Bulletins de sécurité

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

• CVE-2024-26924

Les clusters GKE Standard sont affectés. Les clusters GKE Autopilot ne sont pas affectés dans la configuration par défaut, mais ils peuvent être vulnérables si vous définissez explicitement le profil Unconfined seccomp ou autorisez CAP_NET_ADMIN.

Les clusters utilisant GKE Sandbox ne sont pas affectés.

Que dois-je faire ?

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou une version ultérieure:

• 1.26.15-gke.1360000
• 1.27.14-gke.1022000
• 1.28.9-gke.1289000
• 1.29.5-gke.1010000

Vous pouvez appliquer des versions de correctif issues de versions plus récentes si votre cluster exécute la même version mineure dans son propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut dans votre version disponible. Pour en savoir plus, consultez Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

• CVE-2024-26924

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

• CVE-2024-26924

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

• CVE-2024-26924

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

• CVE-2024-26924

Que dois-je faire ?

Aucune action n'est requise. Le logiciel GDC pour Bare Metal n'est pas affecté, car il n'inclut pas de système d'exploitation dans sa distribution.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS:

• CVE-2024-26584

Les clusters GKE Standard et Autopilot sont affectés.

Les clusters utilisant GKE Sandbox ne sont pas affectés.

Que dois-je faire ?

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou une version ultérieure:

• 1.28.9-gke.1209000
• 1.29.4-gke.1542000

Vous pouvez appliquer des versions de correctif issues de versions plus récentes si votre cluster exécute la même version mineure dans son propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut dans votre version disponible. Pour en savoir plus, consultez Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS:

• CVE-2024-26584

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS:

• CVE-2024-26584

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS:

• CVE-2024-26584

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS:

• CVE-2024-26584

Que dois-je faire ?

Aucune action n'est requise. GKE sur Bare Metal n'est pas affecté, car il n'inclut pas de système d'exploitation dans sa distribution.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

• CVE-2024-26584

Les clusters GKE Standard et Autopilot sont affectés.

Les clusters utilisant GKE Sandbox ne sont pas affectés.

Que dois-je faire ?

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou une version ultérieure:

• 1.28.9-gke.1209000
• 1.29.4-gke.1542000

Les versions mineures suivantes sont concernées, mais aucune version de correctif n'est disponible. Nous mettrons à jour ce bulletin lorsque des versions de correctif seront disponibles:

• 1,26
• 1.27

Vous pouvez appliquer des versions de correctif issues de versions plus récentes si votre cluster exécute la même version mineure dans son propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut dans votre version disponible. Pour en savoir plus, consultez Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

• CVE-2024-26584

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

• CVE-2024-26584

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

• CVE-2024-26584

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

• CVE-2024-26584

Que dois-je faire ?

Aucune action n'est requise. GKE sur Bare Metal n'est pas affecté, car il n'inclut pas de système d'exploitation dans sa distribution.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS:

• CVE-2024-26583

Les clusters GKE Standard et Autopilot sont affectés.

Les clusters utilisant GKE Sandbox ne sont pas affectés.

Que dois-je faire ?

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou une version ultérieure:

• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

Vous pouvez appliquer des versions de correctif issues de versions plus récentes si votre cluster exécute la même version mineure dans son propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut dans votre version disponible. Pour en savoir plus, consultez Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS:

• CVE-2024-26583

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS:

• CVE-2024-26583

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS:

• CVE-2024-26583

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS:

• CVE-2024-26583

Que dois-je faire ?

Aucune action n'est requise. GKE sur Bare Metal n'est pas affecté, car il n'inclut pas de système d'exploitation dans sa distribution.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS:

• CVE-2022-23222

Les clusters GKE Standard et Autopilot sont affectés.

Les clusters utilisant GKE Sandbox ne sont pas affectés.

Que dois-je faire ?

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou une version ultérieure:

• 1.26.15-gke.1381000
• 1.27.14-gke.1022000

Vous pouvez appliquer des versions de correctif issues de versions plus récentes si votre cluster exécute la même version mineure dans son propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut dans votre version disponible. Pour en savoir plus, consultez Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS:

• CVE-2022-23222

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS:

• CVE-2022-23222

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS:

• CVE-2022-23222

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS:

• CVE-2022-23222

Que dois-je faire ?

Aucune action n'est requise. GKE sur Bare Metal n'est pas affecté, car il n'inclut pas de système d'exploitation dans sa distribution.

Une nouvelle faille (CVE-2024-4323) a été détectée dans Fluent Bit. Elle pourrait entraîner l'exécution de code à distance. Les versions 2.0.7 à 3.0.3 de Fluent Bit sont affectées.

GKE n'utilise pas une version vulnérable de Fluent Bit et n'est pas affecté.

Que dois-je faire ?

GKE n'est pas affecté par cette faille. Vous n'avez rien à faire.

Une nouvelle faille (CVE-2024-4323) a été détectée dans Fluent Bit. Elle pourrait entraîner l'exécution de code à distance. Les versions 2.0.7 à 3.0.3 de Fluent Bit sont affectées.

GKE sur VMware n'utilise pas une version vulnérable de Fluent Bit et n'est pas affecté.

Que dois-je faire ?

GKE sur VMware n'est pas affecté par cette faille. Vous n'avez rien à faire.

Une nouvelle faille (CVE-2024-4323) a été détectée dans Fluent Bit. Elle pourrait entraîner l'exécution de code à distance. Les versions 2.0.7 à 3.0.3 de Fluent Bit sont affectées.

GKE sur AWS n'utilise pas une version vulnérable de Fluent Bit et n'est pas affecté.

Que dois-je faire ?

GKE sur AWS n'est pas affecté par cette faille. Vous n'avez rien à faire.

Une nouvelle faille (CVE-2024-4323) a été détectée dans Fluent Bit. Elle pourrait entraîner l'exécution de code à distance. Les versions 2.0.7 à 3.0.3 de Fluent Bit sont affectées.

GKE sur Azure n'utilise pas une version vulnérable de Fluent Bit et n'est pas affecté.

Que dois-je faire ?

GKE sur Azure n'est pas affecté par cette faille. Vous n'avez rien à faire.

Une nouvelle faille (CVE-2024-4323) a été détectée dans Fluent Bit. Elle pourrait entraîner l'exécution de code à distance. Les versions 2.0.7 à 3.0.3 de Fluent Bit sont affectées.

GKE sur Bare Metal n'utilise pas une version vulnérable de Fluent Bit et n'est pas affecté.

Que dois-je faire ?

GKE sur Bare Metal n'est pas affecté par cette faille. Vous n'avez rien à faire.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

• CVE-2023-52620

Les clusters GKE Standard sont affectés. Les clusters GKE Autopilot ne sont pas affectés dans la configuration par défaut, mais ils peuvent être vulnérables si vous définissez explicitement le profil Unconfined seccomp ou autorisez CAP_NET_ADMIN.

Les clusters utilisant GKE Sandbox ne sont pas affectés.

Que dois-je faire ?

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou une version ultérieure:

• 1.27.13-gke.1166000
• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

Vous pouvez appliquer des versions de correctif issues de versions plus récentes si votre cluster exécute la même version mineure dans son propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut dans votre version disponible. Pour en savoir plus, consultez Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

• CVE-2023-52620

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

• CVE-2023-52620

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

• CVE-2023-52620

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

• CVE-2023-52620

Que dois-je faire ?

Aucune action n'est requise. GKE sur Bare Metal n'est pas affecté, car il n'inclut pas de système d'exploitation dans sa distribution.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

• CVE-2024-26642

Les clusters GKE Standard sont affectés. Les clusters GKE Autopilot ne sont pas affectés dans la configuration par défaut, mais ils peuvent être vulnérables si vous définissez explicitement le profil Unconfined seccomp ou autorisez CAP_NET_ADMIN.

Les clusters utilisant GKE Sandbox ne sont pas affectés.

Que dois-je faire ?

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou une version ultérieure:

• 1.27.13-gke.1166000
• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

Vous pouvez appliquer des versions de correctif issues de versions plus récentes si votre cluster exécute la même version mineure dans son propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut dans votre version disponible. Pour en savoir plus, consultez Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

• CVE-2024-26642

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

• CVE-2024-26642

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

• CVE-2024-26642

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

• CVE-2024-26642

Que dois-je faire ?

Aucune action n'est requise. GKE sur Bare Metal n'est pas affecté, car il n'inclut pas de système d'exploitation dans sa distribution.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

• CVE-2024-26581

Les clusters GKE Standard sont affectés. Les clusters GKE Autopilot ne sont pas affectés dans la configuration par défaut, mais ils peuvent être vulnérables si vous définissez explicitement le profil Unconfined seccomp ou autorisez CAP_NET_ADMIN.

Les clusters utilisant GKE Sandbox ne sont pas affectés.

Que dois-je faire ?

Mise à jour du 22/05/2024 : les versions suivantes de GKE ont été mises à jour avec du code permettant de corriger cette faille sur Ubuntu. Mettez à niveau vos pools de nœuds Ubuntu vers les versions suivantes ou ultérieures:

• 1.26.15-gke.1300000
• 1.27.13-gke.1011000
• 1.28.9-gke.1209000
• 1.29.4-gke.1542000
• 1.30.0-gke.1712000

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou une version ultérieure:

• 1.25.16-gke.1596000
• 1.26.14-gke.1076000
• 1.27.11-gke.1202000
• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions de correctif suivantes ou une version ultérieure:

• 1.26.15-gke.1300000
• 1.28.9-gke.1209000

Vous pouvez appliquer des versions de correctif issues de versions plus récentes si votre cluster exécute la même version mineure dans son propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut dans votre version disponible. Pour en savoir plus, consultez Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

• CVE-2024-26581

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

• CVE-2024-26581

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

• CVE-2024-26581

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

• CVE-2024-26581

Que dois-je faire ?

Aucune action n'est requise. GKE sur Bare Metal n'est pas affecté, car il n'inclut pas de système d'exploitation dans sa distribution.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

• CVE-2024-26808

Mise à jour du 09/05/2024: correction de la gravité de "Moyenne" à "Élevée". Le bulletin d'origine indiquait que les clusters Autopilot sont affectés, mais ce n'était pas le bon. Les clusters GKE Autopilot ne sont pas affectés dans la configuration par défaut, mais ils peuvent être vulnérables si vous définissez explicitement le profil Unconfined seccomp ou autorisez CAP_NET_ADMIN.

Les clusters GKE Standard et Autopilot sont affectés.

Les clusters utilisant GKE Sandbox ne sont pas affectés.

Que dois-je faire ?

Mise à jour du 15/05/2024:les versions suivantes de GKE ont été mises à jour avec du code permettant de corriger cette faille sur Ubuntu. Mettez à niveau vos pools de nœuds Ubuntu vers les versions suivantes ou ultérieures:

• 1.26.15-gke.1323000
• 1.27.13-gke.1206000
• 1.28.10-gke.1000000
• 1.29.3-gke.1282004
• 1.30.0-gke.1584000

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou une version ultérieure:

• 1.27.8-gke.1067000
• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

Vous pouvez appliquer des versions de correctif issues de versions plus récentes si votre cluster exécute la même version mineure dans son propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut dans votre version disponible. Pour en savoir plus, consultez Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

• CVE-2024-26808

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

• CVE-2024-26808

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

• CVE-2024-26808

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

• CVE-2024-26808

Que dois-je faire ?

Aucune action n'est requise. GKE sur Bare Metal n'est pas affecté, car il n'inclut pas de système d'exploitation dans sa distribution.

Mise à jour du 09/05/2024:correction de la gravité de "Moyenne" à "Élevée".

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

• CVE-2024-26643

Les clusters GKE Standard sont affectés. Les clusters GKE Autopilot ne sont pas affectés dans la configuration par défaut, mais ils peuvent être vulnérables si vous définissez explicitement le profil Unconfined seccomp ou autorisez CAP_NET_ADMIN.

Les clusters utilisant GKE Sandbox ne sont pas affectés.

Que dois-je faire ?

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou une version ultérieure:

• 1.27.8-gke.1067000
• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

Vous pouvez appliquer des versions de correctif issues de versions plus récentes si votre cluster exécute la même version mineure dans son propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut dans votre version disponible. Pour en savoir plus, consultez Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

• CVE-2024-26643

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

• CVE-2024-26643

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

• CVE-2024-26643

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

• CVE-2024-26643

Que dois-je faire ?

Aucune action n'est requise. GKE sur Bare Metal n'est pas affecté, car il n'inclut pas de système d'exploitation dans sa distribution.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

• CVE-2024-26585

Les clusters GKE Standard et Autopilot sont affectés.

Les clusters utilisant GKE Sandbox ne sont pas affectés.

Que dois-je faire ?

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou une version ultérieure:

• 1.25.16-gke.1759000
• 1.26.15-gke.1158000
• 1.27.12-gke.1190000
• 1.28.8-gke.1175000
• 1.29.3-gke.1282000

Vous pouvez appliquer des versions de correctif issues de versions plus récentes si votre cluster exécute la même version mineure dans son propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut dans votre version disponible. Pour en savoir plus, consultez Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

• CVE-2024-26585

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

• CVE-2024-26585

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

• CVE-2024-26585

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

• CVE-2024-26585

Que dois-je faire ?

Aucune action n'est requise. GKE sur Bare Metal n'est pas affecté, car il n'inclut pas de système d'exploitation dans sa distribution.

Une faille de déni de service (DoS) (CVE-2023-45288) a été récemment découverte dans plusieurs implémentations du protocole HTTP/2, y compris sur le serveur HTTP golang utilisé par Kubernetes. La faille peut entraîner un DoS au niveau du plan de contrôle de Google Kubernetes Engine (GKE). Les clusters GKE sur lesquels des réseaux autorisés sont configurés sont protégés en limitant l'accès réseau, mais tous les autres clusters sont affectés.

Les clusters GKE Autopilot et Standard sont affectés.

Que dois-je faire ?

Mise à jour du 24/04/2024:ajout de versions de correctif pour GKE.

Les versions suivantes de GKE incluent les correctifs de sécurité Golang pour corriger cette faille. Mettez à niveau vos clusters GKE vers les versions suivantes ou ultérieures:

• 1.25.16-gke.1759000
• 1.26.15-gke.1158000
• 1.27.12-gke.1190000
• 1.28.8-gke.1175000
• 1.29.3-gke.1282000

Le projet Golang a publié des correctifs le 3 avril 2024. Nous mettrons à jour ce bulletin lorsque des versions de GKE intégrant ces correctifs seront disponibles. Pour demander un correctif sur une période accélérée, contactez l'assistance.

Atténuez les risques en configurant des réseaux autorisés pour l'accès au plan de contrôle:

Vous pouvez protéger vos clusters de cette catégorie d'attaques en configurant des réseaux autorisés. Suivez les instructions permettant d'activer les réseaux autorisés pour un cluster existant.

Pour en savoir plus sur la façon dont les réseaux autorisés contrôlent l'accès au plan de contrôle, consultez la section Fonctionnement des réseaux autorisés. Pour afficher l'accès réseau autorisé par défaut, consultez le tableau de la section Accès aux points de terminaison du plan de contrôle.

Quelles failles ce correctif permet-il de résoudre ?

La faille (CVE-2023-45288) permet à un pirate informatique d'exécuter une attaque DoS sur le plan de contrôle Kubernetes.

Une faille de déni de service (DoS) (CVE-2023-45288) a été récemment découverte dans plusieurs implémentations du protocole HTTP/2, y compris sur le serveur HTTP golang utilisé par Kubernetes. La faille peut entraîner un DoS au niveau du plan de contrôle de Google Kubernetes Engine (GKE).

Que dois-je faire ?

Le projet Golang a publié des correctifs le 3 avril 2024. Nous mettrons à jour ce bulletin lorsque des versions de GKE sur VMware intégrant ces correctifs seront disponibles. Pour demander un correctif sur une période accélérée, contactez l'assistance.

Quelles failles ce correctif permet-il de résoudre ?

La faille (CVE-2023-45288) permet à un pirate informatique d'exécuter une attaque DoS sur le plan de contrôle Kubernetes.

Une faille de déni de service (DoS) (CVE-2023-45288) a été récemment découverte dans plusieurs implémentations du protocole HTTP/2, y compris sur le serveur HTTP golang utilisé par Kubernetes. La faille peut entraîner un DoS au niveau du plan de contrôle de Google Kubernetes Engine (GKE).

Que dois-je faire ?

Le projet Golang a publié des correctifs le 3 avril 2024. Nous mettrons à jour ce bulletin lorsque des versions de GKE sur AWS intégrant ces correctifs seront disponibles. Pour demander un correctif sur une période accélérée, contactez l'assistance.

Quelles failles ce correctif permet-il de résoudre ?

La faille (CVE-2023-45288) permet à un pirate informatique d'exécuter une attaque DoS sur le plan de contrôle Kubernetes.

Une faille de déni de service (DoS) (CVE-2023-45288) a été récemment découverte dans plusieurs implémentations du protocole HTTP/2, y compris sur le serveur HTTP golang utilisé par Kubernetes. La faille peut entraîner un DoS au niveau du plan de contrôle de Google Kubernetes Engine (GKE).

Que dois-je faire ?

Le projet Golang a publié des correctifs le 3 avril 2024. Nous mettrons à jour ce bulletin lorsque des versions de GKE sur Azure intégrant ces correctifs seront disponibles. Pour demander un correctif sur une période accélérée, contactez l'assistance.

Quelles failles ce correctif permet-il de résoudre ?

La faille (CVE-2023-45288) permet à un pirate informatique d'exécuter une attaque DoS sur le plan de contrôle Kubernetes.

Une faille de déni de service (DoS) (CVE-2023-45288) a été récemment découverte dans plusieurs implémentations du protocole HTTP/2, y compris sur le serveur HTTP golang utilisé par Kubernetes. La faille peut entraîner un DoS au niveau du plan de contrôle de Google Kubernetes Engine (GKE).

Que dois-je faire ?

Le projet Golang a publié des correctifs le 3 avril 2024. Nous mettrons à jour ce bulletin lorsque des versions de GKE sur Bare Metal intégrant ces correctifs seront disponibles. Pour demander un correctif sur une période accélérée, contactez l'assistance.

Quelles failles ce correctif permet-il de résoudre ?

La faille (CVE-2023-45288) permet à un pirate informatique d'exécuter une attaque DoS sur le plan de contrôle Kubernetes.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

• CVE-2024-1085

Les clusters GKE Standard sont affectés. Les clusters GKE Autopilot ne sont pas affectés dans la configuration par défaut, mais ils peuvent être vulnérables si vous définissez explicitement le profil Unconfined seccomp ou autorisez CAP_NET_ADMIN.

Les clusters utilisant GKE Sandbox ne sont pas affectés.

Que dois-je faire ?

Mise à jour du 06/05/2024:les versions suivantes de GKE ont été mises à jour avec du code permettant de corriger cette faille dans Ubuntu. Mettez à niveau vos pools de nœuds Ubuntu vers les versions suivantes ou ultérieures.

• 1.26.15-gke.1158000
• 1.27.12-gke.1190000
• 1.28.8-gke.1175000
• 1.29.3-gke.1093000

Mise à jour du 04/04/2024:correction des versions minimales pour les pools de nœuds GKE Container-Optimized OS.

Les versions minimales de GKE contenant les correctifs de Container-Optimized OS répertoriés précédemment étaient incorrectes. Les versions suivantes de GKE ont été mises à jour avec du code permettant de corriger cette faille sur Container-Optimized OS. Mettez à niveau vos pools de nœuds Container-Optimized OS vers les versions suivantes ou ultérieures:

• 1.25.16-gke.1520000
• 1.26.13-gke.1221000
• 1.27.10-gke.1243000
• 1.28.8-gke.1083000
• 1.29.3-gke.1054000

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou une version ultérieure:

• 1.25.16-gke.1518000
• 1.26.13-gke.1219000
• 1.27.10-gke.1240000
• 1.28.6-gke.1433000
• 1.29.1-gke.1716000

Vous pouvez appliquer des versions de correctif issues de versions plus récentes si votre cluster exécute la même version mineure dans son propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut dans votre version disponible. Pour en savoir plus, consultez Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

• CVE-2024-1085

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

• CVE-2024-1085

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

• CVE-2024-1085

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

• CVE-2024-1085

Que dois-je faire ?

Aucune action n'est requise. GKE sur Bare Metal n'est pas affecté, car il n'inclut pas de système d'exploitation dans sa distribution.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

• CVE-2023-3611

Les clusters GKE Standard sont affectés. Les clusters GKE Autopilot ne sont pas affectés dans la configuration par défaut, mais ils peuvent être vulnérables si vous définissez explicitement le profil Unconfined seccomp ou autorisez CAP_NET_ADMIN.

Les clusters utilisant GKE Sandbox ne sont pas affectés.

Que dois-je faire ?

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou une version ultérieure:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions de correctif suivantes ou une version ultérieure:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

Vous pouvez appliquer des versions de correctif issues de versions plus récentes si votre cluster exécute la même version mineure dans son propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut dans votre version disponible. Pour en savoir plus, consultez Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

• CVE-2023-3611

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

• CVE-2023-3611

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

• CVE-2023-3611

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

• CVE-2023-3611

Que dois-je faire ?

Aucune action n'est requise. GKE sur Bare Metal n'est pas affecté, car il n'inclut pas de système d'exploitation dans sa distribution.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

• CVE-2023-3776

Les clusters GKE Standard sont affectés. Les clusters GKE Autopilot ne sont pas affectés dans la configuration par défaut, mais ils peuvent être vulnérables si vous définissez explicitement le profil Unconfined seccomp ou autorisez CAP_NET_ADMIN.

Les clusters utilisant GKE Sandbox ne sont pas affectés.

Que dois-je faire ?

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou une version ultérieure:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1014001
• 1.27.3-gke.1001002
• 1.28.0-gke.100

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions de correctif suivantes ou une version ultérieure:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

Vous pouvez appliquer des versions de correctif issues de versions plus récentes si votre cluster exécute la même version mineure dans son propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut dans votre version disponible. Pour en savoir plus, consultez Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

• CVE-2023-3776

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

• CVE-2023-3776

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

• CVE-2023-3776

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

• CVE-2023-3776

Que dois-je faire ?

Aucune action n'est requise. GKE sur Bare Metal n'est pas affecté, car il n'inclut pas de système d'exploitation dans sa distribution.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

• CVE-2023-3610

Les clusters GKE Standard sont affectés. Les clusters GKE Autopilot ne sont pas affectés dans la configuration par défaut, mais ils peuvent être vulnérables si vous définissez explicitement le profil Unconfined seccomp ou autorisez CAP_NET_ADMIN.

Les clusters utilisant GKE Sandbox ne sont pas affectés.

Que dois-je faire ?

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou une version ultérieure:

• 1.27.3-gke.1001002
• 1.28.0-gke.100

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions de correctif suivantes ou une version ultérieure:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

Vous pouvez appliquer des versions de correctif issues de versions plus récentes si votre cluster exécute la même version mineure dans son propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut dans votre version disponible. Pour en savoir plus, consultez Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

• CVE-2023-3610

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

• CVE-2023-3610

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

• CVE-2023-3610

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

• CVE-2023-3610

Que dois-je faire ?

Aucune action n'est requise. GKE sur Bare Metal n'est pas affecté, car il n'inclut pas de système d'exploitation dans sa distribution.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

• CVE-2024-0193

Les clusters GKE Standard sont affectés. Les clusters GKE Autopilot ne sont pas affectés dans la configuration par défaut, mais ils peuvent être vulnérables si vous définissez explicitement le profil Unconfined seccomp ou autorisez CAP_NET_ADMIN.

Les clusters utilisant GKE Sandbox ne sont pas affectés.

Que dois-je faire ?

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou une version ultérieure:

• 1.27.10-gke.1149000
• 1.28.6-gke.1274000
• 1.29.1-gke.1388000

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions de correctif suivantes ou une version ultérieure:

• 1.25.16-gke.1412001
• 1.26.6-gke.1017002
• 1.27.10-gke.1055001
• 1.28.6-gke.1276000
• 1.29.1-gke.1392000

Vous pouvez appliquer des versions de correctif issues de versions plus récentes si votre cluster exécute la même version mineure dans son propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut dans votre version disponible. Pour en savoir plus, consultez Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

• CVE-2024-0193

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

• CVE-2024-0193

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

• CVE-2024-0193

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

• CVE-2024-0193

Que dois-je faire ?

Aucune action n'est requise. GKE sur Bare Metal n'est pas affecté, car il n'inclut pas de système d'exploitation dans sa distribution.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

• CVE-2023-6932

Les clusters GKE Standard sont affectés. Les clusters GKE Autopilot ne sont pas affectés dans la configuration par défaut, mais ils peuvent être vulnérables si vous définissez explicitement le profil Unconfined seccomp ou autorisez CAP_NET_ADMIN.

Les clusters utilisant GKE Sandbox ne sont pas affectés.

Que dois-je faire ?

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou une version ultérieure:

• 1.24.17-gke.2364001
• 1.25.16-gke.1229000
• 1.26.6-gke.1017002
• 1.27.3-gke.1001003
• 1.28.5-gke.1194000
• 1.29.0-gke.1340000

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions de correctif suivantes ou une version ultérieure:

• 1.25.16-gke.1412001
• 1.26.6-gke.1017002
• 1.27.10-gke.1055001
• 1.28.6-gke.1276000
• 1.29.1-gke.1221000

Vous pouvez appliquer des versions de correctif issues de versions plus récentes si votre cluster exécute la même version mineure dans son propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut dans votre version disponible. Pour en savoir plus, consultez Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

• CVE-2023-6932

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

• CVE-2023-6932

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

• CVE-2023-6932

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

• CVE-2023-6932

Que dois-je faire ?

Aucune action n'est requise. GKE sur Bare Metal n'est pas affecté, car il n'inclut pas de système d'exploitation dans sa distribution.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

• CVE-2023-6931

Les clusters GKE Standard sont affectés. Les clusters GKE Autopilot ne sont pas affectés dans la configuration par défaut, mais ils peuvent être vulnérables si vous définissez explicitement le profil Unconfined seccomp ou autorisez CAP_NET_ADMIN.

Les clusters utilisant GKE Sandbox ne sont pas affectés.

Que dois-je faire ?

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou une version ultérieure:

• 1.24.17-gke.2364001
• 1.25.16-gke.1229000
• 1.26.6-gke.1017002
• 1.27.3-gke.1001003
• 1.28.5-gke.1194000
• 1.29.0-gke.1340000

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions de correctif suivantes ou une version ultérieure:

• 1.25.16-gke.1412001
• 1.26.6-gke.1017002
• 1.27.10-gke.1055001
• 1.28.6-gke.1276000
• 1.29.1-gke.1221000

Vous pouvez appliquer des versions de correctif issues de versions plus récentes si votre cluster exécute la même version mineure dans son propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut dans votre version disponible. Pour en savoir plus, consultez Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

• CVE-2023-6931

Que dois-je faire ?

Mise à jour du 17/04/2024:ajout de versions de correctif pour GKE sur VMware.

Les versions suivantes de GKE sur VMware ont été mises à jour avec du code permettant de corriger cette faille. Mettez à niveau vos clusters vers les versions suivantes ou ultérieures:

• 1.28.200
• 1.16.6
• 1.15.10

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

• CVE-2023-6931

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

• CVE-2023-6931

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

• CVE-2023-6931

Que dois-je faire ?

Aucune action n'est requise. GKE sur Bare Metal n'est pas affecté, car il n'inclut pas de système d'exploitation dans sa distribution.

La faille CVE-2023-5528 permet à un pirate informatique de créer des pods et des volumes persistants sur des nœuds Windows de manière à permettre l'élévation des privilèges d'administrateur sur ces nœuds.

Les clusters GKE Standard qui exécutent des nœuds Windows Server et utilisent un plug-in de stockage "in-tree" peuvent être affectés.

Les clusters GKE Autopilot et les pools de nœuds GKE utilisant GKE Sandbox ne sont pas concernés, car ils ne sont pas compatibles avec les nœuds Windows Server.

Que dois-je faire ?

Déterminez si vous utilisez des nœuds Windows Server sur vos clusters:

kubectl get nodes -l kubernetes.io/os=windows

Recherchez d'éventuelles preuves d'exploitation dans les journaux d'audit. Les journaux d'audit Kubernetes peuvent être audités pour déterminer si cette faille est exploitée. Les événements de création de volumes persistants avec des champs de chemin d'accès locaux contenant des caractères spéciaux sont un bon indicateur d'exploitation.

Mettez à jour votre cluster GKE et vos pools de nœuds vers une version corrigée. Les versions suivantes de GKE ont été mises à jour pour corriger cette faille. Même si la mise à niveau automatique des nœuds est activée, nous vous recommandons de mettre à niveau manuellement votre cluster et vos pools de nœuds Windows Server vers l'une des versions GKE suivantes ou une version ultérieure:

• 1.24.17-gke.6100
• 1.25.15-gke.2000
• 1.26.10-gke.2000
• 1.27.7-gke.2000
• 1.28.3-gke.1600

Vous pouvez appliquer des versions de correctif issues de versions plus récentes si votre cluster exécute la même version mineure dans son propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut dans votre version disponible. Pour en savoir plus, consultez Exécuter des versions de correctif à partir d'un canal plus récent.

Quelles failles ce correctif permet-il de résoudre ?

La faille CVE-2023-5528 permet à un pirate informatique de créer des pods et des volumes persistants sur des nœuds Windows de manière à permettre l'élévation des privilèges d'administrateur sur ces nœuds.

La faille CVE-2023-5528 permet à un pirate informatique de créer des pods et des volumes persistants sur des nœuds Windows de manière à permettre l'élévation des privilèges d'administrateur sur ces nœuds.

Les clusters GKE sur VMware qui exécutent des nœuds Windows Server et utilisent un plug-in de stockage "in-tree" peuvent être affectés.

Que dois-je faire ?

Déterminez si vous utilisez des nœuds Windows Server sur vos clusters:

kubectl get nodes -l kubernetes.io/os=windows

Recherchez d'éventuelles preuves d'exploitation dans les journaux d'audit. Les journaux d'audit Kubernetes peuvent être audités pour déterminer si cette faille est exploitée. Les événements de création de volumes persistants avec des champs de chemin d'accès locaux contenant des caractères spéciaux sont un bon indicateur d'exploitation.

Mettez à jour votre cluster et vos pools de nœuds GKE sur VMware vers une version corrigée. Les versions suivantes de GKE sur VMware ont été mises à jour pour corriger cette faille. Même si la mise à niveau automatique des nœuds est activée, nous vous recommandons de mettre à niveau manuellement votre cluster et vos pools de nœuds Windows Server vers l'une des versions GKE sur VMware ou ultérieures suivantes:

• 1.28.100-gke.131
• 1.16.5-gke.28
• 1.15.8-gke.41

Quelles failles ce correctif permet-il de résoudre ?

La faille CVE-2023-5528 permet à un pirate informatique de créer des pods et des volumes persistants sur des nœuds Windows de manière à permettre l'élévation des privilèges d'administrateur sur ces nœuds.

La faille CVE-2023-5528 permet à un pirate informatique de créer des pods et des volumes persistants sur des nœuds Windows de manière à permettre l'élévation des privilèges d'administrateur sur ces nœuds.

Les clusters GKE sur AWS ne sont pas affectés.

Que dois-je faire ?

Aucune action requise

La faille CVE-2023-5528 permet à un pirate informatique de créer des pods et des volumes persistants sur des nœuds Windows de manière à permettre l'élévation des privilèges d'administrateur sur ces nœuds.

Les clusters GKE sur Azure ne sont pas affectés.

Que dois-je faire ?

Aucune action requise

La faille CVE-2023-5528 permet à un pirate informatique de créer des pods et des volumes persistants sur des nœuds Windows de manière à permettre l'élévation des privilèges d'administrateur sur ces nœuds.

Les clusters GKE sur Bare Metal ne sont pas affectés.

Que dois-je faire ?

Aucune action requise

Une faille de sécurité, CVE-2024-21626, a été détectée dans runc. Un utilisateur autorisé à créer des pods sur des nœuds Container-Optimized OS et Ubuntu peut ainsi obtenir un accès complet au système de fichiers du nœud.

Les clusters GKE Standard et Autopilot sont affectés.

Les clusters utilisant GKE Sandbox ne sont pas affectés.

Que dois-je faire ?

Mise à jour du 28/02/2024: les versions suivantes de GKE ont été mises à jour avec du code pour corriger cette faille dans Ubuntu. Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions de correctif suivantes ou une version ultérieure:

• 1.25.16-gke.1537000
• 1.26.14-gke.1006000

Mise à jour du 15/02/2024: en raison d'un problème, les versions du correctif Ubuntu suivantes effectuées lors de la mise à jour du 14/02/2024 peuvent entraîner l'état non opérationnel de vos nœuds. N'effectuez pas la mise à niveau vers les versions de correctif suivantes. Nous mettrons à jour ce bulletin lorsque de nouvelles versions de correctif pour Ubuntu seront disponibles pour les versions 1.25 et 1.26.

• 1.25.16-gke.1497000
• 1.26.13-gke.1189000

Si vous avez déjà effectué une mise à niveau vers l'une de ces versions de correctif, rétrogradez manuellement votre pool de nœuds vers une version antérieure de votre version disponible.

Mise à jour du 14/02/2024: les versions suivantes de GKE ont été mises à jour avec du code pour corriger cette faille dans Ubuntu. Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions de correctif suivantes ou une version ultérieure:

• 1.25.16-gke.1497000
• 1.26.13-gke.1189000
• 1.27.10-gke.1207000
• 1.28.6-gke.1369000
• 1.29.1-gke.1575000

Mise à jour du 06/02/2024: les versions suivantes de GKE ont été mises à jour avec du code pour corriger cette faille dans Container-Optimized OS. Pour des raisons de sécurité, même si la mise à niveau automatique des nœuds est activée, nous vous recommandons de mettre à niveau manuellement votre cluster et vos pools de nœuds Container-Optimized OS vers l'une des versions GKE suivantes ou une version ultérieure:

• 1.25.16-gke.1460000
• 1.26.13-gke.1144000
• 1.27.10-gke.1152000
• 1.28.6-gke.1289000
• 1.29.1-gke.1425000

Vous pouvez appliquer des versions de correctif issues de versions plus récentes si votre cluster exécute la même version mineure dans son propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut dans votre version disponible. Pour en savoir plus, consultez Exécuter des versions de correctif à partir d'un canal plus récent.

Nous mettons à jour GKE avec du code pour corriger cette faille. Nous mettrons à jour ce bulletin lorsque des versions de correctif seront disponibles.

Quelles failles ce correctif permet-il de résoudre ?

runc est un outil de bas niveau permettant de générer et d'exécuter des conteneurs Linux utilisés dans les pods Kubernetes. Dans les versions de runc antérieures aux correctifs publiés dans ce bulletin de sécurité, plusieurs descripteurs de fichier ont été divulgués par inadvertance dans le processus runc init qui s'exécute dans un conteneur. runc n'a pas non plus vérifié que le répertoire de travail final d'un conteneur se trouvait dans l'espace de noms de l'installation du conteneur. Une image de conteneur malveillante ou un utilisateur autorisé à exécuter des pods arbitraires peut utiliser une combinaison de descripteurs de fichier divulgués et de l'absence de validation du répertoire de travail pour accéder à l'espace de noms de l'installation d'hôte d'un nœud, accéder à l'intégralité du système de fichiers hôte et écraser les binaires arbitraires sur le nœud.

Une faille de sécurité, CVE-2024-21626, a été détectée dans runc. Un utilisateur autorisé à créer des pods sur des nœuds Container-Optimized OS et Ubuntu peut ainsi obtenir un accès complet au système de fichiers du nœud.

Que dois-je faire ?

Mise à jour du 06/03/2024: les versions suivantes de GKE sur VMware ont été mises à jour avec du code pour corriger cette faille. Mettez à niveau vos clusters vers les versions suivantes ou ultérieures:

• 1.28.200
• 1.16.6
• 1.15.9

Des versions de correctif et une évaluation de la gravité sont en cours pour GKE sur VMware. Nous mettrons à jour ce bulletin en y ajoutant ces informations dès qu'elles seront disponibles.

Quelles failles ce correctif permet-il de résoudre ?

runc est un outil de bas niveau permettant de générer et d'exécuter des conteneurs Linux utilisés dans les pods Kubernetes. Dans les versions de runc antérieures aux correctifs publiés dans ce bulletin de sécurité, plusieurs descripteurs de fichier ont été divulgués par inadvertance dans le processus runc init qui s'exécute dans un conteneur. runc n'a pas non plus vérifié que le répertoire de travail final d'un conteneur se trouvait dans l'espace de noms de l'installation du conteneur. Une image de conteneur malveillante ou un utilisateur autorisé à exécuter des pods arbitraires peut utiliser une combinaison de descripteurs de fichier divulgués et de l'absence de validation du répertoire de travail pour accéder à l'espace de noms de l'installation d'hôte d'un nœud, accéder à l'intégralité du système de fichiers hôte et écraser les binaires arbitraires sur le nœud.

Une faille de sécurité, CVE-2024-21626, a été détectée dans runc. Un utilisateur autorisé à créer des pods sur des nœuds Container-Optimized OS et Ubuntu peut ainsi obtenir un accès complet au système de fichiers du nœud.

Que dois-je faire ?

Mise à jour du 06/05/2024: les versions suivantes de GKE sur AWS ont été mises à jour avec des correctifs pour CVE-2024-21626:

• 1.28.5-gke.1200
• 1.27.10-gke.500
• 1.26.13-gke.400

Des versions de correctif et une évaluation de la gravité sont en cours pour GKE sur AWS. Nous mettrons à jour ce bulletin en y ajoutant ces informations dès qu'elles seront disponibles.

Quelles failles ce correctif permet-il de résoudre ?

runc est un outil de bas niveau permettant de générer et d'exécuter des conteneurs Linux utilisés dans les pods Kubernetes. Dans les versions de runc antérieures aux correctifs publiés dans ce bulletin de sécurité, plusieurs descripteurs de fichier ont été divulgués par inadvertance dans le processus runc init qui s'exécute dans un conteneur. runc n'a pas non plus vérifié que le répertoire de travail final d'un conteneur se trouvait dans l'espace de noms de l'installation du conteneur. Une image de conteneur malveillante ou un utilisateur autorisé à exécuter des pods arbitraires peut utiliser une combinaison de descripteurs de fichier divulgués et de l'absence de validation du répertoire de travail pour accéder à l'espace de noms de l'installation d'hôte d'un nœud, accéder à l'intégralité du système de fichiers hôte et écraser les binaires arbitraires sur le nœud.

Une faille de sécurité, CVE-2024-21626, a été détectée dans runc. Un utilisateur autorisé à créer des pods sur des nœuds Container-Optimized OS et Ubuntu peut ainsi obtenir un accès complet au système de fichiers du nœud.

Que dois-je faire ?

Mise à jour du 06/05/2024: les versions suivantes de GKE sur Azure ont été mises à jour avec des correctifs pour CVE-2024-21626:

• 1.28.5-gke.1200
• 1.27.10-gke.500
• 1.26.13-gke.400

Des versions de correctif et une évaluation de la gravité sont en cours pour GKE sur Azure. Nous mettrons à jour ce bulletin en y ajoutant ces informations dès qu'elles seront disponibles.

Quelles failles ce correctif permet-il de résoudre ?

runc est un outil de bas niveau permettant de générer et d'exécuter des conteneurs Linux utilisés dans les pods Kubernetes. Dans les versions de runc antérieures aux correctifs publiés dans ce bulletin de sécurité, plusieurs descripteurs de fichier ont été divulgués par inadvertance dans le processus runc init qui s'exécute dans un conteneur. runc n'a pas non plus vérifié que le répertoire de travail final d'un conteneur se trouvait dans l'espace de noms de l'installation du conteneur. Une image de conteneur malveillante ou un utilisateur autorisé à exécuter des pods arbitraires peut utiliser une combinaison de descripteurs de fichier divulgués et de l'absence de validation du répertoire de travail pour accéder à l'espace de noms de l'installation d'hôte d'un nœud, accéder à l'intégralité du système de fichiers hôte et écraser les binaires arbitraires sur le nœud.

Une faille de sécurité, CVE-2024-21626, a été découverte dans runc. Un utilisateur autorisé à créer des pods pourrait peut-être obtenir un accès complet au système de fichiers du nœud.

Que dois-je faire ?

Mise à jour du 02/04/2024: les versions suivantes de GKE sur Bare Metal ont été mises à jour avec du code pour corriger cette faille. Mettez à niveau vos clusters vers les versions suivantes ou ultérieures:

• 1.28.200-gke.118
• 1.16.6
• 1.15.10

Des versions de correctif et une évaluation de la gravité sont en cours pour GKE sur Bare Metal. Nous mettrons à jour ce bulletin en y ajoutant ces informations dès qu'elles seront disponibles.

Quelles failles ce correctif permet-il de résoudre ?

runc est un outil de bas niveau permettant de générer et d'exécuter des conteneurs Linux utilisés dans les pods Kubernetes. Dans les versions de runc antérieures aux correctifs publiés dans ce bulletin de sécurité, plusieurs descripteurs de fichier ont été divulgués par inadvertance dans le processus runc init qui s'exécute dans un conteneur. runc n'a pas non plus vérifié que le répertoire de travail final d'un conteneur se trouvait dans l'espace de noms de l'installation du conteneur. Une image de conteneur malveillante ou un utilisateur autorisé à exécuter des pods arbitraires peut utiliser une combinaison de descripteurs de fichier divulgués et de l'absence de validation du répertoire de travail pour accéder à l'espace de noms de l'installation d'hôte d'un nœud, accéder à l'intégralité du système de fichiers hôte et écraser les binaires arbitraires sur le nœud.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

• CVE-2023-6817

Les clusters GKE Standard sont affectés. Les clusters GKE Autopilot ne sont pas affectés dans la configuration par défaut, mais ils peuvent être vulnérables si vous définissez explicitement le profil Unconfined seccomp ou autorisez CAP_NET_ADMIN.

Les clusters utilisant GKE Sandbox ne sont pas affectés.

Que dois-je faire ?

Mise à jour du 07/02/2024:les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions de correctif suivantes ou une version ultérieure:

• 1.25.16-gke.1458000
• 1.26.13-gke.1143000
• 1.27.10-gke.1152000
• 1.28.6-gke.1276000
• 1.29.1-gke.1221000

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou une version ultérieure:

• 1.25.16-gke.1229000
• 1.26.12-gke.1087000
• 1.27.3-gke.1001003
• 1.28.5-gke.1194000
• 1.29.0-gke.1340000

Vous pouvez appliquer des versions de correctif issues de versions plus récentes si votre cluster exécute la même version mineure dans son propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut dans votre version disponible. Pour en savoir plus, consultez Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

• CVE-2023-6817

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

• CVE-2023-6817

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

• CVE-2023-6817

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

• CVE-2023-6817

Que dois-je faire ?

Aucune action n'est requise. GKE sur Bare Metal n'est pas affecté, car il n'inclut pas de système d'exploitation dans sa distribution.

Mise à jour du 26/01/2024: une étude sur la sécurité ayant révélé la présence d'un petit nombre de clusters GKE présentant une erreur de configuration créée par le client et impliquant le groupe system:authenticated, a été publiée. L'article de blog du chercheur fait référence à 1 300 clusters avec des liaisons mal configurées et 108 avec des privilèges élevés. Nous avons travaillé en étroite collaboration avec les clients concernés pour les avertir et les aider à supprimer leurs liaisons mal configurées.

Nous avons identifié plusieurs clusters sur lesquels des utilisateurs ont accordé des droits Kubernetes au groupe system:authenticated, qui inclut tous les utilisateurs disposant d'un compte Google. Ces types de liaisons ne sont pas recommandés, car ils enfreignent le principe du moindre privilège et accordent l'accès à de très grands groupes d'utilisateurs. Pour savoir comment trouver ces types de liaisons, consultez la section "Que dois-je faire ?".

Un chercheur en sécurité a récemment signalé des clusters présentant des erreurs de configuration du RBAC via notre programme de signalement des failles.

L'approche de Google en matière d'authentification consiste à rendre l'authentification auprès de Google Cloud et de GKE aussi simple et sécurisée que possible, sans ajouter d'étapes de configuration complexes. L'authentification nous indique simplement qui est l'utilisateur. L'autorisation correspond à l'endroit où l'accès est déterminé. Ainsi, le groupe system:authenticated dans GKE, qui contient tous les utilisateurs authentifiés via le fournisseur d'identité de Google, fonctionne comme prévu et de la même manière que l'identifiant allAuthenticatedUsers IAM.

Pour cela, nous avons pris plusieurs mesures afin de réduire le risque que les utilisateurs commettent des erreurs d'autorisation avec les utilisateurs et les groupes intégrés à Kubernetes, y compris system:anonymous, system:authenticated et system:unauthenticated. Tous ces utilisateurs/groupes représentent un risque pour le cluster si des autorisations sont accordées. Nous avons abordé certaines des activités malveillantes ciblant les erreurs de configuration du RBAC et les défenses disponibles chez Kubecon en novembre 2023.

Pour protéger les utilisateurs contre les erreurs d'autorisation accidentelles avec ces utilisateurs/groupes système, nous avons mis en place les mesures suivantes:

• Par défaut, les nouvelles liaisons du ClusterRole cluster-admin à l'utilisateur system:anonymous, au groupe system:authenticated ou au groupe system:unauthenticated dans la version 1.28 de GKE sont bloquées.
• Intégration de règles de détection dans Event Threat Detection (GKE_CONTROL_PLANE_CREATE_SENSITIVE_BINDING) dans Security Command Center.
• Intégration de règles de prévention configurables dans Policy Controller avec K8sRestrictRoleBindings
• Envoi de notifications par e-mail à tous les utilisateurs de GKE contenant des liaisons pour ces utilisateurs/groupes, leur demandant d'examiner leur configuration.
• Création de fonctionnalités d'autorisation réseau et élaboration de recommandations visant à restreindre l'accès réseau aux clusters en tant que première couche de défense.
• Sensibilisation à ce problème par une conférence donnée à Kubecon en novembre 2023

Les clusters qui appliquent des restrictions liées aux réseaux autorisés disposent d'une première couche de défense: ils ne peuvent pas être attaqués directement depuis Internet. Toutefois, nous vous recommandons toujours de supprimer ces liaisons pour bénéficier d'une défense en profondeur et d'une protection contre les erreurs dans les contrôles réseau.
Notez qu'il existe un certain nombre de cas où des liaisons avec des utilisateurs ou des groupes du système Kubernetes sont utilisées intentionnellement, par exemple pour l'amorçage de kubeadm, le tableau de bord Rancher et les secrets scellés Bitnami. Nous avons confirmé auprès de ces fournisseurs de logiciels que ces liaisons fonctionnent comme prévu.

Nous étudions des moyens de mieux nous protéger contre les erreurs de configuration du RBAC des utilisateurs avec ces utilisateurs/groupes système par le biais de la prévention et de la détection.

Que dois-je faire ?

Pour éviter toute nouvelle liaison de cluster-admin avec l'utilisateur system:anonymous, le groupe system:authenticated ou le groupe system:unauthenticated, les utilisateurs peuvent effectuer une mise à niveau vers GKE 1.28 ou version ultérieure (notes de version), où la création de ces liaisons est bloquée.

Les liaisons existantes doivent être examinées en suivant ces instructions.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS.

• CVE-2023-6111

Les clusters GKE Standard sont affectés. Les clusters GKE Autopilot ne sont pas affectés dans la configuration par défaut, mais ils peuvent être vulnérables si vous définissez explicitement le profil Unconfined seccomp ou autorisez CAP_NET_ADMIN.

Les clusters utilisant GKE Sandbox ne sont pas affectés.

Que dois-je faire ?

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou une version ultérieure:

• 1.27.7-gke.1063001
• 1.28.5-gke.1194000
• 1.29.0-gke.1340000

Vous pouvez appliquer des versions de correctif issues de versions plus récentes si votre cluster exécute la même version mineure dans son propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut dans votre version disponible. Pour en savoir plus, consultez Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS.

• CVE-2023-6111

Que dois-je faire ?

Mise à jour du 20/02/2024:les versions suivantes de GKE sur VMware ont été mises à jour avec du code permettant de corriger cette faille. Mettez à niveau vos clusters vers les versions suivantes ou ultérieures: 1.28.100

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS.

• CVE-2023-6111

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS.

• CVE-2023-6111

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS.

• CVE-2023-6111

Que dois-je faire ?

Aucune action n'est requise. GKE sur Bare Metal n'est pas affecté, car il n'inclut pas de système d'exploitation dans sa distribution.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

• CVE-2023-3609

Les clusters GKE Standard sont affectés. Les clusters GKE Autopilot ne sont pas affectés dans la configuration par défaut, mais ils peuvent être vulnérables si vous définissez explicitement le profil Unconfined seccomp ou autorisez CAP_NET_ADMIN.

Les clusters utilisant GKE Sandbox ne sont pas affectés.

Que dois-je faire ?

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou une version ultérieure:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1014001
• 1.27.3-gke.1001002
• 1.28.0-gke.100

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions de correctif suivantes ou une version ultérieure:

• 1.24.14-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

Vous pouvez appliquer des versions de correctif issues de versions plus récentes si votre cluster exécute la même version mineure dans son propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut dans votre version disponible. Pour en savoir plus, consultez Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

• CVE-2023-3609

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

• CVE-2023-3609

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

• CVE-2023-3609

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

• CVE-2023-3609

Que dois-je faire ?

Aucune action n'est requise. GKE sur Bare Metal n'est pas affecté, car il n'inclut pas de système d'exploitation dans sa distribution.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

• CVE-2023-3389

Les clusters GKE Standard et Autopilot sont affectés.

Les clusters utilisant GKE Sandbox ne sont pas affectés.

Que dois-je faire ?

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou une version ultérieure:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1014001
• 1.27.3-gke.1001002
• 1.28.0-gke.100

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions de correctif suivantes ou une version ultérieure:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1014001
• 1.27.3-gke.1001002
• 1.28.1-gke.1002003

Vous pouvez appliquer des versions de correctif issues de versions plus récentes si votre cluster exécute la même version mineure dans son propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut dans votre version disponible. Pour en savoir plus, consultez Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

• CVE-2023-3389

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

• CVE-2023-3389

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

• CVE-2023-3389

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

• CVE-2023-3389

Que dois-je faire ?

Aucune action n'est requise. GKE sur Bare Metal n'est pas affecté, car il n'inclut pas de système d'exploitation dans sa distribution.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

• CVE-2023-3090

Les clusters GKE Standard sont affectés. Les clusters GKE Autopilot ne sont pas affectés dans la configuration par défaut, mais ils peuvent être vulnérables si vous définissez explicitement le profil Unconfined seccomp ou autorisez CAP_NET_ADMIN.

Les clusters utilisant GKE Sandbox ne sont pas affectés.

Que dois-je faire ?

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou une version ultérieure:

• 1.24.14-gke.1027001
• 1.25.12-gke.900
• 1.26.5-gke.1014001
• 1.27.4-gke.400
• 1.28.0-gke.100

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions de correctif suivantes ou une version ultérieure:

• 1.24.14-gke.1027001
• 1.25.12-gke.900
• 1.26.5-gke.1014001
• 1.27.4-gke.900
• 1.28.1-gke.1050000

Vous pouvez appliquer des versions de correctif issues de versions plus récentes si votre cluster exécute la même version mineure dans son propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut dans votre version disponible. Pour en savoir plus, consultez Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

• CVE-2023-3090

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

• CVE-2023-3090

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

• CVE-2023-3090

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

• CVE-2023-3090

Que dois-je faire ?

Aucune action n'est requise. GKE sur Bare Metal n'est pas affecté, car il n'inclut pas de système d'exploitation dans sa distribution.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

• CVE-2023-3390

Mise à jour du 21/12/2023: le bulletin d'origine indiquait que les clusters Autopilot sont affectés, mais ce n'était pas le bon. Les clusters GKE Autopilot ne sont pas affectés dans la configuration par défaut, mais ils peuvent être vulnérables si vous définissez explicitement le profil Unconfined seccomp ou autorisez CAP_NET_ADMIN.

Les clusters GKE Standard et Autopilot sont affectés.

Les clusters utilisant GKE Sandbox ne sont pas affectés.

Que dois-je faire ?

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou une version ultérieure:

• 1.27.4-gke.400
• 1.28.0-gke.100

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions de correctif suivantes ou une version ultérieure:

• 1.24.14-gke.1027001
• 1.25.12-gke.900
• 1.26.5-gke.1014001
• 1.27.4-gke.900
• 1.28.1-gke.1050000

Vous pouvez appliquer des versions de correctif issues de versions plus récentes si votre cluster exécute la même version mineure dans son propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut dans votre version disponible. Pour en savoir plus, consultez Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

• CVE-2023-3390

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

• CVE-2023-3390

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

• CVE-2023-3390

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

• CVE-2023-3390

Que dois-je faire ?

Aucune action n'est requise. GKE sur Bare Metal n'est pas affecté, car il n'inclut pas de système d'exploitation dans sa distribution.

Un pirate informatique qui a compromis le conteneur de journalisation Fluent Bit peut combiner cet accès avec les droits élevés requis par Cloud Service Mesh (sur les clusters qui l'ont activé) pour élever les privilèges dans le cluster. Les problèmes liés à Fluent Bit et à Cloud Service Mesh ont été atténués, et des correctifs sont désormais disponibles. Ces failles ne peuvent pas être exploitées seules dans GKE et nécessitent une compromission initiale. À notre connaissance, aucune exploitation de ces failles n'a été enregistrée.

Ces problèmes ont été signalés via notre Programme de récompenses pour la détection de failles.

Que dois-je faire ?

Les versions suivantes de GKE ont été mises à jour avec du code pour corriger ces failles dans Fluent Bit et pour les utilisateurs du service géré Cloud Service Mesh. Pour des raisons de sécurité, même si la mise à niveau automatique des nœuds est activée, nous vous recommandons de mettre à niveau manuellement votre cluster et vos pools de nœuds vers l'une des versions GKE suivantes ou une version ultérieure:

• 1.25.16-gke.1020000
• 1.26.10-gke.1235000
• 1.27.7-gke.1293000
• 1.28.4-gke.1083000

Une fonctionnalité récente des versions disponibles vous permet d'appliquer un correctif sans avoir à vous désabonner d'une version. Cela vous permet de sécuriser vos nœuds jusqu'à ce que la nouvelle version devienne la version par défaut pour votre version disponible spécifique

Si votre cluster utilise Cloud Service Mesh dans le cluster, vous devez effectuer une mise à niveau manuelle vers l'une des versions suivantes (notes de version):

• 1.17.8-asm.8
• 1.18.6-asm.2
• 1.19.5-asm.4

Quelles failles ce correctif permet-il de résoudre ?

Les failles traitées par ce bulletin nécessitent qu'un pirate informatique compromette le conteneur de journalisation Fluent Bit. Nous n'avons connaissance d'aucune faille dans Fluent Bit qui pourrait entraîner cette condition préalable à l'élévation des privilèges. Nous avons corrigé ces failles afin de renforcer les mesures de sécurité afin d'empêcher une éventuelle chaîne d'attaque complète à l'avenir.

GKE utilise Fluent Bit pour traiter les journaux des charges de travail exécutées sur des clusters. Fluent Bit sur GKE a également été configuré pour collecter les journaux des charges de travail Cloud Run. L'installation de volume configurée pour collecter ces journaux a permis à Fluent Bit d'accéder aux jetons de compte de service Kubernetes des autres pods exécutés sur le nœud. Le chercheur a utilisé cet accès afin de découvrir un jeton de compte de service à privilèges élevés pour les clusters sur lesquels Cloud Service Mesh est activé.

Cloud Service Mesh avait besoin de droits élevés pour apporter les modifications nécessaires à la configuration d'un cluster, y compris pour créer et supprimer des pods. Le chercheur a utilisé le jeton de compte de service Kubernetes privilégié de Cloud Service Mesh pour élever ses privilèges initiaux compromis en créant un pod avec les droits cluster-admin

Nous avons supprimé l'accès de Fluent Bit aux jetons du compte de service et avons repensé les fonctionnalités de Cloud Service Mesh pour supprimer les privilèges en excès.

Seuls les clusters GKE sur VMware utilisant Cloud Service Mesh sont concernés.

Que dois-je faire ?

Si votre cluster utilise Cloud Service Mesh dans le cluster, vous devez effectuer une mise à niveau manuelle vers l'une des versions suivantes (notes de version):

• 1.17.8-asm.8
• 1.18.6-asm.2
• 1.19.5-asm.4

Quelles failles ce correctif permet-il de résoudre ?

Pour résoudre les failles dans ce bulletin, le pirate informatique doit d'abord compromettre ou échapper un conteneur, ou avoir une racine sur un nœud de cluster. À notre connaissance, aucune faille existante pourrait entraîner cette condition préalable à l'élévation des privilèges. Nous avons corrigé ces failles afin de renforcer votre sécurité afin d'éviter une éventuelle chaîne d'attaque complète à l'avenir.

Cloud Service Mesh avait besoin de droits élevés pour apporter les modifications nécessaires à la configuration d'un cluster, y compris pour créer et supprimer des pods. Le chercheur a utilisé le jeton de compte de service Kubernetes privilégié de Cloud Service Mesh pour élever ses privilèges initiaux compromis en créant un pod avec les droits cluster-admin.

Nous avons repensé les fonctionnalités de Cloud Service Mesh afin de supprimer les droits excessifs.

Seuls les clusters GKE sur AWS qui utilisent Cloud Service Mesh sont concernés.

Que dois-je faire ?

Si votre cluster utilise Cloud Service Mesh dans le cluster, vous devez effectuer une mise à niveau manuelle vers l'une des versions suivantes (notes de version):

• 1.17.8-asm.8
• 1.18.6-asm.2
• 1.19.5-asm.4

Quelles failles ce correctif permet-il de résoudre ?

Pour résoudre les failles dans ce bulletin, le pirate informatique doit d'abord compromettre ou échapper un conteneur, ou avoir une racine sur un nœud de cluster. Nous n'avons connaissance d'aucune faille pouvant entraîner cette condition préalable à l'élévation des privilèges. Nous avons corrigé ces failles afin de renforcer les mesures afin d'éviter une éventuelle chaîne d'attaque complète à l'avenir.

Cloud Service Mesh avait besoin de droits élevés pour apporter les modifications nécessaires à la configuration d'un cluster, y compris pour créer et supprimer des pods. Le chercheur a utilisé le jeton de compte de service Kubernetes privilégié de Cloud Service Mesh pour élever ses privilèges initiaux compromis en créant un pod avec les droits cluster-admin.

Nous avons repensé les fonctionnalités de Cloud Service Mesh afin de supprimer les droits excessifs.

Seuls les clusters GKE sur Azure utilisant Cloud Service Mesh sont concernés.

Que dois-je faire ?

Si votre cluster utilise Cloud Service Mesh dans le cluster, vous devez effectuer une mise à niveau manuelle vers l'une des versions suivantes (notes de version):

• 1.17.8-asm.8
• 1.18.6-asm.2
• 1.19.5-asm.4

Quelles failles ce correctif permet-il de résoudre ?

Pour résoudre les failles dans ce bulletin, le pirate informatique doit d'abord compromettre ou échapper un conteneur, ou avoir une racine sur un nœud de cluster. Nous n'avons connaissance d'aucune faille pouvant entraîner cette condition préalable à l'élévation des privilèges. Nous avons corrigé ces failles afin de renforcer vos mesures afin d'empêcher une éventuelle chaîne d'attaque complète à l'avenir.

Cloud Service Mesh avait besoin de droits élevés pour apporter les modifications nécessaires à la configuration d'un cluster, y compris pour créer et supprimer des pods. Le chercheur a utilisé le jeton de compte de service Kubernetes privilégié de Cloud Service Mesh pour élever ses privilèges initiaux compromis en créant un pod avec les droits cluster-admin.

Nous avons repensé les fonctionnalités de Cloud Service Mesh afin de supprimer les droits excessifs.

Seuls les clusters GKE sur Bare Metal utilisant Cloud Service Mesh sont concernés.

Que dois-je faire ?

Si votre cluster utilise Cloud Service Mesh dans le cluster, vous devez effectuer une mise à niveau manuelle vers l'une des versions suivantes (notes de version):

• 1.17.8-asm.8
• 1.18.6-asm.2
• 1.19.5-asm.4

Quelles failles ce correctif permet-il de résoudre ?

Pour résoudre les failles dans ce bulletin, le pirate informatique doit d'abord compromettre ou échapper un conteneur, ou avoir une racine sur un nœud de cluster. Nous n'avons connaissance d'aucune faille pouvant entraîner cette condition préalable à l'élévation des privilèges. Nous avons corrigé ces failles afin de renforcer les mesures afin d'éviter une éventuelle chaîne d'attaque complète à l'avenir.

Anthos Service Mesh exigeait des droits élevés pour apporter les modifications nécessaires à la configuration d'un cluster, y compris pour créer et supprimer des pods. Le chercheur a utilisé le jeton de compte de service Kubernetes privilégié de Cloud Service Mesh pour élever ses privilèges initiaux compromis en créant un pod avec les droits cluster-admin.

Nous avons repensé les fonctionnalités de Cloud Service Mesh afin de supprimer les droits excessifs.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

• CVE-2023-5717

Les clusters GKE Standard et Autopilot sont affectés.

Les clusters utilisant GKE Sandbox ne sont pas affectés.

Que dois-je faire ?

Mise à jour du 22/01/2024: les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions de correctif suivantes ou une version ultérieure:

• 1.24.17-gke.2472000
• 1.25.16-gke.1268000
• 1.26.12-gke.1111000
• 1.27.9-gke.1092000
• 1.28.5-gke.1217000
• 1.29.0-gke.138100

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou une version ultérieure:

• 1.24.17-gke.2113000
• 1.25.14-gke.1421000
• 1.25.15-gke.1083000
• 1.26.10-gke.1073000
• 1.27.7-gke.1088000
• 1.28.3-gke.1203000

Vous pouvez appliquer des versions de correctif issues de versions plus récentes si votre cluster exécute la même version mineure dans son propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut dans votre version disponible. Pour en savoir plus, consultez Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

• CVE-2023-5717

Que dois-je faire ?

Mise à jour du 04/03/2024: les versions suivantes de GKE sur VMware ont été mises à jour avec le code nécessaire pour corriger cette faille. Mettez à niveau vos clusters vers les versions suivantes ou ultérieures:

• 1.28.200
• 1.16.5
• 1.15.8

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

• CVE-2023-5717

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

• CVE-2023-5717

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

• CVE-2023-5717

Que dois-je faire ?

Aucune action n'est requise. GKE sur Bare Metal n'est pas affecté, car il n'inclut pas de système d'exploitation dans sa distribution.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

• CVE-2023-5197

Mise à jour du 21/12/2023: le bulletin d'origine indiquait que les clusters Autopilot sont affectés, mais ce n'était pas le bon. Les clusters GKE Autopilot ne sont pas affectés dans la configuration par défaut, mais ils peuvent être vulnérables si vous définissez explicitement le profil Unconfined seccomp ou autorisez CAP_NET_ADMIN.

Les clusters GKE Standard et Autopilot sont affectés.

Les clusters utilisant GKE Sandbox ne sont pas affectés.

Que dois-je faire ?

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou une version ultérieure:

• 1.25.13-gke.1002003
• 1.26.9-gke.1514000
• 1.27.6-gke.1513000
• 1.28.2-gke.1164000

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions de correctif suivantes ou une version ultérieure:

• 1.24.16-gke.1005001
• 1.25.13-gke.1002003
• 1.26.9-gke.1548000
• 1.27.7-gke.1039000
• 1.28.3-gke.1061000

Vous pouvez appliquer des versions de correctif issues de versions plus récentes si votre cluster exécute la même version mineure dans son propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut dans votre version disponible. Pour en savoir plus, consultez Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

• CVE-2023-5197

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

• CVE-2023-5197

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

• CVE-2023-5197

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

• CVE-2023-5197

Que dois-je faire ?

Aucune action n'est requise. GKE sur Bare Metal ne sont pas affectés, car il n'inclut pas de système d'exploitation dans sa distribution.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

• CVE-2023-4147

Les clusters GKE Standard sont affectés. Les clusters GKE Autopilot ne sont pas affectés.

Les clusters utilisant GKE Sandbox ne sont pas affectés.

Que dois-je faire ?

Mise à jour du 15/11/2023: si vous utilisez cette version mineure dans vos nœuds, il vous suffit de passer à l'une des versions corrigées répertoriées dans ce bulletin. Par exemple, si vous utilisez la version 1.27 de GKE, vous devez effectuer une mise à niveau vers la version corrigée correspondante. Toutefois, si vous utilisez la version 1.24 de GKE, vous n'avez pas besoin de passer à une version corrigée.

Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions suivantes ou une version ultérieure:

• 1.27.5-gke.200
• 1.28.2-gke.1157000

Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions suivantes ou une version ultérieure:

• 1.25.14-gke.1421000
• 1.26.9-gke.1437000
• 1.27.6-gke.1248000
• 1.28.2-gke.1157000

Vous pouvez appliquer des versions de correctif issues de versions plus récentes si votre cluster exécute la même version mineure dans son propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version corrigée devienne la version par défaut de votre version disponible. Pour en savoir plus, consultez Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

• CVE-2023-4147

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

• CVE-2023-4147

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

• CVE-2023-4147

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

• CVE-2023-4147

Que dois-je faire ?

Aucune action n'est requise. GKE sur Bare Metal ne sont pas affectés, car il n'inclut pas de système d'exploitation dans sa distribution.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

• CVE-2023-4004

Mise à jour du 21/12/2023: le bulletin d'origine indiquait que les clusters Autopilot sont affectés, mais ce n'était pas le bon. Les clusters GKE Autopilot ne sont pas affectés dans la configuration par défaut, mais ils peuvent être vulnérables si vous définissez explicitement le profil Unconfined seccomp ou autorisez CAP_NET_ADMIN.

Les clusters Autopilot sont concernés.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Mise à jour du 05/12/2023 : certaines versions de GKE étaient manquantes auparavant. Voici une liste à jour des versions de GKE vers lesquelles vous pouvez mettre à jour Container-Optimized OS:

• 1.24.17-gke.200 ou version ultérieure
• 1.25.13-gke.200 et versions ultérieures
• 1.26.8-gke.200 et versions ultérieures
• 1.27.4-gke.2300 ou version ultérieure
• 1.28.1-gke.1257000 ou version ultérieure

Mise à jour du 21/11/2023 : vous ne devez effectuer une mise à niveau que vers l'une des versions de correctif répertoriées dans ce bulletin si vous utilisez cette version mineure dans vos nœuds. Les versions mineures non répertoriées ne sont pas affectées.

Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions suivantes ou une version ultérieure:

• 1.27.4-gke.2300
• 1.28.1-gke.1257000

Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions suivantes ou une version ultérieure:

• 1.24.14-gke.1027001
• 1.25.13-gke.700
• 1.26.8-gke.700
• 1.27.5-gke.700
• 1.28.1-gke.1050000

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

• CVE-2023-4004

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

• CVE-2023-4004

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

• CVE-2023-4004

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

• CVE-2023-4004

Que dois-je faire ?

Aucune action n'est requise. GKE sur Bare Metal n'est pas concerné, car il n'inclut pas de système d'exploitation dans sa distribution.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

• CVE-2023-4921

Mise à jour du 21/12/2023: le bulletin d'origine indiquait que les clusters Autopilot sont affectés, mais ce n'était pas le bon. Les clusters GKE Autopilot ne sont pas affectés dans la configuration par défaut, mais ils peuvent être vulnérables si vous définissez explicitement le profil Unconfined seccomp ou autorisez CAP_NET_ADMIN.

Les clusters Autopilot sont concernés.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Mise à jour du 21/11/2023 : vous ne devez effectuer une mise à niveau que vers l'une des versions de correctif répertoriées dans ce bulletin si vous utilisez cette version mineure dans vos nœuds. Les versions mineures non répertoriées ne sont pas affectées.

Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions suivantes ou une version ultérieure:

• 1.24.14-gke.1027001
• 1.25.14-gke.1351000
• 1.26.9-gke.1345000
• 1.27.6-gke.1389000

Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions suivantes ou une version ultérieure:

• 1.24.17-gke.2186000
• 1.25.15-gke.1016000
• 1.26.9-gke.1548000
• 1.27.6-gke.1551000
• 1.28.2-gke.1256000

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

• CVE-2023-4921

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

• CVE-2023-4921

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

• CVE-2023-4921

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

• CVE-2023-4921

Que dois-je faire ?

Aucune action n'est requise. GKE sur Bare Metal n'est pas concerné, car il n'inclut pas de système d'exploitation dans sa distribution.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

• CVE-2023-4623

Les clusters Autopilot sont concernés.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Mise à jour du 21/11/2023 : vous ne devez effectuer une mise à niveau que vers l'une des versions de correctif répertoriées dans ce bulletin si vous utilisez cette version mineure dans vos nœuds. Les versions mineures non répertoriées ne sont pas affectées.

Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions suivantes ou une version ultérieure:

• 1.24.14-gke.1027001
• 1.25.14-gke.1351000
• 1.26.9-gke.1345000
• 1.27.5-gke.1647000

Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions suivantes ou une version ultérieure:

• 1.24.17-gke.2186000
• 1.25.15-gke.1016000
• 1.26.9-gke.1548000
• 1.27.6-gke.1551000
• 1.28.2-gke.1256000

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

• CVE-2023-4623

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

• CVE-2023-4623

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

• CVE-2023-4623

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

• CVE-2023-4623

Que dois-je faire ?

Aucune action n'est requise. GKE sur Bare Metal n'est pas concerné, car il n'inclut pas de système d'exploitation dans sa distribution.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

• CVE-2023-4623

Mise à jour du 21/12/2023: le bulletin d'origine indiquait que les clusters Autopilot sont affectés, mais ce n'était pas le bon. Les clusters GKE Autopilot ne sont pas affectés dans la configuration par défaut, mais ils peuvent être vulnérables si vous définissez explicitement le profil Unconfined seccomp ou autorisez CAP_NET_ADMIN.

Les clusters Autopilot sont concernés.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Mise à jour du 21/11/2023 : vous ne devez effectuer une mise à niveau que vers l'une des versions de correctif répertoriées dans ce bulletin si vous utilisez cette version mineure dans vos nœuds. Les versions mineures non répertoriées ne sont pas affectées.

Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions suivantes ou une version ultérieure:

• 1.24.14-gke.1027001
• 1.25.14-gke.1351000
• 1.26.9-gke.1345000
• 1.27.6-gke.1389000

Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions suivantes ou une version ultérieure:

• 1.24.17-gke.2186000
• 1.25.15-gke.1016000
• 1.26.9-gke.1548000
• 1.27.6-gke.1551000
• 1.28.2-gke.1256000

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

• CVE-2023-4623

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

• CVE-2023-4623

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

• CVE-2023-4623

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

• CVE-2023-4623

Que dois-je faire ?

Aucune action n'est requise. GKE sur Bare Metal n'est pas concerné, car il n'inclut pas de système d'exploitation dans sa distribution.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

• CVE-2023-4015

Mise à jour du 21/12/2023: le bulletin d'origine indiquait que les clusters Autopilot sont affectés, mais ce n'était pas le bon. Les clusters GKE Autopilot ne sont pas affectés dans la configuration par défaut, mais ils peuvent être vulnérables si vous définissez explicitement le profil Unconfined seccomp ou autorisez CAP_NET_ADMIN.

Les clusters Autopilot sont concernés.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Mise à jour du 21/11/2023 : vous ne devez effectuer une mise à niveau que vers l'une des versions de correctif répertoriées dans ce bulletin si vous utilisez cette version mineure dans vos nœuds. Les versions mineures non répertoriées ne sont pas affectées.

Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions suivantes ou une version ultérieure:

• 1.27.5-gke.1647000

Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions suivantes ou une version ultérieure:

• 1.24.14-gke.1027001
• 1.25.13-gke.700
• 1.26.8-gke.700
• 1.27.5-gke.700
• 1.28.1-gke.1050000

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

• CVE-2023-4015

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

• CVE-2023-4015

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

• CVE-2023-4015

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

• CVE-2023-4015

Que dois-je faire ?

Aucune action n'est requise. GKE sur Bare Metal n'est pas concerné, car il n'inclut pas de système d'exploitation dans sa distribution.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

• CVE-2023-4206
• CVE-2023-4207
• CVE-2023-4208
• CVE-2023-4128

Mise à jour du 21/12/2023: le bulletin d'origine indiquait que les clusters Autopilot sont affectés, mais ce n'était pas le bon. Les clusters GKE Autopilot ne sont pas affectés dans la configuration par défaut, mais ils peuvent être vulnérables si vous définissez explicitement le profil Unconfined seccomp ou autorisez CAP_NET_ADMIN.

Les clusters Autopilot sont concernés.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Mise à jour du 21/11/2023 : vous ne devez effectuer une mise à niveau que vers l'une des versions de correctif répertoriées dans ce bulletin si vous utilisez cette version mineure dans vos nœuds. Les versions mineures non répertoriées ne sont pas affectées.

Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions suivantes ou une version ultérieure:

• 1.24.14-gke.1027001
• 1.25.13-gke.1008000
• 1.26.8-gke.1647000
• 1.27.5-gke.200

Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions suivantes ou une version ultérieure:

• 1.24.14-gke.1027001
• 1.25.13-gke.1706000
• 1.26.8-gke.1647000
• 1.27.5-gke.1648000
• 1.28.1-gke.1050000

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

• CVE-2023-4206
• CVE-2023-4207
• CVE-2023-4208
• CVE-2023-4128

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

• CVE-2023-4206
• CVE-2023-4207
• CVE-2023-4208
• CVE-2023-4128

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

• CVE-2023-4206
• CVE-2023-4207
• CVE-2023-4208
• CVE-2023-4128

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

• CVE-2023-4206
• CVE-2023-4207
• CVE-2023-4208
• CVE-2023-4128

Que dois-je faire ?

Aucune action n'est requise. GKE sur Bare Metal n'est pas concerné, car il n'inclut pas de système d'exploitation dans sa distribution.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

• CVE-2023-3777

Mise à jour du 21/12/2023: le bulletin d'origine indiquait que les clusters Autopilot sont affectés, mais ce n'était pas le bon. Les clusters GKE Autopilot ne sont pas affectés dans la configuration par défaut, mais ils peuvent être vulnérables si vous définissez explicitement le profil Unconfined seccomp ou autorisez CAP_NET_ADMIN. Les charges de travail GKE Sandbox ne sont pas non plus affectées.

Les clusters Autopilot sont concernés.

Les clusters qui utilisent GKE Sandbox sont affectés.

Que dois-je faire ?

Mise à jour du 21/11/2023 : vous ne devez effectuer une mise à niveau que vers l'une des versions de correctif répertoriées dans ce bulletin si vous utilisez cette version mineure dans vos nœuds. Les versions mineures non répertoriées ne sont pas affectées.

Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions suivantes ou une version ultérieure:

• 1.24.16-gke.2200
• 1.25.12-gke.2200
• 1.26.7-gke.2200
• 1.27.4-gke.2300

Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions suivantes ou une version ultérieure:

• 1.24.17-gke.700
• 1.25.13-gke.700
• 1.26.8-gke.700
• 1.27.5-gke.700
• 1.28.0-gke.100

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

• CVE-2023-3777

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

• CVE-2023-3777

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

• CVE-2023-3777

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

• CVE-2023-3777

Que dois-je faire ?

Aucune action n'est requise. GKE sur Bare Metal n'est pas affecté, car il n'inclut aucun système d'exploitation dans sa distribution.

Une vulnérabilité de déni de service (DoS) a été récemment découverte dans plusieurs implémentations du protocole HTTP/2 (CVE-2023-44487), notamment sur le serveur HTTP golang utilisé par Kubernetes. La faille peut entraîner un DoS au niveau du plan de contrôle de Google Kubernetes Engine (GKE). Les clusters GKE sur lesquels des réseaux autorisés sont configurés sont protégés en limitant l'accès réseau, mais tous les autres clusters sont affectés.

Que dois-je faire ?

Mise à jour du 09/11/2023:nous avons publié de nouvelles versions de GKE incluant les correctifs de sécurité Go et Kubernetes. Vous pouvez les mettre à jour dès maintenant pour vos clusters. Dans les semaines à venir, nous apporterons des modifications supplémentaires au plan de contrôle GKE pour atténuer davantage ce problème.

Les versions suivantes de GKE ont été mises à jour avec des correctifs pour CVE-2023-44487 et CVE-2023-39325:

• 1.24.17-gke.2155000
• 1.25.14-gke.1474000
• 1.26.10-gke.1024000
• 1.27.7-gke.1038000
• 1.28.3-gke.1090000

Nous vous recommandons d'appliquer les mesures d'atténuation suivantes dès que possible et d'effectuer une mise à niveau vers la dernière version corrigée dès que possible.

Les correctifs de Golang seront publiés le 10 octobre. Une fois ces correctifs disponibles, nous créerons et qualifierons un nouveau serveur d'API Kubernetes avec ces correctifs, puis nous publierons une version corrigée de GKE. Une fois la version de GKE disponible, nous mettrons à jour ce bulletin en vous indiquant la version à mettre à niveau pour votre plan de contrôle. Les correctifs seront également visibles dans la stratégie de sécurité de GKE s'ils sont disponibles pour votre cluster. Pour recevoir une notification Pub/Sub lorsqu'un correctif est disponible pour votre canal, activez les notifications de cluster.

Une fonctionnalité récente des canaux de publication vous permet d'appliquer un correctif sans avoir à vous désabonner d'un canal. Cela vous permet de sécuriser vos nœuds jusqu'à ce que la nouvelle version devienne la version par défaut de votre canal de publication.

Atténuez le problème en configurant des réseaux autorisés pour l'accès au plan de contrôle:

Vous pouvez ajouter des réseaux autorisés pour les clusters existants. Pour en savoir plus, consultez la section Réseau autorisé pour les clusters existants.

En plus des réseaux autorisés que vous ajoutez, des adresses IP prédéfinies peuvent accéder au plan de contrôle GKE. Pour en savoir plus sur ces adresses, consultez la section Accès aux points de terminaison du plan de contrôle. Les éléments suivants résument l'isolation du cluster:

• Les clusters privés avec --master-authorized-networks et les clusters basés sur PSC pour lesquels --master-authorized-networks et --no-enable-google-cloud sont configurés sont les plus isolés.
• Les anciens clusters publics avec --master-authorized-networks et les clusters basés sur PSC pour lesquels --master-authorized-networks et --enable-google-cloud (par défaut) sont configurés sont également accessibles par les éléments suivants :
  • Adresses IP publiques de toutes les VM Compute Engine dans Google Cloud
  • Adresses IP Google Cloud Platform

Quelles failles ce correctif permet-il de résoudre ?

La faille CVE-2023-44487 permet à un pirate informatique d'exécuter une attaque par déni de service sur les nœuds du plan de contrôle GKE.

Une vulnérabilité de déni de service (DoS) a été récemment découverte dans plusieurs implémentations du protocole HTTP/2 (CVE-2023-44487), notamment sur le serveur HTTP golang utilisé par Kubernetes. La vulnérabilité pourrait entraîner un DoS du plan de contrôle Kubernetes. GKE sur VMware crée des clusters Kubernetes qui ne sont pas directement accessibles à Internet par défaut et qui sont protégés contre cette faille.

Que dois-je faire ?

Mise à jour du 14/02/2024 : les versions suivantes de GKE sur VMware ont été mises à jour avec le code nécessaire pour corriger cette faille. Mettez à niveau vos clusters vers les versions de correctif suivantes ou ultérieures:

• 1.28.100
• 1.16.6
• 1.15.8

Si vous avez configuré vos clusters GKE sur VMware pour un accès direct à Internet ou à d'autres réseaux non approuvés, nous vous recommandons de contacter votre administrateur de pare-feu pour bloquer ou limiter cet accès.

Nous vous recommandons d'installer dès que possible la dernière version du correctif, le cas échéant.

Les correctifs de Golang seront publiés le 10 octobre. Une fois ces correctifs disponibles, nous créerons et qualifierons un nouveau serveur d'API Kubernetes avec ces correctifs, puis nous publierons une version corrigée de GKE. Une fois la version de GKE disponible, nous mettrons à jour ce bulletin en indiquant la version vers laquelle mettre à niveau votre plan de contrôle.

Quelles failles ce correctif permet-il de résoudre ?

La faille CVE-2023-44487 permet à un pirate informatique d'exécuter une attaque par déni de service sur les nœuds du plan de contrôle Kubernetes.

Une vulnérabilité de déni de service (DoS) a été récemment découverte dans plusieurs implémentations du protocole HTTP/2 (CVE-2023-44487), notamment sur le serveur HTTP golang utilisé par Kubernetes. La vulnérabilité pourrait entraîner un DoS du plan de contrôle Kubernetes. GKE sur AWS crée des clusters Kubernetes privés qui ne sont pas directement accessibles à Internet par défaut et qui sont protégés contre cette faille.

Que dois-je faire ?

Mise à jour du 20/03/2024:les versions suivantes de GKE sur AWS ont été mises à jour avec les correctifs pour CVE-2023-44487:

• 1.26.10-gke.600
• 1.27.7-gke.600
• 1.28.3-gke.700

Si vous avez configuré GKE sur AWS pour disposer d'un accès direct à Internet ou à d'autres réseaux non approuvés, nous vous recommandons de contacter votre administrateur de pare-feu pour bloquer ou limiter cet accès.

Nous vous recommandons d'installer dès que possible la dernière version du correctif, le cas échéant.

Les correctifs de Golang seront publiés le 10 octobre. Une fois ces correctifs disponibles, nous créerons et qualifierons un nouveau serveur d'API Kubernetes avec ces correctifs, puis nous publierons une version corrigée de GKE. Une fois la version de GKE disponible, nous mettrons à jour ce bulletin en indiquant la version vers laquelle mettre à niveau votre plan de contrôle.

Quelles failles ce correctif permet-il de résoudre ?

La faille CVE-2023-44487 permet à un pirate informatique d'exécuter une attaque par déni de service sur les nœuds du plan de contrôle Kubernetes.

Une vulnérabilité de déni de service (DoS) a été récemment découverte dans plusieurs implémentations du protocole HTTP/2 (CVE-2023-44487), notamment sur le serveur HTTP golang utilisé par Kubernetes. La vulnérabilité pourrait entraîner un DoS du plan de contrôle Kubernetes. GKE sur Azure crée des clusters Kubernetes privés qui ne sont pas directement accessibles à Internet par défaut et qui sont protégés contre cette faille.

Que dois-je faire ?

Mise à jour du 20/03/2024:les versions suivantes de GKE sur Azure ont été mises à jour avec des correctifs pour CVE-2023-44487:

• 1.26.10-gke.600
• 1.27.7-gke.600
• 1.28.3-gke.700

Si vous avez configuré vos clusters GKE sur Azure pour disposer d'un accès direct à Internet ou à d'autres réseaux non approuvés, nous vous recommandons de contacter votre administrateur de pare-feu pour bloquer ou limiter cet accès.

Nous vous recommandons d'installer dès que possible la dernière version du correctif, le cas échéant.

Quelles failles ce correctif permet-il de résoudre ?

La faille CVE-2023-44487 permet à un pirate informatique d'exécuter une attaque par déni de service sur les nœuds du plan de contrôle Kubernetes.

Une vulnérabilité de déni de service (DoS) a été récemment découverte dans plusieurs implémentations du protocole HTTP/2 (CVE-2023-44487), notamment sur le serveur HTTP golang utilisé par Kubernetes. La vulnérabilité pourrait entraîner un DoS du plan de contrôle Kubernetes. Anthos sur Bare Metal crée des clusters Kubernetes qui ne sont pas directement accessibles à Internet par défaut et qui sont protégés contre cette faille.

Que dois-je faire ?

Si vous avez configuré vos clusters Kubernetes Anthos sur bare metal pour un accès direct à Internet ou à d'autres réseaux non approuvés, nous vous recommandons de contacter l'administrateur de votre pare-feu pour bloquer ou limiter cet accès. Pour en savoir plus, consultez la présentation de la sécurité dans GKE sur Bare Metal.

Nous vous recommandons d'installer dès que possible la dernière version du correctif, le cas échéant.

Les correctifs de Golang seront publiés le 10 octobre. Une fois ces correctifs disponibles, nous créerons et qualifierons un nouveau serveur d'API Kubernetes avec ces correctifs, puis nous publierons une version corrigée de GKE. Une fois la version de GKE disponible, nous mettrons à jour ce bulletin en indiquant la version vers laquelle mettre à niveau votre plan de contrôle.

Quelles failles ce correctif permet-il de résoudre ?

La faille CVE-2023-44487 permet à un pirate informatique d'exécuter une attaque par déni de service sur les nœuds du plan de contrôle Kubernetes.

Trois failles (CVE-2023-3676, CVE-2023-3955 et CVE-2023-3893) ont été découvertes dans Kubernetes. Un utilisateur pouvant créer des pods sur des nœuds Windows peut obtenir des droits d'administrateur sur ces nœuds. Ces failles affectent les versions Windows de Kubelet et du proxy CSI de Kubernetes.

Les clusters GKE ne sont affectés que s'ils incluent des nœuds Windows.

Que dois-je faire ?

Les versions suivantes de GKE ont été mises à jour avec du code pour corriger cette faille. Pour des raisons de sécurité, même si la mise à niveau automatique des nœuds est activée, nous vous recommandons de mettre à niveau manuellement votre cluster et vos pools de nœuds vers l'une des versions de GKE suivantes:

• 1.24.17-gke.200
• 1.25.13-gke.200
• 1.26.8-gke.200
• 1.27.5-gke.200
• 1.28.1-gke.200

Le plan de contrôle GKE sera mis à jour la semaine du 04/09/2023 afin de mettre à jour le proxy csi vers la version 1.1.3. Si vous mettez à jour vos nœuds avant la mise à jour du plan de contrôle, vous devrez à nouveau mettre à jour vos nœuds après la mise à jour pour tirer parti du nouveau proxy. Vous pouvez à nouveau mettre à jour les nœuds, même sans modifier la version du nœud, en exécutant la commande gcloud container clusters upgrade et en transmettant l'option --cluster-version avec la même version de GKE que celle que le pool de nœuds est déjà en cours d'exécution. Vous devez utiliser la gcloud CLI pour cette solution de contournement. Notez que cette action entraînera une mise à jour quels que soient les intervalles de maintenance.

Une fonctionnalité récente des versions disponibles vous permet d'appliquer un correctif sans avoir à vous désabonner d'une version. Cela vous permet de sécuriser vos nœuds jusqu'à ce que la nouvelle version devienne la version par défaut pour votre version disponible spécifique.

Quelles failles ce correctif permet-il de résoudre ?

Avec CVE-2023-3676, un individu malveillant peut créer une spécification de pod avec des chaînes de chemin d'accès à l'hôte contenant des commandes PowerShell. Le kubelet ne nettoie pas les entrées et transmet cette chaîne de chemin d'accès créée à l'exécuteur de commandes en tant qu'argument, où il exécuterait des parties de la chaîne en tant que commandes distinctes. Ces commandes s'exécuteraient avec les mêmes droits d'administrateur que Kubelet.

Avec la faille CVE-2023-3955, Kubelet accorde aux utilisateurs autorisés à créer des pods la possibilité d'exécuter du code avec le même niveau d'autorisation que l'agent Kubelet (autorisations privilégiées).

Avec CVE-2023-3893, une absence similaire de configuration des entrées permet à un utilisateur pouvant créer des pods sur des nœuds Windows exécutant kubernetes-csi-proxy d'obtenir des droits d'administrateur sur ces nœuds.

Les journaux d'audit Kubernetes peuvent être utilisés pour détecter si cette faille est exploitée. Les événements de création de pods intégrant des commandes PowerShell sont un signe fort d'exploitation. Les ConfigMaps et les Secrets qui contiennent des commandes PowerShell intégrées et sont installés dans des pods constituent également une forte indication d'exploitation.

Trois failles (CVE-2023-3676, CVE-2023-3955 et CVE-2023-3893) ont été découvertes dans Kubernetes. Un utilisateur pouvant créer des pods sur des nœuds Windows peut obtenir des droits d'administrateur sur ces nœuds. Ces failles affectent les versions Windows de Kubelet et du proxy CSI de Kubernetes.

Les clusters ne sont affectés que s'ils incluent des nœuds Windows.

Que dois-je faire ?

Quelles failles ce correctif permet-il de résoudre ?

Avec CVE-2023-3676, un individu malveillant peut créer une spécification de pod avec des chaînes de chemin d'accès à l'hôte contenant des commandes PowerShell. Le kubelet ne nettoie pas les entrées et transmet cette chaîne de chemin d'accès créée à l'exécuteur de commandes en tant qu'argument, où il exécuterait des parties de la chaîne en tant que commandes distinctes. Ces commandes s'exécuteraient avec les mêmes droits d'administrateur que Kubelet.

Avec la faille CVE-2023-3955, Kubelet accorde aux utilisateurs autorisés à créer des pods la possibilité d'exécuter du code avec le même niveau d'autorisation que l'agent Kubelet (autorisations privilégiées).

Avec CVE-2023-3893, une absence similaire de configuration des entrées permet à un utilisateur pouvant créer des pods sur des nœuds Windows exécutant kubernetes-csi-proxy d'obtenir des droits d'administrateur sur ces nœuds.

Les journaux d'audit Kubernetes peuvent être utilisés pour détecter si cette faille est exploitée. Les événements de création de pods intégrant des commandes PowerShell sont un signe fort d'exploitation. Les ConfigMaps et les Secrets qui contiennent des commandes PowerShell intégrées et sont installés dans des pods constituent également une forte indication d'exploitation.

Trois failles (CVE-2023-3676, CVE-2023-3955 et CVE-2023-3893) ont été découvertes dans Kubernetes. Un utilisateur pouvant créer des pods sur des nœuds Windows peut obtenir des droits d'administrateur sur ces nœuds. Ces failles affectent les versions Windows de Kubelet et du proxy CSI de Kubernetes.

Que dois-je faire ?

GKE sur AWS n'est pas affecté par ces failles CVE. Aucune action n'est requise.

Trois failles (CVE-2023-3676, CVE-2023-3955 et CVE-2023-3893) ont été découvertes dans Kubernetes. Un utilisateur pouvant créer des pods sur des nœuds Windows peut obtenir des droits d'administrateur sur ces nœuds. Ces failles affectent les versions Windows de Kubelet et du proxy CSI de Kubernetes.

Que dois-je faire ?

GKE sur Azure n'est pas affecté par ces failles CVE. Aucune action n'est requise.

Trois failles (CVE-2023-3676, CVE-2023-3955 et CVE-2023-3893) ont été découvertes dans Kubernetes. Un utilisateur pouvant créer des pods sur des nœuds Windows peut obtenir des droits d'administrateur sur ces nœuds. Ces failles affectent les versions Windows de Kubelet et du proxy CSI de Kubernetes.

Que dois-je faire ?

GKE sur Bare Metal n'est pas affecté par ces failles CVE. Aucune action n'est requise.

Une nouvelle faille (CVE-2023-2235) a été découverte dans le noyau Linux et peut entraîner une élévation des privilèges sur le nœud. Les clusters GKE Autopilot sont affectés, car les nœuds GKE Autopilot utilisent toujours des images de nœuds Container-Optimized OS. Les clusters GKE Standard avec les versions 1.25 ou ultérieure qui exécutent des images de nœuds Container-Optimized OS sont affectés.

Les clusters GKE ne sont pas affectés s'ils exécutent uniquement des images de nœuds Ubuntu, s'ils exécutent des versions antérieures à la version 1.25 ou s'ils utilisent GKE Sandbox.

Que dois-je faire ?

Les versions suivantes de GKE ont été mises à jour avec du code pour corriger cette faille. Pour des raisons de sécurité, même si la mise à niveau automatique des nœuds est activée, nous vous recommandons de mettre à niveau manuellement votre cluster et vos pools de nœuds vers l'une des versions de GKE suivantes:

• 1.25.9-gke.1400
• 1.26.4-gke.1500
• 1.27.1-gke.2400

Une fonctionnalité récente des canaux de publication vous permet d'appliquer un correctif sans avoir à vous désabonner d'un canal. Cela vous permet de sécuriser vos nœuds jusqu'à ce que la nouvelle version devienne la version par défaut de votre canal de publication.

Quelles failles sont corrigées ?

Avec CVE-2023-2235, la fonction perf_group_detach ne vérifiait pas l'état attach_state des frères et sœurs de l'événement avant d'appeler add_event_to_groups(), mais remove_on_exec permettait d'appeler list_del_event() avant de se dissocier du groupe, ce qui a permis d'utiliser un pointeur flottant provoquant une faille "use-after-free".

Une nouvelle faille (CVE-2023-2235) a été découverte dans le noyau Linux et peut entraîner une élévation des privilèges sur le nœud. Les clusters GKE sur VMware sont affectés.

Que dois-je faire ?

Quelles failles sont corrigées ?

Avec CVE-2023-2235, la fonction perf_group_detach ne vérifiait pas l'état attach_state des frères et sœurs de l'événement avant d'appeler add_event_to_groups(), mais remove_on_exec permettait d'appeler list_del_event() avant de se dissocier du groupe, ce qui a permis d'utiliser un pointeur flottant provoquant une faille "use-after-free".

Une nouvelle faille (CVE-2023-2235) a été découverte dans le noyau Linux et peut entraîner une élévation des privilèges sur le nœud. Les clusters GKE sur AWS sont affectés.

Que dois-je faire ?

Quelles failles ce correctif permet-il de résoudre ?

Avec CVE-2023-2235, la fonction perf_group_detach ne vérifiait pas l'état attach_state des frères et sœurs de l'événement avant d'appeler add_event_to_groups(), mais remove_on_exec permettait d'appeler list_del_event() avant de se dissocier du groupe, ce qui a permis d'utiliser un pointeur flottant provoquant une faille "use-after-free".

Une nouvelle faille (CVE-2023-2235) a été découverte dans le noyau Linux et peut entraîner une élévation des privilèges sur le nœud. Les clusters GKE sur Azure sont affectés.

Que dois-je faire ?

Quelles failles ce correctif permet-il de résoudre ?

Avec CVE-2023-2235, la fonction perf_group_detach ne vérifiait pas l'état attach_state des frères et sœurs de l'événement avant d'appeler add_event_to_groups(), mais remove_on_exec permettait d'appeler list_del_event() avant de se dissocier du groupe, ce qui a permis d'utiliser un pointeur flottant provoquant une faille "use-after-free".

Une nouvelle faille (CVE-2023-2235) a été découverte dans le noyau Linux et peut entraîner une élévation des privilèges sur le nœud.

Google Distributed Cloud Virtual for Bare Metal n'est pas affecté par cette CVE.

Que dois-je faire ?

Aucune action n'est requise.

Une nouvelle faille (CVE-2023-31436) a été découverte dans le kernel Linux, ce qui peut entraîner une élévation des privilèges sur le nœud. Les clusters GKE, y compris les clusters Autopilot, sont affectés.

Les clusters GKE utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Mise à jour du 11/07/2023:des versions du correctif Ubuntu sont disponibles.

Les versions suivantes de GKE ont été mises à jour afin d'inclure les dernières versions d'Ubuntu qui corrigent la faille CVE-2023-31436:

• 1.23.17-gke.8200
• 1.24.14-gke.2600
• 1.25.10-gke.2700
• 1.26.5-gke.2700
• 1.27.2-gke.2700

Les versions suivantes de GKE ont été mises à jour avec du code pour corriger cette faille. Pour des raisons de sécurité, même si la mise à niveau automatique des nœuds est activée, nous vous recommandons de mettre à niveau manuellement votre cluster et vos pools de nœuds vers l'une des versions de GKE suivantes:

• 1.22.17-gke.11400
• 1.23.17-gke.6800
• 1.24.14-gke.1200
• 1.25.10-gke.1200
• 1.26.5-gke.1200
• 1.27.2-gke.1200

Une fonctionnalité récente des canaux de publication vous permet d'appliquer un correctif sans avoir à vous désabonner d'un canal. Cela vous permet de sécuriser vos nœuds jusqu'à ce que la nouvelle version devienne la version par défaut de votre canal de publication.

Quelles failles sont corrigées ?

Avec CVE-2023-31436, une faille d'accès à la mémoire hors limites a été détectée dans le sous-système de contrôle du trafic (QoS) du noyau Linux. Un utilisateur déclenche la fonction qfq_change_class avec une valeur MTU incorrecte de l'appareil réseau utilisé comme lmax. Cette faille permet à un utilisateur local de planter ou potentiellement d'élever ses privilèges sur le système.

Une nouvelle faille (CVE-2023-31436) a été découverte dans le kernel Linux, ce qui peut entraîner une élévation des privilèges sur le nœud. Les clusters GKE sur VMware sont affectés.

Que dois-je faire ?

Quelles failles sont corrigées ?

Avec CVE-2023-31436, une faille d'accès à la mémoire hors limites a été détectée dans le sous-système de contrôle du trafic (QoS) du noyau Linux. Un utilisateur déclenche la fonction qfq_change_class avec une valeur MTU incorrecte de l'appareil réseau utilisé comme lmax. Cette faille permet à un utilisateur local de planter ou potentiellement d'élever ses privilèges sur le système.

Une nouvelle faille (CVE-2023-31436) a été découverte dans le kernel Linux, ce qui peut entraîner une élévation des privilèges sur le nœud. Les clusters GKE sur AWS sont affectés.

Que dois-je faire ?

Quelles failles ce correctif permet-il de résoudre ?

Avec CVE-2023-31436, une faille d'accès à la mémoire hors limites a été détectée dans le sous-système de contrôle du trafic (QoS) du noyau Linux. Un utilisateur déclenche la fonction qfq_change_class avec une valeur MTU incorrecte de l'appareil réseau utilisé comme lmax. Cette faille permet à un utilisateur local de planter ou potentiellement d'élever ses privilèges sur le système.

Une nouvelle faille (CVE-2023-31436) a été découverte dans le kernel Linux, ce qui peut entraîner une élévation des privilèges sur le nœud. Les clusters GKE sur Azure sont affectés.

Que dois-je faire ?

Quelles failles ce correctif permet-il de résoudre ?

Avec CVE-2023-31436, une faille d'accès à la mémoire hors limites a été détectée dans le sous-système de contrôle du trafic (QoS) du noyau Linux. Un utilisateur déclenche la fonction qfq_change_class avec une valeur MTU incorrecte de l'appareil réseau utilisé comme lmax. Cette faille permet à un utilisateur local de planter ou potentiellement d'élever ses privilèges sur le système.

Une nouvelle faille (CVE-2023-31436) a été découverte dans le kernel Linux, ce qui peut entraîner une élévation des privilèges sur le nœud.

Google Distributed Cloud Virtual for Bare Metal n'est pas affecté par cette CVE.

Que dois-je faire ?

Aucune action n'est requise.

Une nouvelle faille (CVE-2023-0468) a été découverte dans la version 5.15 du noyau Linux. Elle peut entraîner un déni de service sur le nœud. Les clusters GKE, y compris les clusters Autopilot, sont affectés.

Les clusters GKE utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Les versions suivantes de GKE ont été mises à jour avec du code pour corriger cette faille. Pour des raisons de sécurité, même si la mise à niveau automatique des nœuds est activée, nous vous recommandons de mettre à niveau manuellement votre cluster et vos pools de nœuds vers l'une des versions de GKE suivantes:

• 1.25.7-gke.1200
• 1.26.2-gke.1200

Une fonctionnalité récente des canaux de publication vous permet d'appliquer un correctif sans avoir à vous désabonner d'un canal. Cela vous permet de sécuriser vos nœuds jusqu'à ce que la nouvelle version devienne la version par défaut de votre canal de publication.

Quelles failles sont corrigées ?

Dans CVE-2023-0468, une faille "use-after-free" a été détectée dans io_uring/poll.c dans io_poll_check_events dans le sous-composant io_uring du noyau Linux. Cette faille peut entraîner un déréférencement du pointeur NULL, voire un plantage du système entraînant un déni de service.

Une nouvelle faille (CVE-2023-0468) a été découverte dans la version 5.15 du noyau Linux. Elle peut entraîner un déni de service sur le nœud.

GKE sur VMware utilise la version 5.4 du noyau Linux et n'est pas affecté par cette faille CVE.

Que dois-je faire ?

• Aucune action n'est requise

Une nouvelle faille (CVE-2023-0468) a été découverte dans la version 5.15 du noyau Linux. Elle peut entraîner un déni de service sur le nœud.

GKE sur AWS n'est pas affecté par cette faille CVE.

Que dois-je faire ?

• Aucune action n'est requise

Une nouvelle faille (CVE-2023-0468) a été découverte dans la version 5.15 du noyau Linux. Elle peut entraîner un déni de service sur le nœud.

GKE sur Azure n'est pas affecté par cette faille CVE.

Que dois-je faire ?

• Aucune action n'est requise

Une nouvelle faille (CVE-2023-0468) a été découverte dans la version 5.15 du noyau Linux. Elle peut entraîner un déni de service sur le nœud.

Google Distributed Cloud Virtual for Bare Metal n'est pas affecté par cette CVE.

Que dois-je faire ?

• Aucune action n'est requise

Deux nouveaux problèmes de sécurité ont été découverts dans Kubernetes : les utilisateurs peuvent désormais lancer des conteneurs qui contournent les restrictions de stratégie lors de l'utilisation de conteneurs éphémères, et ImagePolicyWebhook (CVE-2023-2727) ou le plug-in d'admission ServiceAccount (CVE-2023-2728).

GKE n'utilise pas ImagePolicyWebhook et n'est pas affecté par la faille CVE-2023-2727.

Que dois-je faire ?

Les versions suivantes de GKE ont été mises à jour avec du code pour corriger cette faille. Pour des raisons de sécurité, même si la mise à niveau automatique des nœuds est activée, nous vous recommandons de mettre à niveau manuellement votre cluster et vos pools de nœuds vers l'une des versions de GKE suivantes:

• 1.27.2-gke.1200
• 1.26.5-gke.1200
• 1.25.10-gke.1200
• 1.24.14-gke.1200
• 1.23.17-gke.6800

Une fonctionnalité récente des canaux de publication vous permet d'appliquer un correctif sans avoir à vous désabonner d'un canal. Cela vous permet de sécuriser vos nœuds jusqu'à ce que la nouvelle version devienne la version par défaut de votre canal de publication.

Quelles failles sont corrigées ?

Avec CVE-2023-2727, les utilisateurs peuvent lancer des conteneurs à l'aide d'images limitées par ImagePolicyWebhook lorsqu'ils utilisent des conteneurs éphémères. Les clusters Kubernetes ne sont affectés que si le plug-in d'admission ImagePolicyWebhook est utilisé avec des conteneurs éphémères. Cette faille CVE peut également être atténuée à l'aide de webhooks de validation, tels que Gatekeeper et Kyverno, pour appliquer les mêmes restrictions.

Dans CVE-2023-2728, les utilisateurs peuvent lancer des conteneurs qui contournent la règle de secrets montables appliquée par le plug-in d'admission ServiceAccount lorsqu'ils utilisent des conteneurs éphémères. La règle garantit que les pods exécutés avec un compte de service ne peuvent référencer que des secrets spécifiés dans le champ secrets du compte de service. Les clusters sont affectés par cette faille si:

• Le plug-in d'admission ServiceAccount est utilisé.
• L'annotation kubernetes.io/enforce-mountable-secrets est utilisée par un compte de service. Cette annotation n'est pas ajoutée par défaut.
• Les pods utilisent des conteneurs éphémères.

Deux nouveaux problèmes de sécurité ont été détectés dans Kubernetes : les utilisateurs peuvent désormais lancer des conteneurs qui contournent les restrictions de stratégie lors de l'utilisation de conteneurs éphémères, et ImagePolicyWebhook (CVE-2023-2727) ou le plug-in d'admission ServiceAccount (CVE-2023-2728). Anthos sur VMware n'utilise pas ImagePolicyWebhook et n'est pas affecté par CVE-2023-2727.

Toutes les versions d'Anthos sur VMware sont potentiellement vulnérables à la faille CVE-2023-2728.

Que dois-je faire ?

Mise à jour du 11/08/2023:les versions suivantes de GKE sur VMware ont été mises à jour avec du code pour corriger cette faille. Mettez à niveau vos clusters d'administrateur et d'utilisateur vers l'une des versions suivantes de GKE sur VMware:

• 1.13.10
• 1.14.6
• 1.15.3

Quelles failles sont corrigées ?

Avec CVE-2023-2727, les utilisateurs peuvent lancer des conteneurs à l'aide d'images limitées par ImagePolicyWebhook lorsqu'ils utilisent des conteneurs éphémères. Les clusters Kubernetes ne sont affectés que si le plug-in d'admission ImagePolicyWebhook est utilisé avec des conteneurs éphémères. Cette faille CVE peut également être atténuée à l'aide de webhooks de validation, tels que Gatekeeper et Kyverno, pour appliquer les mêmes restrictions.

Dans CVE-2023-2728, les utilisateurs peuvent lancer des conteneurs qui contournent la règle de secrets montables appliquée par le plug-in d'admission ServiceAccount lorsqu'ils utilisent des conteneurs éphémères. La règle garantit que les pods exécutés avec un compte de service ne peuvent référencer que des secrets spécifiés dans le champ secrets du compte de service. Les clusters sont affectés par cette faille si:

• Le plug-in d'admission ServiceAccount est utilisé.
• L'annotation kubernetes.io/enforce-mountable-secrets est utilisée par un compte de service. Cette annotation n'est pas ajoutée par défaut.
• Les pods utilisent des conteneurs éphémères.

Deux nouveaux problèmes de sécurité ont été détectés dans Kubernetes. Les utilisateurs peuvent désormais lancer des conteneurs qui contournent les restrictions de stratégie lors de l'utilisation de conteneurs éphémères, et ImagePolicyWebhook (CVE-2023-2727) ou le plug-in d'admission ServiceAccount (CVE-2023-2728).
Anthos sur AWS n'utilise pas ImagePolicyWebhook et n'est pas affecté par CVE-2023-2727.
Toutes les versions d'Anthos sur AWS sont potentiellement vulnérables à la faille CVE-2023-2728.

Que dois-je faire ?

Mise à jour du 11/08/2023:la version suivante de GKE sur AWS a été mise à jour avec du code pour corriger cette faille. Mettez à niveau vos nœuds vers la version suivante de GKE sur AWS:

• 1.15.2

Quelles failles sont corrigées ?

Avec CVE-2023-2727, les utilisateurs peuvent lancer des conteneurs à l'aide d'images limitées par ImagePolicyWebhook lorsqu'ils utilisent des conteneurs éphémères. Les clusters Kubernetes ne sont affectés que si le plug-in d'admission ImagePolicyWebhook est utilisé avec des conteneurs éphémères. Cette faille CVE peut également être atténuée à l'aide de webhooks de validation, tels que Gatekeeper et Kyverno, pour appliquer les mêmes restrictions.

Dans CVE-2023-2728, les utilisateurs peuvent lancer des conteneurs qui contournent la règle de secrets montables appliquée par le plug-in d'admission ServiceAccount lorsqu'ils utilisent des conteneurs éphémères. La règle garantit que les pods exécutés avec un compte de service ne peuvent référencer que des secrets spécifiés dans le champ secrets du compte de service. Les clusters sont affectés par cette faille si:

• Le plug-in d'admission ServiceAccount est utilisé.
• L'annotation kubernetes.io/enforce-mountable-secrets est utilisée par un compte de service. Cette annotation n'est pas ajoutée par défaut.
• Les pods utilisent des conteneurs éphémères.

Deux nouveaux problèmes de sécurité ont été détectés dans Kubernetes. Les utilisateurs peuvent désormais lancer des conteneurs qui contournent les restrictions de stratégie lors de l'utilisation de conteneurs éphémères, et ImagePolicyWebhook (CVE-2023-2727) ou le plug-in d'admission ServiceAccount (CVE-2023-2728).
Anthos on Azure n'utilise pas ImagePolicyWebhook et n'est pas affecté par CVE-2023-2727.
Toutes les versions d'Anthos on Azure sont potentiellement vulnérables à la faille CVE-2023-2728.

Que dois-je faire ?

Mise à jour du 11/08/2023:la version suivante de GKE sur Azure a été mise à jour avec du code pour corriger cette faille. Mettez à niveau vos nœuds vers la version suivante de GKE sur Azure:

• 1.15.2

Quelles failles sont corrigées ?

Avec CVE-2023-2727, les utilisateurs peuvent lancer des conteneurs à l'aide d'images limitées par ImagePolicyWebhook lorsqu'ils utilisent des conteneurs éphémères. Les clusters Kubernetes ne sont affectés que si le plug-in d'admission ImagePolicyWebhook est utilisé avec des conteneurs éphémères. Cette faille CVE peut également être atténuée à l'aide de webhooks de validation, tels que Gatekeeper et Kyverno, pour appliquer les mêmes restrictions.

Dans CVE-2023-2728, les utilisateurs peuvent lancer des conteneurs qui contournent la règle de secrets montables appliquée par le plug-in d'admission ServiceAccount lorsqu'ils utilisent des conteneurs éphémères. La règle garantit que les pods exécutés avec un compte de service ne peuvent référencer que des secrets spécifiés dans le champ secrets du compte de service. Les clusters sont affectés par cette faille si:

• Le plug-in d'admission ServiceAccount est utilisé.
• L'annotation kubernetes.io/enforce-mountable-secrets est utilisée par un compte de service. Cette annotation n'est pas ajoutée par défaut.
• Les pods utilisent des conteneurs éphémères.

Deux nouveaux problèmes de sécurité ont été détectés dans Kubernetes. Les utilisateurs peuvent désormais lancer des conteneurs qui contournent les restrictions de stratégie lors de l'utilisation de conteneurs éphémères, et ImagePolicyWebhook (CVE-2023-2727) ou d'admission ServiceAccount (CVE-2023-2728).
Anthos sur Bare Metal n'utilise pas ImagePolicyWebhook et n'est pas affecté par CVE-2023-2727.
Toutes les versions d'Anthos sur Bare Metal sont potentiellement vulnérables à la faille CVE-2023-2728.

Que dois-je faire ?

Mise à jour du 11/08/2023:les versions suivantes de Google Distributed Cloud Virtual for Bare Metal ont été mises à jour avec du code pour corriger cette faille. Mettez à niveau vos nœuds vers l'une des versions suivantes de Google Distributed Cloud Virtual for Bare Metal:

• 1.13.9
• 1.14.7
• 1.15.3

Quelles failles sont corrigées ?

Avec CVE-2023-2727, les utilisateurs peuvent lancer des conteneurs à l'aide d'images limitées par ImagePolicyWebhook lorsqu'ils utilisent des conteneurs éphémères. Les clusters Kubernetes ne sont affectés que si le plug-in d'admission ImagePolicyWebhook est utilisé avec des conteneurs éphémères. Cette faille CVE peut également être atténuée à l'aide de webhooks de validation, tels que Gatekeeper et Kyverno, pour appliquer les mêmes restrictions.

Dans CVE-2023-2728, les utilisateurs peuvent lancer des conteneurs qui contournent la règle de secrets montables appliquée par le plug-in d'admission ServiceAccount lorsqu'ils utilisent des conteneurs éphémères. La règle garantit que les pods exécutés avec un compte de service ne peuvent référencer que des secrets spécifiés dans le champ secrets du compte de service. Les clusters sont affectés par cette faille si:

• Le plug-in d'admission ServiceAccount est utilisé.
• L'annotation kubernetes.io/enforce-mountable-secrets est utilisée par un compte de service. Cette annotation n'est pas ajoutée par défaut.
• Les pods utilisent des conteneurs éphémères.

Une nouvelle faille (CVE-2023-2878) a été découverte dans le pilote "secrets-store-csi-driver". Elle permet à un acteur ayant accès aux journaux du pilote d'observer les jetons de compte de service. Ces jetons peuvent ensuite être échangés avec des fournisseurs de services cloud externes pour accéder aux secrets stockés dans les solutions Cloud Vault.

GKE n'est pas affecté par cette faille CVE.

Que dois-je faire ?

Bien que GKE ne soit pas affecté, si vous avez installé le composant secrets-store-csi-driver, vous devez mettre à jour votre installation avec une version corrigée.

Quelles failles ce correctif permet-il de résoudre ?

La faille CVE-2023-2878 a été découverte dans secrets-store-csi-driver, où un acteur ayant accès aux journaux du pilote a pu observer les jetons du compte de service. Ces jetons peuvent ensuite être échangés avec des fournisseurs de services cloud externes pour accéder aux secrets stockés dans les solutions Cloud Vault. Les jetons ne sont consignés que lorsque TokenRequests est configuré dans l'objet CSIDriver et que le pilote est configuré pour s'exécuter au niveau de journalisation 2 ou supérieur via l'option -v.

Une nouvelle faille (CVE-2023-2878) a été découverte dans le pilote "secrets-store-csi-driver". Elle permet à un acteur ayant accès aux journaux du pilote d'observer les jetons de compte de service. Ces jetons peuvent ensuite être échangés avec des fournisseurs de services cloud externes pour accéder aux secrets stockés dans les solutions Cloud Vault.

GKE sur VMware n'est pas affecté par cette CVE.

Que dois-je faire ?

GKE sur VMware n'est pas affecté. Toutefois, si vous avez installé le composant "secrets-store-csi-driver", vous devez mettre à jour votre installation avec une version corrigée.

Quelles failles ce correctif permet-il de résoudre ?

La faille CVE-2023-2878 a été découverte dans secrets-store-csi-driver, où un acteur ayant accès aux journaux du pilote a pu observer les jetons du compte de service. Ces jetons peuvent ensuite être échangés avec des fournisseurs de services cloud externes pour accéder aux secrets stockés dans les solutions Cloud Vault. Les jetons ne sont consignés que lorsque TokenRequests est configuré dans l'objet CSIDriver et que le pilote est configuré pour s'exécuter au niveau de journalisation 2 ou supérieur via l'option -v.

Une nouvelle faille (CVE-2023-2878) a été découverte dans le pilote "secrets-store-csi-driver". Elle permet à un acteur ayant accès aux journaux du pilote d'observer les jetons de compte de service. Ces jetons peuvent ensuite être échangés avec des fournisseurs de services cloud externes pour accéder aux secrets stockés dans les solutions Cloud Vault.

GKE sur AWS n'est pas affecté par cette faille CVE.

Que dois-je faire ?

Bien que GKE sur AWS ne soit pas affecté, si vous avez installé le composant "secrets-store-csi-driver", vous devez mettre à jour votre installation avec une version corrigée.

Quelles failles ce correctif permet-il de résoudre ?

La faille CVE-2023-2878 a été découverte dans secrets-store-csi-driver, où un acteur ayant accès aux journaux du pilote a pu observer les jetons du compte de service. Ces jetons peuvent ensuite être échangés avec des fournisseurs de services cloud externes pour accéder aux secrets stockés dans les solutions Cloud Vault. Les jetons ne sont consignés que lorsque TokenRequests est configuré dans l'objet CSIDriver et que le pilote est configuré pour s'exécuter au niveau de journalisation 2 ou supérieur via l'option -v.

Une nouvelle faille (CVE-2023-2878) a été découverte dans le pilote "secrets-store-csi-driver". Elle permet à un acteur ayant accès aux journaux du pilote d'observer les jetons de compte de service. Ces jetons peuvent ensuite être échangés avec des fournisseurs de services cloud externes pour accéder aux secrets stockés dans les solutions Cloud Vault.

GKE sur Azure n'est pas affecté par cette faille CVE

Que dois-je faire ?

Bien que GKE sur Azure ne soit pas affecté, si vous avez installé le composant secrets-store-csi-driver, vous devez mettre à jour votre installation avec une version corrigée.

Quelles failles ce correctif permet-il de résoudre ?

La faille CVE-2023-2878 a été découverte dans secrets-store-csi-driver, où un acteur ayant accès aux journaux du pilote a pu observer les jetons du compte de service. Ces jetons peuvent ensuite être échangés avec des fournisseurs de services cloud externes pour accéder aux secrets stockés dans les solutions Cloud Vault. Les jetons ne sont consignés que lorsque TokenRequests est configuré dans l'objet CSIDriver et que le pilote est configuré pour s'exécuter au niveau de journalisation 2 ou supérieur via l'option -v.

Une nouvelle faille (CVE-2023-2878) a été découverte dans le pilote "secrets-store-csi-driver". Elle permet à un acteur ayant accès aux journaux du pilote d'observer les jetons de compte de service. Ces jetons peuvent ensuite être échangés avec des fournisseurs de services cloud externes pour accéder aux secrets stockés dans les solutions Cloud Vault.

GKE sur Bare Metal n'est pas affecté par cette faille CVE.

Que dois-je faire ?

GKE sur Bare Metal n'est pas affecté. Toutefois, si vous avez installé le composant "secrets-store-csi-driver", vous devez mettre à jour votre installation avec une version corrigée.

Quelles failles ce correctif permet-il de résoudre ?

La faille CVE-2023-2878 a été découverte dans secrets-store-csi-driver, où un acteur ayant accès aux journaux du pilote a pu observer les jetons du compte de service. Ces jetons peuvent ensuite être échangés avec des fournisseurs de services cloud externes pour accéder aux secrets stockés dans les solutions Cloud Vault. Les jetons ne sont consignés que lorsque TokenRequests est configuré dans l'objet CSIDriver et que le pilote est configuré pour s'exécuter au niveau de journalisation 2 ou supérieur via l'option -v.

Une nouvelle faille (CVE-2023-1872) a été découverte dans le noyau Linux. Elle peut entraîner une élévation des privilèges au niveau racine du nœud. Les clusters GKE Standard et Autopilot sont affectés.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Les versions suivantes de GKE ont été mises à jour avec du code pour corriger cette faille. Pour des raisons de sécurité, même si la mise à niveau automatique des nœuds est activée, nous vous recommandons de mettre à niveau manuellement votre cluster et vos pools de nœuds vers l'une des versions de GKE suivantes:

• 1.22.17-gke.11400
• 1.23.17-gke.5600
• 1.24.13-gke.2500
• 1.25.9-gke.2300
• 1.26.5-gke.1200

Une fonctionnalité récente des canaux de publication vous permet d'appliquer un correctif sans avoir à vous désabonner d'un canal. Cela vous permet de sécuriser vos nœuds jusqu'à ce que la nouvelle version devienne la version par défaut de votre canal de publication.

Quelles failles ce correctif permet-il de résoudre ?

CVE-2023-1872 est une vulnérabilité d'utilisation après libération dans le sous-système io_uring du noyau Linux qui peut être exploitée pour obtenir une élévation des privilèges locaux. La fonction io_file_get_fixed est absente de ctx->uring_lock, ce qui peut entraîner une faille d'utilisation après libération en raison d'une condition de concurrence entraînant l'annulation de l'enregistrement des fichiers corrigés.

Une nouvelle faille (CVE-2023-1872) a été découverte dans le noyau Linux. Elle peut entraîner une élévation des privilèges au niveau racine du nœud.

Que dois-je faire ?

Quelles failles ce correctif permet-il de résoudre ?

CVE-2023-1872 est une vulnérabilité d'utilisation après libération dans le sous-système io_uring du noyau Linux qui peut être exploitée pour obtenir une élévation des privilèges locaux. La fonction io_file_get_fixed est absente de ctx->uring_lock, ce qui peut entraîner une faille d'utilisation après libération en raison d'une condition de concurrence entraînant l'annulation de l'enregistrement des fichiers corrigés.

Une nouvelle faille (CVE-2023-1872) a été découverte dans le noyau Linux. Elle peut entraîner une élévation des privilèges au niveau racine du nœud.

Que dois-je faire ?

Les versions suivantes de GKE sur AWS ont été mises à jour avec du code pour corriger ces failles:

Quelles failles ce correctif permet-il de résoudre ?

CVE-2023-1872 est une vulnérabilité d'utilisation après libération dans le sous-système io_uring du noyau Linux qui peut être exploitée pour obtenir une élévation des privilèges locaux. La fonction io_file_get_fixed est absente de ctx->uring_lock, ce qui peut entraîner une faille d'utilisation après libération en raison d'une condition de concurrence entraînant l'annulation de l'enregistrement des fichiers corrigés.

Une nouvelle faille (CVE-2023-1872) a été découverte dans le noyau Linux. Elle peut entraîner une élévation des privilèges au niveau racine du nœud.

Que dois-je faire ?

Les versions suivantes de GKE sur Azure ont été mises à jour avec du code pour corriger ces failles:

Quelles failles ce correctif permet-il de résoudre ?

CVE-2023-1872 est une vulnérabilité d'utilisation après libération dans le sous-système io_uring du noyau Linux qui peut être exploitée pour obtenir une élévation des privilèges locaux. La fonction io_file_get_fixed est absente de ctx->uring_lock, ce qui peut entraîner une faille d'utilisation après libération en raison d'une condition de concurrence entraînant l'annulation de l'enregistrement des fichiers corrigés.

Une nouvelle faille (CVE-2023-1872) a été découverte dans le noyau Linux. Elle peut entraîner une élévation des privilèges au niveau racine du nœud.

GKE sur Bare Metal n'est pas affecté par cette faille CVE.

Que dois-je faire ?

Aucune action n'est requise.

Deux nouvelles failles (CVE-2023-1281, CVE-2023-1829) ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges au niveau racine du nœud. Les clusters GKE Standard sont affectés.

Les clusters GKE Autopilot et ceux utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Mise à jour du 06/06/2023:des versions du correctif Ubuntu sont disponibles.

Les versions suivantes de GKE ont été mises à jour pour inclure les dernières versions d'Ubuntu qui corrigent les failles CVE-2023-1281 et CVE-2023-1829:

• 1.23.17-gke.6800
• 1.24.14-gke.1200
• 1.25.10-gke.1200
• 1.26.5-gke.1200

Les versions suivantes de GKE ont été mises à jour avec du code pour corriger cette faille. Pour des raisons de sécurité, même si la mise à niveau automatique des nœuds est activée, nous vous recommandons de mettre à niveau manuellement votre cluster et vos pools de nœuds vers l'une des versions de GKE suivantes:

• 1.22.17-gke.8100
• 1.23.17-gke.2300
• 1.24.12-gke.1100
• 1.25.8-gke.1000
• 1.26.3-gke.1000

Une fonctionnalité récente des canaux de publication vous permet d'appliquer un correctif sans avoir à vous désabonner d'un canal. Cela vous permet de sécuriser vos nœuds jusqu'à ce que la nouvelle version devienne la version par défaut de votre canal de publication.

Quelles failles ce correctif permet-il de résoudre ?

Les CVE-2023-1281 et CVE-2023-1829 sont toutes deux des failles d'utilisation après libération du filtre d'index de contrôle du trafic du noyau Linux (tcindex) qui peuvent être exploitées pour effectuer une élévation des privilèges locaux.

Avec la CVE-2023-1829, la fonction tcindex_delete ne désactive pas correctement les filtres dans certains cas, ce qui peut par la suite entraîner la double libération d'une structure de données.

Dans CVE-2023-1281, la zone de hachage imparfaite peut être mise à jour pendant le balayage des paquets, ce qui entraîne une utilisation après libération lorsque tcf_exts_exec() est appelé avec le tcf_ext détruit. Un pirate informatique local peut exploiter cette faille pour élever ses privilèges au niveau racine.

Deux nouvelles failles (CVE-2023-1281, CVE-2023-1829) ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges au niveau racine du nœud.

Que dois-je faire ?

Quelles failles ce correctif permet-il de résoudre ?

Les CVE-2023-1281 et CVE-2023-1829 sont toutes deux des failles d'utilisation après libération du filtre d'index de contrôle du trafic du noyau Linux (tcindex) qui peuvent être exploitées pour effectuer une élévation des privilèges locaux.

Avec la CVE-2023-1829, la fonction tcindex_delete ne désactive pas correctement les filtres dans certains cas, ce qui peut par la suite entraîner la double libération d'une structure de données.

Dans CVE-2023-1281, la zone de hachage imparfaite peut être mise à jour pendant le balayage des paquets, ce qui entraîne une utilisation après libération lorsque tcf_exts_exec() est appelé avec le tcf_ext détruit. Un pirate informatique local peut exploiter cette faille pour élever ses privilèges au niveau racine.

Deux nouvelles failles (CVE-2023-1281, CVE-2023-1829) ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges au niveau racine du nœud.

Que dois-je faire ?

Quelles failles ce correctif permet-il de résoudre ?

Les CVE-2023-1281 et CVE-2023-1829 sont toutes deux des failles d'utilisation après libération du filtre d'index de contrôle du trafic du noyau Linux (tcindex) qui peuvent être exploitées pour effectuer une élévation des privilèges locaux.

Avec la CVE-2023-1829, la fonction tcindex_delete ne désactive pas correctement les filtres dans certains cas, ce qui peut par la suite entraîner la double libération d'une structure de données.

Dans CVE-2023-1281, la zone de hachage imparfaite peut être mise à jour pendant le balayage des paquets, ce qui entraîne une utilisation après libération lorsque tcf_exts_exec() est appelé avec le tcf_ext détruit. Un pirate informatique local peut exploiter cette faille pour élever ses privilèges au niveau racine.

Deux nouvelles failles (CVE-2023-1281, CVE-2023-1829) ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges au niveau racine du nœud.

Que dois-je faire ?

Quelles failles ce correctif permet-il de résoudre ?

Les CVE-2023-1281 et CVE-2023-1829 sont toutes deux des failles d'utilisation après libération du filtre d'index de contrôle du trafic du noyau Linux (tcindex) qui peuvent être exploitées pour effectuer une élévation des privilèges locaux.

Avec la CVE-2023-1829, la fonction tcindex_delete ne désactive pas correctement les filtres dans certains cas, ce qui peut par la suite entraîner la double libération d'une structure de données.

Dans CVE-2023-1281, la zone de hachage imparfaite peut être mise à jour pendant le balayage des paquets, ce qui entraîne une utilisation après libération lorsque tcf_exts_exec() est appelé avec le tcf_ext détruit. Un pirate informatique local peut exploiter cette faille pour élever ses privilèges au niveau racine.

Deux nouvelles failles (CVE-2023-1281, CVE-2023-1829) ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges au niveau racine du nœud.

GKE sur Bare Metal n'est pas affecté par cette faille CVE.

Que dois-je faire ?

Aucune action n'est requise.

Mise à jour du 21/12/2023: le bulletin d'origine indiquait que les clusters Autopilot sont affectés, mais ce n'était pas le bon. Les clusters GKE Autopilot ne sont pas affectés dans la configuration par défaut, mais ils peuvent être vulnérables si vous définissez explicitement le profil Unconfined seccomp ou autorisez CAP_NET_ADMIN.

Deux nouvelles failles, CVE-2023-0240 et CVE-2023-23586, ont été découvertes dans le noyau Linux. Elles pourraient permettre à un utilisateur non privilégié d'élever ses privilèges. Les clusters GKE, y compris les clusters Autopilot, avec COS utilisant le noyau Linux 5.10 jusqu'à la version 5.10.162 sont affectés. Les clusters GKE utilisant des images Ubuntu ou GKE Sandbox ne sont pas affectés.

Que dois-je faire ?

Les versions suivantes de GKE ont été mises à jour avec du code pour corriger ces failles. Pour des raisons de sécurité, même si la mise à niveau automatique des nœuds est activée, nous vous recommandons de mettre à niveau manuellement vos pools de nœuds vers l'une des versions de GKE suivantes:

• 1.22.17-gke.4000
• 1.23.16-gke.1100
• 1.24.10-gke.1200

Une fonctionnalité récente des versions disponibles vous permet d'appliquer un correctif sans avoir à vous désabonner d'une version. Cela vous permet de sécuriser vos nœuds jusqu'à ce que la nouvelle version devienne la version par défaut de votre version spécifique.

Quelles failles ce correctif permet-il de résoudre ?

Vulnérabilité 1 (CVE-2023-0240): une condition de concurrence dans io_uring peut entraîner l'accès à l'intégralité du conteneur à la racine du nœud. Les versions de noyau Linux 5.10 sont affectées jusqu'à la version 5.10.162.

Vulnérabilité 2 (CVE-2023-23586): une utilisation après libération (UAF) dans io_uring/time_ns peut entraîner l'apparition d'un conteneur complet dans la racine sur le nœud. Les versions de noyau Linux 5.10 sont affectées jusqu'à la version 5.10.162.

Deux nouvelles failles, CVE-2023-0240 et CVE-2023-23586, ont été découvertes dans le noyau Linux. Elles pourraient permettre à un utilisateur non privilégié d'élever ses privilèges. Les clusters GKE sur VMware avec COS utilisant le noyau Linux 5.10 jusqu'à la version 5.10.162 sont affectés. Les clusters GKE Enterprise utilisant des images Ubuntu ne sont pas affectés.

Que dois-je faire ?

Les versions suivantes de GKE sur VMware ont été mises à jour avec du code pour corriger ces failles:

• 1.12.6
• 1.13.5

Quelles failles ce correctif permet-il de résoudre ?

Vulnérabilité 1 (CVE-2023-0240): une condition de concurrence dans io_uring peut entraîner l'accès à la racine du conteneur sur le nœud. Les versions de noyau Linux 5.10 sont affectées jusqu'à la version 5.10.162.

Vulnérabilité 2 (CVE-2023-23586): une utilisation après libération (UAF) dans io_uring/time_ns peut entraîner l'accès à l'intégralité du conteneur à la racine du nœud. Les versions de noyau Linux 5.10 sont affectées jusqu'à la version 5.10.162.

Deux nouvelles failles, CVE-2023-0240 et CVE-2023-23586, ont été découvertes dans le noyau Linux. Elles pourraient permettre à un utilisateur non privilégié d'élever ses privilèges. GKE sur AWS n'est pas affecté par ces failles CVE.

Que dois-je faire ?

Aucune action n'est requise.

Deux nouvelles failles, CVE-2023-0240 et CVE-2023-23586, ont été découvertes dans le noyau Linux. Elles pourraient permettre à un utilisateur non privilégié d'élever ses privilèges. GKE sur Azure n'est pas affecté par ces failles CVE

Que dois-je faire ?

Aucune action n'est requise.

Deux nouvelles failles, CVE-2023-0240 et CVE-2023-23586, ont été découvertes dans le noyau Linux. Elles pourraient permettre à un utilisateur non privilégié d'élever ses privilèges. GKE sur Bare Metal n'est pas affecté par ces failles CVE.

Que dois-je faire ?

Aucune action n'est requise.

Mise à jour du 21/12/2023: le bulletin d'origine indiquait que les clusters Autopilot sont affectés, mais ce n'était pas le bon. Les clusters GKE Autopilot ne sont pas affectés dans la configuration par défaut, mais ils peuvent être vulnérables si vous définissez explicitement le profil Unconfined seccomp ou autorisez CAP_NET_ADMIN.

Une nouvelle faille (CVE-2022-4696) a été détectée dans le noyau Linux et peut entraîner une élévation des privilèges sur le nœud. Les clusters GKE, dont les clusters Autopilot, sont affectés. Les clusters GKE utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Les versions suivantes de GKE ont été mises à jour avec du code pour corriger cette faille. Pour des raisons de sécurité, même si la mise à niveau automatique des nœuds est activée, nous vous recommandons de mettre à niveau manuellement vos clusters et vos pools de nœuds vers l'une des versions de GKE suivantes:

• 1.22.17-gke.3100
• 1.23.16-gke.200
• 1.24.9-gke.3200

Une fonctionnalité récente des versions disponibles vous permet d'appliquer un correctif sans avoir à vous désabonner d'une version. Cela vous permet de sécuriser vos nœuds jusqu'à ce que la nouvelle version devienne la version par défaut de votre version spécifique.

Quelles failles ce correctif permet-il de résoudre ?

Avec CVE-2022-4696, une faille "use-after-free" a été détectée dans io_uring et ioring_op_splice dans le noyau Linux. Cette faille permet à un utilisateur local de créer une élévation des privilèges au niveau local.

Une nouvelle faille (CVE-2022-4696) a été détectée dans le noyau Linux et peut entraîner une élévation des privilèges sur le nœud. Les versions 1.12 et 1.13 de GKE sur VMware sont affectées. Les clusters GKE sur VMware exécutant la version 1.14 ou ultérieure ne sont pas concernés.

Que dois-je faire ?

Les versions suivantes de GKE sur VMware ont été mises à jour avec du code permettant de corriger cette faille. Nous vous recommandons de mettre à niveau vos clusters d'administrateur et d'utilisateur vers l'une des versions suivantes de GKE sur VMware:

• 1.12.5
• 1.13.5

Quelles failles ce correctif permet-il de résoudre ?

Avec CVE-2022-4696, une faille "use-after-free" a été détectée dans io_uring et ioring_op_splice dans le noyau Linux. Cette faille permet à un utilisateur local de créer une élévation des privilèges au niveau local.

Une nouvelle faille (CVE-2022-4696) a été détectée dans le noyau Linux et peut entraîner une élévation des privilèges sur le nœud. GKE sur AWS n'est pas affecté par cette faille.

Que dois-je faire ?

Aucune action n'est requise.

Une nouvelle faille (CVE-2022-4696) a été détectée dans le noyau Linux et peut entraîner une élévation des privilèges sur le nœud. GKE sur Azure n'est pas affecté par cette faille.

Que dois-je faire ?

Aucune action n'est requise.

Une nouvelle faille (CVE-2022-4696) a été détectée dans le noyau Linux et peut entraîner une élévation des privilèges sur le nœud. GKE sur Bare Metal n'est pas affecté par cette faille.

Que dois-je faire ?

Aucune action n'est requise.

Deux nouvelles failles (CVE-2022-3786 et CVE-2022-3602) ont été découvertes dans OpenSSL v3.0.6. Elles peuvent potentiellement entraîner un plantage. Bien qu'il ait été classé dans la catégorie "Élevée" dans la base de données NVD, les points de terminaison GKE utilisent boringSSL ou une version plus ancienne d'OpenSSL qui n'est pas affectée. Le classement a donc été réduit à "Moyenne" pour GKE.

Que dois-je faire ?

Les versions suivantes de GKE ont été mises à jour avec du code pour corriger cette faille:

• 1.25.4-gke.1600
• 1.24.8-gke.401
• 1.23.14-gke.401
• 1.22.16-gke.1300
• 1.21.14-gke.14100

Une fonctionnalité récente des versions disponibles vous permet d'appliquer un correctif sans avoir à vous désabonner d'une version. Cela vous permet de sécuriser vos nœuds jusqu'à ce que la nouvelle version devienne la version par défaut de votre version spécifique.

Quelles failles ce correctif permet-il de résoudre ?

Avec les failles CVE-2022-3786 et CVE-2022-3602, un dépassement de mémoire tampon peut être déclenché lors de la vérification du certificat X.509, ce qui peut entraîner un plantage entraînant un déni de service. Pour pouvoir être exploitée, cette faille nécessite qu'une autorité de certification ait signé un certificat malveillant ou qu'une application poursuive la vérification du certificat malgré l'échec de la construction d'un chemin d'accès vers un émetteur de confiance.

Deux nouvelles failles (CVE-2022-3786 et CVE-2022-3602) ont été découvertes dans OpenSSL v3.0.6 et peuvent potentiellement entraîner un plantage.

Que dois-je faire ?

GKE sur VMware n'est pas affecté par cette faille CVE, car il n'utilise pas de version concernée d'OpenSSL.

Quelles failles ce correctif permet-il de résoudre ?

Aucune action n'est requise.

Deux nouvelles failles (CVE-2022-3786 et CVE-2022-3602) ont été découvertes dans OpenSSL v3.0.6 et peuvent potentiellement entraîner un plantage.

Que dois-je faire ?

GKE sur AWS n'est pas affecté par cette faille CVE, car il n'utilise pas une version affectée d'OpenSSL.

Quelles failles ce correctif permet-il de résoudre ?

Aucune action n'est requise.

Deux nouvelles failles (CVE-2022-3786 et CVE-2022-3602) ont été découvertes dans OpenSSL v3.0.6 et peuvent potentiellement entraîner un plantage.

Que dois-je faire ?

GKE sur Azure n'est pas affecté par cette faille CVE, car il n'utilise pas une version affectée d'OpenSSL.

Quelles failles ce correctif permet-il de résoudre ?

Aucune action n'est requise.

Deux nouvelles failles (CVE-2022-3786 et CVE-2022-3602) ont été découvertes dans OpenSSL v3.0.6 et peuvent potentiellement entraîner un plantage.

Que dois-je faire ?

GKE sur Bare Metal n'est pas affecté par cette faille CVE, car il n'utilise pas une version concernée d'OpenSSL.

Quelles failles ce correctif permet-il de résoudre ?

Aucune action n'est requise.

Mise à jour du 21/12/2023: le bulletin d'origine indiquait que les clusters Autopilot sont affectés, mais ce n'était pas le bon. Les clusters GKE Autopilot ne sont pas affectés dans la configuration par défaut, mais ils peuvent être vulnérables si vous définissez explicitement le profil Unconfined seccomp ou autorisez CAP_NET_ADMIN.

Une nouvelle faille (CVE-2022-2602) a été découverte dans le sous-système "io_uring" du noyau Linux. Elle peut permettre à un pirate informatique d'exécuter du code arbitraire. Les clusters GKE, dont les clusters Autopilot, sont affectés.

Les clusters GKE utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Mise à jour du 19/01/2023:la version 1.21.14-gke.14100 est disponible. Mettez à niveau vos pools de nœuds vers cette version ou une version ultérieure.

Les versions suivantes de GKE ont été mises à jour avec du code pour corriger cette faille dans une prochaine version. Pour des raisons de sécurité, même si la mise à niveau automatique des nœuds est activée, nous vous recommandons de mettre à niveau manuellement vos pools de nœuds vers l'une des versions de GKE suivantes:

• Container-Optimized OS:
  • 1.22.16-gke.1300 et versions ultérieures
  • 1.23.14-gke.401 et versions ultérieures
  • 1.24.7-gke.900 et versions ultérieures
  • 1.25.4-gke.1600 et versions ultérieures
• Ubuntu:
• 1.22.15-gke.2500 et versions ultérieures
• 1.23.13-gke.900 et versions ultérieures
• 1.24.7-gke.900 et versions ultérieures
• 1.25.3-gke.800 et versions ultérieures

Une fonctionnalité récente des versions disponibles vous permet d'appliquer un correctif sans avoir à vous désabonner d'une version. Cela vous permet de sécuriser vos nœuds jusqu'à ce que la nouvelle version devienne la version par défaut de votre version spécifique.

Quelles failles ce correctif permet-il de résoudre ?

Avec CVE-2022-2602, une condition de concurrence entre le traitement des requêtes io_uring et la récupération de mémoire du socket Unix peut entraîner une faille d'utilisation après libération. Un pirate informatique local pourrait l'utiliser pour déclencher un déni de service ou éventuellement exécuter du code arbitraire.

Une nouvelle faille (CVE-2022-2602) a été découverte dans le sous-système "io_uring" du noyau Linux. Elle peut permettre à un pirate informatique d'exécuter du code arbitraire.

Les versions 1.11, 1.12 et 1.13 de GKE sur VMware sont concernées.

Que dois-je faire ?

Mettez à niveau votre cluster vers une version corrigée. Les versions suivantes de GKE sur VMware contiennent du code qui corrige cette faille:

• 1.13.2
• 1.12.4
• 1.11.5

Quelles failles ce correctif permet-il de résoudre ?

Avec CVE-2022-2602, une condition de concurrence entre le traitement des requêtes io_uring et la récupération de mémoire du socket Unix peut entraîner une faille d'utilisation après libération. Un pirate informatique local pourrait l'utiliser pour déclencher un déni de service ou éventuellement exécuter du code arbitraire.

Une nouvelle faille (CVE-2022-2602) a été découverte dans le sous-système "io_uring" du noyau Linux. Elle peut permettre à un pirate informatique d'exécuter du code arbitraire.

Que dois-je faire ?

Les versions actuelles et précédentes de GKE sur AWS ont été mises à jour avec du code pour corriger cette faille. Nous vous recommandons de mettre à niveau vos nœuds vers l'une des versions suivantes de GKE sur AWS:

• Génération actuelle:
  • 1.22.15-gke.100
  • 1.23.11-gke.300
  • 1.24.5-gke.200
• Génération précédente:
• 1.22.15-gke.1400
• 1.23.12-gke.1400
• 1.24.6-gke.1300

Quelles failles ce correctif permet-il de résoudre ?

Avec CVE-2022-2602, une condition de concurrence entre le traitement des requêtes io_uring et la récupération de mémoire du socket Unix peut entraîner une faille d'utilisation après libération. Un pirate informatique local pourrait l'utiliser pour déclencher un déni de service ou éventuellement exécuter du code arbitraire.

Une nouvelle faille (CVE-2022-2602) a été découverte dans le sous-système "io_uring" du noyau Linux. Elle peut permettre à un pirate informatique d'exécuter du code arbitraire.

Que dois-je faire ?

Les versions suivantes de GKE sur Azure ont été mises à jour avec du code permettant de corriger cette faille. Nous vous recommandons de mettre à niveau vos nœuds vers l'une des versions suivantes de GKE sur Azure:

• 1.22.15-gke.100
• 1.23.11-gke.300
• 1.24.5-gke.200

Quelles failles ce correctif permet-il de résoudre ?

Avec CVE-2022-2602, une condition de concurrence entre le traitement des requêtes io_uring et la récupération de mémoire du socket Unix peut entraîner une faille d'utilisation après libération. Un pirate informatique local pourrait l'utiliser pour déclencher un déni de service ou éventuellement exécuter du code arbitraire.

Une nouvelle faille (CVE-2022-2602) a été découverte dans le sous-système "io_uring" du noyau Linux. Elle peut permettre à un pirate informatique d'exécuter du code arbitraire.

GKE sur Bare Metal n'est pas affecté par cette faille CVE, car il n'inclut pas de système d'exploitation dans sa distribution.

Que dois-je faire ?

Aucune action n'est requise.

Deux nouvelles failles (CVE-2022-2585 et CVE-2022-2588) ont été découvertes dans le noyau Linux. Elles peuvent entraîner l'apparition d'un conteneur complet en mode root sur le nœud. Les clusters GKE, dont les clusters Autopilot, sont affectés.

Les clusters GKE utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Mise à jour du 19/01/2023:la version 1.21.14-gke.14100 est disponible. Mettez à niveau vos pools de nœuds vers cette version ou une version ultérieure.

Mise à jour du 16/12/2022:une version précédente du bulletin a été révisée en raison d'une régression de version. Veuillez mettre à niveau manuellement vos pools de nœuds vers l'une des versions de GKE suivantes:

• 1.22.16-gke.1300 et versions ultérieures
• 1.23.14-gke.401 et versions ultérieures
• 1.24.7-gke.900 et versions ultérieures
• 1.25.4-gke.1600 et versions ultérieures

Les versions suivantes de GKE ont été mises à jour avec du code pour corriger cette faille. Pour des raisons de sécurité, même si la mise à niveau automatique des nœuds est activée, nous vous recommandons de mettre à niveau manuellement vos pools de nœuds vers l'une des versions de GKE suivantes:

• 1.21.14-gke.9500
• 1.24.7-gke.900

Les mises à jour pour GKE v1.22, 1.23 et 1.25 seront bientôt disponibles. Ce bulletin de sécurité sera mis à jour dès qu'il sera disponible.

Une fonctionnalité récente des canaux de publication vous permet d'appliquer un correctif sans avoir à vous désabonner d'un canal. Cela vous permet de sécuriser vos nœuds jusqu'à ce que la nouvelle version devienne la version par défaut de votre canal de publication.

Quelles failles ce correctif permet-il de résoudre ?

• Avec la faille CVE-2022-2585, un nettoyage incorrect des minuteurs dans le minuteur de processeur POSIX permet un exploit "use-after-free" en fonction de la manière dont ils sont créés et supprimés.
• Avec CVE-2022-2588, une faille "use-after-free" a été détectée dans route4_change dans le kernel Linux. Cette faille permet à un utilisateur local de faire planter le système et éventuellement d'entraîner une élévation des privilèges au niveau local.

Deux nouvelles failles (CVE-2022-2585 et CVE-2022-2588) ont été découvertes dans le noyau Linux. Elles peuvent entraîner l'apparition d'un conteneur complet en mode root sur le nœud.

Les versions 1.13, 1.12 et 1.11 de GKE sur VMware sont concernées.

Que dois-je faire ?

Mise à jour du 16/12/2022:les versions suivantes de GKE sur VMware ont été mises à jour avec du code pour corriger cette faille. Nous vous recommandons de mettre à niveau vos clusters d'administrateur et d'utilisateur vers l'une des versions suivantes de GKE sur VMware:

• 1.13.2
• 1.12.4
• 1.11.6

• Remarque: Les versions de GKE sur VMware qui contiennent des correctifs Container-Optimized OS seront bientôt disponibles. Ce bulletin de sécurité sera mis à jour lorsque les versions de GKE sur VMware seront disponibles en téléchargement.

Quelles failles ce correctif permet-il de résoudre ?

• Avec la faille CVE-2022-2585, un nettoyage incorrect des minuteurs dans le minuteur de processeur POSIX permet un exploit "use-after-free" en fonction de la manière dont ils sont créés et supprimés.
• Avec CVE-2022-2588, une faille "use-after-free" a été détectée dans route4_change dans le kernel Linux. Cette faille permet à un utilisateur local de faire planter le système et éventuellement d'entraîner une élévation des privilèges au niveau local.

Deux nouvelles failles (CVE-2022-2585 et CVE-2022-2588) ont été découvertes dans le noyau Linux. Elles peuvent entraîner l'apparition d'un conteneur complet en mode root sur le nœud.

Les versions suivantes de Kubernetes sur AWS peuvent être affectées:

• 1.23: versions antérieures à 1.23.9-gke.800. Les versions mineures plus récentes ne sont pas concernées
• 1.22: versions antérieures à 1.22.12-gke.1100. Les versions mineures plus récentes ne sont pas concernées

Kubernetes v1.24 n'est pas affecté.

Que dois-je faire ?

Nous vous recommandons de mettre à niveau vos clusters vers l'une des versions AWS Kubernetes suivantes:

• 1.23: version ultérieure à v1.23.9-gke.800
• 1.22: version ultérieure à 1.22.12-gke-1100

Quelles failles sont corrigées ?

Avec la faille CVE-2022-2585, un nettoyage incorrect des minuteurs dans le minuteur de processeur POSIX permet un exploit "use-after-free" en fonction de la manière dont ils sont créés et supprimés.

Avec CVE-2022-2588, une faille "use-after-free" a été détectée dans route4_change dans le kernel Linux. Cette faille permet à un utilisateur local de faire planter le système et éventuellement d'entraîner une élévation des privilèges au niveau local.

Deux nouvelles failles (CVE-2022-2585 et CVE-2022-2588) ont été découvertes dans le noyau Linux. Elles peuvent entraîner l'apparition d'un conteneur complet en mode root sur le nœud.

Les versions suivantes de Kubernetes sur Azure peuvent être affectées:

• 1.23: versions antérieures à 1.23.9-gke.800. Les versions mineures plus récentes ne sont pas concernées.
• 1.22: versions antérieures à 1.22.12-gke.1100. Les versions mineures plus récentes ne sont pas concernées.

Kubernetes v1.24 n'est pas affecté.

Que dois-je faire ?

Nous vous recommandons de mettre à niveau vos clusters vers l'une des versions Azure de Kubernetes suivantes:

• 1.23: version ultérieure à v1.23.9-gke.800
• 1.22: version ultérieure à 1.22.12-gke-1100

Quelles failles sont corrigées ?

Avec la faille CVE-2022-2585, un nettoyage incorrect des minuteurs dans le minuteur de processeur POSIX permet un exploit "use-after-free" en fonction de la manière dont ils sont créés et supprimés.

Avec CVE-2022-2588, une faille "use-after-free" a été détectée dans route4_change dans le kernel Linux. Cette faille permet à un utilisateur local de faire planter le système et éventuellement d'entraîner une élévation des privilèges au niveau local.

Deux nouvelles failles (CVE-2022-2585 et CVE-2022-2588) ont été découvertes dans le noyau Linux. Elles peuvent entraîner l'apparition d'un conteneur complet en mode root sur le nœud.

GKE sur Bare Metal n'est pas affecté par cette faille CVE, car il n'inclut pas de système d'exploitation dans sa distribution.

Que dois-je faire ?

Aucune action n'est requise.

Une faille de sécurité, CVE-2022-39278, a été découverte dans Istio. Il est utilisé dans Cloud Service Mesh et permet à un pirate informatique malveillant de faire planter le plan de contrôle.

Que dois-je faire ?

Google Kubernetes Engine (GKE) n'est pas fourni avec Istio et n'est pas affecté par cette faille. Toutefois, si vous avez installé Cloud Service Mesh ou Istio séparément sur votre cluster GKE, consultez GCP-2022-020, le bulletin de sécurité de Cloud Service Mesh sur cette CVE, pour en savoir plus.

Une faille de sécurité, CVE-2022-39278, a été découverte dans Istio. Il est utilisé dans Cloud Service Mesh dans GKE sur VMware, ce qui permet à un pirate informatique malveillant de faire planter le plan de contrôle Istio.

Que dois-je faire ?

Les versions suivantes de GKE sur VMware ont été mises à jour avec du code permettant de corriger cette faille. Nous vous recommandons de mettre à niveau vos clusters d'administrateur et d'utilisateur vers l'une des versions suivantes de GKE sur VMware:

• 1.11.4
• 1.12.3
• 1.13.1

Quelles failles ce correctif permet-il de résoudre ?

Avec la faille CVE-2022-39278, le plan de contrôle Istio, istiod, est vulnérable à une erreur de traitement des requêtes. Cela permet à un pirate informatique d'envoyer un message spécialement conçu à cet effet, qui entraîne le plantage du plan de contrôle lorsque le webhook de validation d'un cluster est exposé publiquement. Ce point de terminaison est desservi via le port TLS 15017, mais ne nécessite aucune authentification de la part du pirate informatique.

Une faille de sécurité, CVE-2022-39278, a été découverte dans Istio. Il est utilisé dans Cloud Service Mesh et permet à un pirate informatique malveillant de faire planter le plan de contrôle.

Que dois-je faire ?

GKE sur AWS n'est pas affecté par cette faille, et aucune action n'est requise.

Une faille de sécurité, CVE-2022-39278, a été découverte dans Istio. Il est utilisé dans Cloud Service Mesh et permet à un pirate informatique malveillant de faire planter le plan de contrôle.

Que dois-je faire ?

GKE sur Azure n'est pas affecté par cette faille, et aucune action n'est requise.

Une faille de sécurité, CVE-2022-39278, a été découverte dans Istio. Il est utilisé dans Cloud Service Mesh dans GKE sur Bare Metal, ce qui permet à un pirate informatique malveillant de faire planter le plan de contrôle Istio.

Que dois-je faire ?

Les versions suivantes de GKE sur Bare Metal ont été mises à jour avec du code pour corriger cette faille. Nous vous recommandons de mettre à niveau les clusters vers l'une des versions suivantes de GKE sur Bare Metal:

• 1.11.7
• 1.12.4
• 1.13.1

Quelles failles ce correctif permet-il de résoudre ?

Avec la faille CVE-2022-39278, le plan de contrôle Istio, istiod, est vulnérable à une erreur de traitement des requêtes. Cela permet à un pirate informatique d'envoyer un message spécialement conçu à cet effet, qui entraîne le plantage du plan de contrôle lorsque le webhook de validation d'un cluster est exposé publiquement. Ce point de terminaison est desservi via le port TLS 15017, mais ne nécessite aucune authentification de la part du pirate informatique.

Une nouvelle faille, CVE-2022-20409, a été découverte dans le noyau Linux et peut entraîner une élévation des privilèges locaux. Les clusters Google Kubernetes Engine (GKE) v1.22, v1.23 et v1.24, y compris les clusters Autopilot, qui utilisent les versions 93 et 97 de Container-Optimized OS sont affectés. Les autres versions de GKE compatibles ne sont pas affectées. Les clusters GKE utilisant GKE Sandbox ne sont pas affectés.

Que dois-je faire ?

Mise à jour du 14/12/2022:une version précédente du bulletin a été révisée en raison d'une régression de version. Veuillez mettre à niveau manuellement vos pools de nœuds vers l'une des versions de GKE suivantes:

• 1.22.15-gke.2500 et versions ultérieures
• 1.23.13-gke.900 et versions ultérieures
• 1.24.7-gke.900 et versions ultérieures

Les versions suivantes de GKE utilisant Container-Optimized OS 93 et 97 ont été mises à jour avec du code pour corriger cette faille dans une prochaine version. Pour des raisons de sécurité, même si les mises à niveau automatiques des nœuds sont activées, nous vous recommandons de mettre à niveau manuellement vos pools de nœuds vers l'une des versions de GKE suivantes:

• 1.22.15-gke.2300 et versions ultérieures
• 1.23.13-gke.700 et versions ultérieures
• 1.24.7-gke.700 et versions ultérieures

Une fonctionnalité récente des versions disponibles vous permet d'appliquer un correctif sans avoir à vous désabonner d'une version. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la nouvelle version devienne la version par défaut de votre version spécifique.

Quelles failles ce correctif permet-il de résoudre ?

Avec la CVE-2022-20409, le noyau Linux présente une faille dans io_identity_cow du sous-système io_uring. La mémoire peut être corrompue en raison d'une faille "Use-After-Free" (UAF). Un pirate informatique local pourrait utiliser cette corruption de mémoire pour un déni de service (plantage du système) ou éventuellement pour exécuter du code arbitraire.

Une nouvelle faille, CVE-2022-20409, a été découverte dans le noyau Linux et peut entraîner une élévation des privilèges locaux.

Que dois-je faire ?

Mise à jour du 14/12/2022:les versions suivantes de GKE sur VMware pour Ubuntu ont été mises à jour avec du code permettant de corriger cette faille. Nous vous recommandons de mettre à niveau vos nœuds vers l'une des versions suivantes de GKE sur VMware:

• 1.13.1 et versions ultérieures
• 1.12.3 et versions ultérieures
• 1.11.4 et versions ultérieures

Quelles failles ce correctif permet-il de résoudre ?

Avec la CVE-2022-20409, le noyau Linux présente une faille dans io_identity_cow du sous-système io_uring. La mémoire peut être corrompue en raison d'une faille "Use-After-Free" (UAF). Un pirate informatique local pourrait utiliser cette corruption de mémoire pour un déni de service (plantage du système) ou éventuellement pour exécuter du code arbitraire.

Une nouvelle faille, CVE-2022-20409, a été découverte dans le noyau Linux. Elle pourrait permettre à un utilisateur non privilégié d'obtenir un privilège d'exécution du système.

Que dois-je faire ?

Aucune action n'est requise de votre part. GKE sur AWS n'utilise pas les versions affectées du noyau Linux.

Quelles failles ce correctif permet-il de résoudre ?

Avec la CVE-2022-20409, le noyau Linux présente une faille dans io_identity_cow du sous-système io_uring. La mémoire peut être corrompue en raison d'une faille "Use-After-Free" (UAF). Un pirate informatique local pourrait utiliser cette corruption de mémoire pour un déni de service (plantage du système) ou éventuellement pour exécuter du code arbitraire.

Une nouvelle faille, CVE-2022-20409, a été découverte dans le noyau Linux. Elle pourrait permettre à un utilisateur non privilégié d'obtenir un privilège d'exécution du système.

Que dois-je faire ?

Aucune action n'est requise de votre part. GKE sur Azure n'utilise pas les versions affectées du noyau Linux.

Quelles failles ce correctif permet-il de résoudre ?

Avec la CVE-2022-20409, le noyau Linux présente une faille dans io_identity_cow du sous-système io_uring. La mémoire peut être corrompue en raison d'une faille "Use-After-Free" (UAF). Un pirate informatique local pourrait utiliser cette corruption de mémoire pour un déni de service (plantage du système) ou éventuellement pour exécuter du code arbitraire.

Une nouvelle faille, CVE-2022-20409, a été découverte dans le noyau Linux et peut entraîner une élévation des privilèges locaux.

Que dois-je faire ?

• Aucune action n'est requise de votre part. GKE sur Bare Metal n'est pas affecté par cette CVE, car il n'inclut pas de système d'exploitation dans sa distribution.

Une nouvelle faille, CVE-2022-3176, a été découverte dans le noyau Linux et peut entraîner une élévation des privilèges locaux. Cette faille permet à un utilisateur non privilégié d'accéder à la racine du conteneur sur le nœud.

Mise à jour du 21/12/2023: le bulletin d'origine indiquait que les clusters Autopilot sont affectés, mais ce n'était pas le bon. Les clusters GKE Autopilot ne sont pas affectés dans la configuration par défaut, mais ils peuvent être vulnérables si vous définissez explicitement le profil Unconfined seccomp ou autorisez CAP_NET_ADMIN.

Les clusters Google Kubernetes Engine (GKE) v1.21, y compris les clusters Autopilot, qui utilisent Container-Optimized OS version 89 sont affectés. Les versions ultérieures de GKE ne sont pas affectées. Tous les clusters Linux équipés d'Ubuntu sont concernés. Les clusters GKE utilisant GKE Sandbox ne sont pas affectés.

Que dois-je faire ?

Mise à jour du 19/01/2023:la version 1.21.14-gke.14100 est disponible. Mettez à niveau vos pools de nœuds vers cette version ou une version ultérieure.

Mise à jour du 15/12/2022:la version 1.21.14-gke.9400 est en attente de déploiement et peut être remplacée par un numéro de version plus élevé. Nous mettrons à jour ce document lorsque cette nouvelle version sera disponible.

Les versions suivantes de GKE ont été mises à jour avec du code pour corriger cette faille dans une prochaine version. Pour des raisons de sécurité, même si les mises à niveau automatiques des nœuds sont activées, nous vous recommandons de mettre à niveau manuellement vos pools de nœuds vers l'une des versions de GKE suivantes:

• Container-Optimized OS:
  • 1.21.14-gke.7100 et versions ultérieures
• Ubuntu:
• 1.21.14-gke.9400 et versions ultérieures
• 1.22.15-gke.2400 et versions ultérieures
• 1.23.13-gke.800 et versions ultérieures
• 1.24.7-gke.800 et versions ultérieures
• 1.25.3-gke.700 et versions ultérieures

Une fonctionnalité récente des versions disponibles vous permet d'appliquer un correctif sans avoir à vous désabonner d'une version. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la nouvelle version devienne la version par défaut de votre version spécifique.

Quelles failles ce correctif permet-il de résoudre ?

Avec CVE-2022-3176, le noyau Linux présente une faille dans le sous-système io_uring. L'absence de traitement POLLFREE peut entraîner des failles UAF (Use-After-Free) qui peuvent être utilisées pour l'élévation des privilèges.

Une nouvelle faille, CVE-2022-3176, a été découverte dans le noyau Linux et peut entraîner une élévation des privilèges locaux. Cette faille permet à un utilisateur non privilégié d'accéder à la racine du conteneur sur le nœud.

Que dois-je faire ?

• Les versions de GKE sur VMware avec Container-Optimized OS ne sont pas affectées.

Mise à jour du 21/11/2022:les versions suivantes de GKE sur VMware pour Ubuntu ont été mises à jour avec du code pour corriger cette faille. Nous vous recommandons de mettre à niveau vos nœuds vers l'une des versions suivantes de GKE sur VMware:

• 1.12.3 et versions ultérieures
• 1.13.1 et versions ultérieures
• 1.11.5 et versions ultérieures

Les versions de GKE sur VMware contenant des correctifs Ubuntu seront bientôt disponibles. Ce bulletin de sécurité sera mis à jour lorsque les versions de GKE sur VMware seront disponibles en téléchargement.

Quelles failles ce correctif permet-il de résoudre ?

Avec CVE-2022-3176, le noyau Linux présente une faille dans le sous-système io_uring. L'absence de traitement POLLFREE peut entraîner des failles UAF (Use-After-Free) qui peuvent être utilisées pour l'élévation des privilèges.

Une nouvelle faille, CVE-2022-3176, a été découverte dans le noyau Linux et susceptible d'entraîner une élévation des privilèges locaux. Cette faille permet à un utilisateur non privilégié d'atteindre la échappement du conteneur sur le nœud.

Que dois-je faire ?

Mise à jour du 21/11/2022 : les versions actuelles et précédentes de GKE sur AWS ont été mises à jour avec du code pour corriger cette faille. Nous vous recommandons de mettre à niveau vos nœuds vers l'une des versions suivantes de GKE sur AWS:

• 1.21.14-gke.7100
• 1.22.15-gke.100
• 1.23.11-gke.300
• 1.24.5-gke.200

• 1.22.15-gke.1400
• 1.23.12-gke.1400
• 1.24.6-gke.1300

Les versions de GKE sur AWS contenant des correctifs Ubuntu seront bientôt disponibles. Ce bulletin de sécurité sera mis à jour lorsque les versions de GKE sur AWS seront disponibles en téléchargement.

Quelles failles ce correctif permet-il de résoudre ?

Avec CVE-2022-3176, le noyau Linux présente une faille dans le sous-système io_uring. L'absence de traitement POLLFREE peut entraîner des failles UAF (Use-After-Free) qui peuvent être utilisées pour l'élévation des privilèges.

Une nouvelle faille, CVE-2022-3176, a été découverte dans le noyau Linux et susceptible d'entraîner une élévation des privilèges locaux. Cette faille permet à un utilisateur non privilégié d'atteindre la échappement du conteneur sur le nœud.

Que dois-je faire ?

Mise à jour du 21/11/2022 : les versions suivantes de GKE sur Azure ont été mises à jour avec du code pour corriger cette faille. Nous vous recommandons de mettre à niveau vos nœuds vers l'une des versions suivantes de GKE sur Azure:

• 1.21.14-gke.7100
• 1.22.15-gke.100
• 1.23.11-gke.300
• 1.24.5-gke.200

Les versions de GKE sur Azure contenant des correctifs Ubuntu seront bientôt disponibles. Ce bulletin de sécurité sera mis à jour lorsque les versions de GKE sur Azure seront disponibles en téléchargement.

Quelles failles ce correctif permet-il de résoudre ?

Avec CVE-2022-3176, le noyau Linux présente une faille dans le sous-système io_uring. L'absence de traitement POLLFREE peut entraîner des failles UAF (Use-After-Free) qui peuvent être utilisées pour l'élévation des privilèges.

Une nouvelle faille, CVE-2022-3176, a été découverte dans le noyau Linux et peut entraîner une élévation des privilèges locaux. Cette faille permet à un utilisateur non privilégié d'accéder à la racine du conteneur sur le nœud.

Que dois-je faire ?

Aucune action n'est requise. GKE sur Bare Metal n'est pas affecté par cette CVE, car il n'inclut pas de système d'exploitation dans sa distribution.

Une nouvelle faille (CVE-2022-2327) a été détectée dans le noyau Linux, qui peut entraîner l'élévation des privilèges locaux. Cette faille permet à un utilisateur non privilégié d'échapper complètement au conteneur pour arriver à la racine du nœud.

Détails techniques

Mise à jour du 21/12/2023: le bulletin d'origine indiquait que les clusters Autopilot sont affectés, mais ce n'était pas le bon. Les clusters GKE Autopilot ne sont pas affectés dans la configuration par défaut, mais ils peuvent être vulnérables si vous définissez explicitement le profil Unconfined seccomp ou autorisez CAP_NET_ADMIN.

Les clusters GKE, y compris les clusters Autopilot, avec Container-Optimized OS (COS) avec Linux Kernel version 5.10, sont concernés. Les clusters GKE utilisant des images Ubuntu ou GKE Sandbox ne sont pas affectés.

Que dois-je faire ?

Mettez à niveau vos clusters GKE vers une version incluant le correctif. Les images de nœuds Linux pour COS ont été mises à jour avec les versions de GKE utilisant ces versions COS.

Pour des raisons de sécurité, même si la mise à niveau automatique des nœuds est activée, nous vous recommandons de mettre à niveau manuellement vos pools de nœuds vers l'une des versions GKE suivantes :

Versions de COS

• 1.22.12-gke.300

• 1.23.8-gke.1900

• 1.24.2-gke.1900

Quelles failles ce correctif permet-il de résoudre ?

• CVE-2022-2327

Une nouvelle faille (CVE-2022-2327) a été détectée dans le noyau Linux, qui peut entraîner l'élévation des privilèges locaux. Cette faille permet à un utilisateur non privilégié d'échapper complètement au conteneur pour arriver à la racine du nœud.

Les clusters avec une image Container-Optimized OS (COS) utilisant les versions 1.10, 1.11 et 1.12 de GKE sur VMware sont affectés.

Que dois-je faire ?

Mise à jour du 14/09/2022:Les versions suivantes de GKE sur VMware contiennent du code qui corrige cette faille.

• 1.10.6 ou version ultérieure
• 1.11.3 ou version ultérieure
• 1.12.1 ou version ultérieure

Les versions de GKE sur VMware contenant des correctifs seront bientôt disponibles. Ce bulletin de sécurité sera mis à jour lorsque les versions de GKE sur VMware seront disponibles en téléchargement.

Quelles failles ce correctif permet-il de résoudre ?

• CVE-2022-2327

Avec CVE-2022-2327, le noyau Linux de la version 5.10 présente une faille dans le sous-système "io_uring", où diverses requêtes ne disposent pas de type d'élément (options). L'utilisation de ces requêtes sans spécifier les types d'éléments appropriés peut entraîner l'élévation des privilèges à la racine.

Une nouvelle faille (CVE-2022-2327) a été détectée dans le noyau Linux, qui peut entraîner l'élévation des privilèges locaux. Cette faille permet à un utilisateur non privilégié d'échapper complètement au conteneur pour arriver à la racine du nœud.

Que dois-je faire ?

Mise à jour du 14/09/2022:Les versions actuelles et antérieures de GKE sur AWS suivantes ont été mises à jour avec du code pour corriger cette faille. Nous vous recommandons de mettre à niveau vos nœuds vers l'une des versions suivantes de GKE sur AWS:

Génération actuelle

• 1.23.8-gke.1700
• 1.22.12-gke.200
• 1.21.14-gke.2100

Génération précédente

• 1.23.8-gke.2000
• 1.22.12-gke.300
• 1.21.14-gke.2100

Les versions de GKE sur AWS contenant des correctifs seront bientôt disponibles. Ce bulletin de sécurité sera mis à jour lorsque les versions de GKE sur AWS seront disponibles en téléchargement.

Quelles failles ce correctif permet-il de résoudre ?

• CVE-2022-2327

Avec CVE-2022-2327, le noyau Linux de la version 5.10 présente une faille dans le sous-système "io_uring", où diverses requêtes ne disposent pas de type d'élément (options). L'utilisation de ces requêtes sans spécifier les types d'éléments appropriés peut entraîner l'élévation des privilèges à la racine.

Une nouvelle faille (CVE-2022-2327) a été détectée dans le noyau Linux, qui peut entraîner l'élévation des privilèges locaux. Cette faille permet à un utilisateur non privilégié d'échapper complètement au conteneur pour arriver à la racine du nœud.

Que dois-je faire ?

Mise à jour du 14/09/2022:Les versions suivantes de GKE sur Azure ont été mises à jour avec du code pour corriger cette faille. Nous vous recommandons de mettre à niveau vos nœuds vers l'une des versions suivantes de GKE sur Azure:

• 1.23.8-gke.1700
• 1.22.12-gke.200
• 1.21.14-gke.2100

Les versions de GKE sur Azure contenant des correctifs seront bientôt disponibles. Ce bulletin de sécurité sera mis à jour lorsque les versions de GKE sur Azure seront disponibles en téléchargement.

Quelles failles ce correctif permet-il de résoudre ?

• CVE-2022-2327

Avec CVE-2022-2327, le noyau Linux de la version 5.10 présente une faille dans le sous-système "io_uring", où diverses requêtes ne disposent pas de type d'élément (options). L'utilisation de ces requêtes sans spécifier les types d'éléments appropriés peut entraîner l'élévation des privilèges à la racine.

Une nouvelle faille (CVE-2022-2327) a été détectée dans le noyau Linux, qui peut entraîner l'élévation des privilèges locaux. Cette faille permet à un utilisateur non privilégié d'échapper complètement au conteneur pour arriver à la racine du nœud.

Que dois-je faire ?

Aucune action n'est requise. Google Distributed Cloud Virtual for Bare Metal n'est pas affecté par cette CVE, car il n'inclut pas de système d'exploitation dans sa distribution.

Mise à jour du 22/11/2022:les charges de travail utilisant GKE Sandbox ne sont pas affectées par ces failles.

Une nouvelle faille (CVE-2022-1786) a été détectée dans les versions de noyau Linux 5.10 et 5.11. Cette faille permet à un utilisateur non privilégié disposant d'un accès local au cluster de s'échapper d'un conteneur pour obtenir un accès racine au nœud. Seuls les clusters qui exécutent Container-Optimized OS sont affectés. Les versions d'Ubuntu GKE utilisent la version 5.4 ou 5.15 du noyau et ne sont pas affectées.

Que dois-je faire ?

Les versions des images de nœuds Linux pour Container-Optimized OS pour les versions suivantes de GKE ont été mises à jour avec du code pour corriger cette faille. Pour des raisons de sécurité, même si la mise à niveau automatique des nœuds est activée, nous vous recommandons de mettre à niveau manuellement vos pools de nœuds vers l'une des versions futures de GKE ci-dessous :

• 1.22.10-gke.600
• 1.23.7-gke.1400
• 1.24.1-gke.1400

Une fonctionnalité récente des canaux de publication vous permet d'appliquer un correctif sans avoir à vous désabonner d'un canal. Cela vous permet de mettre à niveau vos nœuds vers la version corrigée avant que cette version ne devienne la version par défaut de la version disponible sélectionnée.

Quelles failles ce correctif permet-il de résoudre ?

La faille CVE-2022-1786 a révélé une faille après l'utilisation gratuite dans le sous-système io_uring du noyau Linux. Si un utilisateur configure un anneau avec IORING_SETUP_IOPOLL avec plusieurs tâches terminées sur l'anneau, un utilisateur local peut planter ou augmenter ses droits sur le système.

Une nouvelle faille (CVE-2022-1786) a été détectée dans les versions de noyau Linux 5.10 et 5.11. Cette faille permet à un utilisateur non privilégié disposant d'un accès local au cluster de s'échapper d'un conteneur pour obtenir un accès racine au nœud.

Que dois-je faire ?

Mise à jour du 21/07/2022:Les versions suivantes de GKE sur VMware contiennent du code qui corrige cette faille.

COS

• 1.10.5 ou ultérieure
• 1.11.2 ou ultérieure
• 1.12.0 ou ultérieure

Ubuntu

Aucune action n'est requise. GKE sur VMware n'utilise pas les versions affectées du noyau Linux.

Une nouvelle faille (CVE-2022-1786) a été détectée dans les versions de noyau Linux 5.10 et 5.11. Cette faille permet à un utilisateur non privilégié disposant d'un accès local au cluster de s'échapper d'un conteneur pour obtenir un accès racine au nœud.

Que dois-je faire ?

Aucune action n'est requise. GKE sur AWS n'utilise pas les versions affectées du noyau Linux.

Une nouvelle faille (CVE-2022-1786) a été détectée dans les versions de noyau Linux 5.10 et 5.11. Cette faille permet à un utilisateur non privilégié disposant d'un accès local au cluster de s'échapper d'un conteneur pour obtenir un accès racine au nœud.

Que dois-je faire ?

Aucune action n'est requise. GKE sur Azure n'utilise pas les versions affectées du noyau Linux.

Une nouvelle faille (CVE-2022-1786) a été détectée dans les versions de noyau Linux 5.10 et 5.11. Cette faille permet à un utilisateur non privilégié disposant d'un accès local au cluster de s'échapper d'un conteneur pour obtenir un accès racine au nœud.

Que dois-je faire ?

Aucune action n'est requise. Google Distributed Cloud Virtual for Bare Metal n'est pas affecté par cette faille CVE, car il n'inclut pas de système d'exploitation dans sa distribution.

Mise à jour du 22/11/2022:les clusters Autopilot ne sont pas affectés par CVE-2022-29581, mais sont vulnérables à CVE-2022-29582 et CVE-2022-1116.

Mise à jour du 29-07-2022 : les pods utilisant GKE Sandbox ne sont pas vulnérables à ces failles.

Trois nouvelles failles de corruption de mémoire (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) ont été détectées dans le noyau Linux. Ces failles permettent à un utilisateur non privilégié disposant d'un accès local au cluster de s'en échapper complètement pour arriver à la racine du nœud. Tous les clusters Linux (Container-Optimized OS et Ubuntu) sont affectés.

Que dois-je faire ?

Les versions des images de nœuds Linux pour Container-Optimized OS et Ubuntu pour les versions suivantes de GKE ont été mises à jour avec du code pour corriger cette faille. Pour des raisons de sécurité, même si la mise à niveau automatique des nœuds est activée, nous vous recommandons de mettre à niveau manuellement vos pools de nœuds vers l'une des versions de GKE suivantes :

• Container-Optimized OS:
  • 1.19.16-gke.13800
  • 1.20.15-gke.8000
  • 1.21.12-gke.1500
  • 1.22.9-gke.1300
  • 1.23.6-gke.1500
  • 1.24.1-gke.1400
• Ubuntu:
  • 1.20.15-gke.9600
  • 1.21.13-gke.900
  • 1.22.10-gke.600
  • 1.23.7-gke.1400
  • 1.24.1-gke.1400

Une fonctionnalité récente des canaux de publication vous permet d'appliquer un correctif sans avoir à vous désabonner d'un canal. Cela vous permet de mettre à niveau vos nœuds vers la version corrigée avant que cette version ne devienne la version par défaut de la version disponible sélectionnée.

Quelles failles ce correctif permet-il de résoudre ?

Avec la faille CVE-2022-29582, le noyau Linux des versions antérieures à 5.17.3 permet une utilisation après la période gratuite en raison d'une condition de concurrence dans les délais avant expiration io_uring.

Les failles CVE-2022-29581 et CVE-2022-1116 sont des failles qui permettent à un pirate informatique local de provoquer une corruption de mémoire dans io_uring ou net/sched dans le noyau Linux, et ainsi d'élever les privilèges au niveau racine.

Mise à jour du 29/07/2022:Les versions suivantes de GKE sur VMware contiennent du code qui corrige ces failles.

• 1.9.7 ou ultérieure
• 1.10.5 ou ultérieure
• 1.11.2 ou ultérieure
• 1.12.0 ou ultérieure

Trois nouvelles failles de corruption de mémoire (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) ont été détectées dans le noyau Linux. Ces failles permettent à un utilisateur non privilégié disposant d'un accès local au cluster de s'en échapper complètement pour arriver à la racine du nœud. Ces failles affectent GKE sur VMware v1.9 et versions ultérieures pour les images Container-Optimized OS et Ubuntu.

Que dois-je faire ?

Les versions de GKE sur VMware contenant des correctifs seront bientôt disponibles. Ce bulletin de sécurité sera mis à jour lorsque les versions de GKE sur VMware seront disponibles en téléchargement.

Quelles failles ce correctif permet-il de résoudre ?

Avec la faille CVE-2022-29582, le noyau Linux des versions antérieures à 5.17.3 permet une utilisation après la période gratuite en raison d'une condition de concurrence dans les délais avant expiration io_uring.

Les failles CVE-2022-29581 et CVE-2022-1116 sont des failles qui permettent à un pirate informatique local de provoquer une corruption de mémoire dans io_uring ou net/sched dans le noyau Linux, et ainsi d'élever les privilèges au niveau racine.

Mise à jour du 29/07/2022:Mise à jour: les versions actuelles et précédentes de GKE sur AWS ont été mises à jour avec du code pour corriger ces failles. Nous vous recommandons de mettre à niveau vos nœuds vers l'une des versions suivantes de GKE sur AWS:

Génération actuelle:

• 1.23.7-gke.1300
• 1.22.10-gke.1500
• 1.21.11-gke.1900

• 1.23.7-gke.1500
• 1.22.10-gke.1500
• 1.21.13-gke.1600

Trois nouvelles failles de corruption de mémoire (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) ont été détectées dans le noyau Linux. Ces failles permettent à un utilisateur non privilégié disposant d'un accès local au cluster de s'en échapper complètement pour arriver à la racine du nœud. Ces failles affectent toutes les versions de GKE sur AWS.

Que dois-je faire ?

Les versions de GKE sur AWS contenant des correctifs seront bientôt disponibles. Ce bulletin de sécurité sera mis à jour lorsque les versions de GKE sur AWS seront disponibles en téléchargement.

Quelles failles ce correctif permet-il de résoudre ?

Avec la faille CVE-2022-29582, le noyau Linux des versions antérieures à 5.17.3 permet une utilisation après la période gratuite en raison d'une condition de concurrence dans les délais avant expiration io_uring.

Les failles CVE-2022-29581 et CVE-2022-1116 sont des failles qui permettent à un pirate informatique local de provoquer une corruption de mémoire dans io_uring ou net/sched dans le noyau Linux, et ainsi d'élever les privilèges au niveau racine.

Mise à jour du 29/07/2022:Mise à jour: les versions suivantes de GKE sur Azure ont été mises à jour avec du code pour corriger ces failles. Nous vous recommandons de mettre à niveau vos nœuds vers l'une des versions suivantes de GKE sur Azure:

• 1.23.7-gke.1300
• 1.22.10-gke.1500
• 1.21.11-gke.1900

Trois nouvelles failles de corruption de mémoire (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) ont été détectées dans le noyau Linux. Ces failles permettent à un utilisateur non privilégié disposant d'un accès local au cluster de s'en échapper complètement pour arriver à la racine du nœud. Ces failles affectent toutes les versions de GKE sur Azure.

Que dois-je faire ?

Les versions de GKE sur Azure contenant des correctifs seront bientôt disponibles. Ce bulletin de sécurité sera mis à jour lorsque les versions de GKE sur Azure seront disponibles en téléchargement.

Quelles failles ce correctif permet-il de résoudre ?

Avec la faille CVE-2022-29582, le noyau Linux des versions antérieures à 5.17.3 permet une utilisation après la période gratuite en raison d'une condition de concurrence dans les délais avant expiration io_uring.

Les failles CVE-2022-29581 et CVE-2022-1116 sont des failles qui permettent à un pirate informatique local de provoquer une corruption de mémoire dans io_uring ou net/sched dans le noyau Linux, et ainsi d'élever les privilèges au niveau racine.

Trois nouvelles failles de corruption de mémoire (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) ont été détectées dans le noyau Linux. Ces failles permettent à un utilisateur non privilégié disposant d'un accès local au cluster de s'en échapper complètement pour arriver à la racine du nœud.

Que dois-je faire ?

Aucune action n'est requise. Google Distributed Cloud Virtual for Bare Metal n'est pas affecté par cette faille, car il n'inclut pas de système d'exploitation dans sa distribution.

Mise à jour du 22/11/2022:Les clusters GKE Autopilot et les charges de travail exécutées dans GKE Sandbox ne sont pas affectés par ces failles.

Deux failles de sécurité, CVE-2022-1055 et CVE-2022-27666, ont été détectées dans le noyau Linux. Chacune d'entre elles peut permettre à un pirate informatique local d'effectuer une interruption des conteneurs, une élévation des privilèges sur l'hôte, ou les deux. Ces failles affectent tous les systèmes d'exploitation du nœud GKE (Container-Optimized OS et Ubuntu).

Détails techniques

Dans la faille CVE-2022-1055, un pirate informatique peut exploiter la fonctionnalité use-after-free dans tc_new_tfilter(), ce qui permet à un pirate informatique local dans le conteneur d'élever les privilèges à la racine du nœud.

Dans la faille CVE-2022-27666, le débordement du tampon dans esp/esp6_output_head permet à un pirate informatique local dans le conteneur d'élever les privilèges à la racine du nœud.

Que dois-je faire ?

Les versions des images de nœuds Linux pour les versions suivantes de GKE ont été mises à jour avec du code pour corriger ces failles. Mettez à niveau vos clusters vers l'une des versions suivantes.

• 1.19.16-gke.11000 et versions ultérieures
• 1.20.15-gke.5200 et versions ultérieures
• 1.21.11-gke.1100 et versions ultérieures
• 1.22.8-gke.200 et versions ultérieures
• 1.23.5-gke.1500 et versions ultérieures

Quelles failles ce correctif permet-il de résoudre ?

• CVE-2022-1055
• CVE-2022-27666

Deux failles de sécurité, CVE-2022-1055 et CVE-2022-27666, ont été détectées dans le noyau Linux. Chacune d'entre elles peut permettre à un pirate informatique local d'effectuer une interruption des conteneurs, une élévation des privilèges sur l'hôte, ou les deux. Ces failles affectent tous les systèmes d'exploitation du nœud GKE (Container-Optimized OS et Ubuntu).

Détails techniques

Dans la faille CVE-2022-1055, un pirate informatique peut exploiter la fonctionnalité use-after-free dans tc_new_tfilter(), ce qui permet à un pirate informatique local dans le conteneur d'élever les privilèges à la racine du nœud.

Dans la faille CVE-2022-27666, le débordement du tampon dans esp/esp6_output_head permet à un pirate informatique local dans le conteneur d'élever les privilèges à la racine du nœud.

Que dois-je faire ?

Mettez à niveau votre cluster vers une version corrigée. Les versions suivantes de GKE sur VMware et les versions ultérieures contiennent le correctif de cette faille:

• 1.9.6 (à venir)
• 1.10.3
• 1.11.0 (à venir)

Quelles failles ce correctif permet-il de résoudre ?

• CVE-2022-1055
• CVE-2022-27666

Deux failles de sécurité, CVE-2022-1055 et CVE-2022-27666, ont été détectées dans le noyau Linux. Chacune d'entre elles peut permettre à un pirate informatique local d'effectuer une interruption des conteneurs, une élévation des privilèges sur l'hôte, ou les deux. Ces failles affectent tous les systèmes d'exploitation du nœud GKE (Container-Optimized OS et Ubuntu).

Détails techniques

Dans la faille CVE-2022-1055, un pirate informatique peut exploiter la fonctionnalité use-after-free dans tc_new_tfilter(), ce qui permet à un pirate informatique local dans le conteneur d'élever les privilèges à la racine du nœud.

Dans la faille CVE-2022-27666, le débordement du tampon dans esp/esp6_output_head permet à un pirate informatique local dans le conteneur d'élever les privilèges à la racine du nœud.

Que dois-je faire ?

Mise à jour du 12/05/2022 : Les versions actuelles et antérieures de GKE sur AWS suivantes ont été mises à jour avec du code pour corriger ces failles. Nous vous recommandons de mettre à niveau vos nœuds vers l'une des versions suivantes de GKE sur AWS:

• 1.21.11-gke.1100
• 1.22.8-gke.1300

• 1.20.15-gke.5200
• 1.21.11-gke.1100
• 1.22.8-gke.1300

Mettez à niveau votre cluster vers une version corrigée. Les correctifs seront disponibles dans une prochaine version. Ce bulletin sera mis à jour dès qu'ils seront disponibles.

Quelles failles ce correctif permet-il de résoudre ?

• CVE-2022-1055
• CVE-2022-27666

Deux failles de sécurité, CVE-2022-1055 et CVE-2022-27666, ont été détectées dans le noyau Linux. Chacune d'entre elles peut permettre à un pirate informatique local d'effectuer une interruption des conteneurs, une élévation des privilèges sur l'hôte, ou les deux. Ces failles affectent tous les systèmes d'exploitation du nœud GKE (Container-Optimized OS et Ubuntu).

Détails techniques

Dans la faille CVE-2022-1055, un pirate informatique peut exploiter la fonctionnalité use-after-free dans tc_new_tfilter(), ce qui permet à un pirate informatique local dans le conteneur d'élever les privilèges à la racine du nœud.

Dans la faille CVE-2022-27666, le débordement du tampon dans esp/esp6_output_head permet à un pirate informatique local dans le conteneur d'élever les privilèges à la racine du nœud.

Que dois-je faire ?

Mise à jour du 12/05/2022 : Les versions suivantes de GKE sur Azure ont été mises à jour avec du code pour corriger ces failles. Nous vous recommandons de mettre à niveau vos nœuds vers l'une des versions suivantes de GKE sur Azure:

• 1.21.11-gke.1100
• 1.22.8-gke.1300

Mettez à niveau votre cluster vers une version corrigée. Les correctifs seront disponibles dans une prochaine version. Ce bulletin sera mis à jour dès qu'ils seront disponibles.

Quelles failles ce correctif permet-il de résoudre ?

• CVE-2022-1055
• CVE-2022-27666

Deux failles de sécurité, CVE-2022-1055 et CVE-2022-27666, ont été détectées dans le noyau Linux. Chacune d'entre elles peut permettre à un pirate informatique local d'effectuer une interruption des conteneurs, une élévation des privilèges sur l'hôte, ou les deux. Ces failles affectent tous les systèmes d'exploitation du nœud GKE (Container-Optimized OS et Ubuntu).

Détails techniques

Dans la faille CVE-2022-1055, un pirate informatique peut exploiter la fonctionnalité use-after-free dans tc_new_tfilter(), ce qui permet à un pirate informatique local dans le conteneur d'élever les privilèges à la racine du nœud.

Dans la faille CVE-2022-27666, le débordement du tampon dans esp/esp6_output_head permet à un pirate informatique local dans le conteneur d'élever les privilèges à la racine du nœud.

Que dois-je faire ?

Aucune action n'est requise. Google Distributed Cloud Virtual for Bare Metal n'est pas affecté par cette CVE, car il n'inclut pas Linux dans son package. Vous devez vous assurer que les images de nœud que vous utilisez sont mises à jour vers les versions contenant les correctifs pour CVE-2022-1055 et CVE-2022-27666.

Quelles failles ce correctif permet-il de résoudre ?

• CVE-2022-1055
• CVE-2022-27666

Une faille de sécurité, CVE-2022-23648, a été détectée dans la gestion du balayage de chemin d'accès de containerd dans la spécification du volume d'images OCI. Les conteneurs lancés via l'implémentation CRI de containerd avec une configuration d'image spécialement conçue à cet effet peuvent bénéficier d'un accès en lecture complet aux fichiers et répertoires arbitraires de l'hôte.

Cette faille peut contourner toute application basée sur des règles lors de la configuration du conteneur (y compris une stratégie de sécurité des pods Kubernetes). Cette faille affecte tous les systèmes d'exploitation de nœud GKE (Container-Optimized OS et Ubuntu) qui utilisent containerd par défaut. Tous les nœuds GKE, Autopilot et GKE Sandbox sont affectés.

Que dois-je faire ?

Les versions des images de nœuds Linux pour les versions suivantes de GKE ont été mises à jour avec du code pour corriger cette faille. Pour des raisons de sécurité, même si la mise à niveau automatique des nœuds est activée, nous vous recommandons de mettre à niveau manuellement vos nœuds vers l'une des versions de GKE suivantes :

• 1.19.16-gke.9400
• 1.20.15-gke.3600
• 1.21.10-gke.1500
• 1.22.7-gke.1500
• 1.23.4-gke.1500

Une fonctionnalité récente des canaux de publication vous permet d'appliquer un correctif sans avoir à vous désabonner d'un canal. Cela vous permet de sécuriser vos nœuds jusqu'à ce que la nouvelle version devienne la version par défaut de votre canal de publication.

Une faille de sécurité, CVE-2022-23648, a été détectée dans la gestion du balayage de chemin d'accès de containerd dans la spécification du volume d'images OCI. Les conteneurs lancés via l'implémentation CRI de containerd avec une configuration d'image spécialement conçue à cet effet peuvent bénéficier d'un accès en lecture complet aux fichiers et répertoires arbitraires de l'hôte.

Cette faille peut contourner toute application basée sur des règles lors de la configuration du conteneur (y compris une stratégie de sécurité des pods Kubernetes). Cette faille affecte tous les GKE sur VMware sur lesquels Stackdriver est activé, qui utilise containerd. Les versions 1.8, 1.9 et 1.10 de GKE sur VMware sont affectées

Que dois-je faire ?

Mise à jour du 22/04/2022 : Les versions suivantes de GKE sur VMware contiennent du code qui corrige cette faille.

• Version 1.9.5 ou ultérieure
• Version 1.10.3 ou ultérieure
• Version 1.11.0 ou ultérieure

Les versions suivantes de GKE sur VMware ont été mises à jour avec du code pour corriger cette faille. Nous vous recommandons de mettre à niveau vos nœuds vers l'une des versions suivantes de GKE sur VMware:

• Version 1.8.8 ou ultérieure
• Version 1.9.5 ou ultérieure
• Version 1.10.2 ou ultérieure

Cette faille CVE peut être atténuée en définissant IgnoreImageDefinedVolumes sur "true".

Une faille de sécurité, CVE-2022-23648, a été détectée dans la gestion du balayage de chemin d'accès de containerd dans la spécification du volume d'images OCI. Les conteneurs lancés via l'implémentation CRI de containerd avec une configuration d'image spécialement conçue à cet effet peuvent bénéficier d'un accès en lecture complet aux fichiers et répertoires arbitraires de l'hôte.

Cette faille peut contourner toute application basée sur des règles lors de la configuration du conteneur (y compris une stratégie de sécurité des pods Kubernetes). Toutes les versions de GKE sur AWS sont concernées.

Que dois-je faire ?

Les versions suivantes de GKE sur AWS ont été mises à jour avec du code pour corriger cette faille. Nous vous recommandons de mettre à niveau vos nœuds vers l'une des versions suivantes de GKE sur AWS.

GKE sur AWS (génération actuelle)

• Version 1.22 : 1.22.8-gke.200
• Version 1.21 : 1.21.11-gke.100

GKE sur AWS (génération précédente)

• Version 1.22 : 1.22.8-gke.300
• Version 1.21 : 1.21.11-gke.100
• Version 1.20 : 1.20.15-gke.2200

Cette faille CVE peut être atténuée en définissant IgnoreImageDefinedVolumes sur "true".

Une faille de sécurité, CVE-2022-23648, a été détectée dans la gestion du balayage de chemin d'accès de containerd dans la spécification du volume d'images OCI. Les conteneurs lancés via l'implémentation CRI de containerd avec une configuration d'image spécialement conçue à cet effet peuvent bénéficier d'un accès en lecture complet aux fichiers et répertoires arbitraires de l'hôte.

Cette faille peut contourner toute application basée sur des règles lors de la configuration du conteneur (y compris une stratégie de sécurité des pods Kubernetes). Toutes les versions de GKE sur Azure sont concernées.

Que dois-je faire ?

Les versions suivantes de GKE sur Azure ont été mises à jour avec du code pour corriger cette faille. Nous vous recommandons de mettre à jour vos nœuds comme suit :

• Version 1.22 : 1.22.8-gke.200
• Version 1.21 : 1.21.11-gke.100

Cette faille CVE peut être atténuée en définissant IgnoreImageDefinedVolumes sur "true".

Une faille de sécurité, CVE-2022-23648, a été détectée dans la gestion du balayage de chemin d'accès de containerd dans la spécification du volume d'images OCI. Les conteneurs lancés via l'implémentation CRI de containerd avec une configuration d'image spécialement conçue à cet effet peuvent bénéficier d'un accès en lecture complet aux fichiers et répertoires arbitraires de l'hôte.

Cette faille peut contourner toute application basée sur des règles lors de la configuration du conteneur (y compris une stratégie de sécurité des pods Kubernetes). Cette faille affecte tous les services Google Distributed Cloud Virtual for Bare Metal qui utilisent containerd. Les versions 1.8, 1.9 et 1.10 de Google Distributed Cloud Virtual for Bare Metal sont affectées

Que dois-je faire ?

Mise à jour du 22/04/2022 : Les versions suivantes de Google Distributed Cloud Virtual for Bare Metal contiennent du code qui corrige cette faille.

• Version 1.8.9 ou ultérieure
• Version 1.9.6 ou ultérieure
• Version 1.10.3 ou ultérieure
• Version 1.11.0 ou ultérieure

Les versions suivantes de Google Distributed Cloud Virtual for Bare Metal ont été mises à jour avec du code pour corriger cette faille. Nous vous recommandons de mettre à niveau vos nœuds vers l'une des versions suivantes de Google Distributed Cloud Virtual for Bare Metal:

• Version 1.8.8 ou ultérieure
• Version 1.9.5 ou ultérieure
• Version 1.10.2 ou ultérieure

Cette faille CVE peut être atténuée en définissant IgnoreImageDefinedVolumes sur "true".

Mise à jour du 22/11/2022:les charges de travail utilisant GKE Sandbox ne sont pas affectées par ces failles.

Une faille de sécurité, CVE-2022-0847, a été détectée dans les versions 5.8 et ultérieures du noyau Linux. Celle-ci peut potentiellement faire remonter les droits du conteneur à la racine. Cette faille affecte toutes les versions de pools de nœuds GKE v1.22 et ultérieures qui utilisent des images Container-Optimized OS (Container-Optimized OS 93 et versions ultérieures). Les pools de nœuds GKE qui utilisent le système d'exploitation Ubuntu ne sont pas affectés.

Que dois-je faire ?

Les versions des images de nœuds Linux pour les versions suivantes de GKE ont été mises à jour avec du code pour corriger cette faille. Pour des raisons de sécurité, même si la mise à niveau automatique des nœuds est activée, nous vous recommandons de mettre à niveau manuellement vos pools de nœuds vers l'une des versions de GKE suivantes :

• 1.22.7-gke.1500 et versions ultérieures
• 1.23.4-gke.1600 et versions ultérieures

Une fonctionnalité récente des canaux de publication vous permet d'appliquer une version de correctif d'autres canaux de publication sans avoir à vous désabonner d'un canal. Cela vous permet de sécuriser vos nœuds jusqu'à ce que la nouvelle version devienne la version par défaut de votre canal de publication.

Quelles failles ce correctif permet-il de résoudre ?

La faille CVE-2022-0847 concerne l'option PIPE_BUF_FLAG_CAN_MERGE qui a été introduite dans la version 5.8 du noyau Linux. Dans cette faille, le membre "flags" de la nouvelle structure du tampon de pipeline ne disposait pas de l'initialisation appropriée dans le noyau Linux. Un pirate informatique disposant d'un accès non privilégié en local peut utiliser cette faille pour écrire sur des pages du cache de pages sauvegardé par des fichiers en lecture seule et élever ses privilèges.

De nouvelles versions de Container-Optimized OS qui résolvent ce problème ont été intégrées aux versions mises à jour des pools de nœuds de GKE.

Une faille de sécurité, CVE-2022-0847, a été détectée dans les versions 5.8 et ultérieures du noyau Linux. Celle-ci peut potentiellement faire remonter les droits à la racine. Cette faille affecte GKE sur VMware v1.10 pour les images Container-Optimized OS. Actuellement, GKE sur VMware avec Ubuntu est sur la version de noyau 5.4 et n'est pas vulnérable à cette attaque.

Que dois-je faire ?

Les versions des images de nœuds Linux pour les versions suivantes de GKE sur VMware ont été mises à jour avec du code pour corriger cette faille. Nous vous recommandons de mettre à niveau vos clusters d'administrateur et d'utilisateur vers la version suivante de GKE sur VMware:

• 1.10.3

Quelles failles ce correctif permet-il de résoudre ?

La faille CVE-2022-0847 concerne l'option PIPE_BUF_FLAG_CAN_MERGE qui a été introduite dans la version 5.8 du noyau Linux. Dans cette faille, le membre "flags" de la nouvelle structure du tampon de pipeline ne disposait pas de l'initialisation appropriée dans le noyau Linux. Un pirate informatique disposant d'un accès non privilégié en local peut utiliser cette faille pour écrire sur des pages du cache de pages sauvegardé par des fichiers en lecture seule et élever ses privilèges.

De nouvelles versions de Container-Optimized OS qui résolvent ce problème ont été intégrées aux versions mises à jour de GKE sur VMware.

Une faille de sécurité, CVE-2022-0847, a été détectée dans les versions 5.8 et ultérieures du noyau Linux. Celle-ci peut potentiellement faire remonter les droits à la racine.

Cette faille affecte les clusters gérés de GKE sur AWS v1.21 et les clusters exécutés sur GKE sur AWS (génération précédente) v1.19, v1.20 et v1.21, qui utilisent Ubuntu.

Que dois-je faire ?

Les versions des images de nœuds Linux pour les versions suivantes de GKE sur AWS ont été mises à jour avec du code pour corriger cette faille.

Pour le service GKE géré sur AWS, nous vous recommandons de mettre à niveau vos clusters d'utilisateur et votre pool de nœuds vers l'une des versions suivantes:

• 1.21.11-gke.100

Pour GKE k-lite sur AWS, nous vous recommandons de mettre à niveau vos objets AWSManagementService, AWSCluster et AWSNodePool vers la version suivante:

• 1.21.11-gke.100
• 1.20.15-gke.2200

Quelles failles ce correctif permet-il de résoudre ?

La faille CVE-2022-0847 concerne l'option PIPE_BUF_FLAG_CAN_MERGE qui a été introduite dans la version 5.8 du noyau Linux. Dans cette faille, le membre "flags" de la nouvelle structure du tampon de pipeline ne disposait pas de l'initialisation appropriée dans le noyau Linux. Un pirate informatique disposant d'un accès non privilégié en local peut utiliser cette faille pour écrire sur des pages du cache de pages sauvegardé par des fichiers en lecture seule et élever ses privilèges.

Une faille de sécurité, CVE-2022-0847, a été détectée dans les versions 5.8 et ultérieures du noyau Linux. Celle-ci peut potentiellement faire remonter les droits à la racine. Cette faille affecte les clusters gérés de GKE sur Azure v1.21 qui utilisent Ubuntu.

Que dois-je faire ?

Les versions des images de nœuds Linux pour les versions suivantes de GKE sur Azure ont été mises à jour avec du code pour corriger cette faille. Nous vous recommandons de mettre à niveau vos clusters d'utilisateur et votre pool de nœuds vers la version suivante :

• 1.21.11-gke.100

Quelles failles ce correctif permet-il de résoudre ?

La faille CVE-2022-0847 concerne l'option PIPE_BUF_FLAG_CAN_MERGE qui a été introduite dans la version 5.8 du noyau Linux. Dans cette faille, le membre "flags" de la nouvelle structure du tampon de pipeline ne disposait pas de l'initialisation appropriée dans le noyau Linux. Un pirate informatique disposant d'un accès non privilégié en local peut utiliser cette faille pour écrire sur des pages du cache de pages sauvegardé par des fichiers en lecture seule et élever ses privilèges.

Une faille de sécurité, CVE-2022-0847, a été détectée dans les versions 5.8 et ultérieures du noyau Linux. Celle-ci peut potentiellement faire remonter les droits à la racine.

Que dois-je faire ?

Aucune action n'est requise. Google Distributed Cloud Virtual for Bare Metal n'est pas affecté par cette CVE, car il n'inclut pas Linux dans son package. Vous devez vous assurer que les images de nœuds que vous utilisez sont mises à jour vers les versions contenant le correctif de la faille CVE-2022-0847.

Mise à jour du 11/08/2022 : ajout d'informations sur la configuration multithread (Simultaneous Multi-Threading) . SMT était destiné à être désactivé, mais il a été activé sur les versions répertoriées.

Si vous avez activé manuellement SMT pour un pool de nœuds en bac à sable, SMT restera activé manuellement, malgré ce problème.

Il existe une erreur de configuration avec le mode SMT (Simultaneous Multi-Threading), également appelé Hyper-Threading, sur les images GKE Sandbox. L'erreur de configuration laisse des nœuds potentiellement exposés à des attaques de versions secondaires, telles que l'échantillonnage des données microarchitecturales (pour en savoir plus, consultez la documentation de GKE Sandbox). Nous vous déconseillons d'utiliser les versions concernées suivantes :

• 1.22.4-gke.1501
• 1.22.6-gke.300
• 1.23.2-gke.300
• 1.23.3-gke.600

Si vous avez activé manuellement le mode SMT pour un pool de nœuds, ce problème n'affecte pas vos nœuds de bac à sable.

Que dois-je faire ?

Mettez à niveau vos nœuds vers l'une des versions suivantes :

• 1.22.6-gke.1500 et versions ultérieures
• 1.23.3-gke.1100 et versions ultérieures

Quelle faille ce correctif permet-il de résoudre ?

Par défaut, le mode SMT est désactivé sur les nœuds GKE Sandbox, ce qui permet de limiter les attaques sur les versions secondaires.

Mise à jour du 15/03/2022:ajout de guides de renforcement pour GKE sur AWS et GKE sur Azure. Ajout d'une section sur la persistance avec les webhooks

Certains chemins inattendus permettant d'accéder à la VM de nœud sur les clusters GKE Autopilot auraient pu être utilisés pour une élévation des privilèges dans le cluster. Ces problèmes ont été corrigés et aucune autre action n'est requise. Ces correctifs permettent de résoudre les problèmes signalés via notre Vulnerability Reward Program.

Les utilisateurs des clusters GKE Standard et GKE peuvent éventuellement appliquer une règle de renforcement semblable à celle décrite ci-dessous.

Détails techniques

Accès à l'hôte impliquant des exceptions aux règles pour certains outils tiers

Pour permettre à Google Cloud de proposer une gestion complète des nœuds et un contrat de niveau de service au niveau des pods, GKE Autopilot restreint certaines primitives Kubernetes à privilèges élevés afin d'empêcher les charges de travail d'obtenir un accès de bas niveau à la VM de nœud. Pour replacer ces éléments dans leur contexte : GKE Standard offre un accès complet au calcul sous-jacent, Autopilot présente un accès limité et Cloud Run ne présente aucun accès.

Autopilot assouplit certaines de ces restrictions pour une liste prédéfinie d'outils tiers afin de permettre aux clients d'exécuter ces outils sur Autopilot sans modification. En utilisant des droits permettant de créer des pods avec des montages de chemin d'accès à l'hôte, le chercheur a pu exécuter dans un pod un conteneur privilégié qui ressemblait à l'un de ces outils tiers figurant dans la liste d'autorisation, afin d'obtenir l'accès à l'hôte.

La capacité à planifier des pods de cette manière est normale sur GKE Standard, mais pas sur GKE Autopilot, car cela implique de contourner les restrictions d'accès à l'hôte servant à activer le contrat de niveau de service décrit précédemment.

Ce problème a été résolu en restreignant la spécification de la liste d'autorisation des outils tiers pour le pod.

Élévation des privilèges à partir de la racine sur un nœud

En plus de l'accès à l'hôte, les pods stackdriver-metadata-agent-cluster-level et metrics-server ont été identifiés comme étant très privilégiés. Après avoir obtenu un accès au nœud au niveau racine, ces services peuvent être utilisés pour obtenir davantage de contrôle sur le cluster.

Nous avons abandonné et supprimé stackdriver-metadata-agent pour GKE Standard et Autopilot. Ce composant est toujours utilisé sur GKE sur VMware et Google Distributed Cloud Virtual for Bare Metal.

Afin de renforcer la protection du système contre ce type d'attaque à l'avenir, nous appliquerons dans une version ultérieure une contrainte Autopilot empêchant les mises à jour du compte de service de divers objets dans l'espace de noms kube-system. Nous avons développé une règle Gatekeeper pour vous permettre d'appliquer une protection similaire aux clusters GKE Standard et GKE afin d'empêcher l'auto-modification des charges de travail privilégiées. Cette règle est appliquée automatiquement aux clusters Autopilot. Pour obtenir des instructions, consultez les guides de renforcement suivants :

• GKE Standard
• GKE sur VMware
• Google Distributed Cloud Virtual pour Bare Metal
• Mise à jour du 15/03/2022:GKE sur AWS
• Mise à jour du 15/03/2022:GKE sur Azure

15-03-2022: persistance avec des webhooks en mutation

Les webhooks ont été utilisés dans le rapport pour établir une base privilégiée dans le cluster après compromis. Il s'agit d'éléments standards de l'API Kubernetes créés par les administrateurs de cluster. Ils ont été rendus visibles aux administrateurs lorsque Autopilot a ajouté la compatibilité avec les webhooks définis par le client.