5、高): Istiod は特別に作成された「authorization」ヘッダーのリクエストを受信するとクラッシュします。


    上記の CVE の完全な説明と影響については、セキュリティに関する情報をご覧ください。

    2022 年 4 月 28 日追加: 必要な対策

    これらの脆弱性は、GKE on VMware の次のバージョンで修正されます。

    • 1.9.5
    • 1.10.3
    • 1.11.0

    このパッチで対処される脆弱性

    CVE-2022-23606CVE-2022-21655CVE-2021-43826CVE-2021-43825CVE-2021-43824CVE-2022-21654CVE-2022-21657CVE-2022-21656

    Google Distributed Cloud Virtual for Bare Metal

    説明 重大度
    Envoy は最近、複数のセキュリティ上の脆弱性の修正をリリースしました。Envoy が metrics-server に使用されているため、ベアメタル版 Anthos が影響を受けます。リリース 1.10.3、1.9.6、1.8.9 で修正している Envoy CVE は次のとおりです。
    • CVE-2021-43824(CVSS スコア 6.5、中): JWT フィルタ safe_regex 一致の使用時、null ポインタ逆参照の可能性があります。
      注: ASM/Istio-on-GKE は Envoy フィルタをサポートしていませんが、JWT フィルタ正規表現を使用すると影響を受ける可能性があります。
    • CVE-2021-43825(CVSS スコア 6.1、中): レスポンス フィルタがレスポンス データを増やし、増加したデータがダウンストリームのバッファ上限を超えた場合の Use After Free(解放済みメモリ使用)。
      注: ASM/Istio-on-GKE は Envoy フィルタをサポートしていませんが、解凍フィルタを使用すると影響を受ける可能性があります。
    • CVE-2021-43826(CVSS スコア 6.1、中): アップストリーム接続の確立中にダウンストリームが切断された場合に、HTTP で TCP をトンネリングする場合の Use After Free。
      注: ASM/Istio-on-GKE は Envoy フィルタをサポートしていませんが、トンネリング フィルタを使用すると影響を受ける可能性があります。
    • CVE-2022-21654(CVSS スコア 7.3、高): 正しくない構成を処理することで、検証設定の変更後に再検証を行わずに mTLS セッションを再利用できます。
      注: mTLS を使用する ASM/Istio-on-GKE サービスはすべて、この CVE の影響を受けます。
    • CVE-2022-21655(CVSS スコア 7.5、高): ダイレクト レスポンス エントリを含むルートへの内部リダイレクトの処理が正しく行われません。
      注: ASM/Istio-on-GKE は Envoy フィルタをサポートしていませんが、ダイレクト レスポンス フィルタを使用すると、影響を受ける可能性があります。
    • CVE-2022-23606(CVSS スコア 4.4、中): クラスタ ディスカバリ サービス経由でクラスタを削除すると、スタックが枯渇します。
      注: ASM 1.11+ はこの CVE の影響を受けます。ASM 1.10 とすべての Istio-on-GKE は、この CVE の影響を受けません。
    • CVE-2022-21657(CVSS Score 3.1、低): Envoy から 1.20.1 までには、X.509 Extended Key Usage and Trust Purpose バイパスにより、リモートで悪用される脆弱性が含まれています。
    • CVE-2022-21656(CVSS Score 3.1、低): Envoy から 1.20.1 までには、X.509 subjectAltName マッチング(および nameConstraints)バイパスにより、リモートで悪用される脆弱性が含まれています。
    Istio は最近、セキュリティ上の脆弱性の修正を 1 つリリースしました。Istio が上り(内向き)に使用されているため、ベアメタル版 Anthos が影響を受けます。リリース 1.10.3、1.9.6、1.8.9 で修正している Istio の CVE は次のとおりです。

    • CVE-2022-23635(CVSS スコア 7.5、高): Istiod は特別に作成された「authorization」ヘッダーのリクエストを受信するとクラッシュします。
      注: すべての ASM/Istio-on-GKE がこの CVE の影響を受けます。

    上記の CVE に関する完全な説明と影響については、セキュリティに関する情報をご覧ください。

    このパッチで対処される脆弱性

    CVE-2022-23606CVE-2022-21655CVE-2021-43826CVE-2021-43825CVE-2021-43824CVE-2022-21654CVE-2022-21657CVE-2022-21656

    GCP-2022-006

    公開日: 2022 年 2 月 14 日
    更新日: 2022 年 5 月 16 日
    2022 年 5 月 16 日更新: この脆弱性を修正するコードを含むバージョンのリストに、GKE バージョン 1.19.16-gke.7800 以降を追加しました。
    2022 年 5 月 12 日更新: GKE、Google Distributed Cloud Virtual for Bare Metal、GKE on VMware、GKE on AWS のパッチ バージョンを更新しました。2022 年 2 月 23 日に追加したとき、GKE on AWS のセキュリティ情報が表示されない問題を修正しました。

    GKE

    説明 重大度

    セキュリティ上の脆弱性 CVE-2022-0492 が Linux カーネルの cgroup_release_agent_write 関数で発見されました。攻撃には権限のないユーザーの名前空間が使用され、特定の状況下でこの脆弱性を悪用してコンテナ ブレイクアウトが実行される可能性があります。

    必要な対策

    2022 年 5 月 16 日更新: 2022 年 5 月 12 日の更新で言及された GKE バージョンに加えて、GKE バージョン 1.19.16-gke.7800 以降には、この脆弱性を修正するコードも含まれています。

    2022 年 5 月 12 日更新: 次の GKE バージョンには、この脆弱性を修正したコードが含まれています。

    • 1.20.15-gke.5600 以降
    • 1.21.11-gke.1500 以降
    • 1.22.8-gke.1800 以降
    • 1.23.5-gke.1800 以降
      •         
            
            2022 年 2 月 15 日更新: gVisor ステートメントを修正しました。         
            

    この脆弱性は Linux カーネルの cgroup_release_agent_write にある kernel/cgroup/cgroup-v1.c 関数で発見され、これを利用してコンテナのブレークアウトが可能です。GKE は、Ubuntu と COS のデフォルトの AppArmor プロファイルから保護されるため、影響を受けません。ただし、Pod やコンテナの securityContext フィールドを変更して Pod のセキュリティ制限を緩和すると、一部のお客様が依然として脆弱性の影響を受ける可能性があります。たとえば、AppArmor プロファイルの無効化や変更を行うことが考えられますが、これは推奨されません。デフォルトの AppArmor プロファイルに加え、これらの機能も脆弱性から保護します。

    • デフォルトの seccomp プロファイルにより、GKE Autopilot は影響を受けません。
    • 2022 年 2 月 15 日更新: gVisor (GKE Sandbox)はホスト上の脆弱なシステムコールへのアクセスを許可していないため、gVisorは影響を受けません。

    パッチは今後のリリースで提供される予定です。このセキュリティ情報は、利用可能になり次第、更新されます。

    このパッチで対処される脆弱性

    CVE-2022-0492

    GKE クラスタ

    説明 重大度

    セキュリティ上の脆弱性 CVE-2022-0492 が Linux カーネルの cgroup_release_agent_write 関数で発見されました。攻撃には権限のないユーザーの名前空間が使用され、特定の状況下でこの脆弱性を悪用してコンテナ ブレイクアウトが実行される可能性があります。

    必要な対策

    2022 年 5 月 12 日更新: GKE on VMware の次のバージョンには、この脆弱性を修正するコードが含まれています。

    COS
    • 1.8.8 以降
    • 1.9.5 以降
    • 1.10.2 以降
    • 1.11.0 以降
    Ubuntu
    • 1.9.6 以降
    • 1.10.3 以降
    • 1.11.0 以降

    この脆弱性は Linux カーネルの cgroup_release_agent_write にある kernel/cgroup/cgroup-v1.c 関数にあり、コンテナ ブレイクアウトとして使用できます。GKE on VMware は、Ubuntu と COS のデフォルトの AppArmor プロファイルから保護されるため、影響を受けません。ただし、Pod やコンテナの securityContext を変更して Pod のセキュリティ制限を緩和すると、一部のお客様が依然として脆弱性の影響を受ける可能性があります。たとえば、AppArmor プロファイルの無効化や変更を行うことが考えられますが、これはおすすめしません。

    パッチは今後のリリースで提供される予定です。このセキュリティ情報は、利用可能になり次第、更新されます。

    このパッチで対処される脆弱性

    CVE-2022-0492

    GKE on AWS

    説明 重大度

    セキュリティ上の脆弱性 CVE-2022-0492 が Linux カーネルの cgroup_release_agent_write 関数で発見されました。攻撃には権限のないユーザーの名前空間が使用され、特定の状況下でこの脆弱性を悪用してコンテナ ブレイクアウトが実行される可能性があります。

    必要な対策

    2022 年 5 月 12 日更新: 現行および前世代の GKE on AWS には、この脆弱性を修正するコードが含まれています。

    現行世代
    • 1.21.11-gke.1100
    • 1.22.8-gke.1300
    前の世代
    • 1.22.8-gke.1300
    • 1.21.11-gke.1100
    • 1.20.15-gke.5200

    2022 年 2 月 23 日更新: GKE on AWS に関する注記を追加しました。

    GKE on AWS は、Ubuntu のデフォルトの AppArmor プロファイルから保護されるため、前世代と現行世代は影響を受けません。ただし、Pod やコンテナの securityContext フィールドを変更して Pod のセキュリティ制限を緩和すると、一部のお客様が依然として脆弱性の影響を受ける可能性があります。たとえば、AppArmor プロファイルの無効化や変更などが考えられますが、これは推奨されません。

    パッチは今後のリリースで提供される予定です。このセキュリティ情報は、利用可能になり次第、更新されます。

    このパッチで対処される脆弱性

    CVE-2022-0492

    GKE Enterprise

    説明 重大度

    セキュリティ上の脆弱性 CVE-2022-0492 が Linux カーネルの cgroup_release_agent_write 関数で発見されました。攻撃には権限のないユーザーの名前空間が使用され、特定の状況下でこの脆弱性を悪用してコンテナ ブレイクアウトが実行される可能性があります。

    必要な対策

    2022 年 5 月 12 日更新: GKE on Azure の以下のバージョンには、この脆弱性を修正するコードが含まれています。

    • 1.21.11-gke.1100
    • 1.22.8-gke.1300

    GKE on Azure は、Ubuntu のデフォルトの AppArmor プロファイルから保護されるため、影響を受けません。ただし、Pod やコンテナの securityContext を変更して Pod のセキュリティ制限を緩和すると、一部のお客様が依然として脆弱性の影響を受ける可能性があります。たとえば、AppArmor プロファイルの無効化や変更を行うことが考えられますが、これは推奨されません。

    パッチは今後のリリースで提供される予定です。このセキュリティ情報は、利用可能になり次第、更新されます。

    このパッチで対処される脆弱性

    CVE-2022-0492

    GCP-2022-005

    公開日: 2022 年 2 月 11 日
    更新日: 2022 年 2 月 15 日
    参考情報: CVE-2021-43527

    GKE

    説明 重大度
    2022 年 2 月 15 日更新: 元の公開情報に記載されている GKE バージョンの一部では、他の修正と一緒にされ、リリース前にバージョン番号が上げられていました。パッチは、次の GKE バージョンで提供されます。
    • 1.20.15-gke.300
    • 1.21.9-gke.300
    • 1.22.6-gke.1000

    3.73 または 3.68.1 より前の NSS(Network Security Services)バージョンで見つかった脆弱性のあるバージョンの libnss3 にリンクするバイナリで、セキュリティ上の脆弱性 CVE-2021-43527 が発見されました。NSS を証明書の検証や、TLS、X.509、OCSP、CRL などの機能に使用しているアプリケーションは、NSS の使用方法や構成に応じて影響を受ける可能性があります。GKE COS イメージと Ubuntu イメージのどちらにも脆弱性のあるバージョンがインストールされているため、パッチを適用する必要があります。

    場合によっては、CVE-2021-43527 は、NSS を使用して CMS、S/MIME、PKCS#7、PKCS#12 内でエンコードされた署名を処理するアプリケーション全体にわたり広く影響を与える可能性があります。証明書の検証や他の TLS に NSS を使用するアプリケーションだけでなく、X.509、OCSP 機能や CRL 機能も影響を受ける可能性があります。影響は、NSS の使用方法や構成方法によって異なります。

    GKE では、インターネットからアクセス可能な API に libnss3 を使用しません。この影響は小さく、Chrome OS の設計が最小限で済むため、コンテナ外で実行されるホスト上のコードに限定されます。Golang distroless のベースイメージを使用したコンテナ内で実行される GKE コードは影響を受けません。

    必要な対策

    次の GKE バージョン用の Linux ノードイメージ バージョンは、これらの脆弱性を修正するコードで更新されています。コントロール プレーンとノードを次のいずれかの GKE バージョンにアップグレードしてください。

    • 1.18 バージョンは未確定
    • 1.19.16-gke.6100
    • 1.20.15-gke.200
    • 1.21.9-gke.200
    • 1.22.6-gke.600
    • 1.23.3-gke.500
    1.18 より古いバージョンの GKE を使用していますか?SLA の期限が終了した GKE バージョンを使用しており、サポート対象のいずれかのバージョンへのアップグレードを検討する必要があります。

    このパッチで対処される脆弱性

    CVE-2021-43527

    GKE クラスタ

    説明 重大度

    3.73 または 3.68.1 より前の NSS(Network Security Services)バージョンで見つかった脆弱性のあるバージョンの libnss3 にリンクするバイナリで、セキュリティ上の脆弱性 CVE-2021-43527 が発見されました。証明書の検証や、他の TLS、X.509、OCSP、CRL の機能に NSS を使用するアプリケーションは、NSS の構成によっては影響を受ける可能性があります。GKE on VMware の COS イメージと Ubuntu イメージの両方には脆弱性のあるバージョンがインストールされているため、パッチを適用する必要があります。

    場合によっては、CVE-2021-43527 は、NSS を使用して CMS、S/MIME、PKCS \#7、PKCS \#12 内でエンコードされた署名を処理するアプリケーション全体にわたり広く影響を与える可能性があります。証明書の検証や他の TLS に NSS を使用するアプリケーションだけでなく、X.509、OCSP 機能や CRL 機能も影響を受ける可能性があります。影響は、NSS の構成や使用方法によって異なります。GKE on VMware は、一般公開されている API に libnss3 を使用しないため、影響は限定的です。GKE on VMware に対するこの CVE の重大度は「中」です。

    必要な対策

    次の Anthos バージョンの Linux ノードイメージ バージョンは、これらの脆弱性を修正するコードで更新されています。コントロール プレーンとノードを次のいずれかの Anthos バージョンにアップグレードしてください。

    • 1.8.7
    • 1.9.4
    • 1.10.2

    1.18 より古いバージョンの GKE on VMware を使用していますか?SLA 対象外の Anthos バージョンを使用していますので、サポートされているバージョンのいずれかへのアップグレードを検討する必要があります。

    このパッチで対処される脆弱性

    CVE-2021-43527

    GKE Enterprise

    説明 重大度

    3.73 または 3.68.1 より前の NSS(Network Security Services)バージョンで見つかった脆弱性のあるバージョンの libnss3 にリンクするバイナリで、セキュリティ上の脆弱性 CVE-2021-43527 が発見されました。NSS を証明書の検証や、TLS、X.509、OCSP、CRL などの機能に使用しているアプリケーションは、NSS の使用方法や構成に応じて影響を受ける可能性があります。Anthos clusters on Azure の Ubuntu イメージには、脆弱性のあるバージョンがインストールされているため、パッチを適用する必要があります。

    場合によっては、CVE-2021-43527 は、NSS を使用して CMS、S/MIME、PKCS#7、PKCS#12 内でエンコードされた署名を処理するアプリケーション全体にわたり広く影響を与える可能性があります。証明書の検証や他の TLS に NSS を使用するアプリケーションだけでなく、X.509、OCSP 機能や CRL 機能も影響を受ける可能性があります。影響は、NSS の構成や使用方法によって異なります。Anthos clusters on Azure は、一般公開されている API に libnss3 を使用しないため、影響は限定的であり、Anthos on Azure に対するのこの CVE の 重大度は「中」です。

    必要な対策

    次の GKE on Azure バージョンの Linux ノードイメージ バージョンは、これらの脆弱性を修正するコードで更新されています。ご利用のクラスタを次のいずれかの Anthos on Azure バージョンにアップグレードしてください。

    • v1.21.6-gke.1500

    このパッチで対処される脆弱性

    CVE-2021-43527

    GCP-2022-004

    公開日: 2022 年 2 月 4 日
    参考情報: CVE-2021-4034

    GKE

    説明 重大度

    セキュリティ上の脆弱性 CVE-2021-4034 が Linux ポリシーキット パッケージ(polkit)の一部である pkexec で発見されました。この脆弱性は、認証済みのユーザーが権限昇格攻撃を実行できるというものです。PolicyKit は通常、Linux デスクトップ システム上でのみ使用され、root 以外のユーザーがポリシーに沿ってシステムの再起動、パッケージのインストール、サービスの再起動などの操作を実行できるようにするものです。

    必要な対策

    脆弱性のあるモジュール(policykit-1)は、GKE で使用される COS や Ubuntu のイメージにインストールされていないため、GKE は影響を受けません。このため、ご対応は不要です。

    		 なし

    GKE クラスタ

    説明 重大度

    セキュリティ上の脆弱性 CVE-2021-4034 が Linux ポリシーキット パッケージ(polkit)の一部である pkexec で発見されました。この脆弱性は、認証済みのユーザーが権限昇格攻撃を実行できるというものです。PolicyKit は通常、Linux デスクトップ システム上でのみ使用され、root 以外のユーザーがポリシーに沿ってシステムの再起動、パッケージのインストール、サービスの再起動などの操作を実行できるようにするものです。

    GKE Enterprise のデフォルト構成では、ユーザーに完全な「sudo」権限が付与されているため、この悪用によって GKE Enterprise の既存のセキュリティ体制が変わることはありません。

    詳細な技術情報

    攻撃者がこのバグを悪用するには、ノード ファイルシステムの root 以外のシェルと、脆弱なバージョンの pkexec がインストールされている必要があります。GKE on VMware では、リリース イメージに policykit-1 のバージョンが含まれていますが、GKE のデフォルト構成では、シェルアクセス権がすでに付与されているすべてのユーザーに対してパスワードなしの sudo が許可されます。そのため、この脆弱性により、すでに持っている権限を超える権限がユーザーに付与されることはありません。

    必要な対策

    ご対応は必要ありません。GKE on VMware は影響を受けません。

    		 なし

    GKE クラスタ

    説明 重大度
    GKE on AWS は影響を受けません。脆弱性のあるモジュール policykit-1 は、GKE on AWS の最新バージョンと以前のバージョンで使用される Ubuntu イメージにインストールされません。 なし

    GKE Enterprise

    説明 重大度

    セキュリティ上の脆弱性 CVE-2021-4034 が Linux ポリシーキット パッケージ(polkit)の一部である pkexec で発見されました。この脆弱性は、認証済みのユーザーが権限昇格攻撃を実行できるというものです。PolicyKit は通常、Linux デスクトップ システム上でのみ使用され、root 以外のユーザーがポリシーに沿ってシステムの再起動、パッケージのインストール、サービスの再起動などの操作を実行できるようにするものです。

    GKE Enterprise のデフォルト構成では、ユーザーに完全な「sudo」権限が付与されているため、この悪用によって GKE Enterprise の既存のセキュリティ体制が変わることはありません。

    詳細な技術情報

    攻撃者がこのバグを悪用するには、ノード ファイルシステムの root 以外のシェルと、脆弱なバージョンの pkexec がインストールされている必要があります。GKE on Azure では、リリース イメージに policykit-1 のバージョンが含まれていますが、GKE Enterprise のデフォルト構成では、シェルアクセス権がすでに付与されているすべてのユーザーに対してパスワードなしの sudo が許可されます。そのため、この脆弱性により、すでに持っている権限を超える権限がユーザーに付与されることはありません。

    必要な対策

    ご対応は必要ありません。GKE on Azure は影響を受けません。

    		 なし

    GKE クラスタ

    説明 重大度
    Google Distributed Cloud Virtual for Bare Metal は、お客様が管理するオペレーティング システムにインストールされているパッケージによっては影響を受ける可能性があります。OS イメージをスキャンし、必要に応じてパッチを適用します。 なし

    GCP-2022-002

    公開日: 2022 年 2 月 1 日
    更新日: 2022 年 3 月 7 日
    参照情報:     CVE-2021-4154CVE-2021-22600CVE-2022-0185
    2022 年 2 月 4 日更新: GKE on AWS と GKE on Azure のセクションを追加しました。GKE と GKE on VMware のロールアウトの更新を追加しました。

    GKE

    更新日: 2022 年 3 月 7 日

    説明 重大度

    Linux カーネルで 3 つのセキュリティ脆弱性 CVE-2021-4154CVE-2021-22600CVE-2022-0185 が見つかりました。これらは、それぞれコンテナ ブレイクアウト、ホストに対する権限昇格、またはその両方につながる可能性があります。これらの脆弱性は、GKE 上のすべてのノード オペレーティング システム(COS と Ubuntu)、GKE on VMware、GKE on AWS(最新および旧世代)、GKE on Azure に影響します。

    GKE Sandbox を使用する Pod には、これらの脆弱性はありません。

    詳細については、COS リリースノートをご覧ください。

    詳細な技術情報

    CVE-2021-4154 では、攻撃者が fsconfig システム呼び出しパラメータを悪用して、Linux カーネルで use-after-free バグをトリガーし、root 権限を取得してしまうおそれがあります。これは、コンテナ ブレークアウトにつながるローカル権限昇格攻撃です。

    CVE-2021-22600 は packet_set_ring でのダブルフリー脆弱性の悪用であり、ホストノードへのコンテナ エスケープを招くおそれがあります。

    CVE-2022-0185 では、legacy_parse_param() にあるヒープ オーバーフローのバグにより、コンテナ ブレイクアウトの原因となる範囲外の書き込みを引き起こすことがあります。

    「unshare」syscall に依存するこの脆弱性の悪用パスは、デフォルトで seccomp フィルタリングを使用して GKE Autopilot クラスタでブロックされます。

    GKE Standard クラスタでデフォルトのコンテナ ランタイム seccomp プロファイルを手動で有効にしたユーザーも保護されます。

    必要な対策

    2022 年 3 月 7 日更新: 次のバージョンの GKE 用の Linux ノードイメージ バージョンは、Ubuntu イメージと COS イメージの両方に対するこれらすべての脆弱性を修正するコードで更新されています。コントロール プレーンとノードを次のいずれかの GKE バージョンにアップグレードしてください。

    • 1.18.20-gke.6101
    • 1.19.16-gke.8300
    • 1.20.15-gke.2500
    • 1.21.10-gke.400
    • 1.22.7-gke.900
    • 1.23.3-gke.1100

    2022 年 2 月 25 日更新: Ubuntu ノードイメージを使用している場合、1.22.6-gke.1000 は CVE-2021-22600 に対処しません。このセキュリティ情報は、Ubuntu パッチ バージョンが公開されたら更新する予定です。

    2022 年 2 月 23 日更新: 次のバージョンの GKE 用 Linux ノードイメージのバージョンが、これらの脆弱性を修正するコードで更新されています。クラスタは、次のいずれかの GKE バージョンにアップグレードしてください。

    • 1.18.20-gke.6101
    • 1.22.6-gke.1000
    • 1.23.3-gke.1100

    2022 年 2 月 4 日更新: GKE パッチ バージョンのロールアウト開始日は 2 月 2 日でした。

    これらの脆弱性を修正するコードにより、次のバージョンの GKE の Linux ノードイメージのバージョンが更新されました。クラスタは、次のいずれかの GKE バージョンにアップグレードしてください。

    • 1.19.16-gke.6100
    • 1.20.15-gke.300
    • 1.21.9-gke.300

    1.22 と 1.23 のバージョンも進行中です。このセキュリティ情報は、特定のバージョンを含めて利用可能になり次第、更新されます。

    このパッチで対処される脆弱性

    GKE クラスタ

    更新日: 2022 年 2 月 23 日

    説明 重大度

    Linux カーネルで 3 つのセキュリティ脆弱性 CVE-2021-4154CVE-2021-22600CVE-2022-0185 が見つかりました。これらは、それぞれコンテナ ブレイクアウト、ホストに対する権限昇格、またはその両方につながる可能性があります。これらの脆弱性は、GKE 上のすべてのノード オペレーティング システム(COS と Ubuntu)、GKE on VMware、GKE on AWS(最新および旧世代)、GKE on Azure に影響します。

    詳細については、COS リリースノートをご覧ください。

    詳細な技術情報

    CVE-2021-4154 では、攻撃者が fsconfig システム呼び出しパラメータを悪用して、Linux カーネルで use-after-free バグをトリガーし、root 権限を取得してしまうおそれがあります。これは、コンテナ ブレークアウトにつながるローカル権限昇格攻撃です。

    CVE-2021-22600 は packet_set_ring でのダブルフリー脆弱性の悪用であり、ホストノードへのコンテナ エスケープを招くおそれがあります。

    CVE-2022-0185 では、legacy_parse_param() にあるヒープ オーバーフローのバグにより、コンテナ ブレイクアウトの原因となる範囲外の書き込みを引き起こすことがあります。

    GKE Standard クラスタでデフォルトのコンテナ ランタイム seccomp プロファイルを手動で有効にしたユーザーも保護されます。

    必要な対策

    2022 年 2 月 23 日更新: バージョン 1.10.2(CVE-2021-22600、CVE-2021-4154、CVE-2022-0185 の修正)が 3 月 1 日に予定されています。

    2022 年 2 月 23 日更新: CVE-2021-2260 に対処するパッチ適用済みバージョンを追加しました。

    バージョン 1.10.1 は CVE-2021-22600 に対処しませんが、他の脆弱性には対処します。リリースされていないバージョン 1.9.4 と 1.10.2 は CVE-2021-22600 に対応します。次の GKE on VMware バージョン用の Linux ノードイメージ バージョンは、この脆弱性を修正するコードで更新されています。クラスタは、次のいずれかの GKE on VMware バージョンにアップグレードしてください。

    • 1.10.1(CVE-2021-4154 と CVE-2022-0185 を修正。2009 年 2 月 10 日にリリース)
    • 1.8.7(CVE-2021-22600、CVE-2021-4154、CVE-2022-0185 を修正。2009 年 2 月 17 日にリリース)
    • 1.9.4(CVE-2021-22600、CVE-2021-4154、CVE-2022-0185 を修正。2009 年 2 月 23 日にリリース)
    • 1.10.2(CVE-2021-22600、CVE-2021-4154、CVE-2022-0185 を修正。2 月 24 日でスケジュール設定済み)

    2022 年 2 月 4 日更新: CVE-2021-22600 に未対応の Ubuntu イメージに関する情報を追加しました。

    次の GKE on VMware バージョン用の Linux ノードイメージ バージョンは、この脆弱性を修正するコードで更新されています。クラスタは、次のいずれかの GKE on VMware バージョンにアップグレードしてください。

    • 1.10.1(COS の更新のみ。Ubuntu パッチは 1.10.2 で 2 月 23 日にリリース予定)
    • 1.9.4(2 月 15 日でスケジュール設定済み)
    • 1.8.7(2 月 15 日でスケジュール設定済み)

    このパッチで対処される脆弱性

    GKE クラスタ

    説明 重大度

    Linux カーネルで 3 つのセキュリティ脆弱性 CVE-2021-4154CVE-2021-22600CVE-2022-0185 が見つかりました。これらは、それぞれコンテナ ブレイクアウト、ホストに対する権限昇格、またはその両方につながる可能性があります。これらの脆弱性は、GKE 上のすべてのノード オペレーティング システム(COS と Ubuntu)、GKE on VMware、GKE on AWS(最新および旧世代)、GKE on Azure に影響します。

    詳細については、COS リリースノートをご覧ください。

    詳細な技術情報

    CVE-2021-4154 では、攻撃者が fsconfig システム呼び出しパラメータを悪用して、Linux カーネルで use-after-free バグをトリガーし、root 権限を取得してしまうおそれがあります。これは、コンテナ ブレークアウトにつながるローカル権限昇格攻撃です。

    CVE-2021-22600 は packet_set_ring でのダブルフリー脆弱性の悪用であり、ホストノードへのコンテナ エスケープを招くおそれがあります。

    CVE-2022-0185 では、legacy_parse_param() にあるヒープ オーバーフローのバグにより、コンテナ ブレイクアウトの原因となる範囲外の書き込みを引き起こすことがあります。

    GKE Standard クラスタでデフォルトのコンテナ ランタイム seccomp プロファイルを手動で有効にしたユーザーも保護されます。

    必要な対策

    GKE on AWS

    次の GKE on AWS バージョン用の Linux ノードイメージ バージョンは、この脆弱性を修正するコードで更新されています。クラスタを次の GKE on AWS バージョンにアップグレードしてください。

    • 1.21.6-gke.1500 以降(2 月にリリース)

    GKE on AWS(前の世代)

    これらの脆弱性を修正するコードを使用して、次のバージョンの GKE on AWS(前の世代)の Linux ノードイメージのバージョンを更新しました。クラスタを次のいずれかの GKE on AWS(前世代)バージョンにアップグレードします。

    • 1.19.16-gke.5300
    • 1.20.14-gke.2000
    • 1.21.8-gke.2000

    このパッチで対処される脆弱性

    GKE Enterprise

    説明 重大度

    Linux カーネルで 3 つのセキュリティ脆弱性 CVE-2021-4154CVE-2021-22600CVE-2022-0185 が見つかりました。これらは、それぞれコンテナ ブレイクアウト、ホストに対する権限昇格、またはその両方につながる可能性があります。これらの脆弱性は、GKE 上のすべてのノード オペレーティング システム(COS と Ubuntu)、GKE on VMware、GKE on AWS(最新および旧世代)、GKE on Azure に影響します。

    詳細については、COS リリースノートをご覧ください。

    詳細な技術情報

    CVE-2021-4154 では、攻撃者が fsconfig システム呼び出しパラメータを悪用して、Linux カーネルで use-after-free バグをトリガーし、root 権限を取得してしまうおそれがあります。これは、コンテナ ブレークアウトにつながるローカル権限昇格攻撃です。

    CVE-2021-22600 は packet_set_ring でのダブルフリー脆弱性の悪用であり、ホストノードへのコンテナ エスケープを招くおそれがあります。

    CVE-2022-0185 では、legacy_parse_param() にあるヒープ オーバーフローのバグにより、コンテナ ブレイクアウトの原因となる範囲外の書き込みを引き起こすことがあります。

    GKE Standard クラスタでデフォルトのコンテナ ランタイム seccomp プロファイルを手動で有効にしたユーザーも保護されます。

    必要な対策

    次の GKE on Azure バージョンの Linux ノードイメージ バージョンは、これらの脆弱性を修正するコードで更新されています。クラスタを次の GKE on Azure バージョンにアップグレードしてください。

    • 1.21.6-gke.1500 以降(2 月にリリース)

    このパッチで対処される脆弱性

    GCP-2021-024

    公開日: 2021 年 10 月 21 日
    参考情報: CVE-2021-25742

    GKE

    説明 重大度

    Kubernetes の ingress-nginx コントローラ CVE-2021-25742 でセキュリティの問題が見つかりました。Ingress-nginx カスタム スニペットを使用すると、すべての名前空間で ingress-nginx サービス アカウント トークンとシークレットを取得できます。

    必要な対策

    このセキュリティの問題は、GKE クラスタ インフラストラクチャや GKE Enterprise 環境のクラスタ インフラストラクチャには影響しません。ワークロードのデプロイで ingress-nginx を使用する場合は、このセキュリティの問題に注意する必要があります。詳細については、Ingress-nginx の問題 7837 をご覧ください。

    		 なし

    GKE クラスタ

    説明 重大度

    Kubernetes の ingress-nginx コントローラ CVE-2021-25742 でセキュリティの問題が見つかりました。Ingress-nginx カスタム スニペットを使用すると、すべての名前空間で ingress-nginx サービス アカウント トークンとシークレットを取得できます。

    必要な対策

    このセキュリティの問題は、GKE クラスタ インフラストラクチャや GKE Enterprise 環境のクラスタ インフラストラクチャには影響しません。ワークロードのデプロイで ingress-nginx を使用する場合は、このセキュリティの問題に注意する必要があります。詳細については、Ingress-nginx の問題 7837 をご覧ください。

    		 なし

    GKE クラスタ

    説明 重大度

    Kubernetes の ingress-nginx コントローラ CVE-2021-25742 でセキュリティの問題が見つかりました。Ingress-nginx カスタム スニペットを使用すると、すべての名前空間で ingress-nginx サービス アカウント トークンとシークレットを取得できます。

    必要な対策

    このセキュリティの問題は、GKE クラスタ インフラストラクチャや GKE Enterprise 環境のクラスタ インフラストラクチャには影響しません。ワークロードのデプロイで ingress-nginx を使用する場合は、このセキュリティの問題に注意する必要があります。詳細については、Ingress-nginx の問題 7837 をご覧ください。

    		 なし

    GKE クラスタ

    説明 重大度

    Kubernetes の ingress-nginx コントローラ CVE-2021-25742 でセキュリティの問題が見つかりました。Ingress-nginx カスタム スニペットを使用すると、すべての名前空間で ingress-nginx サービス アカウント トークンとシークレットを取得できます。

    必要な対策

    このセキュリティの問題は、GKE クラスタ インフラストラクチャや GKE Enterprise 環境のクラスタ インフラストラクチャには影響しません。ワークロードのデプロイで ingress-nginx を使用する場合は、このセキュリティの問題に注意する必要があります。詳細については、Ingress-nginx の問題 7837 をご覧ください。

    		 なし

    GCP-2021-019

    公開日: 2021 年 9 月 29 日

    GKE

    説明 重大度

    v1beta1 API を使用して BackendConfig リソースを更新すると、Service からアクティブな Google Cloud Armor セキュリティ ポリシーが削除されるという既知の問題があります。

    影響

    BackendConfigv1beta1 API ですでに更新されている場合、Google Cloud Armor セキュリティ ポリシーが削除されている可能性があります。この問題が発生しているかどうかを確認するには、次のコマンドを実行します

    kubectl get backendconfigs -A -o json | \
jq -r '.items[] | select(.spec.securityPolicy == {}) | .metadata | "\(.namespace)/\(.name)"'
    • レスポンスが出力を返す場合: クラスタはこの問題の影響を受けています。 このコマンドは、問題の影響を受ける BackendConfig リソース(<namespace>/<name>)のリストを返します。
    • 出力が空の場合: 問題が発生してから v1beta1 API で BackendConfig が更新されていません。BackendConfig の今後の更新では、v1 のみを使用する必要があります

    この問題は、次の GKE バージョンに影響します。

    • 1.18.19-gke.1400~1.18.20-gke.5100(限定的)
    • 1.19.10-gke.700~1.19.14-gke.300(限定的)
    • 1.20.6-gke.700~1.20.9-gke.900(限定的)
    • 1.21~1.21.1-gke.2700(限定的)

    BackendConfig を使用して Ingress リソースに Google Cloud Armor を構成していない場合、クラスタへの影響はありません。

    必要な対策

    この問題にパッチを適用し、v1beta1 BackendConfig リソースを安全に使用できるようにする、次のいずれかの更新バージョンに GKE コントロール プレーンをアップグレードします。

    • 1.21.1-gke.2700 以降
    • 1.20.9-gke.900 以降
    • 1.19.14-gke.300 以降
    • 1.18.20-gke.5100 以降

    この問題は、v1beta1 BackendConfig リソースのデプロイを回避して防止することもできます。BackendConfig を使用して Ingress リソースに Google Cloud Armor を構成し、上述の手順により影響を受けることが判明した場合は、cloud.google.com/v1 API バージョンを使用する現在の BackendConfig リソースに更新を push して Google Cloud Armor を再度有効にします。

    この問題を回避するには、BackendConfig の更新を v1 BackendConfig API のみで行います

    v1 BackendConfigv1beta1 と同じフィールドをすべてサポートし、互換性を破る変更がないため、API フィールドを透過的に更新できます。これを行うには、アクティブな BackendConfig マニフェストの apiVersion フィールドを cloud.google.com/v1置換します。cloud.google.com/v1beta1 は使用しないでください

    次のサンプル マニフェストは、v1 API を使用する BackendConfig リソースを記述しています。

    apiVersion: cloud.google.com/v1
kind: BackendConfig
metadata:
  name: my-backend-config
spec:
  securityPolicy:
    name: "ca-how-to-security-policy"

    BackendConfig リソースを定期的に更新する CI / CD システムまたはツールがある場合は、これらのシステムで cloud.google.com/v1 API グループを使用していることを確認してください

    GCP-2021-022

    公開日: 2021 年 9 月 23 日

    GKE クラスタ

    説明 重大度

    GKE on VMware バージョン 1.8 および 1.8.1 の GKE Enterprise Identity Service(AIS)LDAP モジュールで、鍵の生成に使用されるシード鍵を予測できる脆弱性が見つかりました。この脆弱性により、認証されたユーザーが任意のクレームを追加して、権限を無期限にエスカレーションできるようになります。

    詳細な技術情報

    AIS コードに最近追加された機能では、Go 言語の math / rand モジュールを使用して対称鍵が作成されますが、これはセキュリティが重視されるコードには適していません。予測可能な鍵の生成では、このモジュールが使用されています。ID の検証時に、安全なトークン サービス(STS)鍵が生成され、つづいて簡単に生成できる対称鍵で暗号化されます。

    必要な対策

    この脆弱性は、GKE on VMware バージョン 1.8 および 1.8.1 で AIS を使用しているお客様にのみ影響します。GKE on VMware 1.8 を使用している場合は、クラスタを次のバージョンにアップグレードしてください。

    • 1.8.2

    GCP-2021-021

    公開日: 2021 年 9 月 22 日
    参考情報: CVE-2020-8561

    GKE

    説明 重大度

    Kubernetes でセキュリティ脆弱性 CVE-2020-8561 が見つかりました。この脆弱性により、kube-apiserver リクエストを API サーバーのプライベート ネットワークにリダイレクトする Webhook を作成できます。

    詳細な技術情報

    この脆弱性により、MutatingWebhookConfiguration リクエストまたは ValidatingWebhookConfiguration リクエストのレスポンスを制御する操作者が、kube-apiserver リクエストを API サーバーのプライベート ネットワークにリダイレクトできてしまいます。ログレベルが 10 に設定されているときにユーザーが kube-apiserver ログを表示できる場合は、リダイレクトされたレスポンスとヘッダーをログで確認できます。

    この問題は、API サーバーの特定のパラメータを変更することで軽減できます。

    必要な対策

    現時点では、お客様によるご対応の必要はありません。

    現在利用可能な GKE と GKE Enterprise のバージョンでは、この種類の攻撃から保護するために、次の緩和策が実装されています。

    • kube-apiserver--profiling フラグは、false に設定されます。
    • kube-apiserver ログレベルは、10 未満に設定されます。

    このパッチで対処される脆弱性

    <pCVE-2020-8561

    </p

    GKE クラスタ

    説明 重大度

    Kubernetes でセキュリティ脆弱性 CVE-2020-8561 が見つかりました。この脆弱性により、kube-apiserver リクエストを API サーバーのプライベート ネットワークにリダイレクトする Webhook を作成できます。

    詳細な技術情報

    この脆弱性により、MutatingWebhookConfiguration リクエストまたは ValidatingWebhookConfiguration リクエストのレスポンスを制御する操作者が、kube-apiserver リクエストを API サーバーのプライベート ネットワークにリダイレクトできてしまいます。ログレベルが 10 に設定されているときにユーザーが kube-apiserver ログを表示できる場合は、リダイレクトされたレスポンスとヘッダーをログで確認できます。

    この問題は、API サーバーの特定のパラメータを変更することで軽減できます。

    必要な対策

    現時点では、お客様によるご対応の必要はありません。

    現在利用可能な GKE と GKE Enterprise のバージョンでは、この種類の攻撃から保護するために、次の緩和策が実装されています。

    • kube-apiserver--profiling フラグは、false に設定されます。
    • kube-apiserver ログレベルは、10 未満に設定されます。

    このパッチで対処される脆弱性

    <pCVE-2020-8561

    </p

    GKE クラスタ

    説明 重大度

    Kubernetes でセキュリティ脆弱性 CVE-2020-8561 が見つかりました。この脆弱性により、kube-apiserver リクエストを API サーバーのプライベート ネットワークにリダイレクトする Webhook を作成できます。

    詳細な技術情報

    この脆弱性により、MutatingWebhookConfiguration リクエストまたは ValidatingWebhookConfiguration リクエストのレスポンスを制御する操作者が、kube-apiserver リクエストを API サーバーのプライベート ネットワークにリダイレクトできてしまいます。ログレベルが 10 に設定されているときにユーザーが kube-apiserver ログを表示できる場合は、リダイレクトされたレスポンスとヘッダーをログで確認できます。

    この問題は、API サーバーの特定のパラメータを変更することで軽減できます。

    必要な対策

    現時点では、お客様によるご対応の必要はありません。

    現在利用可能な GKE と GKE Enterprise のバージョンでは、この種類の攻撃から保護するために、次の緩和策が実装されています。

    • kube-apiserver--profiling フラグは、false に設定されます。
    • kube-apiserver ログレベルは、10 未満に設定されます。

    このパッチで対処される脆弱性

    <pCVE-2020-8561

    </p

    GKE クラスタ

    説明 重大度

    Kubernetes でセキュリティ脆弱性 CVE-2020-8561 が見つかりました。この脆弱性により、kube-apiserver リクエストを API サーバーのプライベート ネットワークにリダイレクトする Webhook を作成できます。

    詳細な技術情報

    この脆弱性により、MutatingWebhookConfiguration リクエストまたは ValidatingWebhookConfiguration リクエストのレスポンスを制御する操作者が、kube-apiserver リクエストを API サーバーのプライベート ネットワークにリダイレクトできてしまいます。ログレベルが 10 に設定されているときにユーザーが kube-apiserver ログを表示できる場合は、リダイレクトされたレスポンスとヘッダーをログで確認できます。

    この問題は、API サーバーの特定のパラメータを変更することで軽減できます。

    必要な対策

    現時点では、お客様によるご対応の必要はありません。

    現在利用可能な GKE と GKE Enterprise のバージョンでは、この種類の攻撃から保護するために、次の緩和策が実装されています。

    • kube-apiserver--profiling フラグは、false に設定されます。
    • kube-apiserver ログレベルは、10 未満に設定されます。

    このパッチで対処される脆弱性

    <pCVE-2020-8561

    </p

    GCP-2021-018

    公開日: 2021 年 9 月 15 日
    更新日: 2021 年 9 月 24 日
    参考情報: CVE-2021-25741

    2021 年 9 月 24 日更新: GKE on Bare Metal のセキュリティ情報にパッチ適用済みバージョンを追加しました。

    2021 年 9 月 20 日更新: GKE on Bare Metal に関する情報を追加しました。

    2021 年 9 月 16 日更新: GKE on VMware に関する情報を追加しました

    GKE

    説明 重大度

    セキュリティの問題(CVE-2021-25741)が Kubernetes に見つかりました。これにより、ユーザーが subpath ボリューム マウントを使用するコンテナを作成し、ボリュームの外部(ホストのファイルシステムを含む)にあるファイルとディレクトリにアクセスできる可能性があります。

    詳細な技術情報:

    CVE-2021-25741 では、攻撃者はマウントされた emptyDir からノードのルート ファイルシステム(/)へのシンボリック リンクを作成でき、kubelet がシンボリック リンクをたどり、ホストのルートをコンテナにマウントします。

    必要な対策

    ノードプールを次のいずれかのバージョン以上にアップグレードして、最新のパッチを利用することをおすすめします。

    • 1.21.4-gke.301
    • 1.20.10-gke.301
    • 1.19.14-gke.301
    • 1.18.20-gke.4501

    この修正は、次のバージョンにも含まれています。

    • 1.21.3-gke.2001
    • 1.20.8-gke.2101
    • 1.20.9-gke.701
    • 1.20.9-gke.1001
    • 1.19.12-gke.2101
    • 1.19.13-gke.701
    • 1.18.20-gke.3001

    GKE クラスタ

    説明 重大度

    セキュリティの問題(CVE-2021-25741)が Kubernetes に見つかりました。これにより、ユーザーが subpath ボリューム マウントを使用するコンテナを作成し、ボリュームの外部(ホストのファイルシステムを含む)にあるファイルとディレクトリにアクセスできる可能性があります。

    詳細な技術情報:

    CVE-2021-25741 では、攻撃者はマウントされた emptyDir からノードのルート ファイルシステム(/)へのシンボリック リンクを作成でき、kubelet がシンボリック リンクをたどり、ホストのルートをコンテナにマウントします。

    必要な対策

    2021 年 9 月 24 日更新: パッチ適用済みバージョン 1.8.3 および 1.7.4 が利用可能になりました。

    2021 年 9 月 17 日更新: パッチを含む使用可能なバージョンのリストを修正しました。

    以下のバージョンの GKE on VMware は更新されており、この脆弱性を修正するためのコードが追加されています。管理クラスタとユーザー クラスタを、次のバージョンのいずれかにアップグレードしてください。

    • 1.8.3
    • 1.8.2
    • 1.7.4
    • 1.6.5

    GKE クラスタ

    説明 重大度

    セキュリティの問題(CVE-2021-25741)が Kubernetes に見つかりました。これにより、ユーザーが subpath ボリューム マウントを使用するコンテナを作成し、ボリュームの外部(ホストのファイルシステムを含む)にあるファイルとディレクトリにアクセスできる可能性があります。

    詳細な技術情報:

    CVE-2021-25741 では、攻撃者はマウントされた emptyDir からノードのルート ファイルシステム(/)へのシンボリック リンクを作成でき、kubelet がシンボリック リンクをたどり、ホストのルートをコンテナにマウントします。

    必要な対策

    2021 年 9 月 16 日更新: AWSCluster オブジェクトと AWSNodePool オブジェクトでサポートされた gke-versions のリストを追加しました。

    次のバージョンの GKE on AWS は更新されており、この脆弱性を修正するためのコードが追加されています。次のことをおすすめします。

    • AWSManagementServiceAWSClusterAWSNodePool オブジェクトを、次のバージョンにアップグレードする。
      • 1.8.2
    • AWSCluster オブジェクトと AWSNodePool オブジェクトの gke-version を、サポートされた Kubernetes バージョンのいずれかに更新する。
      • 1.17.17-gke.15800
      • 1.18.20-gke.4800
      • 1.19.14-gke.600
      • 1.20.10-gke.600

    GKE クラスタ

    説明 重大度

    セキュリティの問題(CVE-2021-25741)が Kubernetes に見つかりました。これにより、ユーザーが subpath ボリューム マウントを使用するコンテナを作成し、ボリュームの外部(ホストのファイルシステムを含む)にあるファイルとディレクトリにアクセスできる可能性があります。

    詳細な技術情報:

    CVE-2021-25741 では、攻撃者はマウントされた emptyDir からノードのルート ファイルシステム(/)へのシンボリック リンクを作成でき、kubelet がシンボリック リンクをたどり、ホストのルートをコンテナにマウントします。

    必要な対策

    次のバージョンの GKE on Bare Metal は更新されており、この脆弱性を修正するためのコードが追加されています。管理クラスタとユーザー クラスタを、次のバージョンのいずれかにアップグレードしてください。

    • 1.8.3
    • 1.7.4

    GCP-2021-017

    公開日: 2021 年 9 月 1 日
    更新日: 2021 年 9 月 23 日
    参考情報: CVE-2021-33909
    CVE-2021-33910

    GKE

    説明 重大度
    2021 年 9 月 23 日更新:

    GKE Sandbox 内で動作するコンテナは、コンテナ内で発生した攻撃に対して、この脆弱性の影響を受けません。

    2021 年 9 月 15 日更新:

    脆弱性に対処する GKE バージョンは次のとおりです。

    • 1.18.20-gke.4100
    • 1.19.13-gke.1900
    • 1.20.9-gke.1500
    • 1.21.3-gke.1400

    Linux カーネルで 2 つのセキュリティ脆弱性 CVE-2021-33909CVE-2021-33910 が発見されました。これらは、OS のクラッシュや権限のないユーザーによる root へのエスカレーションにつながる可能性があります。この脆弱性は、すべての GKE ノードのオペレーティング システム(COS と Ubuntu)に影響を及ぼします。

    詳細な技術情報:

    CVE-2021-33909 では、Linux カーネルのファイルシステム レイヤで seq バッファの割り当てが適切に制限されないため、整数オーバーフロー、境界外書き込み、root へのエスカレーションが発生します。
    CVE-2021-33910 では、systemd のメモリ割り当てに過剰なサイズ値(ローカル 攻撃者に制御されるパス名に strdupaalloca を含む)が設定され、オペレーティング システムがクラッシュする原因となります。

    必要な対策

    この脆弱性を修正するコードにより、次のバージョンの GKE の Linux ノードイメージのバージョンが更新されました。クラスタは、次のいずれかのバージョンにアップグレードしてください。

    • 1.18.20-gke.4100
    • 1.19.13-gke.1900
    • 1.20.9-gke.1500
    • 1.21.3-gke.1400

    GKE クラスタ

    説明 重大度

    Linux カーネルで 2 つのセキュリティ脆弱性 CVE-2021-33909CVE-2021-33910 が発見されました。これらは、OS のクラッシュや権限のないユーザーによる root へのエスカレーションにつながる可能性があります。この脆弱性は、すべての GKE ノードのオペレーティング システム(COS と Ubuntu)に影響を及ぼします。

    詳細な技術情報:

    CVE-2021-33909 では、Linux カーネルのファイルシステム レイヤで seq バッファの割り当てが適切に制限されないため、整数オーバーフロー、境界外書き込み、root へのエスカレーションが発生します。
    CVE-2021-33910 では、systemd のメモリ割り当てに過剰なサイズ値(ローカル 攻撃者に制御されるパス名に strdupaalloca を含む)が設定され、オペレーティング システムがクラッシュする原因となります。

    必要な対策

    GKE on AWS の Linux ノードイメージのバージョンが更新され、この脆弱性が修正されました。クラスタは、次のいずれかのバージョンにアップグレードしてください。

    • 1.20.10-gke.600
    • 1.19.14-gke.600
    • 1.18.20-gke.4800
    • 1.17.17-gke.15800

    GKE クラスタ

    説明 重大度

    Linux カーネルで 2 つのセキュリティ脆弱性 CVE-2021-33909CVE-2021-33910 が発見されました。これらは、OS のクラッシュや権限のないユーザーによる root へのエスカレーションにつながる可能性があります。この脆弱性は、すべての GKE ノードのオペレーティング システム(COS と Ubuntu)に影響を及ぼします。

    詳細な技術情報:

    CVE-2021-33909 では、Linux カーネルのファイルシステム レイヤで seq バッファの割り当てが適切に制限されないため、整数オーバーフロー、境界外書き込み、root へのエスカレーションが発生します。
    CVE-2021-33910 では、systemd のメモリ割り当てに過剰なサイズ値(ローカル 攻撃者に制御されるパス名に strdupaalloca を含む)が設定され、オペレーティング システムがクラッシュする原因となります。

    必要な対策

    この脆弱性を修正するコードにより、GKE on VMware の Linux と COS のノードイメージ バージョンが更新されました。クラスタは、次のいずれかのバージョンにアップグレードしてください。

    • 1.9
    • 1.8.2
    • 1.7.3
    • 1.6.4(Linux のみ)

    バージョン履歴 -- Kubernetes とノードのカーネル バージョンをご覧ください。

    GCP-2021-015

    公開日: 2021 年 7 月 13 日
    更新日: 2021 年 7 月 15 日
    参考情報: CVE-2021-22555

    GKE

    説明 重大度

    新たなセキュリティ上の脆弱性 CVE-2021-22555 が発見されました。この脆弱性によって、CAP_NET_ADMIN 権限を持つ悪意のある人物が、ホストへのルート上でコンテナ ブレイクアウトを引き起こすおそれがあります。この脆弱性は、Linux バージョン 2.6.19 以降を実行しているすべての GKE クラスタと GKE on VMware に影響します。

    詳細な技術情報

    この攻撃では、Linux の netfilter サブシステムで setsockopt に範囲外書き込みが行われ、ヒープの破損(とそれに続くサービス拒否攻撃)および権限昇格が発生する可能性があります。

    必要な対策

    この脆弱性を修正するコードにっより、GKE 上の Linux の次のバージョンが更新されました。クラスタは、次のいずれかのバージョンにアップグレードしてください。

    • 1.21.1-gke.2200
    • 1.20.7-gke.2200
    • 1.19.11-gke.2100
    • 1.18.20-gke.501

    このパッチで対処される脆弱性

    CVE-2021-22555

    GKE クラスタ

    説明 重大度

    新たなセキュリティ上の脆弱性 CVE-2021-22555 が発見されました。この脆弱性によって、CAP_NET_ADMIN 権限を持つ悪意のある人物が、ホストへのルート上でコンテナ ブレイクアウトを引き起こすおそれがあります。この脆弱性は、Linux バージョン 2.6.19 以降を実行しているすべての GKE クラスタと GKE on VMware に影響します。

    詳細な技術情報

    この攻撃では、Linux の netfilter サブシステムで setsockopt に範囲外書き込みが行われ、ヒープの破損(とそれに続くサービス拒否攻撃)および権限昇格が発生する可能性があります。

    必要な対策

    この脆弱性を修正するコードにっより、GKE on VMware 上の Linux の次のバージョンが更新されました。クラスタは、次のいずれかのバージョンにアップグレードしてください。

    • 1.8
    • 1.7.3
    • 1.6.4

    このパッチで対処される脆弱性

    CVE-2021-22555

    GCP-2021-014

    公開日: 2021 年 7 月 5 日
    参考情報: CVE-2021-34527

    GKE

    説明 重大度

    Microsoft は、Windows Server の印刷スプーラーに影響するリモートコード実行(RCE)の脆弱性 CVE-2021-34527 についてのセキュリティ情報を公開しました。CERT Coordination Center(CERT/CC)は、「Printnightmare」と呼ばれる、関連する脆弱性に対する更新メモを公開しました。この脆弱性は Windows 印刷スプーラーにも影響します。Printnightmare、重大な Windows 印刷スプーラーの脆弱性

    必要な対策

    ご対応は必要ありません。影響を受ける Spooler サービスはGKE Windows ノードのベースイメージの一部として含まれていないため、GKE Windows デプロイメントはこの攻撃を受けません。

    この情報で対処される脆弱性

    GCP-2021-012

    公開日: 2021 年 7 月 1 日
    更新日: 2021 年 7 月 9 日
    参考情報: CVE-2021-34824

    GKE

    説明 重大度

    必要な対策

    先ごろ、Istio プロジェクトでは、Istio に影響を与える新しいセキュリティの脆弱性(CVE-2021-34824)が公表されました。Istio には、リモートから悪用できる脆弱性が存在します。この脆弱性により、Gateway と DestinationRule の credentialName フィールドで指定された認証情報に、異なる名前空間からアクセスできます。

    詳細な技術情報:

    Istio セキュア ゲートウェイDestinationRule を使用するワークロードでは、credentialName の構成を使用して、Kubernetes Secret から TLS 秘密鍵と証明書を読み込むことができます。Istio 1.8 以降、Secret は istiod から読み取られ、XDS を使用してゲートウェイとワークロードに表示されます。

    通常、ゲートウェイまたはワークロードのデプロイは、名前空間内の Secret に保存されている TLS 証明書と秘密鍵にのみアクセスできます。ただし、istiod のバグにより、Istio XDS API へのアクセスが承認されたクライアントが、istiod でキャッシュされた TLS 証明書と秘密鍵を取得できます。

    必要な対策

    GKE クラスタは、デフォルトでは Istio を実行しません。有効にすると、この攻撃に対して脆弱ではない Istio バージョン 1.6 が使用されます。クラスタ上の Istio を Istio 1.8 以降にインストールまたはアップグレードした場合は、Istio をサポートされている最新バージョンにアップグレードしてください。

    GKE クラスタ

    説明 重大度

    必要な対策

    先ごろ、Istio プロジェクトでは、Istio に影響を与える新しいセキュリティの脆弱性(CVE-2021-34824)が公表されました。Istio には、リモートから悪用できる脆弱性が存在します。この脆弱性により、Gateway と DestinationRule の credentialName フィールドで指定された認証情報に、異なる名前空間からアクセスできます。

    詳細な技術情報:

    Istio セキュア ゲートウェイDestinationRule を使用するワークロードでは、credentialName の構成を使用して、Kubernetes Secret から TLS 秘密鍵と証明書を読み込むことができます。Istio 1.8 以降、Secret は istiod から読み取られ、XDS を使用してゲートウェイとワークロードに表示されます。

    通常、ゲートウェイまたはワークロードのデプロイは、名前空間内の Secret に保存されている TLS 証明書と秘密鍵にのみアクセスできます。ただし、istiod のバグにより、Istio XDS API へのアクセスが承認されたクライアントが、istiod でキャッシュされた TLS 証明書と秘密鍵を取得できます。

    必要な対策

    Anthos clusters on VMware v1.6 と v1.7 はこの攻撃に対する脆弱性はありません。Anthos clusters on VMware v1.8 は脆弱です。

    Anthos clusters on VMware v1.8 を使用している場合は、次のパッチ適用済みバージョン以降のバージョンにアップグレードします。

    • 1.8.0-gke.25

    GKE クラスタ

    説明 重大度

    必要な対策

    先ごろ、Istio プロジェクトでは、Istio に影響を与える新しいセキュリティの脆弱性(CVE-2021-34824)が公表されました。Istio には、リモートから悪用できる脆弱性が存在します。この脆弱性により、Gateway と DestinationRule の credentialName フィールドで指定された認証情報に、異なる名前空間からアクセスできます。

    詳細な技術情報:

    Istio セキュア ゲートウェイDestinationRule を使用するワークロードでは、credentialName の構成を使用して、Kubernetes Secret から TLS 秘密鍵と証明書を読み込むことができます。Istio 1.8 以降、Secret は istiod から読み取られ、XDS を使用してゲートウェイとワークロードに表示されます。

    通常、ゲートウェイまたはワークロードのデプロイは、名前空間内の Secret に保存されている TLS 証明書と秘密鍵にのみアクセスできます。ただし、istiod のバグにより、Istio XDS API へのアクセスが承認されたクライアントが、istiod でキャッシュされた TLS 証明書と秘密鍵を取得できます。Anthos clusters on bare metal v1.8.0 で作成またはアップグレードされたクラスタは、この CVE の影響を受けます。

    必要な対策

    Anthos v1.6 と v1.7 にはこの攻撃に対する脆弱性はありません。v1.8.0 クラスタがある場合は、1.8.1 バージョンの bmctl をダウンロードしてインストールし、クラスタを以下のパッチ適用済みバージョンにアップグレードします。

    • 1.8.1

    GCP-2021-011

    公開日: 2021 年 6 月 4 日
    更新日: 2021 年 10 月 19 日
    参考情報: CVE-2021-30465

    2021 年 10 月 19 日更新: GKE on VMware、GKE on AWS、GKE on Bare Metal に関する情報を追加しました。

    GKE

    説明 重大度

    先ごろ、セキュリティ コミュニティが runc にセキュリティ上の新しい脆弱性(CVE-2021-30465)を発表しました。これはノード ファイル システムへの完全アクセス権を可能にするおそれがあります。

    この脆弱性を悪用するためにはポッドを作成する能力が必要であるため、GKE では、この脆弱性の重大度を MEDIUM と評価しています。

    詳細な技術情報

    runc パッケージは、ボリュームをマウントするときにシンボリック リンク交換攻撃に対して脆弱です。

    この攻撃では、シンボリック リンクで同じボリューム マウントを共有する複数の Pod を 1 つのノードで同時に開始することで、競合状態が悪用される可能性があります。

    攻撃が成功すると、Pod の 1 つがルート権限を使用してノードのファイル システムをマウントします。

    必要な対策

    この脆弱性を修正する runc(1.0.0-rc95)に新しくリリースされたパッチがあります。

    GKE クラスタを次のいずれかの更新されたバージョンにアップグレードします。

    • 1.18.19-gke.2100
    • 1.19.9-gke.1400
    • 1.20.6-gke.1400
    • 1.21.2-gke.600

    GKE クラスタ

    説明 重大度

    先ごろ、セキュリティ コミュニティが runc にセキュリティ上の新しい脆弱性(CVE-2021-30465)を発表しました。これはノード ファイル システムへの完全アクセス権を可能にするおそれがあります。

    この脆弱性を悪用するためにはポッドを作成する能力が必要であるため、GKE on VMware では、この脆弱性の重大度を MEDIUM と評価しています。

    詳細な技術情報

    runc パッケージは、ボリュームをマウントするときにシンボリック リンク交換攻撃に対して脆弱です。

    この攻撃では、シンボリック リンクで同じボリューム マウントを共有する複数の Pod を 1 つのノードで同時に開始することで、競合状態が悪用される可能性があります。

    攻撃が成功すると、Pod の 1 つがルート権限を使用してノードのファイル システムをマウントします。

    必要な対策

    この脆弱性を修正する runc に新しくリリースされたパッチがあります。GKE on VMware を次のいずれかのバージョンにアップグレードします。

    • 1.7.3-gke-2
    • 1.8.1-gke.7
    • 1.9.0-gke.8

    GKE クラスタ

    説明 重大度

    先ごろ、セキュリティ コミュニティが runc にセキュリティ上の新しい脆弱性(CVE-2021-30465)を発表しました。これはノード ファイル システムへの完全アクセス権を可能にするおそれがあります。

    これは OS レベルの脆弱性であるため、GKE on AWS は脆弱ではありません。

    詳細な技術情報

    runc パッケージは、ボリュームをマウントするときにシンボリック リンク交換攻撃に対して脆弱です。

    この攻撃では、シンボリック リンクで同じボリューム マウントを共有する複数の Pod を 1 つのノードで同時に開始することで、競合状態が悪用される可能性があります。

    攻撃が成功すると、Pod の 1 つがルート権限を使用してノードのファイル システムをマウントします。

    必要な対策

    GKE on AWS を実行している OS バージョンが、更新された runc パッケージを含む最新の OS バージョンにアップグレードされていることを確認します。

    なし

    GKE クラスタ

    説明 重大度

    先ごろ、セキュリティ コミュニティが runc にセキュリティ上の新しい脆弱性(CVE-2021-30465)を発表しました。これはノード ファイル システムへの完全アクセス権を可能にするおそれがあります。

    これは OS レベルの脆弱性であるため、GKE on Bare Metal は脆弱ではありません。

    詳細な技術情報

    runc パッケージは、ボリュームをマウントするときにシンボリック リンク交換攻撃に対して脆弱です。

    この攻撃では、シンボリック リンクで同じボリューム マウントを共有する複数の Pod を 1 つのノードで同時に開始することで、競合状態が悪用される可能性があります。

    攻撃が成功すると、Pod の 1 つがルート権限を使用してノードのファイル システムをマウントします。

    必要な対策

    Google Distributed Cloud Virtual for Bare Metal を実行している OS バージョンが、更新された runc パッケージを含む最新の OS バージョンにアップグレードされていることを確認します。

    なし

    GCP-2021-006

    公開日: 2021 年 5 月 11 日
    参考情報: CVE-2021-31920

    GKE

    説明 重大度

    先ごろ、Istio プロジェクトでは、Istio に影響を与える新しいセキュリティの脆弱性(CVE-2021-31920)が公表されました。

    Istio には、パスベースの認可ルールを使用している場合にリモートから悪用できる脆弱性が含まれており、これを利用すると、複数のスラッシュやエスケープされたスラッシュ記号を含む HTTP リクエストが Istio 認可ポリシーを迂回できるようになります。

    必要な対策

    GKE クラスタを更新して再構成することを強くおすすめします。脆弱性を正常に解決するには、以下の両方の手順を実行することが重要です。

    1. クラスタの更新: できるだけ早く次の手順を行い、クラスタを最新のパッチ バージョンにアップグレードしてください。
      • Istio on GKE 1.6 を使用している場合

        最新のパッチ リリース バージョンは、1.6.14-gke.3 です。クラスタを最新バージョンにアップグレードするには、アップグレード手順を行ってください。

      • Istio on GKE 1.4 を使用している場合

        • Istio on GKE 1.4 リリースは、Istio のサポート対象から外れたため、CVE の修正がこれらのバージョンに遡って適用されることはありませんIstio のアップグレード手順に沿ってクラスタを 1.6 にアップグレードした後、上記の手順に沿って Istio on GKE 1.6 の最新バージョンにしてください。

    2. Istio の構成

      クラスタにパッチを適用したら、Istio on GKE を再構成する必要があります。システムを正しく構成するには、セキュリティのベスト プラクティス ガイドをご覧ください。

    GCP-2021-004

    公開日: 2021 年 5 月 6 日
    参考情報: CVE-2021-28683CVE-2021-28682CVE-2021-29258

    GKE

    説明 重大度

    先ごろ、Envoy および Istio プロジェクトでは、複数の新しいセキュリティ上の脆弱性(CVE-2021-28683CVE-2021-28682CVE-2021-29258)が公表されました。この脆弱性より、攻撃者は Envoy をクラッシュさせることが可能になります。

    GKE クラスタは、デフォルトでは Istio を実行せず、脆弱性はありません。Istio がクラスタにインストールされ、インターネットにサービスを公開するように構成されている場合、そうしたサービスにはサービス拒否攻撃に対する脆弱性が存在する可能性があります。

    必要な対策

    これらの脆弱性を修正するには、次のいずれかのパッチ バージョンに GKE コントロール プレーンをアップグレードします。

    • 1.16.15-gke.16200
    • 1.17.17-gke.6100
    • 1.18.17-gke.1300
    • 1.19.9-gke.1300
    • 1.20.5-gke.1400

    GKE クラスタ

    説明 重大度

    先ごろ、Envoy および Istio プロジェクトでは、複数の新しいセキュリティ上の脆弱性(CVE-2021-28683CVE-2021-28682CVE-2021-29258)が公表されました。この脆弱性より、攻撃者は Envoy をクラッシュさせることが可能になります。

    GKE on VMware は、デフォルトで Ingress に Envoy を使用するため、Ingress サービスにはサービス拒否攻撃に対する脆弱性が存在する可能性があります。

    必要な対策

    これらの脆弱性を修正するには、リリース時に GKE on VMware を次のいずれかのパッチ適用済みバージョンにアップグレードします。

    • 1.5.4
    • 1.6.3
    • 1.7.1

    GKE クラスタ

    更新日: 2021 年 5 月 6 日

    説明 重大度

    先ごろ、Envoy および Istio プロジェクトでは、複数の新しいセキュリティ上の脆弱性(CVE-2021-28683CVE-2021-28682CVE-2021-29258)が公表されました。この脆弱性より、攻撃者は Envoy をクラッシュさせることが可能になります。

    Google Distributed Cloud Virtual for Bare Metal は、デフォルトで Ingress に Envoy を使用するため、Ingress サービスにはサービス拒否攻撃に対する脆弱性が存在する可能性があります。

    必要な対策

    これらの脆弱性を修正するには、パッチ バージョンがリリースされたら、Google Distributed Cloud Virtual for Bare Metal クラスタを次のいずれかのパッチ適用済みバージョンにアップグレードします。

    • 1.6.3
    • 1.7.1

    GCP-2021-003

    公開日: 2021 年 4 月 19 日
    参考情報: CVE-2021-25735

    GKE

    説明 重大度

    先ごろ、Kubernetes プロジェクトにより、新しいセキュリティ上の脆弱性 CVE-2021-25735公表されました。この脆弱性により、ノードの更新で Validating Admission Webhook が迂回される可能性があります。

    攻撃者に十分な権限があり、古い Node オブジェクト プロパティ(Node.NodeSpec のフィールドなど)を使用する Validating Admission Webhook が実装されている場合、攻撃者はノードのプロパティの更新が可能となり、これによりクラスタが侵害される可能性があります。GKE と Kubernetes の組み込みのアドミッション コントローラによって適用されるポリシーは影響を受けませんが、インストールされている他の Admission Webhook は確認することをおすすめします。

    必要な対策

    この脆弱性を修正するには、次のパッチ適用済みバージョンのいずれかに GKE クラスタをアップグレードします。

    • 1.18.17-gke.900
    • 1.19.9-gke.900
    • 1.20.5-gke.900

    GKE クラスタ

    説明 重大度

    先ごろ、Kubernetes プロジェクトにより、新しいセキュリティ上の脆弱性 CVE-2021-25735公表されました。この脆弱性により、ノードの更新で Validating Admission Webhook が迂回される可能性があります。

    攻撃者に十分な権限があり、古い Node オブジェクト プロパティ(Node.NodeSpec のフィールドなど)を使用する Validating Admission Webhook が実装されている場合、攻撃者はノードのプロパティの更新が可能となり、これによりクラスタが侵害される可能性があります。GKE と Kubernetes の組み込みのアドミッション コントローラによって適用されるポリシーは影響を受けませんが、インストールされている他の Admission Webhook は確認することをおすすめします。

    必要な対策

    近日中に公開されるパッチ バージョンには、この脆弱性に対する改善策が組み込まれます。

    GKE クラスタ

    説明 重大度

    先ごろ、Kubernetes プロジェクトにより、新しいセキュリティ上の脆弱性 CVE-2021-25735公表されました。この脆弱性により、ノードの更新で Validating Admission Webhook が迂回される可能性があります。

    攻撃者に十分な権限があり、古い Node オブジェクト プロパティ(Node.NodeSpec のフィールドなど)を使用する Validating Admission Webhook が実装されている場合、攻撃者はノードのプロパティの更新が可能となり、これによりクラスタが侵害される可能性があります。GKE と Kubernetes の組み込みのアドミッション コントローラによって適用されるポリシーは影響を受けませんが、インストールされている他の Admission Webhook は確認することをおすすめします。

    必要な対策

    近日中に公開されるパッチ バージョンには、この脆弱性に対する改善策が組み込まれます。

    GKE クラスタ

    説明 重大度

    先ごろ、Kubernetes プロジェクトにより、新しいセキュリティ上の脆弱性 CVE-2021-25735公表されました。この脆弱性により、ノードの更新で Validating Admission Webhook が迂回される可能性があります。

    攻撃者に十分な権限があり、古い Node オブジェクト プロパティ(Node.NodeSpec のフィールドなど)を使用する Validating Admission Webhook が実装されている場合、攻撃者はノードのプロパティの更新が可能となり、これによりクラスタが侵害される可能性があります。GKE と Kubernetes の組み込みのアドミッション コントローラによって適用されるポリシーは影響を受けませんが、インストールされている他の Admission Webhook は確認することをおすすめします。

    必要な対策

    近日中に公開されるパッチ バージョンには、この脆弱性に対する改善策が組み込まれます。

    GCP-2021-001

    公開日: 2021 年 1 月 28 日
    参考情報: CVE-2021-3156

    GKE

    説明 重大度

    先ごろ、Linux ユーティリティ sudo に脆弱性(CVE-2021-3156 に記載)が発見されました。この脆弱性により、特権を持たないローカルシェル セッションの攻撃者がインストールされている sudo を使用してシステムにアクセスし、権限をシステムの root に昇格させるおそれがあります。

    Google Kubernetes Engine(GKE)クラスタには、この脆弱性による影響はありません。

    • GKE ノードへの SSH アクセスが認可されたユーザーは、すでに高い権限が付与されているため、設計上 sudo を使用して root 権限を取得できます。このシナリオでは、脆弱性によって権限昇格の別の経路ができることはありません。
    • GKE のシステム コンテナは、ほとんどがシェルや sudo をインストールしていない distroless のベースイメージでビルドされています。他のイメージは、sudo を含まない debian ベースのイメージでビルドされています。sudo が存在していて、コンテナ内の sudo にアクセスしても、コンテナの境界のためホストへのアクセス権は付与されません。

    必要な対策

    GKE クラスタでは、この脆弱性の影響を受けないため、追加のアクションは不要です。

    GKE には、次の定期リリースでこの脆弱性に対するパッチが適用される予定です。

    		 なし

    GKE クラスタ

    説明 重大度

    先ごろ、Linux ユーティリティ sudo に脆弱性(CVE-2021-3156 に記載)が発見されました。この脆弱性により、特権を持たないローカルシェル セッションの攻撃者がインストールされている sudo を使用してシステムにアクセスし、権限をシステムの root に昇格させるおそれがあります。

    GKE on VMware は、この脆弱性の影響を受けません。

    • GKE on VMware ノードへの SSH アクセスが認可されたユーザーは、すでに高い権限が付与されているため、設計上 sudo を使用して root 権限を取得できます。このシナリオでは、脆弱性によって権限昇格の別の経路ができることはありません。
    • GKE on VMware のシステム コンテナは、ほとんどがシェルや sudo をインストールしていない distroless のベースイメージでビルドされています。他のイメージは、sudo を含まない debian ベースのイメージでビルドされています。仮に sudo があったとしても、コンテナ内の sudo へのアクセスは、コンテナの境界があるため、そのホストへのアクセスができません。

    必要な対策

    VMware 上の GKE クラスタは、この脆弱性の影響を受けないため、追加のアクションは必要ありません。

    GKE on VMware には、次の定期リリースでこの脆弱性に対するパッチが適用される予定です。

    		 なし

    GKE クラスタ

    説明 重大度

    先ごろ、Linux ユーティリティ sudo に脆弱性(CVE-2021-3156 に記載)が発見されました。この脆弱性により、特権を持たないローカルシェル セッションの攻撃者がインストールされている sudo を使用してシステムにアクセスし、権限をシステムの root に昇格させるおそれがあります。

    GKE on AWS は、この脆弱性の影響を受けません。

    • GKE on AWS ノードへの SSH アクセスが認可されたユーザーは、すでに高い権限が付与されているため、設計上 sudo を使用して root 権限を取得できます。このシナリオでは、脆弱性によって権限昇格の別の経路ができることはありません。
    • GKE on AWS のシステム コンテナは、ほとんどがシェルや sudo をインストールしていない distroless のベースイメージでビルドされています。他のイメージは、sudo を含まない debian ベースのイメージでビルドされています。仮に sudo があったとしても、コンテナ内の sudo へのアクセスは、コンテナの境界があるため、そのホストへのアクセスができません。

    必要な対策

    GKE on AWS クラスタは、この脆弱性の影響を受けないため、追加のアクションは必要ありません。

    GKE on AWS には、次の定期リリースでこの脆弱性に対するパッチが適用される予定です。

    		 なし

    GKE クラスタ

    説明 重大度

    先ごろ、Linux ユーティリティ sudo に脆弱性(CVE-2021-3156 に記載)が発見されました。この脆弱性により、特権を持たないローカルシェル セッションの攻撃者がインストールされている sudo を使用してシステムにアクセスし、権限をシステムの root に昇格させるおそれがあります。

    Google Distributed Cloud Virtual for Bare Metal クラスタは、この脆弱性の影響を受けません。

    • Bare Metal 向け Google Distributed Cloud Virtual ノードへの SSH アクセスを許可されたユーザーは、すでに高い権限が付与されているため、設計上 sudo を使用して root 権限を取得できます。このシナリオでは、脆弱性によって権限昇格の別の経路ができることはありません。
    • Google Distributed Cloud Virtual for Bare Metal のシステム コンテナは、ほとんどがシェルや sudo をインストールしていない distroless のベースイメージでビルドされています。他のイメージは、sudo を含まない debian ベースのイメージでビルドされています。仮に sudo があったとしても、コンテナ内の sudo へのアクセスは、コンテナの境界があるため、そのホストへのアクセスができません。

    必要な対策

    Google Distributed Cloud Virtual for Bare Metal クラスタはこの脆弱性の影響を受けないため、追加のアクションは不要です。

    Google Distributed Cloud Virtual for Bare Metal には、次の定期リリースでこの脆弱性に対するパッチが適用される予定です。

    		 なし

    GCP-2020-015

    公開日: 2020 年 12 月 7 日
    更新日: 2021 年 12 月 22 日
    参考情報: CVE-2020-8554

    2021 年 12 月 22 日更新: gcloud コマンドの代わりに gcloud beta を使用します。

    2021 年 12 月 15 日更新: GKE に対する別の緩和策を追加しました。

    GKE

    説明 重大度
    更新: 2021 年 12 月 22 日 次のセクションの GKE のコマンドでは、gcloud コマンドではなく gcloud beta を使用する必要があります。 
    gcloud beta container clusters update –no-enable-service-externalips
    更新: 2021 年 12 月 15 日 GKE について、以下の緩和策が利用可能です。
    1. GKE バージョン 1.21 以降、ExternalIP を持つサービスは、新しいクラスタ用にデフォルトで有効になっている DenyServiceExternalIPs アドミッション コントローラによってブロックされます。
    2. GKE バージョン 1.21 にアップグレードするお客様は、次のコマンドを使用して ExternalIPs を持つサービスをブロックできます。
      gcloud container clusters update –no-enable-service-externalips

    詳細については、クラスタのセキュリティの強化をご覧ください。

    Kubernetes プロジェクトで最近見つかった新しいセキュリティの脆弱性 CVE-2020-8554 では、LoadBalancer または ClusterIP タイプの Kubernetes Service を作成する権限を取得した攻撃者により、クラスタ内の他の Pod から発信されるネットワーク トラフィックが傍受される可能性があります。

    この脆弱性だけでは、攻撃者が Kubernetes Service を作成する権限は付与されません。

    すべての Google Kubernetes Engine(GKE)クラスタが、この脆弱性の影響を受けます。

    必要な対策

    この脆弱性に対処するため、Kubernetes では、今後のバージョンで下位互換性のない設計変更が必要になる可能性があります。

    多くのユーザーが、マルチテナント クラスタなど、Service を作成する権限を持つクラスタへのアクセス権を共有している場合は、それまでの間、改善策の適用を検討してください。現時点で最も効果のある改善策は、クラスタでの ExternalIPs の使用を制限することです。ExternalIPs は一般的に使用される機能ではありません。

    クラスタでの ExternalIPs の使用を制限するには、次のいずれかの方法を使用します。

    1. GKE Enterprise Policy Controller または Gatekeeper をこの制約テンプレートで使用して、この機能を適用します。例:
      # Only allow the creation of Services with no
# ExternalIP or an ExternalIP of 203.0.113.1:

apiVersion: constraints.gatekeeper.sh/v1beta1
kind: K8sExternalIPs
metadata:
  name: external-ips
spec:
  match:
    kinds:
      - apiGroups: [""]
        kinds: ["Service"]
  parameters:
    allowedIPs:
      - "203.0.113.1"
    2. または、アドミッション コントローラをインストールして ExternalIP を使用しないようにします。 Kubernetes プロジェクトには、このタスク用のサンプル アドミッション コントローラが用意されています。

    Kubernetes に関するお知らせで説明しているとおり、LoadBalancer タイプの Service には改善策がありません。これは、デフォルトでは、高い権限を持つユーザーとシステム コンポーネントのみがこの脆弱性を利用するために必要な container.services.updateStatus 権限を付与されるためです。

    GKE クラスタ

    説明 重大度
    更新: 2021 年 12 月 22 日 次のセクションの GKE のコマンドでは、gcloud コマンドではなく gcloud beta を使用する必要があります。 
    gcloud beta container clusters update –no-enable-service-externalips
    更新: 2021 年 12 月 15 日 GKE について、以下の緩和策が利用可能です。
    1. GKE バージョン 1.21 以降、ExternalIP を持つサービスは、新しいクラスタ用にデフォルトで有効になっている DenyServiceExternalIPs アドミッション コントローラによってブロックされます。
    2. GKE バージョン 1.21 にアップグレードするお客様は、次のコマンドを使用して ExternalIPs を持つサービスをブロックできます。
      gcloud container clusters update –no-enable-service-externalips

    詳細については、クラスタのセキュリティの強化をご覧ください。

    Kubernetes プロジェクトで最近見つかった新しいセキュリティの脆弱性 CVE-2020-8554 では、LoadBalancer または ClusterIP タイプの Kubernetes Service を作成する権限を取得した攻撃者により、クラスタ内の他の Pod から発信されるネットワーク トラフィックが傍受される可能性があります。

    この脆弱性だけでは、攻撃者が Kubernetes Service を作成する権限は付与されません。

    すべての GKE on VMware は、この脆弱性の影響を受けます。

    必要な対策

    この脆弱性に対処するため、Kubernetes では、今後のバージョンで下位互換性のない設計変更が必要になる可能性があります。

    多くのユーザーが、マルチテナント クラスタなど、Service を作成する権限を持つクラスタへのアクセス権を共有している場合は、それまでの間、改善策の適用を検討してください。現時点で最も効果のある改善策は、クラスタでの ExternalIPs の使用を制限することです。ExternalIPs は一般的に使用される機能ではありません。

    クラスタでの ExternalIPs の使用を制限するには、次のいずれかの方法を使用します。

    1. GKE Enterprise Policy Controller または Gatekeeper をこの制約テンプレートで使用して、この機能を適用します。例:
      # Only allow the creation of Services with no
# ExternalIP or an ExternalIP of 203.0.113.1:

apiVersion: constraints.gatekeeper.sh/v1beta1
kind: K8sExternalIPs
metadata:
  name: external-ips
spec:
  match:
    kinds:
      - apiGroups: [""]
        kinds: ["Service"]
  parameters:
    allowedIPs:
      - "203.0.113.1"
    2. または、アドミッション コントローラをインストールして ExternalIP を使用しないようにします。 Kubernetes プロジェクトには、このタスク用のサンプル アドミッション コントローラが用意されています。

    Kubernetes に関するお知らせで説明しているとおり、LoadBalancer タイプの Service には改善策がありません。これは、デフォルトでは、高い権限を持つユーザーとシステム コンポーネントのみがこの脆弱性を利用するために必要な container.services.updateStatus 権限を付与されるためです。

    GKE クラスタ

    説明 重大度
    更新: 2021 年 12 月 22 日 次のセクションの GKE のコマンドでは、gcloud コマンドではなく gcloud beta を使用する必要があります。 
    gcloud beta container clusters update –no-enable-service-externalips
    更新: 2021 年 12 月 15 日 GKE について、以下の緩和策が利用可能です。
    1. GKE バージョン 1.21 以降、ExternalIP を持つサービスは、新しいクラスタ用にデフォルトで有効になっている DenyServiceExternalIPs アドミッション コントローラによってブロックされます。
    2. GKE バージョン 1.21 にアップグレードするお客様は、次のコマンドを使用して ExternalIPs を持つサービスをブロックできます。
      gcloud container clusters update –no-enable-service-externalips

    詳細については、クラスタのセキュリティの強化をご覧ください。

    Kubernetes プロジェクトで最近見つかった新しいセキュリティの脆弱性 CVE-2020-8554 では、LoadBalancer または ClusterIP タイプの Kubernetes Service を作成する権限を取得した攻撃者により、クラスタ内の他の Pod から発信されるネットワーク トラフィックが傍受される可能性があります。

    この脆弱性だけでは、攻撃者が Kubernetes Service を作成する権限は付与されません。

    AWS クラスタの GKE はすべて、この脆弱性の影響を受けます。

    必要な対策

    この脆弱性に対処するため、Kubernetes では、今後のバージョンで下位互換性のない設計変更が必要になる可能性があります。

    多くのユーザーが、マルチテナント クラスタなど、Service を作成する権限を持つクラスタへのアクセス権を共有している場合は、それまでの間、改善策の適用を検討してください。現時点で最も効果のある改善策は、クラスタでの ExternalIPs の使用を制限することです。ExternalIPs は一般的に使用される機能ではありません。

    クラスタでの ExternalIPs の使用を制限するには、次のいずれかの方法を使用します。

    1. GKE Enterprise Policy Controller または Gatekeeper をこの制約テンプレートで使用して、この機能を適用します。例:
      # Only allow the creation of Services with no
# ExternalIP or an ExternalIP of 203.0.113.1:

apiVersion: constraints.gatekeeper.sh/v1beta1
kind: K8sExternalIPs
metadata:
  name: external-ips
spec:
  match:
    kinds:
      - apiGroups: [""]
        kinds: ["Service"]
  parameters:
    allowedIPs:
      - "203.0.113.1"
    2. または、アドミッション コントローラをインストールして ExternalIP を使用しないようにします。 Kubernetes プロジェクトには、このタスク用のサンプル アドミッション コントローラが用意されています。

    Kubernetes に関するお知らせで説明しているとおり、LoadBalancer タイプの Service には改善策がありません。これは、デフォルトでは、高い権限を持つユーザーとシステム コンポーネントのみがこの脆弱性を利用するために必要な container.services.updateStatus 権限を付与されるためです。

    GCP-2020-014

    公開日: 2020 年 10 月 20 日
    参考情報: CVE-2020-8563CVE -2020-8564CVE-2020-8565CVE-2020-8566

    GKE

    更新日: 2020 年 10 月 20 日

    説明 重大度

    先ごろ、Kubernetes プロジェクトでは、詳細ロギング オプションが有効になっている場合に機密データが公開されてしまう複数の問題が見つかりました。問題は次のとおりです。

    • CVE-2020-8563: vSphere プロバイダ kube-controller-manager のログで Secret が漏えいする
    • CVE-2020-8564: ファイルが不正で、ログレベルが 4 以上の場合に Docker 構成ファイルの Secret が漏えいする
    • CVE-2020-8565: Kubernetes における CVE-2019-11250 の不完全な修正により、ログレベルが 9 以上の場合、ログにトークンが漏えいするこれは、GKE Security によって発見されました。
    • CVE-2020-8566: ログレベルが 4 以上の場合、ログに Ceph RBD adminSecret が漏えいする

    GKE は影響を受けません。

    必要な対策

    GKE のデフォルトの詳細ロギングレベルでは、これ以上のアクションは必要ありません。

    		 なし

    GKE クラスタ

    更新日: 2020 年 10 月 10 日

    説明 重大度

    先ごろ、Kubernetes プロジェクトでは、詳細ロギング オプションが有効になっている場合に機密データが公開されてしまう複数の問題が見つかりました。問題は次のとおりです。

    • CVE-2020-8563: vSphere プロバイダ kube-controller-manager のログで Secret が漏えいする
    • CVE-2020-8564: ファイルが不正で、ログレベルが 4 以上の場合に Docker 構成ファイルの Secret が漏えいする
    • CVE-2020-8565: Kubernetes における CVE-2019-11250 の不完全な修正により、ログレベルが 9 以上の場合、ログにトークンが漏えいするこれは、GKE Security によって発見されました。
    • CVE-2020-8566: ログレベルが 4 以上の場合、ログに Ceph RBD adminSecret が漏えいする

    GKE on VMware は影響を受けません。

    必要な対策

    GKE のデフォルトの詳細ロギングレベルでは、これ以上のアクションは必要ありません。

    		 なし

    GKE クラスタ

    更新日: 2020 年 10 月 20 日

    説明 重大度

    先ごろ、Kubernetes プロジェクトでは、詳細ロギング オプションが有効になっている場合に機密データが公開されてしまう複数の問題が見つかりました。問題は次のとおりです。

    • CVE-2020-8563: vSphere プロバイダ kube-controller-manager のログで Secret が漏えいする
    • CVE-2020-8564: ファイルが不正で、ログレベルが 4 以上の場合に Docker 構成ファイルの Secret が漏えいする
    • CVE-2020-8565: Kubernetes における CVE-2019-11250 の不完全な修正により、ログレベルが 9 以上の場合、ログにトークンが漏えいするこれは、GKE Security によって発見されました。
    • CVE-2020-8566: ログレベルが 4 以上の場合、ログに Ceph RBD adminSecret が漏えいする

    GKE on AWS は影響を受けません。

    必要な対策

    GKE のデフォルトの詳細ロギングレベルでは、これ以上のアクションは必要ありません。

    		 なし

    GCP-2020-012

    公開日: 2020 年 9 月 14 日
    参考情報: CVE-2020-14386

    GKE

    説明 重大度

    先ごろ、Linux カーネルに脆弱性 CVE-2020-14386 が見つかりました。この脆弱性により、コンテナがエスケープされ、ホストノードの root 権限が奪われるおそれがあります。

    すべての GKE ノードが影響を受けます。GKE Sandbox で実行中の Pod には、この脆弱性の影響はありません。

    必要な対策

    この脆弱性を修正するには、コントロール プレーンをアップグレードした後、ノードを次に示すパッチ適用済みバージョンのいずれかにアップグレードします。

    • 1.14.10-gke.50
    • 1.15.12-gke.20
    • 1.16.13-gke.401
    • 1.17.9-gke.1504
    • 1.18.6-gke.3504

    この脆弱性を悪用するには CAP_NET_RAW が必要ですが、通常、CAP_NET_RAW を必要とするコンテナはほとんどありません。この機能や他の強力な機能は、PodSecurityPolicy または Policy Controller を使用してデフォルトでブロックする必要があります。

    以下のいずれかの方法で、コンテナから CAP_NET_RAW 機能を削除します。

    • 次のように、PodSecurityPolicy を使用してこれらの機能をブロックします。 
          # Require dropping CAP_NET_RAW with a PSP
    apiversion: extensions/v1beta1
    kind: PodSecurityPolicy
    metadata:
      name: no-cap-net-raw
    spec:
      requiredDropCapabilities:
        -NET_RAW
         ...
         # Unrelated fields omitted
    • または、Policy Controller か Gatekeeper をこちらの制約テンプレートで使用して、それを適用します。たとえば、次のようにします。
          # Dropping CAP_NET_RAW with Gatekeeper
    # (requires the K8sPSPCapabilities template)
    apiversion: constraints.gatekeeper.sh/v1beta1
    kind:  K8sPSPCapabilities
    metadata:
      name: forbid-cap-net-raw
    spec:
      match:
        kinds:
          - apiGroups: [""]
          kinds: ["Pod"]
        namespaces:
          #List of namespaces to enforce this constraint on
          - default
        # If running gatekeeper >= v3.1.0-beta.5,
        # you can exclude namespaces rather than including them above.
        excludedNamespaces:
          - kube-system
      parameters:
        requiredDropCapabilities:
          - "NET_RAW"
    • または、Pod 仕様を更新します。 
          # Dropping CAP_NET_RAW from a Pod:
    apiVersion: v1
    kind: Pod
    metadata:
      name: no-cap-net-raw
    spec:
      containers:
        -name: my-container
         ...
        securityContext:
          capabilities:
            drop:
              -NET_RAW

    このパッチで対処される脆弱性

    このパッチで緩和される脆弱性は以下のとおりです。

    脆弱性 CVE-2020-14386。これは、CAP_NET_RAW が有効なコンテナではカーネルメモリへ 1~10 バイトの書き込みができ、それによってコンテナをエスケープして root 権限を取得できる可能性があるというものです。この脆弱性は、「高」重大度に位置づけられます。

    GKE クラスタ

    更新日: 2020 年 9 月 17 日

    説明 重大度

    先ごろ、Linux カーネルに脆弱性 CVE-2020-14386 が見つかりました。この脆弱性により、コンテナがエスケープされ、ホストノードの root 権限が奪われるおそれがあります。

    すべての GKE on VMware ノードが影響を受けます。

    必要な対策

    この脆弱性を修正するには、クラスタをパッチ適用済みバージョンにアップグレードします。この脆弱性に対する修正は、次の {gke_on_prem_name}} バージョン以降に含まれる予定です。また、修正が公開され次第、この情報も更新されます。

    • GKE on VMware 1.4.3 が利用可能になりました。
    • GKE on VMware 1.4.3 が利用可能になりました。

    この脆弱性を悪用するには CAP_NET_RAW が必要ですが、通常、CAP_NET_RAW を必要とするコンテナはほとんどありません。この機能や他の強力な機能は、PodSecurityPolicy または Policy Controller を使用してデフォルトでブロックする必要があります。

    以下のいずれかの方法で、コンテナから CAP_NET_RAW 機能を削除します。

    • 次のように、PodSecurityPolicy を使用してこれらの機能をブロックします。 
          # Require dropping CAP_NET_RAW with a PSP
    apiversion: extensions/v1beta1
    kind: PodSecurityPolicy
    metadata:
      name: no-cap-net-raw
    spec:
      requiredDropCapabilities:
        -NET_RAW
         ...
         # Unrelated fields omitted
    • または、Policy Controller か Gatekeeper をこちらの制約テンプレートで使用して、それを適用します。たとえば、次のようにします。
          # Dropping CAP_NET_RAW with Gatekeeper
    # (requires the K8sPSPCapabilities template)
    apiversion: constraints.gatekeeper.sh/v1beta1
    kind:  K8sPSPCapabilities
    metadata:
      name: forbid-cap-net-raw
    spec:
      match:
        kinds:
          - apiGroups: [""]
          kinds: ["Pod"]
        namespaces:
          #List of namespaces to enforce this constraint on
          - default
        # If running gatekeeper >= v3.1.0-beta.5,
        # you can exclude namespaces rather than including them above.
        excludedNamespaces:
          - kube-system
      parameters:
        requiredDropCapabilities:
          - "NET_RAW"
    • または、Pod 仕様を更新します。 
          # Dropping CAP_NET_RAW from a Pod:
    apiVersion: v1
    kind: Pod
    metadata:
      name: no-cap-net-raw
    spec:
      containers:
        -name: my-container
         ...
        securityContext:
          capabilities:
            drop:
              -NET_RAW

    このパッチで対処される脆弱性

    このパッチで緩和される脆弱性は以下のとおりです。

    脆弱性 CVE-2020-14386。これは、CAP_NET_RAW が有効なコンテナではカーネルメモリへ 1~10 バイトの書き込みができ、それによってコンテナをエスケープして root 権限を取得できる可能性があるというものです。この脆弱性は、「高」重大度に位置づけられます。

    GKE クラスタ

    更新日: 2020 年 10 月 13 日

    説明 重大度

    先ごろ、Linux カーネルに脆弱性 CVE-2020-14386 が見つかりました。この脆弱性により、コンテナがエスケープされ、ホストノードの root 権限が奪われるおそれがあります。

    すべての GKE on AWS ノードが影響を受けます。

    必要な対策

    この脆弱性を修正するには、管理サービスユーザー クラスタをパッチ適用済みバージョンにアップグレードします。この脆弱性に対する修正は次の GKE on AWS バージョン以降で提供される予定です。修正が公開され次第、この情報も更新する予定です。

    • 1.5.0-gke.6
    • 1.4.3-gke.7

    以下のいずれかの方法で、コンテナから CAP_NET_RAW 機能を削除します。

    • 次のように、PodSecurityPolicy を使用してこれらの機能をブロックします。 
          # Require dropping CAP_NET_RAW with a PSP
    apiversion: extensions/v1beta1
    kind: PodSecurityPolicy
    metadata:
      name: no-cap-net-raw
    spec:
      requiredDropCapabilities:
        -NET_RAW
         ...
         # Unrelated fields omitted
    • または、Policy Controller か Gatekeeper をこちらの制約テンプレートで使用して、それを適用します。たとえば、次のようにします。
          # Dropping CAP_NET_RAW with Gatekeeper
    # (requires the K8sPSPCapabilities template)
    apiversion: constraints.gatekeeper.sh/v1beta1
    kind:  K8sPSPCapabilities
    metadata:
      name: forbid-cap-net-raw
    spec:
      match:
        kinds:
          - apiGroups: [""]
          kinds: ["Pod"]
        namespaces:
          #List of namespaces to enforce this constraint on
          - default
        # If running gatekeeper >= v3.1.0-beta.5,
        # you can exclude namespaces rather than including them above.
        excludedNamespaces:
          - kube-system
      parameters:
        requiredDropCapabilities:
          - "NET_RAW"
    • または、Pod 仕様を更新します。 
          # Dropping CAP_NET_RAW from a Pod:
    apiVersion: v1
    kind: Pod
    metadata:
      name: no-cap-net-raw
    spec:
      containers:
        -name: my-container
         ...
        securityContext:
          capabilities:
            drop:
              -NET_RAW

    このパッチで対処される脆弱性

    このパッチで緩和される脆弱性は以下のとおりです。

    脆弱性 CVE-2020-14386。これは、CAP_NET_RAW が有効なコンテナではカーネルメモリへ 1~10 バイトの書き込みができ、それによってコンテナをエスケープして root 権限を取得できる可能性があるというものです。この脆弱性は、「高」重大度に位置づけられます。

    GCP-2020-011

    公開日: 2020 年 7 月 24 日
    参考情報: CVE-2020-8558

    GKE

    説明 重大度

    先ごろ、ネットワークに関する脆弱性 CVE-2020-8558 が Kubernetes で発見されました。Service は、ローカル ループバック インターフェース(127.0.0.1)を使用して同じ Pod 内で実行されている他のアプリケーションと通信することがあります。この脆弱性により、クラスタのネットワークにアクセスできる攻撃者が、隣接する Pod とノードのループバック インターフェースにトラフィックを送信できてしまいます。Pod の外部からループバック インターフェースにアクセスできないことに依存している Service が侵害される可能性があります。

    GKE クラスタでこの脆弱性が悪用されるため、攻撃者にクラスタの VPC をホストする Google Cloud でネットワーク管理者権限を付与しておく必要があります。この脆弱性だけでは、攻撃者にネットワーク管理者権限は付与されません。このため、この脆弱性には GKE の重大度「低」が割り当てられています。

    必要な対策

    この脆弱性を修正するには、クラスタのノードプールを次の GKE バージョン(以降)にアップグレードします。

    • 1.17.7-gke.0
    • 1.16.11-gke.0
    • 1.16.10-gke.11
    • 1.16.9-gke.14

    このパッチで対処される脆弱性

    このパッチは、脆弱性 CVE-2020-8558 を修正します。

    GKE クラスタ

    説明 重大度

    先ごろ、ネットワークに関する脆弱性 CVE-2020-8558 が Kubernetes で発見されました。Service は、ローカル ループバック インターフェース(127.0.0.1)を使用して同じ Pod 内で実行されている他のアプリケーションと通信することがあります。この脆弱性により、クラスタのネットワークにアクセスできる攻撃者が、隣接する Pod とノードのループバック インターフェースにトラフィックを送信できてしまいます。Pod の外部からループバック インターフェースにアクセスできないことに依存している Service が侵害される可能性があります。

    必要な対策

    この脆弱性を修正するには、クラスタをパッチ適用済みバージョンにアップグレードします。この脆弱性に対する修正は、次の GKE on VMware バージョン以降に含まれています。

    • GKE on VMware 1.4.1

    このパッチで対処される脆弱性

    このパッチは、脆弱性 CVE-2020-8558 を修正します。

    GKE クラスタ

    説明 重大度

    先ごろ、ネットワークに関する脆弱性 CVE-2020-8558 が Kubernetes で発見されました。Service は、ローカル ループバック インターフェース(127.0.0.1)を使用して同じ Pod 内で実行されている他のアプリケーションと通信することがあります。この脆弱性により、クラスタのネットワークにアクセスできる攻撃者が、隣接する Pod とノードのループバック インターフェースにトラフィックを送信できてしまいます。Pod の外部からループバック インターフェースにアクセスできないことに依存している Service が侵害される可能性があります。

    攻撃者がユーザー クラスタでこの脆弱性を悪用するには、クラスタ内の EC2 インスタンスで送信元の宛先チェックを無効にする必要があります。そのためには、攻撃者が EC2 インスタンスに対する ModifyInstanceAttribute または ModifyNetworkInterfaceAttribute の AWS IAM 権限を持っている必要があります。このため、この脆弱性には GKE on AWS の重大度「低」が割り当てられています。

    必要な対策

    この脆弱性を修正するには、クラスタをパッチ適用済みバージョンにアップグレードします。次に示す今後の GKE on AWS バージョン以降では、この脆弱性に対する修正が含まれる予定です。

    • GKE on AWS 1.4.1-gke.17

    このパッチで対処される脆弱性

    このパッチは、脆弱性 CVE-2020-8558 を修正します。

    GCP-2020-009

    公開日: 2020 年 7 月 15 日
    参考情報: CVE-2020-8559

    GKE

    説明 重大度

    先ごろ、権限昇格に関する脆弱性 CVE-2020-8559 が Kubernetes で発見されました。この脆弱性により、ノードを不正使用した攻撃者が、クラスタ内の任意の Pod でコマンドを実行できてしまいます。これにより、攻撃者はすでに不正使用したノードを使用して他のノードを不正使用し、情報の読み取りや、破壊的な操作をする可能性があります。

    攻撃者がこの脆弱性を悪用するには、クラスタ内のノードがすでに不正使用されている必要があります。この脆弱性だけで、クラスタ内のノードが不正使用されることはありません。

    必要な対策

    クラスタをパッチ適用済みバージョンにアップグレードします。クラスタは今後数週間で自動的にアップグレードされ、保存済み手動アップグレード スケジュールに備えて、パッチ適用済みバージョンが 2020 年 7 月 19 日までに配信されます。次の GKE コントロール プレーンのバージョン以降には、この脆弱性の修正が含まれます。

    • v1.14.10-gke.46
    • v1.15.12-gke.8
    • v1.16.9-gke.11
    • v1.16.10-gke.9
    • v1.16.11-gke.3+
    • v1.17.7-gke.6+

    このパッチで対処される脆弱性

    これらのパッチは、脆弱性 CVE-2020-8559 を軽減します。攻撃者は既存の不正使用ノードに加えて、この攻撃を効果的に悪用するためにクラスタ、ノード、ワークロードについて最初に情報を取得する必要があるため、GKE の脆弱性の重大度評価は「中」です。この脆弱性だけで、不正使用されたノードが攻撃者に提供されることはありません。

    GKE クラスタ

    説明 重大度

    先ごろ、権限昇格に関する脆弱性 CVE-2020-8559 が Kubernetes で発見されました。この脆弱性により、ノードを不正使用した攻撃者が、クラスタ内の任意の Pod でコマンドを実行できてしまいます。これにより、攻撃者はすでに不正使用したノードを使用して他のノードを不正使用し、情報の読み取りや、破壊的な操作をする可能性があります。

    攻撃者がこの脆弱性を悪用するには、クラスタ内のノードがすでに不正使用されている必要があります。この脆弱性だけで、クラスタ内のノードが不正使用されることはありません。

    必要な対策

    クラスタをパッチ適用済みバージョンにアップグレードします。この脆弱性に対する修正は、次の GKE on VMware バージョン以降に含まれています。

    • Anthos 1.3.3
    • Anthos 1.4.1

    このパッチで対処される脆弱性

    これらのパッチは、脆弱性 CVE-2020-8559 を軽減します。攻撃者は既存の不正使用ノードに加えて、この攻撃を効果的に悪用するためにクラスタ、ノード、ワークロードについて最初に情報を取得する必要があるため、GKE の脆弱性の重大度評価は「中」です。この脆弱性だけで、不正使用されたノードが攻撃者に提供されることはありません。

    GKE クラスタ

    説明 重大度

    先ごろ、権限昇格に関する脆弱性 CVE-2020-8559 が Kubernetes で発見されました。この脆弱性により、ノードを不正使用した攻撃者が、クラスタ内の任意の Pod でコマンドを実行できてしまいます。これにより、攻撃者はすでに不正使用したノードを使用して他のノードを不正使用し、情報の読み取りや、破壊的な操作をする可能性があります。

    攻撃者がこの脆弱性を悪用するには、クラスタ内のノードがすでに不正使用されている必要があります。この脆弱性だけで、クラスタ内のノードが不正使用されることはありません。

    必要な対策

    GKE on AWS 一般提供(1.4.1、2020 年 7 月末から入手可能)以降には、この脆弱性に対するパッチが含まれています。以前のバージョンを使用している場合は、anthos-gke コマンドライン ツールの新しいバージョンをダウンロードして、管理クラスタとユーザー クラスタを再作成します。

    このパッチで対処される脆弱性

    これらのパッチは、脆弱性 CVE-2020-8559 を軽減します。攻撃者は既存の不正使用ノードに加えて、この攻撃を効果的に悪用するためにクラスタ、ノード、ワークロードについて最初に情報を取得する必要があるため、GKE の脆弱性の重大度評価は「中」です。この脆弱性だけで、不正使用されたノードが攻撃者に提供されることはありません。

    GCP-2020-007

    公開日: 2020 年 6 月 1 日
    参考情報: CVE-2020-8555

    GKE

    説明 重大度

    最近、Kubernetes でサーバー側のリクエスト フォージェリ(SSRF)の脆弱性 CVE-2020-8555 が検出され、特定の承認済みユーザーがコントロール プレーン ホスト ネットワークから最大 500 バイトの機密情報を漏洩する可能性が生じました。Google Kubernetes Engine(GKE)コントロール プレーンでは、Kubernetes のコントローラを使用するため、この脆弱性の影響を受けます。 コントロール プレーンを最新のパッチ バージョンにアップグレードすることをおすすめします。詳細については、以下をご覧ください。 ノードのアップグレードは不要です。

    必要な対策

    ほとんどのお客様は、以後の対応は必要ありません。大多数のクラスタは、すでにパッチ適用済みバージョンを実行しています。 次の GKE バージョン以降には、この脆弱性の修正が含まれています。
    • 1.14.7-gke.39
    • 1.14.8-gke.32
    • 1.14.9-gke.17
    • 1.14.10-gke.12
    • 1.15.7-gke.17
    • 1.16.4-gke.21
    • 1.17.0-gke.0

    リリース チャンネルを使用するクラスタは、すでに脆弱性が緩和されたバージョンのコントロール プレーン上にあります。

    このパッチで対処される脆弱性

    これらのパッチは、脆弱性 CVE-2020-8555 を軽減します。この脆弱性はコントロール プレーンのさまざまな強化対策によって悪用が困難であったため、GKE に対する脆弱性の重大度評価は「中」です。

    攻撃者が特定の組み込み Volume タイプ(GlusterFS、Quobyte、StorageFS、ScaleIO)で Pod を作成する権限や、StorageClass を作成する権限を持つ場合、マスターのホスト ネットワークから攻撃者が制御するリクエスト本文を使用せずに kube-controller-managerGET リクエストや POST リクエストを発行させる可能性があります。これらのボリューム タイプは GKE ではほとんど使用されないため、新たに使用された場合は、それが攻撃の検出シグナルとなります。

    GET/POST の結果が攻撃者に返す手段(ログを通じてなど)と組み合わせられると、機密情報の漏洩につながる可能性があります。このような漏洩の可能性を排除するために、対象となるストレージ ドライバを更新しました。

    GKE クラスタ

    説明 重大度

    最近、Kubernetes でサーバー側のリクエスト フォージェリ(SSRF)の脆弱性 CVE-2020-8555 が検出され、特定の承認済みユーザーがコントロール プレーン ホスト ネットワークから最大 500 バイトの機密情報を漏洩する可能性が生じました。Google Kubernetes Engine(GKE)コントロール プレーンでは、Kubernetes のコントローラを使用するため、この脆弱性の影響を受けます。 以下で説明するように、コントロール プレーンを最新のパッチ バージョンにアップグレードすることをおすすめします。ノードのアップグレードは不要です。

    必要な対策

    次の GKE on VMware バージョン以降には、この脆弱性に対する修正が含まれています。

    • Anthos 1.3.0

    以前のバージョンを使用している場合は、修正が含まれているバージョンに既存のクラスタをアップグレードしてください。

    このパッチで対処される脆弱性

    これらのパッチは、脆弱性 CVE-2020-8555 を軽減します。この脆弱性はコントロール プレーンのさまざまな強化対策によって悪用が困難であったため、GKE に対する脆弱性の重大度評価は「中」です。

    攻撃者が特定の組み込み Volume タイプ(GlusterFS、Quobyte、StorageFS、ScaleIO)で Pod を作成する権限や、StorageClass を作成する権限を持つ場合、マスターのホスト ネットワークから攻撃者が制御するリクエスト本文を使用せずに kube-controller-managerGET リクエストや POST リクエストを発行させる可能性があります。これらのボリューム タイプは GKE ではほとんど使用されないため、新たに使用された場合は、それが攻撃の検出シグナルとなります。

    GET/POST の結果が攻撃者に返す手段(ログを通じてなど)と組み合わせられると、機密情報の漏洩につながる可能性があります。このような漏洩の可能性を排除するために、対象となるストレージ ドライバを更新しました。

    GKE クラスタ

    説明 重大度

    最近、Kubernetes でサーバー側のリクエスト フォージェリ(SSRF)の脆弱性 CVE-2020-8555 が検出され、特定の承認済みユーザーがコントロール プレーン ホスト ネットワークから最大 500 バイトの機密情報を漏洩する可能性が生じました。Google Kubernetes Engine(GKE)コントロール プレーンでは、Kubernetes のコントローラを使用するため、この脆弱性の影響を受けます。 以下で説明するように、コントロール プレーンを最新のパッチ バージョンにアップグレードすることをおすすめします。ノードのアップグレードは不要です。

    必要な対策

    GKE on AWS v0.2.0 以降には、この脆弱性に対するパッチが含まれています。以前のバージョンを使用している場合は、anthos-gke コマンドライン ツールの新しいバージョンをダウンロードして、管理クラスタとユーザー クラスタを再作成します。

    このパッチで対処される脆弱性

    これらのパッチは、脆弱性 CVE-2020-8555 を軽減します。この脆弱性はコントロール プレーンのさまざまな強化対策によって悪用が困難であったため、GKE に対する脆弱性の重大度評価は「中」です。

    攻撃者が特定の組み込み Volume タイプ(GlusterFS、Quobyte、StorageFS、ScaleIO)で Pod を作成する権限や、StorageClass を作成する権限を持つ場合、マスターのホスト ネットワークから攻撃者が制御するリクエスト本文を使用せずに kube-controller-managerGET リクエストや POST リクエストを発行させる可能性があります。これらのボリューム タイプは GKE ではほとんど使用されないため、新たに使用された場合は、それが攻撃の検出シグナルとなります。

    GET/POST の結果が攻撃者に返す手段(ログを通じてなど)と組み合わせられると、機密情報の漏洩につながる可能性があります。このような漏洩の可能性を排除するために、対象となるストレージ ドライバを更新しました。

    GCP-2020-006

    公開日: 2020 年 6 月 1 日
    参考情報: Kubernetes issue 91507

    GKE

    説明 重大度

    Kubernetes は、特権コンテナでノード トラフィックを別のコンテナにリダイレクトできるようになる脆弱性を公表しました。kubelet と API サーバーの間の相互 TLS/SSH トラフィックや、mTLS を使用するアプリケーションからのトラフィックは、この攻撃によって読み取ることも変更することもできません。この脆弱性はすべての Google Kubernetes Engine(GKE)ノードに影響するため、最新のパッチ バージョンにアップグレードすることをおすすめします。詳細については、以下をご覧ください。

    必要な対策

    この脆弱性を緩和するために、コントロール プレーンをアップグレードしてください。アップグレード後、ノードは下記のパッチ適用済みバージョンのいずれかになります。リリース チャンネル上のクラスタは、コントロール プレーンとノードの両方ですでにパッチ適用済みバージョンを実行しています。
    • 1.14.10-gke.36
    • 1.15.11-gke.15
    • 1.16.8-gke.15

    通常、CAP_NET_RAW を必要とするコンテナはほとんどありません。この機能や他の強力な機能は、PodSecurityPolicy または Anthos Policy Controller を使用してデフォルトでブロックする必要があります。

    以下のいずれかの方法で、コンテナから CAP_NET_RAW 機能を削除します。

    • 次のように、PodSecurityPolicy を使用してこれらの機能をブロックします。 
          # Require dropping CAP_NET_RAW with a PSP
    apiversion: extensions/v1beta1
    kind: PodSecurityPolicy
    metadata:
      name: no-cap-net-raw
    spec:
      requiredDropCapabilities:
        -NET_RAW
         ...
         # Unrelated fields omitted
    • または、Policy Controller か Gatekeeper をこちらの制約テンプレートで使用して、それを適用します。たとえば、次のようにします。
          # Dropping CAP_NET_RAW with Gatekeeper
    # (requires the K8sPSPCapabilities template)
    apiversion: constraints.gatekeeper.sh/v1beta1
    kind:  K8sPSPCapabilities
    metadata:
      name: forbid-cap-net-raw
    spec:
      match:
        kinds:
          - apiGroups: [""]
          kinds: ["Pod"]
        namespaces:
          #List of namespaces to enforce this constraint on
          - default
        # If running gatekeeper >= v3.1.0-beta.5,
        # you can exclude namespaces rather than including them above.
        excludedNamespaces:
          - kube-system
      parameters:
        requiredDropCapabilities:
          - "NET_RAW"
    • または、Pod 仕様を更新します。 
          # Dropping CAP_NET_RAW from a Pod:
    apiVersion: v1
    kind: Pod
    metadata:
      name: no-cap-net-raw
    spec:
      containers:
        -name: my-container
         ...
        securityContext:
          capabilities:
            drop:
              -NET_RAW

    このパッチで対処される脆弱性

    このパッチで緩和される脆弱性は以下のとおりです。

    Kubernetes の問題 91507 に記載された脆弱性。この脆弱性では、CAP_NET_RAW 機能(デフォルトのコンテナ機能セットに含まれています)がノード上で IPv6 スタックを不正に構成して、攻撃者によって制御されるコンテナにノード トラフィックをリダイレクトします。これにより、攻撃者はノードからのトラフィックまたはノードを宛先とするトラフィックの傍受や変更ができてしまいます。kubelet と API サーバーの間の相互 TLS / SSH トラフィックや、mTLS を使用するアプリケーションからのトラフィックは、この攻撃によって読み取られることも変更されることもありません。

    GKE クラスタ

    説明 重大度

    Kubernetes は、特権コンテナでノード トラフィックを別のコンテナにリダイレクトできるようになる脆弱性を公表しました。kubelet と API サーバーの間の相互 TLS/SSH トラフィックや、mTLS を使用するアプリケーションからのトラフィックは、この攻撃によって読み取ることも変更することもできません。この脆弱性はすべての Google Kubernetes Engine(GKE)ノードに影響するため、最新のパッチ バージョンにアップグレードすることをおすすめします。詳細については、以下をご覧ください。

    必要な対策

    GKE on VMware のこの脆弱性を軽減するには、クラスタを次のバージョン以降にアップグレードします。
    • Anthos 1.3.2

    通常、CAP_NET_RAW を必要とするコンテナはほとんどありません。この機能やその他の強力な機能は、Anthos Policy Controller を使用するか、Pod 仕様を更新して、デフォルトでブロックする必要があります。

    以下のいずれかの方法で、コンテナから CAP_NET_RAW 機能を削除します。

    • 次のように、PodSecurityPolicy を使用してこれらの機能をブロックします。 
          # Require dropping CAP_NET_RAW with a PSP
    apiversion: extensions/v1beta1
    kind: PodSecurityPolicy
    metadata:
      name: no-cap-net-raw
    spec:
      requiredDropCapabilities:
        -NET_RAW
         ...
         # Unrelated fields omitted
    • または、Policy Controller か Gatekeeper をこちらの制約テンプレートで使用して、それを適用します。たとえば、次のようにします。
          # Dropping CAP_NET_RAW with Gatekeeper
    # (requires the K8sPSPCapabilities template)
    apiversion: constraints.gatekeeper.sh/v1beta1
    kind:  K8sPSPCapabilities
    metadata:
      name: forbid-cap-net-raw
    spec:
      match:
        kinds:
          - apiGroups: [""]
          kinds: ["Pod"]
        namespaces:
          #List of namespaces to enforce this constraint on
          - default
        # If running gatekeeper >= v3.1.0-beta.5,
        # you can exclude namespaces rather than including them above.
        excludedNamespaces:
          - kube-system
      parameters:
        requiredDropCapabilities:
          - "NET_RAW"
    • または、Pod 仕様を更新します。 
          # Dropping CAP_NET_RAW from a Pod:
    apiVersion: v1
    kind: Pod
    metadata:
      name: no-cap-net-raw
    spec:
      containers:
        -name: my-container
         ...
        securityContext:
          capabilities:
            drop:
              -NET_RAW

    このパッチで対処される脆弱性

    このパッチで緩和される脆弱性は以下のとおりです。

    Kubernetes の問題 91507 に記載された脆弱性。この脆弱性では、CAP_NET_RAW 機能(デフォルトのコンテナ機能セットに含まれています)がノード上で IPv6 スタックを不正に構成して、攻撃者によって制御されるコンテナにノード トラフィックをリダイレクトします。これにより、攻撃者はノードからのトラフィックまたはノードを宛先とするトラフィックの傍受や変更ができてしまいます。kubelet と API サーバーの間の相互 TLS / SSH トラフィックや、mTLS を使用するアプリケーションからのトラフィックは、この攻撃によって読み取られることも変更されることもありません。

    GKE クラスタ

    説明 重大度

    Kubernetes は、特権コンテナでノード トラフィックを別のコンテナにリダイレクトできるようになる脆弱性を公表しました。kubelet と API サーバーの間の相互 TLS/SSH トラフィックや、mTLS を使用するアプリケーションからのトラフィックは、この攻撃によって読み取ることも変更することもできません。この脆弱性はすべての Google Kubernetes Engine(GKE)ノードに影響するため、最新のパッチ バージョンにアップグレードすることをおすすめします。詳細については、以下をご覧ください。

    必要な対策

    次のバージョン以降の anthos-gke コマンドライン ツールをダウンロードし、管理クラスタとユーザー クラスタを再作成します。

    • aws-0.2.1-gke.7

    通常、CAP_NET_RAW を必要とするコンテナはほとんどありません。この機能や他の強力な機能は、Anthos Policy Controller を使用するか、Pod 仕様を更新して、デフォルトでブロックする必要があります。

    以下のいずれかの方法で、コンテナから CAP_NET_RAW 機能を削除します。

    • 次のように、PodSecurityPolicy を使用してこれらの機能をブロックします。 
          # Require dropping CAP_NET_RAW with a PSP
    apiversion: extensions/v1beta1
    kind: PodSecurityPolicy
    metadata:
      name: no-cap-net-raw
    spec:
      requiredDropCapabilities:
        -NET_RAW
         ...
         # Unrelated fields omitted
    • または、Policy Controller か Gatekeeper をこちらの制約テンプレートで使用して、それを適用します。たとえば、次のようにします。
          # Dropping CAP_NET_RAW with Gatekeeper
    # (requires the K8sPSPCapabilities template)
    apiversion: constraints.gatekeeper.sh/v1beta1
    kind:  K8sPSPCapabilities
    metadata:
      name: forbid-cap-net-raw
    spec:
      match:
        kinds:
          - apiGroups: [""]
          kinds: ["Pod"]
        namespaces:
          #List of namespaces to enforce this constraint on
          - default
        # If running gatekeeper >= v3.1.0-beta.5,
        # you can exclude namespaces rather than including them above.
        excludedNamespaces:
          - kube-system
      parameters:
        requiredDropCapabilities:
          - "NET_RAW"
    • または、Pod 仕様を更新します。 
          # Dropping CAP_NET_RAW from a Pod:
    apiVersion: v1
    kind: Pod
    metadata:
      name: no-cap-net-raw
    spec:
      containers:
        -name: my-container
         ...
        securityContext:
          capabilities:
            drop:
              -NET_RAW

    このパッチで対処される脆弱性

    このパッチで緩和される脆弱性は以下のとおりです。

    Kubernetes の問題 91507 に記載された脆弱性。この脆弱性では、CAP_NET_RAW 機能(デフォルトのコンテナ機能セットに含まれています)がノード上で IPv6 スタックを不正に構成して、攻撃者によって制御されるコンテナにノード トラフィックをリダイレクトします。これにより、攻撃者はノードからのトラフィックまたはノードを宛先とするトラフィックの傍受や変更ができてしまいます。kubelet と API サーバーの間の相互 TLS / SSH トラフィックや、mTLS を使用するアプリケーションからのトラフィックは、この攻撃によって読み取られることも変更されることもありません。

    GCP-2020-005

    公開日: 2020 年 5 月 7 日
    更新日: 2020 年 5 月 7 日
    参考情報: CVE-2020-8835

    GKE

    説明 重大度

    先ごろ、Linux カーネルに脆弱性 CVE-2020-8835 が発見されました。この脆弱性により、コンテナがエスケープ処理を行ってホストノードのルート権限を奪ってしまうおそれがあります。

    この脆弱性は Google Kubernetes Engine(GKE)1.16 または 1.17 を実行する GKE Ubuntu ノードに影響するため、できるだけ早く最新のパッチ バージョンにアップグレードすることをおすすめします。詳細については、以下をご覧ください。

    Container-Optimized OS を実行しているノードは影響を受けません。GKE on VMware 上で実行しているノードは影響を受けません。

    必要な対策

    ほとんどのお客様は、以後の対応は必要ありません。GKE バージョン 1.16 または 1.17 の Ubuntu を実行しているノードのみが影響を受けます。

    ご使用のノードをアップグレードするには、まずマスターを最新バージョンにアップグレードする必要があります。このパッチは Kubernetes 1.16.8-gke.12、1.17.4-gke.10、およびそれ以降のリリースで提供されます。パッチが公開されたかどうかについては、リリースノートで定期的にご確認ください。

    このパッチで対処される脆弱性

    このパッチで緩和される脆弱性は以下のとおりです。

    CVE-2020-8835 は Linux カーネル バージョン 5.5.0 以降の脆弱性であり、悪意のあるコンテナが(exec 形式での最小限のユーザー インタラクションで)カーネルメモリの読み取りと書き込みにより、ホストノードでルート権限のコードを実行できるというものです。この脆弱性の重大度評価は高です。

    GCP-2020-004

    公開日: 2020 年 5 月 7 日
    更新日: 2020 年 5 月 7 日
    参考情報: CVE-2019-11254

    GKE クラスタ

    説明 重大度

    先ごろ、Kubernetes で CVE-2019-11254 に記載された脆弱性が発見されました。これは、POST リクエストの発行を許可された任意のユーザーが Kubernetes API サーバーへのリモート サービス拒否攻撃を実行できるというものです。Kubernetes 製品セキュリティ委員会(PSC)から発表されたこの脆弱性に関する追加情報は、こちらからご覧いただけます。

    Kubernetes API サーバーにネットワーク アクセスできるクライアントを制限することで、この脆弱性を緩和できます。

    必要な対策

    この脆弱性に対する修正を含むパッチ バージョンが公開されたら、直ちにクラスタをアップグレードすることをおすすめします。

    修正を含むパッチ バージョンは次のとおりです。

    • Kubernetes バージョン 1.15.7-gke.32 を実行する Anthos 1.3.0

    このパッチで対処される脆弱性

    このパッチは次のサービス拒否攻撃(DoS)の脆弱性を修正します。

    CVE-2019-11254

    GCP-2020-003

    公開日: 2020 年 3 月 31 日
    更新日: 2020 年 3 月 31 日
    参考情報: CVE-2019-11254

    GKE

    説明 重大度

    先ごろ、Kubernetes で CVE-2019-11254 に記載された脆弱性が発見されました。これは、POST リクエストの発行を許可された任意のユーザーが Kubernetes API サーバーへのリモート サービス拒否攻撃を実行できるというものです。Kubernetes 製品セキュリティ委員会(PSC)から発表されたこの脆弱性に関する追加情報は、こちらからご覧いただけます。

    この脆弱性は、マスター承認済みネットワークパブリック エンドポイントを持たない限定公開クラスタを使用した GKE クラスタでは緩和されます。

    必要な対策

    この脆弱性の修正を含むパッチ バージョンにクラスタをアップグレードすることをおすすめします。

    修正を含むパッチ バージョンは次のとおりです。

    • 1.13.12-gke.29
    • 1.14.9-gke.27
    • 1.14.10-gke.24
    • 1.15.9-gke.20
    • 1.16.6-gke.1

    このパッチで対処される脆弱性

    このパッチは次のサービス拒否攻撃(DoS)の脆弱性を修正します。

    CVE-2019-11254

    GCP-2020-002

    公開日: 2020 年 3 月 23 日
    更新日: 2020 年 3 月 23 日
    参考情報: CVE-2020-8551CVE-2020-8552

    GKE

    説明 重大度

    Kubernetes はサービス拒否攻撃の脆弱性を 2 件公表しました。そのうちの 1 件は API サーバーに影響するもので、もう 1 件は Kubelet に影響するものです。詳細については Kubernetes の問題 8937789378 をご覧ください。

    必要な対策

    クラスタの内部ネットワーク内で信頼されていないユーザーによるリクエスト送信が許可されていない限り、すべての GKE ユーザーは CVE-2020-8551 から保護されます。マスター承認済みネットワークを使うことで、CVE-2020-8552 の影響をさらに緩和できます。

    パッチのリリース予定

    CVE-2020-8551 のパッチにはノードのアップグレードが必要です。この脆弱性の緩和策が組み込まれるパッチ バージョンは次のとおりです。

    • 1.15.10-gke.*
    • 1.16.7-gke.*

    CVE-2020-8552 用のパッチではマスターのアップグレードが必要です。この脆弱性の緩和策が組み込まれるパッチ バージョンは次のとおりです。

    • 1.14.10-gke.32
    • 1.15.10-gke.*
    • 1.16.7-gke.*

    GCP-january_21_2020

    公開日: 2020 年 1 月 21 日
    更新日: 2020 年 1 月 24 日
    参考情報: CVE-2019-11254

    GKE

    説明 重大度

    2020 年 1 月 24 日更新: パッチ適用済みバージョンを現在作成中で、2020 年 1 月 25 日までに完成する予定です。

    Microsoft が Windows Crypto API とその楕円曲線署名の検証に脆弱性があることを公表しました。詳細については、Microsoft の開示情報をご覧ください。

    必要な対策

    ほとんどのお客様は、以後の対応は必要ありません。Windows Server を実行しているノードのみが影響を受けます。

    Windows Server ノードを使用している場合は、この脆弱性を軽減するために、ノードとそれらのノード上で実行されるコンテナ化されたワークロードの両方をパッチ適用済みバージョンに更新する必要があります。

    コンテナを更新するには:

    Microsoft の最新のベースコンテナ イメージを使用してコンテナを再ビルドします。その際、LastUpdated Time が 2020/1/14 またはそれ以降である servercore または nanoserver タグを選択してください。

    ノードを更新するには:

    パッチ適用済みバージョンを現在作成中で、2020 年 1 月 24 日までに完成する予定です。

    パッチが完成してからパッチ適用済みの GKE バージョンにノードをアップグレードするか、任意の時点で Windows Update を使用して最新の Windows パッチを手動でデプロイしてください。

    この脆弱性の緩和策が組み込まれるパッチ バージョンは次のとおりです。

    • 1.14.7-gke.40
    • 1.14.8-gke.33
    • 1.14.9-gke.23
    • 1.14.10-gke.17
    • 1.15.7-gke.23
    • 1.16.4-gke.22

    このパッチで対処される脆弱性

    このパッチで緩和される脆弱性は以下のとおりです。

    CVE-2020-0601 - この脆弱性は Windows Crypto API のなりすましの脆弱性とも呼ばれます。これを悪用すると、悪意ある実行可能ファイルを信頼されたもののように見せかけることができます。また、攻撃者が中間者攻撃を行って標的ソフトウェアへの TLS 接続上で秘密情報を復号することも可能です。

    NVD ベーススコア: 8.1(高)

    アーカイブ済みのセキュリティに関する情報

    2020 年以前のセキュリティに関する情報については、セキュリティに関する情報のアーカイブをご覧ください。