Boletins de segurança

Todos os boletins de segurança dos seguintes produtos estão descritos nesta página:

  • Google Kubernetes Engine (GKE)
  • Google Distributed Cloud (somente software) no VMware
  • GKE na AWS
  • GKE no Azure
  • Google Distributed Cloud (somente software) em Bare Metal

Geralmente, as vulnerabilidades são mantidas sob sigilo e não podem ser divulgadas até que as partes afetadas tenham a oportunidade de solucioná-las. Nesses casos, as notas de lançamento do produto mencionarão "atualizações de segurança" até que a divulgação seja liberada. No momento da liberação, as notas serão atualizadas para indicar a vulnerabilidade solucionada pelo patch.

Quando o GKE emite um boletim de segurança que se relaciona diretamente com a configuração ou versão do cluster, podemos enviar uma notificação de cluster SecurityBulletinEvent com informações sobre a vulnerabilidade e as ações que você pode realizar, se aplicável. Consulte Notificações de cluster para mais informações sobre esse assunto.

Para mais informações sobre como o Google gerencia patches e vulnerabilidades de segurança para o GKE e o GKE Enterprise, consulte Patch de segurança.

As plataformas GKE e GKE Enterprise não usam componentes como ingress-nginx e o ambiente de execução do contêiner CRI-O, e não são afetados por vulnerabilidades nesses componentes. Se você instalar componentes de outras fontes, consulte as atualizações de segurança e os dispositivos de patch desses componentes.

Use este feed XML para se inscrever nos boletins de segurança desta página. Assinar

GCP-2024-045

Publicado : 17/07/2024
Referência: CVE-2024-26925

GKE;

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26925

Os clusters do GKE Standard serão afetados. Os clusters do Autopilot do GKE na configuração padrão não serão afetados, mas poderão ficar vulneráveis se você definir explicitamente o perfil Unconfined seccomp ou permitir CAP_NET_ADMIN.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

As seguintes versões secundárias foram afetadas. Faça upgrade do Pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:

  • 1.27.14-gke.1093000
  • 1.28.10-gke.1141000
  • 1.29.5-gke.1192000
  • 1.30.2-gke.1394000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar o mesmo versão secundária no próprio canal de lançamento. Esse recurso permite proteger seus nós até a versão do patch se torna o padrão no canal de lançamento. Para mais detalhes, consulte Execute versões de patch de um canal mais recente.

Alta

GDC (VMware)

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26925

O que devo fazer?

Pendente

GKE na AWS

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26925

O que devo fazer?

Pendente

GKE no Azure

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26925

O que devo fazer?

Pendente

GDC (bare metal)

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26925

O que devo fazer?

Nenhuma ação é necessária. O software do GDC para bare metal não é afetado, porque não inclui um sistema operacional na distribuição.

Nenhum

GCP-2024-044

Publicado : 16/07/2024
Referência: CVE-2024-36972

GKE;

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-36972

Os clusters do GKE Standard e do Autopilot foram afetados.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

As seguintes versões secundárias foram afetadas. Faça upgrade do Pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:

  • 1.27.14-gke.1093000
  • 1.28.10-gke.1141000
  • 1.29.5-gke.1192000
  • 1.30.2-gke.1394000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar o mesmo versão secundária no próprio canal de lançamento. Esse recurso permite proteger seus nós até a versão do patch se torna o padrão no canal de lançamento. Para mais detalhes, consulte Execute versões de patch de um canal mais recente.

Alta

GDC (VMware)

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-36972

O que devo fazer?

Pendente

GKE na AWS

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-36972

O que devo fazer?

Pendente

GKE no Azure

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-36972

O que devo fazer?

Pendente

GDC (bare metal)

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-36972

O que devo fazer?

Nenhuma ação é necessária. O software do GDC para bare metal não é afetado, porque não inclui um sistema operacional na distribuição.

Nenhum

GCP-2024-043

Publicado : 16/07/2024
Referência: CVE-2024-26921

GKE;

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26921

Os clusters do GKE Standard serão afetados. Os clusters do Autopilot do GKE na configuração padrão não serão afetados, mas poderão ficar vulneráveis se você definir explicitamente o perfil Unconfined seccomp ou permitir CAP_NET_ADMIN.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

As seguintes versões secundárias foram afetadas. Faça upgrade do Pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:

  • 1.26.15-gke.1360000
  • 1.27.14-gke.1022000
  • 1.28.9-gke.1209000
  • 1.29.4-gke.1542000
  • 1.30.2-gke.1394000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar o mesmo versão secundária no próprio canal de lançamento. Esse recurso permite proteger seus nós até a versão do patch se torna o padrão no canal de lançamento. Para mais detalhes, consulte Execute versões de patch de um canal mais recente.

Alta

GDC (VMware)

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26921

O que devo fazer?

Pendente

GKE na AWS

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26921

O que devo fazer?

Pendente

GKE no Azure

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26921

O que devo fazer?

Pendente

GDC (bare metal)

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26921

O que devo fazer?

Nenhuma ação é necessária. O software do GDC para bare metal não é afetado, porque não inclui um sistema operacional na distribuição.

Nenhum

GCP-2024-042

Publicado : 15/07/2024
Atualizado : 18/07/2024
Referência: CVE-2024-26809

Atualização de 18/07/2024 : esclarecemos que os clusters do Autopilot no padrão da configuração não serão afetadas.

GKE;

Atualizado : 18/07/2024

Descrição Severity

Atualização de 18/07/2024 : a versão original deste boletim está incorreta afirmaram que os clusters do Autopilot foram afetados. clusters do Autopilot nos configuração padrão não são afetadas, mas podem ficar vulneráveis caso você explicitamente defina o perfil não confinado seccomp ou permita o recurso CAP_NET_ADMIN.


As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26809

Os clusters do GKE Standard e do Autopilot foram afetados.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

As seguintes versões secundárias foram afetadas. Faça upgrade do Pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:

  • 1.27.13-gke.1166000
  • 1.28.9-gke.1209000
  • 1.29.4-gke.1542000

As seguintes versões secundárias foram afetadas. Faça upgrade do pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:

  • 1.26.15-gke.1469000
  • 1.27.14-gke.1100000
  • 1.28.10-gke.1148000
  • 1.29.6-gke.1038000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar o mesmo versão secundária no próprio canal de lançamento. Esse recurso permite proteger seus nós até a versão do patch se torna o padrão no canal de lançamento. Para mais detalhes, consulte Execute versões de patch de um canal mais recente.

Alta

GDC (VMware)

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26809

O que devo fazer?

Pendente

GKE na AWS

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26809

O que devo fazer?

Pendente

GKE no Azure

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26809

O que devo fazer?

Pendente

GDC (bare metal)

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26809

O que devo fazer?

Nenhuma ação é necessária. O software do GDC para bare metal não é afetado, porque não inclui um sistema operacional na distribuição.

Nenhum

GCP-2024-041

Publicado : 08/07/2024
Atualizado : 19/07/2024
Referência: CVE-2023-52654, CVE-2023-52656

Atualização de 19/07/2024 : adicionamos versões de patch para pools de nós do Ubuntu no GKE.

GKE;

Atualizado : 19/07/2024

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2023-52654
  • CVE-2023-52656

Os clusters do GKE Standard e do Autopilot foram afetados.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

Atualização de 19/07/2024 : as seguintes versões do GKE contêm: para corrigir essa vulnerabilidade no Ubuntu. Faça upgrade do pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:

  • 1.26.15-gke.1469000
  • 1.27.14-gke.1100000
  • 1.28.10-gke.1148000
  • 1.29.6-gke.1038000
  • 1.30.2-gke.1394000

As seguintes versões secundárias foram afetadas. Faça upgrade do Pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:

  • 1.26.15-gke.1300000
  • 1.27.13-gke.1166000
  • 1.28.9-gke.1209000
  • 1.29.4-gke.1542000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar o mesmo versão secundária no próprio canal de lançamento. Esse recurso permite proteger seus nós até a versão do patch se torna o padrão no canal de lançamento. Para mais detalhes, consulte Execute versões de patch de um canal mais recente.

Alta

GDC (VMware)

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2023-52654
  • CVE-2023-52656

O que devo fazer?

Pendente

GKE na AWS

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2023-52654
  • CVE-2023-52656

O que devo fazer?

Pendente

GKE no Azure

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2023-52654
  • CVE-2023-52656

O que devo fazer?

Pendente

GDC (bare metal)

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2023-52654
  • CVE-2023-52656

O que devo fazer?

Nenhuma ação é necessária. O software do GDC para bare metal não é afetado, porque não inclui um sistema operacional na distribuição.

Nenhum

GCP-2024-040

Publicado : 01/07/2024
Atualizado : 11/07/2024
Referência: CVE-2024-6387

Atualização de 11/07/2024 : adicionamos versões de patch ao software GDC para VMware. GKE na AWS e GKE no Azure.

Atualização de 03/07/2024 : adicionamos versões de patch para o GKE.

Atualizações de 02/07/2024:

  • Esclarecemos que os clusters do Autopilot são impactados e vai exigir uma ação do usuário.
  • Adicionadas avaliações de impacto e etapas de mitigação para GDC (VMware), GKE na AWS e GKE no Azure.
  • Corrigiu o boletim de segurança do GDC (bare metal) para esclarecer que o GDC (bare metal) não está diretamente afetados e que os clientes devem verificar os patches junto aos fornecedores de SO.

GKE;

Atualizado : 03/07/2024

Descrição Severity

Atualização de 03/07/2024 : um lançamento rápido está em andamento e foi espera-se que novas versões de patch sejam disponibilizadas em todas as zonas 3 de julho de 2024 às 17h, horário de verão do Pacífico (UTC-7) dos EUA e do Canadá. Para receba uma notificação assim que um patch estiver disponível para seu cluster específico, use notificações de cluster.


Atualização de 02/07/2024 : essa vulnerabilidade afeta o modo Autopilot e clusters do modo Standard. Cada seção a seguir informará os modos que essa seção se aplica.


Uma vulnerabilidade de execução remota de código, CVE-2024-6387, foi descoberto recentemente no OpenSSH. A vulnerabilidade explora uma disputa que podem ser usadas para obter acesso a um shell remoto, permitindo que os atacantes obtenham acesso raiz aos nós do GKE. No momento da publicação, acredita-se que a exploração difícil e demoram várias horas por máquina atacada. Não temos conhecimento de nenhuma de exploração de dados.

Todas as versões compatíveis das imagens do Ubuntu e do Container Optimized OS no GKE executar versões do OpenSSH vulneráveis a esse problema.

Clusters do GKE com endereços IP de nó público e SSH expostos à Internet devem ser tratados com a maior prioridade para mitigação.

O plano de controle do GKE não está vulnerável a esse problema.

O que devo fazer?

Atualização de 03/07/2024: versões de patch para o GKE

Um lançamento rápido está em andamento e deve criar novas versões de patch disponível em todas as zonas até 3 de julho de 2024, às 17h dos EUA e do horário de verão do Pacífico canadense (UTC-7).

Os clusters e os nós com upgrade automático ativado começarão a ser atualizados conforme a semana avança. mas, devido à gravidade da vulnerabilidade, recomendamos o upgrade manual da seguinte forma para e receber patches o mais rápido possível.

Para clusters do Autopilot e Standard, fazer upgrade do plano de controle para uma versão com patch. Além disso, para clusters no modo Standard, fazer upgrade dos pools de nós para uma versão com patch. Os clusters do Autopilot vão começar a fazer upgrade dos nós para corresponder a versão do plano de controle assim que possível.

Versões com patch do GKE estão disponíveis para cada versão com suporte para minimizar as mudanças necessárias para aplicar o patch. O número de cada nova versão é uma incremento no dígito final no número da versão de uma versão existente correspondente. Por exemplo, se você estiver usando a versão 1.27.14-gke.1100000, faça upgrade para a versão 1.27.14-gke.1100002 para para conseguir a correção com a menor mudança possível. O seguinte patch do GKE estão disponíveis:

  • 1.26.15-gke.1090004
  • 1.26.15-gke.1191001
  • 1.26.15-gke.1300001
  • 1.26.15-gke.1320002
  • 1.26.15-gke.1381001
  • 1.26.15-gke.1390001
  • 1.26.15-gke.1404002
  • 1.26.15-gke.1469001
  • 1.27.13-gke.1070002
  • 1.27.13-gke.1166001
  • 1.27.13-gke.1201002
  • 1.27.14-gke.1022001
  • 1.27.14-gke.1042001
  • 1.27.14-gke.1059002
  • 1.27.14-gke.1100002
  • 1.27.15-gke.1012003
  • 1.28.9-gke.1069002
  • 1.28.9-gke.1209001
  • 1.28.9-gke.1289002
  • 1.28.10-gke.1058001
  • 1.28.10-gke.1075001
  • 1.28.10-gke.1089002
  • 1.28.10-gke.1148001
  • 1.28.11-gke.1019001
  • 1.29.4-gke.1043004
  • 1.29.5-gke.1060001
  • 1.29.5-gke.1091002
  • 1.29.6-gke.1038001
  • 1.30.1-gke.1329003
  • 1.30.2-gke.1023004

Para verificar se um patch está disponível na zona ou região do cluster, execute o seguinte comando:

gcloud container get-server-config --location=LOCATION

Substitua LOCATION pela zona ou região.


Atualização de 02/07/2024 : modo Autopilot e Standard os clusters precisam ser atualizados assim que possível depois que as versões de patch estiverem disponíveis.


Uma versão do GKE com patch que inclui um OpenSSH atualizado será criada assim que possível. Este boletim será atualizado quando os patches estiverem disponíveis. Para receber uma notificação do Pub/Sub quando um patch estiver disponível para seu canal, faça o seguinte: Ative as notificações de cluster. Recomendamos que você siga estas etapas para verificar a exposição do cluster. aplicando as mitigações descritas, conforme necessário.

Determinar se os nós têm endereços IP públicos

Atualização de 02/07/2024 : esta seção se aplica ao Autopilot e Clusters padrão.


Se um cluster for criado com enable-private-nodes, serão privados, o que reduz a vulnerabilidade ao remover a exposição aos Internet. Execute o seguinte comando para determinar se o cluster tem nós particulares ativados:

gcloud container clusters describe $CLUSTER_NAME \
--format="value(privateClusterConfig.enablePrivateNodes)"

Se o valor de retorno for True, todos os nós serão nós particulares deste cluster e o e a vulnerabilidade seja mitigada. Se o valor estiver vazio ou for falso, continue para aplicar um dos das mitigações nas seções a seguir.

Para encontrar todos os clusters criados originalmente com nós públicos, use esta consulta do Inventário de recursos do Cloud. no projeto ou na organização:

SELECT
  resource.data.name AS cluster_name,
  resource.parent AS project_name,
  resource.data.privateClusterConfig.enablePrivateNodes
FROM
  `container_googleapis_com_Cluster`
WHERE
  resource.data.privateClusterConfig.enablePrivateNodes is null OR
  resource.data.privateClusterConfig.enablePrivateNodes = false

Não permitir SSH para os nós do cluster

Atualização de 02/07/2024 : esta seção se aplica ao Autopilot e Clusters padrão.


A rede padrão é pré-preenchida com uma regra de firewall default-allow-ssh para permitir o acesso SSH da Internet pública. Para remover esse acesso, você pode fazer o seguinte:

  • Como opção, crie regras. para permitir o acesso SSH necessário de redes confiáveis a nós do GKE ou outras VMs do Compute Engine no projeto.
  • Desative a regra de firewall padrão com o seguinte comando:
    gcloud compute firewall-rules update default-allow-ssh --disabled --project=$PROJECT

Se você tiver criado outras regras de firewall que permitam SSH pelo TCP na porta 22, desativar ou limitar os IPs de origem a redes confiáveis.

Verifique se não é mais possível executar SSH com os nós do cluster da Internet. Essa configuração de firewall reduz a vulnerabilidade.

Converter pools de nós públicos em particulares

Atualização de 02/07/2024 : para clusters do Autopilot criados originalmente como clusters públicos, as cargas de trabalho podem ser colocadas usando nodeSelectors. No entanto, os nós do Autopilot que executam cargas de trabalho do sistema em clusters criados como clusters públicos ainda serão nós públicos e precisam ser protegidas usando as alterações de firewall descritas na seção anterior.


Para proteger melhor os clusters criados originalmente com nós públicos, recomendamos primeiro não permitir SSH pelo firewall, como já descrito. Se não for possível bloquear SSH por meio das regras de firewall, é possível converter pools de nós públicos no GKE Clusters padrão para particulares. Para isso, siga estas orientações para isolar pools de nós.

Alterar configuração de SSHD

Atualização de 02/07/2024 : esta seção se aplica apenas a clusters. As cargas de trabalho do Autopilot não têm permissão para modificar a configuração do nó.


Se nenhuma dessas mitigações puder ser aplicada, também publicamos um daemonset que define o SSHD LoginGraceTime como zero e reinicia o daemon SSH. Isso o daemonset pode ser aplicado ao cluster para mitigar o ataque. Observe que essa configuração pode aumentar o risco de ataques de negação de serviço e causar problemas com Acesso SSH. Este daemonset deve ser removido após a aplicação de um patch.

Crítico

GDC (VMware)

Atualizado : 11/07/2024

Descrição Severity

Atualização de 11/07/2024 : as seguintes versões do software GDC para VMware foram atualizados com código para corrigir essa vulnerabilidade. Faça upgrade da estação de trabalho do administrador clusters de administrador e de usuário (incluindo pools de nós) a um dos seguintes clusters ou mais recentes. Para instruções, consulte Faça upgrade de um cluster ou pool de nós.

  • 1.16.10-gke.36
  • 1.28.700-gke.151
  • 1.29.200-gke.245

A atualização deste boletim de 02/07/2024 informa incorretamente que todas as versões compatíveis das imagens do Ubuntu no software GDC para VMware executam versões do OpenSSH que são vulnerável a esse problema. Imagens do Ubuntu no software GDC para VMware versão 1.16 os clusters executam versões do OpenSSH que não são vulneráveis a esse problema. Ubuntu as imagens no software GDC para VMware 1.28 e 1.29 estão vulneráveis. Imagens do Container-Optimized OS em todas as versões compatíveis do O software GDC para VMware é vulnerável a esse problema.


Atualização de 02/07/2024 : todas as versões compatíveis do Container-Optimized OS e imagens do Ubuntu no software GDC para VMware executam versões do OpenSSH vulneráveis a esse problema.

Software GDC para clusters VMware com endereços IP de nós públicos e SSH exposto ao A Internet deve ser tratada com a prioridade mais alta para mitigação.


Uma vulnerabilidade de execução remota de código, CVE-2024-6387, foi descoberto recentemente no OpenSSH. A vulnerabilidade explora uma disputa que podem ser usadas para obter acesso a um shell remoto, permitindo que os atacantes obtenham acesso raiz aos nós do GKE. No momento da publicação, acredita-se que a exploração difícil e demoram várias horas por máquina atacada. Não temos conhecimento de nenhuma de exploração de dados.

O que devo fazer?

Atualização de 02/07/2024 : uma versão corrigida do software GDC para VMware que incluir um OpenSSH atualizado será disponibilizado assim que possível. Este boletim serão atualizados quando os patches estiverem disponíveis. Recomendamos que você aplique o seguinte e mitigações, se necessário.

Não permitir SSH para os nós do cluster

É possível alterar a configuração de rede da infraestrutura para impedir a conectividade SSH fontes não confiáveis, como a Internet pública.

Alterar configuração do sshd

Se não for possível aplicar a mitigação anterior, nós publicou um DaemonSet que define LoginGraceTime sshd como zero e reinicia o daemon SSH. Isso É possível aplicar o DaemonSet ao cluster para reduzir o ataque. Observe que este pode aumentar o risco de ataques de negação de serviço e causar problemas com acesso SSH legítimo. Remova esse DaemonSet após a aplicação de um patch.


Crítico

GKE na AWS

Atualizado : 11/07/2024

Descrição Severity

Atualização de 11/07/2024 : as seguintes versões do GKE na AWS foram atualizados com o código para corrigir essa vulnerabilidade:

  • 1.27.14-gke.1200
  • 1.28.10-gke.1300
  • 1.29.5-gke.1100

Faça upgrade do GKE no plano de controle da AWS e nos pools de nós para um destes versões com patch ou mais recentes. Para instruções, consulte Fazer upgrade da versão do cluster da AWS e Atualizar um pool de nós.


Atualização de 02/07/2024 : todas as versões com suporte das imagens do Ubuntu no O GKE na AWS executa versões do OpenSSH vulneráveis a esse problema.

Clusters do GKE na AWS com endereços IP de nós públicos e SSH exposto ao A Internet deve ser tratada com a prioridade mais alta para mitigação.


Uma vulnerabilidade de execução remota de código, CVE-2024-6387, foi descoberto recentemente no OpenSSH. A vulnerabilidade explora uma disputa que podem ser usadas para obter acesso a um shell remoto, permitindo que os atacantes obtenham acesso raiz aos nós do GKE. No momento da publicação, acredita-se que a exploração difícil e demoram várias horas por máquina atacada. Não temos conhecimento de nenhuma de exploração de dados.

O que devo fazer?

Atualização de 02/07/2024 : uma versão da AWS corrigida para o GKE incluir um OpenSSH atualizado será disponibilizado assim que possível. Este boletim serão atualizados quando os patches estiverem disponíveis. Recomendamos que você trabalhe com o etapas a seguir para verificar a exposição do cluster e aplicar as mitigações descritas necessários.

Determinar se os nós têm endereços IP públicos

O GKE na AWS não provisiona nenhuma máquina com endereços IP públicos ou regras de firewall que permitem o tráfego para a porta 22 por padrão. No entanto, dependendo a configuração de sub-rede, as máquinas recebem automaticamente um endereço IP público durante o provisionamento.

Para verificar se os nós estão provisionados com endereços IP públicos, confira a configuração da sub-rede associado ao recurso do pool de nós da AWS.

Não permitir SSH para os nós do cluster

Mesmo que o GKE na AWS não permita tráfego na porta 22 em nenhum nó ao padrão, os clientes podem anexar outros grupos de segurança aos pools de nós, Tráfego SSH.

Recomendamos que você remoção ou redução do escopo regras correspondentes dos grupos de segurança fornecidos.

Converter pools de nós públicos em particulares

Para proteger melhor os clusters com nós públicos, recomendamos primeiro desativar o SSH por grupo de segurança, conforme descrito na seção anterior. Se não for possível bloquear o SSH com as regras do grupo de segurança, é possível converter pools de nós públicos em particulares desativar a opção de atribuir automaticamente IPs públicos a máquinas em uma sub-rede e o reprovisionamento do pool de nós.


Crítico

GKE no Azure

Atualizado : 11/07/2024

Descrição Severity

Atualização de 11/07/2024 : as seguintes versões do GKE no Azure foram atualizados com o código para corrigir essa vulnerabilidade:

  • 1.27.14-gke.1200
  • 1.28.10-gke.1300
  • 1.29.5-gke.1100

Faça upgrade do plano de controle e dos pools de nós do GKE para um destes versões com patch ou mais recentes. Para instruções, consulte Fazer upgrade da versão do cluster do Azure e Atualizar um pool de nós.


Atualização de 02/07/2024 : todas as versões com suporte das imagens do Ubuntu no O GKE no Azure executa versões do OpenSSH vulneráveis a esse problema.

Clusters do GKE no Azure com endereços IP de nós públicos e SSH exposto ao A Internet deve ser tratada com a prioridade mais alta para mitigação.


Uma vulnerabilidade de execução remota de código, CVE-2024-6387, foi descoberto recentemente no OpenSSH. A vulnerabilidade explora uma disputa que podem ser usadas para obter acesso a um shell remoto, permitindo que os atacantes obtenham acesso raiz aos nós do GKE. No momento da publicação, acredita-se que a exploração difícil e demoram várias horas por máquina atacada. Não temos conhecimento de nenhuma de exploração de dados.

O que devo fazer?

Atualização de 02/07/2024 : uma versão corrigida do GKE no Azure que incluir um OpenSSH atualizado será disponibilizado assim que possível. Este boletim serão atualizados quando os patches estiverem disponíveis. Recomendamos que você trabalhe com o etapas a seguir para verificar a exposição do cluster e aplicar as mitigações descritas necessários.

Determinar se os nós têm endereços IP públicos

O GKE no Azure não provisiona nenhuma máquina endereços IP públicos ou regras de firewall que permitem o tráfego para a porta 22 por padrão. Para revisar Configuração do Azure para verificar se há endereços IP públicos configurados no seu cluster do GKE no Azure, execute o seguinte comando:

az network public-ip list -g CLUSTER_RESOURCE_GROUP_NAME -o tsv
Não permitir SSH para os nós do cluster

Mesmo que o GKE no Azure não permita tráfego na porta 22 em nenhum nó ao padrão, os clientes podem atualizar as regras do NetworkSecurityGroup para pools de nós, ativando Tráfego SSH da Internet pública.

Recomendamos que você analise os grupos de segurança de rede (NSGs) associados à os clusters do Kubernetes. Se houver uma regra NSG que permita tráfego de entrada irrestrito na porta 22 (SSH), siga um destes procedimentos:

  • Remova a regra completamente: se o acesso SSH aos nós do cluster não estiver exigido da Internet, remova a regra para eliminar possíveis vetores de ataque.
  • Reduzir o escopo da regra: restrinja o acesso de entrada na porta 22 aos endereços IP ou intervalos específicos que exigem essas informações. Isso minimiza a superfície exposta para ataques em potencial.
Converter pools de nós públicos em particulares

Para proteger melhor os clusters com nós públicos, recomendamos primeiro desativar o SSH por grupo de segurança, conforme descrito na seção anterior. Se não for possível bloquear o SSH com as regras do grupo de segurança, é possível converter pools de nós públicos em particulares removendo os endereços IP públicos associados às VMs.

Remover um endereço IP público de uma VM e substituí-lo por um endereço IP particular do Terraform, consulte Dissociar um endereço IP público de uma VM do Azure.

Impacto: todas as conexões existentes que usarem o endereço IP público serão prejudicada. Verifique se você tem métodos de acesso alternativos, como VPN ou Bastião do Azure.


Crítico

GDC (bare metal)

Atualizado : 02/07/2024

Descrição Severity

Atualização de 02/07/2024 : a versão original deste boletim sobre O software GDC para bare metal indicou incorretamente que as versões de patch estavam em andamento. O software do GDC para Bare Metal não é diretamente afetado porque não gerencia Daemon ou configuração SSH do sistema operacional. Portanto, as versões de patch responsabilidade do provedor do sistema operacional, conforme descrito nos O que devo fazer?.


Uma vulnerabilidade de execução remota de código, CVE-2024-6387, foi descoberto recentemente no OpenSSH. A vulnerabilidade explora uma disputa que podem ser usadas para obter acesso a um shell remoto, permitindo que os atacantes obtenham acesso raiz aos nós do GKE. No momento da publicação, acredita-se que a exploração difícil e demoram várias horas por máquina atacada. Não temos conhecimento de nenhuma de exploração de dados.

O que devo fazer?

Atualização de 02/07/2024 : entre em contato com seu provedor de SO para receber um patch para o sistemas operacionais em uso com o software GDC para Bare Metal.

Antes de aplicar o patch do fornecedor do SO, verifique se as máquinas públicas acessíveis não permitir conexões SSH da Internet. Se isso não for possível, uma alternativa é Defina LoginGraceTime como zero e reinicie o servidor sshd:

grep "^LoginGraceTime" /etc/ssh/sshd_config
            LoginGraceTime 0

Observe que essa alteração de configuração pode aumentar o risco de ataques de negação de serviço e pode causar problemas com acesso SSH legítimo.


Texto original de 01/07/2024 (consulte a atualização anterior de 02/07/2024 para correção):

Crítico

GCP-2024-039

Publicado : 28/06/2024
Referência: CVE-2024-26923

GKE;

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26923

Os clusters do GKE Standard e do Autopilot foram afetados.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

As seguintes versões secundárias foram afetadas. Faça upgrade do Pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:

  • 1.26.15-gke.1360000
  • 1.27.14-gke.1022000
  • 1.28.9-gke.1289000
  • 1.29.5-gke.1010000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar o mesmo versão secundária no próprio canal de lançamento. Esse recurso permite proteger seus nós até a versão do patch se torna o padrão no canal de lançamento. Para mais detalhes, consulte Execute versões de patch de um canal mais recente.

Alta

GDC (VMware)

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26923

O que devo fazer?

Pendente

GKE na AWS

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26923

O que devo fazer?

Pendente

GKE no Azure

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26923

O que devo fazer?

Pendente

GDC (bare metal)

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26923

O que devo fazer?

Nenhuma ação é necessária. O software do GDC para bare metal não é afetado, porque não inclui um sistema operacional na distribuição.

Nenhum

GCP-2024-038

Publicado : 26/06/2024
Referência: CVE-2024-26924

GKE;

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26924

Os clusters do GKE Standard serão afetados. Os clusters do Autopilot do GKE na configuração padrão não serão afetados, mas poderão ficar vulneráveis se você definir explicitamente o perfil Unconfined seccomp ou permitir CAP_NET_ADMIN.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

As seguintes versões secundárias foram afetadas. Faça upgrade do Pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:

  • 1.26.15-gke.1360000
  • 1.27.14-gke.1022000
  • 1.28.9-gke.1289000
  • 1.29.5-gke.1010000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar o mesmo versão secundária no próprio canal de lançamento. Esse recurso permite proteger seus nós até a versão do patch se torna o padrão no canal de lançamento. Para mais detalhes, consulte Execute versões de patch de um canal mais recente.

Alta

GDC (VMware)

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26924

O que devo fazer?

Pendente

GKE na AWS

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26924

O que devo fazer?

Pendente

GKE no Azure

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26924

O que devo fazer?

Pendente

GDC (bare metal)

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26924

O que devo fazer?

Nenhuma ação é necessária. O software do GDC para bare metal não é afetado, porque não inclui um sistema operacional na distribuição.

Nenhum

GCP-2024-036

Publicado : 18/06/2024
Referência: CVE-2024-26584

GKE;

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS:

  • CVE-2024-26584

Os clusters do GKE Standard e do Autopilot foram afetados.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

As seguintes versões secundárias foram afetadas. Faça upgrade do Pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:

  • 1.28.9-gke.1209000
  • 1.29.4-gke.1542000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar o mesmo versão secundária no próprio canal de lançamento. Esse recurso permite proteger seus nós até a versão do patch se torna o padrão no canal de lançamento. Para mais detalhes, consulte Execute versões de patch de um canal mais recente.

Alta

GKE no VMware

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS:

  • CVE-2024-26584

O que devo fazer?

Pendente

GKE na AWS

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS:

  • CVE-2024-26584

O que devo fazer?

Pendente

GKE no Azure

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS:

  • CVE-2024-26584

O que devo fazer?

Pendente

GKE em bare metal

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS:

  • CVE-2024-26584

O que devo fazer?

Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição.

Nenhum

GCP-2024-035

Publicado : 12/06/2024
Atualizado : 18/07/2024
Referência: CVE-2024-26584

Atualização de 18/07/2024 : adicionamos versões de patch para pools de nós do Ubuntu no GKE. e adicionamos uma versão de patch para a versão 1.27 nos pools de nós do Container-Optimized OS.

GKE;

Atualizado : 18/07/2024

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26584

Os clusters do GKE Standard e do Autopilot foram afetados.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

Atualização de 18/07/2024 : as seguintes versões do GKE são atualizado com código para corrigir essa vulnerabilidade no Ubuntu. Faça upgrade do pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:

  • 1.26.15-gke.1469000
  • 1.27.14-gke.1100000
  • 1.28.10-gke.1148000
  • 1.29.6-gke.1038000
  • 1.30.2-gke.1394000

O código da versão a seguir do GKE foi atualizado para corrigir essa vulnerabilidade no Container-Optimized OS. Faça upgrade do Pools de nós do Container-Optimized OS para a seguinte versão de patch ou posterior:

  • 1.27.15-gke.1125000

As seguintes versões secundárias foram afetadas. Faça upgrade do Pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:

  • 1.28.9-gke.1209000
  • 1.29.4-gke.1542000

As seguintes versões secundárias foram afetadas, mas não têm uma versão de patch disponível. Vamos atualize este boletim quando as versões de patch estiverem disponíveis:

  • 1,26
  • 1,27

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar o mesmo versão secundária no próprio canal de lançamento. Esse recurso permite proteger seus nós até a versão do patch se torna o padrão no canal de lançamento. Para mais detalhes, consulte Execute versões de patch de um canal mais recente.

Alta

GKE no VMware

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26584

O que devo fazer?

Pendente

GKE na AWS

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26584

O que devo fazer?

Pendente

GKE no Azure

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26584

O que devo fazer?

Pendente

GKE em bare metal

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26584

O que devo fazer?

Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição.

Nenhum

GCP-2024-034

Publicado : 11/06/2024
Atualizado : 10/07/2024
Referência: CVE-2024-26583

Atualização de 10/07/2024 : adicionamos versões de patch para Nós do Container-Optimized OS executando as versões secundárias 1.26 e 1.27 e adicionamos versões de patch para os nós do Ubuntu.

GKE;

Atualizado : 10/07/2024

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS:

  • CVE-2024-26583

Os clusters do GKE Standard e do Autopilot foram afetados.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

Atualização de 10/07/2024 : as seguintes versões do GKE são atualizado com código para corrigir essa vulnerabilidade. Atualize seus pools de nós do Ubuntu para um dos seguintes versões de patch ou mais recentes:

  • 1.26.15-gke.1444000
  • 1.27.14-gke.1096000
  • 1.28.10-gke.1148000
  • 1.29.5-gke.1041001
  • 1.30.1-gke.1156001

Para as versões secundárias 1.26 e 1.27, faça upgrade dos pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:

  • 1.26.15-gke.1404002
  • 1.27.14-gke.1059002

As seguintes versões secundárias foram afetadas. Faça upgrade do Pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:

  • 1.28.8-gke.1095000
  • 1.29.3-gke.1093000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar o mesmo versão secundária no próprio canal de lançamento. Esse recurso permite proteger seus nós até a versão do patch se torna o padrão no canal de lançamento. Para mais detalhes, consulte Execute versões de patch de um canal mais recente.

Alta

GKE no VMware

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS:

  • CVE-2024-26583

O que devo fazer?

Pendente

GKE na AWS

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS:

  • CVE-2024-26583

O que devo fazer?

Pendente

GKE no Azure

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS:

  • CVE-2024-26583

O que devo fazer?

Pendente

GKE em bare metal

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS:

  • CVE-2024-26583

O que devo fazer?

Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição.

Nenhum

GCP-2024-033

Publicado : 10/06/2024
Referência: CVE-2022-23222

GKE;

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS:

  • CVE-2022-23222

Os clusters do GKE Standard e do Autopilot foram afetados.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

As seguintes versões secundárias foram afetadas. Faça upgrade do Pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:

  • 1.26.15-gke.1381000
  • 1.27.14-gke.1022000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar o mesmo versão secundária no próprio canal de lançamento. Esse recurso permite proteger seus nós até a versão do patch se torna o padrão no canal de lançamento. Para mais detalhes, consulte Execute versões de patch de um canal mais recente.

Alta

GKE no VMware

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS:

  • CVE-2022-23222

O que devo fazer?

Pendente

GKE na AWS

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS:

  • CVE-2022-23222

O que devo fazer?

Pendente

GKE no Azure

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS:

  • CVE-2022-23222

O que devo fazer?

Pendente

GKE em bare metal

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS:

  • CVE-2022-23222

O que devo fazer?

Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição.

Nenhum

GCP-2024-031

Publicado : 24/05/2024
Referência: CVE-2024-4323

GKE;

Descrição Severity

Descobrimos uma nova vulnerabilidade (CVE-2024-4323) no Fluent Bit que pode resultar na execução remota de códigos. As versões 2.0.7 a 3.0.3 de Bit fluente foram afetadas.

O GKE não usa uma versão vulnerável do Fluent Bit e não é afetada.

O que devo fazer?

O GKE não é afetado por essa vulnerabilidade. Nenhuma ação é necessária.

Nenhum

GKE no VMware

Descrição Severity

Descobrimos uma nova vulnerabilidade (CVE-2024-4323) no Fluent Bit que pode resultar na execução remota de códigos. As versões 2.0.7 a 3.0.3 de Bit fluente foram afetadas.

O GKE no VMware não usa uma versão vulnerável do Fluent Bit e está sem ser afetada.

O que devo fazer?

O GKE no VMware não é afetado por essa vulnerabilidade. Nenhuma ação é necessária.

Nenhum

GKE na AWS

Descrição Severity

Descobrimos uma nova vulnerabilidade (CVE-2024-4323) no Fluent Bit que pode resultar na execução remota de códigos. As versões 2.0.7 a 3.0.3 de Bit fluente foram afetadas.

O GKE na AWS não usa uma versão vulnerável do Fluent Bit e está sem ser afetada.

O que devo fazer?

O GKE na AWS não é afetado por essa vulnerabilidade. Nenhuma ação é necessária.

Nenhum

GKE no Azure

Descrição Severity

Descobrimos uma nova vulnerabilidade (CVE-2024-4323) no Fluent Bit que pode resultar na execução remota de códigos. As versões 2.0.7 a 3.0.3 de Bit fluente foram afetadas.

O GKE no Azure não usa uma versão vulnerável do Fluent Bit e está sem ser afetada.

O que devo fazer?

O GKE no Azure não é afetado por essa vulnerabilidade. Nenhuma ação é necessária.

Nenhum

GKE em bare metal

Descrição Severity

Descobrimos uma nova vulnerabilidade (CVE-2024-4323) no Fluent Bit que pode resultar na execução remota de códigos. As versões 2.0.7 a 3.0.3 de Bit fluente foram afetadas.

O GKE em Bare Metal não usa uma versão vulnerável do Fluent Bit e está sem ser afetada.

O que devo fazer?

O GKE em Bare Metal não é afetado por essa vulnerabilidade. Nenhuma ação é necessária.

Nenhum

GCP-2024-030

Publicado : 15/05/2024
Atualizado : 18/07/2024
Referência: CVE-2023-52620

Atualização de 18/07/2024 : adicionamos versões de patch para pools de nós do Ubuntu no GKE.

GKE;

Atualizado : 18/07/2024

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2023-52620

Os clusters do GKE Standard serão afetados. Os clusters do Autopilot do GKE na configuração padrão não serão afetados, mas poderão ficar vulneráveis se você definir explicitamente o perfil Unconfined seccomp ou permitir CAP_NET_ADMIN.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

Atualização de 18/07/2024 : as seguintes versões do GKE são atualizado com código para corrigir essa vulnerabilidade no Ubuntu. Faça upgrade do pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:

  • 1.26.15-gke.1469000
  • 1.27.14-gke.1100000
  • 1.28.10-gke.1148000
  • 1.29.6-gke.1038000
  • 1.30.2-gke.1394000

As seguintes versões secundárias foram afetadas. Faça upgrade do Pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:

  • 1.27.13-gke.1166000
  • 1.28.8-gke.1095000
  • 1.29.3-gke.1093000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar o mesmo versão secundária no próprio canal de lançamento. Esse recurso permite proteger seus nós até a versão do patch se torna o padrão no canal de lançamento. Para mais detalhes, consulte Execute versões de patch de um canal mais recente.

Alta

GKE no VMware

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2023-52620

O que devo fazer?

Pendente

GKE na AWS

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2023-52620

O que devo fazer?

Pendente

GKE no Azure

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2023-52620

O que devo fazer?

Pendente

GKE em bare metal

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2023-52620

O que devo fazer?

Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição.

Nenhum

GCP-2024-029

Publicado : 14/05/2024
Referência: CVE-2024-26642

GKE;

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26642

Os clusters do GKE Standard serão afetados. Os clusters do Autopilot do GKE na configuração padrão não serão afetados, mas poderão ficar vulneráveis se você definir explicitamente o perfil Unconfined seccomp ou permitir CAP_NET_ADMIN.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

As seguintes versões secundárias foram afetadas. Faça upgrade do Pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:

  • 1.27.13-gke.1166000
  • 1.28.8-gke.1095000
  • 1.29.3-gke.1093000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar o mesmo versão secundária no próprio canal de lançamento. Esse recurso permite proteger seus nós até a versão do patch se torna o padrão no canal de lançamento. Para mais detalhes, consulte Execute versões de patch de um canal mais recente.

Alta

GKE no VMware

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26642

O que devo fazer?

Pendente

GKE na AWS

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26642

O que devo fazer?

Pendente

GKE no Azure

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26642

O que devo fazer?

Pendente

GKE em bare metal

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26642

O que devo fazer?

Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição.

Nenhum

GCP-2024-028

Publicado : 13/05/2024
Atualizado : 22/05/2024
Referência: CVE-2024-26581

Atualização de 22/05/2024 : adicionamos versões de patch para os nós do Ubuntu.

GKE;

Atualizado : 22/05/2024

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26581

Os clusters do GKE Standard serão afetados. Os clusters do Autopilot do GKE na configuração padrão não serão afetados, mas poderão ficar vulneráveis se você definir explicitamente o perfil Unconfined seccomp ou permitir CAP_NET_ADMIN.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

Atualização de 22/05/2024 : as seguintes versões do GKE são: atualizado com código para corrigir essa vulnerabilidade no Ubuntu. Fazer upgrade dos pools de nós do Ubuntu para as seguintes versões ou posteriores:

  • 1.26.15-gke.1300000
  • 1.27.13-gke.1011000
  • 1.28.9-gke.1209000
  • 1.29.4-gke.1542000
  • 1.30.0-gke.1712000

As seguintes versões secundárias foram afetadas. Faça upgrade do Pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:

  • 1.25.16-gke.1596000
  • 1.26.14-gke.1076000
  • 1.27.11-gke.1202000
  • 1.28.8-gke.1095000
  • 1.29.3-gke.1093000

As seguintes versões secundárias foram afetadas. Faça upgrade do pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:

  • 1.26.15-gke.1300000
  • 1.28.9-gke.1209000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar o mesmo versão secundária no próprio canal de lançamento. Esse recurso permite proteger seus nós até a versão do patch se torna o padrão no canal de lançamento. Para mais detalhes, consulte Execute versões de patch de um canal mais recente.

Alta

GKE no VMware

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26581

O que devo fazer?

Pendente

GKE na AWS

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26581

O que devo fazer?

Pendente

GKE no Azure

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26581

O que devo fazer?

Pendente

GKE em bare metal

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26581

O que devo fazer?

Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição.

Nenhum

GCP-2024-027

Publicado : 08/05/2024
Atualizado : 09/05/2024, 15/05/2024
Referência: CVE-2024-26808

Atualização de 15/05/2024 : foram adicionadas versões de patch para o GKE. pools de nós do Ubuntu.

Atualização de 9/05/2024 : correção da gravidade de "Média" para "Alta". esclarecemos que os clusters do Autopilot do GKE na configuração padrão não são impactados.

GKE;

Atualizado : 09/05/2024, 15/05/2024

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26808

Atualização de 09/05/2024: gravidade corrigida de "Média" para "Alta". O boletim original informava que o Autopilot era clusters foram afetados, mas isso estava incorreto. Autopilot do GKE clusters na configuração padrão não são afetados, mas podem ficar vulneráveis caso sejam defina explicitamente o perfil seccomp Unconfined ou permitir CAP_NET_ADMIN.


Os clusters do GKE Standard e do Autopilot foram afetados.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

Atualização de 15/05/2024: as seguintes versões do GKE são: atualizado com código para corrigir essa vulnerabilidade no Ubuntu. Fazer upgrade dos pools de nós do Ubuntu para as seguintes versões ou posteriores:

  • 1.26.15-gke.1323000
  • 1.27.13-gke.1206000
  • 1.28.10-gke.1000000
  • 1.29.3-gke.1282004
  • 1.30.0-gke.1584000

As seguintes versões secundárias foram afetadas. Faça upgrade do Pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:

  • 1.27.8-gke.1067000
  • 1.28.8-gke.1095000
  • 1.29.3-gke.1093000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar o mesmo versão secundária no próprio canal de lançamento. Esse recurso permite proteger seus nós até a versão do patch se torna o padrão no canal de lançamento. Para mais detalhes, consulte Execute versões de patch de um canal mais recente.

Alta

GKE no VMware

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26808

O que devo fazer?

Pendente

GKE na AWS

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26808

O que devo fazer?

Pendente

GKE no Azure

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26808

O que devo fazer?

Pendente

GKE em bare metal

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26808

O que devo fazer?

Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição.

Nenhum

GCP-2024-026

Publicado : 07/05/2024
Atualizado : 9/05/2024
Referência: CVE-2024-26643

Atualização de 09/05/2024 : gravidade corrigida de "Média" para "Alta".

GKE;

Atualizado : 09/05/2024

Descrição Severity

Atualização de 09/05/2024:gravidade corrigida de "Média" para "Alta".


As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26643

Os clusters do GKE Standard serão afetados. Os clusters do Autopilot do GKE na configuração padrão não serão afetados, mas poderão ficar vulneráveis se você definir explicitamente o perfil Unconfined seccomp ou permitir CAP_NET_ADMIN.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

As seguintes versões secundárias foram afetadas. Faça upgrade do Pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:

  • 1.27.8-gke.1067000
  • 1.28.8-gke.1095000
  • 1.29.3-gke.1093000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar o mesmo versão secundária no próprio canal de lançamento. Esse recurso permite proteger seus nós até a versão do patch se torna o padrão no canal de lançamento. Para mais detalhes, consulte Execute versões de patch de um canal mais recente.

Alta

GKE no VMware

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26643

O que devo fazer?

Pendente

GKE na AWS

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26643

O que devo fazer?

Pendente

GKE no Azure

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26643

O que devo fazer?

Pendente

GKE em bare metal

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26643

O que devo fazer?

Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição.

Nenhum

GCP-2024-024

Publicado : 25/04/2024
Atualizado : 18/07/2024
Referência: CVE-2024-26585

Atualização de 18/07/2024 : adicionamos versões de patch para pools de nós do Ubuntu no GKE.

GKE;

Atualizado : 18/07/2024

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26585

Os clusters do GKE Standard e do Autopilot foram afetados.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

Atualização de 18/07/2024 : as seguintes versões do GKE são atualizado com código para corrigir essa vulnerabilidade no Ubuntu. Faça upgrade do pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:

  • 1.26.15-gke.1469000
  • 1.27.14-gke.1100000
  • 1.28.10-gke.1148000
  • 1.29.6-gke.1038000
  • 1.30.2-gke.1394000

As seguintes versões secundárias foram afetadas. Faça upgrade do Pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:

  • 1.25.16-gke.1759000
  • 1.26.15-gke.1158000
  • 1.27.12-gke.1190000
  • 1.28.8-gke.1175000
  • 1.29.3-gke.1282000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar o mesmo versão secundária no próprio canal de lançamento. Esse recurso permite proteger seus nós até a versão do patch se torna o padrão no canal de lançamento. Para mais detalhes, consulte Execute versões de patch de um canal mais recente.

Alta

GKE no VMware

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26585

O que devo fazer?

Pendente

GKE na AWS

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26585

O que devo fazer?

Pendente

GKE no Azure

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26585

O que devo fazer?

Pendente

GKE em bare metal

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26585

O que devo fazer?

Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição.

Nenhum

GCP-2024-022

Publicado : 03/04/2024
Atualizado : 17/07/2024
Referência: CVE-2023-45288

Atualização de 17/07/2024 : adicionamos versões de patch para o GKE no VMware.
Atualização de 09/07/2024 : adicionamos versões de patch para o GKE em Bare Metal.
Atualização de 24/04/2024 : adicionamos versões de patch para o GKE.

GKE;

Atualizado : 24/04/2024

Descrição Severity

Uma vulnerabilidade de negação de serviço (DoS) (CVE-2023-45288) foi descoberta recentemente em várias implementações do protocolo HTTP/2, incluindo o servidor HTTP golang usado pelo Kubernetes. A vulnerabilidade pode levar a um DoS do plano de controle do Google Kubernetes Engine (GKE). Os clusters do GKE com redes autorizadas configuradas são protegidos limitando o acesso à rede, mas todos os outros clusters são afetados.

Os clusters do Autopilot e Standard do GKE são afetados.

O que devo fazer?

Atualização de 24/04/2024:adicionamos versões de patch para o GKE.

As versões a seguir do GKE incluem os patches de segurança do Golang para corrigir essa vulnerabilidade. Faça upgrade dos clusters do GKE para as versões a seguir ou posteriores:

  • 1.25.16-gke.1759000
  • 1.26.15-gke.1158000
  • 1.27.12-gke.1190000
  • 1.28.8-gke.1175000
  • 1.29.3-gke.1282000

O projeto golang lançou correções em 3 de abril de 2024. Vamos atualizar este boletim quando as versões do GKE que incorporam esses patches estiverem disponíveis. Para solicitar um patch em um cronograma acelerado, entre em contato com o suporte.

Reduza a configuração configurando redes autorizadas para acesso ao plano de controle:

É possível reduzir os clusters dessa classe de ataques configurando redes autorizadas. Siga as instruções para ativar redes autorizadas em um cluster atual.

Para saber como as redes autorizadas controlam o acesso ao plano de controle, consulte Como as redes autorizadas funcionam. Para conferir o acesso padrão à rede autorizada, consulte a tabela na seção Acesso aos endpoints do plano de controle.

Quais vulnerabilidades são corrigidas por esse patch?

A vulnerabilidade (CVE-2023-45288) permite que um invasor execute um ataque de DoS no plano de controle do Kubernetes.

Alta

GKE no VMware

Atualizado : 17/07/2024

Descrição Severity

Uma vulnerabilidade de negação de serviço (DoS) (CVE-2023-45288) foi descoberta recentemente em várias implementações do protocolo HTTP/2, incluindo o servidor HTTP golang usado pelo Kubernetes. A vulnerabilidade pode levar a um DoS do plano de controle do Google Kubernetes Engine (GKE).

O que devo fazer?

Atualização de 17/07/2024:adicionamos versões de patch para o GKE no VMware.

As seguintes versões do GKE no VMware incluem o código para corrigir esse problema a vulnerabilidade. Faça upgrade dos clusters do GKE no VMware para o seguinte ou mais recentes:

  • 1.29.0
  • 1.28.500
  • 1.16.8

O projeto golang lançou correções em 3 de abril de 2024. Atualizaremos este boletim quando as versões do GKE no VMware que incorporam esses patches estiverem disponíveis. Para solicitar um patch em um cronograma acelerado, entre em contato com o suporte.

Quais vulnerabilidades são corrigidas por esse patch?

A vulnerabilidade (CVE-2023-45288) permite que um invasor execute um ataque de DoS no plano de controle do Kubernetes.

Alta

GKE na AWS

Descrição Severity

Uma vulnerabilidade de negação de serviço (DoS) (CVE-2023-45288) foi descoberta recentemente em várias implementações do protocolo HTTP/2, incluindo o servidor HTTP golang usado pelo Kubernetes. A vulnerabilidade pode levar a um DoS do plano de controle do Google Kubernetes Engine (GKE).

O que devo fazer?

O projeto golang lançou correções em 3 de abril de 2024. Vamos atualizar este boletim quando as versões do GKE na AWS que incorporam esses patches estiverem disponíveis. Para solicitar um patch em um cronograma acelerado, entre em contato com o suporte.

Quais vulnerabilidades são corrigidas por esse patch?

A vulnerabilidade (CVE-2023-45288) permite que um invasor execute um ataque de DoS no plano de controle do Kubernetes.

Alta

GKE no Azure

Descrição Severity

Uma vulnerabilidade de negação de serviço (DoS) (CVE-2023-45288) foi descoberta recentemente em várias implementações do protocolo HTTP/2, incluindo o servidor HTTP golang usado pelo Kubernetes. A vulnerabilidade pode levar a um DoS do plano de controle do Google Kubernetes Engine (GKE).

O que devo fazer?

O projeto golang lançou correções em 3 de abril de 2024. Vamos atualizar este boletim quando as versões do GKE no Azure que incorporam esses patches estiverem disponíveis. Para solicitar um patch em um cronograma acelerado, entre em contato com o suporte.

Quais vulnerabilidades são corrigidas por esse patch?

A vulnerabilidade (CVE-2023-45288) permite que um invasor execute um ataque de DoS no plano de controle do Kubernetes.

Alta

GKE em bare metal

Atualizado : 09/07/2024

Descrição Severity

Uma vulnerabilidade de negação de serviço (DoS) (CVE-2023-45288) foi descoberta recentemente em várias implementações do protocolo HTTP/2, incluindo o servidor HTTP golang usado pelo Kubernetes. A vulnerabilidade pode levar a um DoS do plano de controle do Google Kubernetes Engine (GKE).

O que devo fazer?

Atualização de 09/07/2024:adicionamos versões de patch para o GKE em Bare Metal.

As seguintes versões do GKE em Bare Metal incluem o código para corrigir isso a vulnerabilidade. Faça upgrade dos clusters do GKE em Bare Metal para os seguintes ou mais recentes:

  • 1.29.100
  • 1.28.600
  • 1.16.9

O projeto golang lançou correções em 3 de abril de 2024. Vamos atualizar este boletim quando as versões do GKE em Bare Metal que incorporam esses patches estiverem disponíveis. Para solicitar um patch em um cronograma acelerado, entre em contato com o suporte.

Quais vulnerabilidades são corrigidas por esse patch?

A vulnerabilidade (CVE-2023-45288) permite que um invasor execute um ataque de DoS no plano de controle do Kubernetes.

Alta

GCP-2024-018

Publicado : 12/03/2024
Atualizado : 06/05/2024
Referência: CVE-2024-1085

Atualização de 06/05/2024 : novas versões de patch para o GKE Ubuntu e removemos um elemento de linha horizontal extra da atualização de 04/04/2024.

Atualização de 04/04/2024 : versões mínimas corrigidas para Pools de nós do Container-Optimized OS do GKE.

GKE;

Atualizado : 06/05/2024

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-1085

Os clusters do GKE Standard serão afetados. Os clusters do Autopilot do GKE na configuração padrão não serão afetados, mas poderão ficar vulneráveis se você definir explicitamente o perfil Unconfined seccomp ou permitir CAP_NET_ADMIN.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

Atualização de 06/05/2024:as seguintes versões do GKE são atualizado com código para corrigir essa vulnerabilidade no Ubuntu. Atualize seus pools de nós do Ubuntu para a seguintes versões ou posteriores.

  • 1.26.15-gke.1158000
  • 1.27.12-gke.1190000
  • 1.28.8-gke.1175000
  • 1.29.3-gke.1093000

Atualização de 04/04/2024:versões mínimas corrigidas para pools de nós do GKE Container-Optimized OS.

As versões mínimas do GKE que contêm as correções do Container-Optimized OS listadas anteriormente estavam incorretas. O código das seguintes versões do GKE foi atualizado para corrigir essa vulnerabilidade no Container-Optimized OS. Faça upgrade dos pools de nós do Container-Optimized OS para as versões a seguir ou mais recentes:

  • 1.25.16-gke.1520000
  • 1.26.13-gke.1221000
  • 1.27.10-gke.1243000
  • 1.28.8-gke.1083000
  • 1.29.3-gke.1054000

As seguintes versões secundárias foram afetadas. Faça upgrade do Pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:

  • 1.25.16-gke.1518000
  • 1.26.13-gke.1219000
  • 1.27.10-gke.1240000
  • 1.28.6-gke.1433000
  • 1.29.1-gke.1716000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar o mesmo versão secundária no próprio canal de lançamento. Esse recurso permite proteger seus nós até a versão do patch se torna o padrão no canal de lançamento. Para mais detalhes, consulte Execute versões de patch de um canal mais recente.

Alta

GKE no VMware

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-1085

O que devo fazer?

Pendente

GKE na AWS

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-1085

O que devo fazer?

Pendente

GKE no Azure

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-1085

O que devo fazer?

Pendente

GKE em bare metal

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-1085

O que devo fazer?

Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição.

Nenhum

GCP-2024-017

Publicado : 06/03/2024
Referência: CVE-2023-3611

GKE;

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2023-3611

Os clusters do GKE Standard serão afetados. Os clusters do Autopilot do GKE na configuração padrão não serão afetados, mas poderão ficar vulneráveis se você definir explicitamente o perfil Unconfined seccomp ou permitir CAP_NET_ADMIN.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

As seguintes versões secundárias foram afetadas. Faça upgrade do Pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1021001
  • 1.27.3-gke.1001002

As seguintes versões secundárias foram afetadas. Faça upgrade do pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1021001
  • 1.27.3-gke.1001002

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar o mesmo versão secundária no próprio canal de lançamento. Esse recurso permite proteger seus nós até a versão do patch se torna o padrão no canal de lançamento. Para mais detalhes, consulte Execute versões de patch de um canal mais recente.

Alta

GKE no VMware

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2023-3611

O que devo fazer?

Pendente

GKE na AWS

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2023-3611

O que devo fazer?

Pendente

GKE no Azure

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2023-3611

O que devo fazer?

Pendente

GKE em bare metal

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2023-3611

O que devo fazer?

Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição.

Nenhum

GCP-2024-014

Publicado : 26/02/2024
Referência: CVE-2023-3776

GKE;

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2023-3776

Os clusters do GKE Standard serão afetados. Os clusters do Autopilot do GKE na configuração padrão não serão afetados, mas poderão ficar vulneráveis se você definir explicitamente o perfil Unconfined seccomp ou permitir CAP_NET_ADMIN.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

As seguintes versões secundárias foram afetadas. Faça upgrade do Pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1014001
  • 1.27.3-gke.1001002
  • 1.28.0-gke.100

As seguintes versões secundárias foram afetadas. Faça upgrade do pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1021001
  • 1.27.3-gke.1001002

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar o mesmo versão secundária no próprio canal de lançamento. Esse recurso permite proteger seus nós até a versão do patch se torna o padrão no canal de lançamento. Para mais detalhes, consulte Execute versões de patch de um canal mais recente.

Alta

GKE no VMware

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2023-3776

O que devo fazer?

Pendente

GKE na AWS

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2023-3776

O que devo fazer?

Pendente

GKE no Azure

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2023-3776

O que devo fazer?

Pendente

GKE em bare metal

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2023-3776

O que devo fazer?

Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição.

Nenhum

GCP-2024-013

Publicado : 23/02/2024
Referência: CVE-2023-3610

GKE;

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2023-3610

Os clusters do GKE Standard serão afetados. Os clusters do Autopilot do GKE na configuração padrão não serão afetados, mas poderão ficar vulneráveis se você definir explicitamente o perfil Unconfined seccomp ou permitir CAP_NET_ADMIN.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

As seguintes versões secundárias foram afetadas. Faça upgrade do Pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:

  • 1.27.3-gke.1001002
  • 1.28.0-gke.100

As seguintes versões secundárias foram afetadas. Faça upgrade do pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1021001
  • 1.27.3-gke.1001002

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar o mesmo versão secundária no próprio canal de lançamento. Esse recurso permite proteger seus nós até a versão do patch se torna o padrão no canal de lançamento. Para mais detalhes, consulte Execute versões de patch de um canal mais recente.

Alta

GKE no VMware

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2023-3610

O que devo fazer?

Pendente

GKE na AWS

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2023-3610

O que devo fazer?

Pendente

GKE no Azure

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2023-3610

O que devo fazer?

Pendente

GKE em bare metal

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2023-3610

O que devo fazer?

Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição.

Nenhum

GCP-2024-012

Publicado : 20/02/2024
Referência: CVE-2024-0193

GKE;

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-0193

Os clusters do GKE Standard serão afetados. Os clusters do Autopilot do GKE na configuração padrão não serão afetados, mas poderão ficar vulneráveis se você definir explicitamente o perfil Unconfined seccomp ou permitir CAP_NET_ADMIN.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

As seguintes versões secundárias foram afetadas. Faça upgrade do Pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:

  • 1.27.10-gke.1149000
  • 1.28.6-gke.1274000
  • 1.29.1-gke.1388000

As seguintes versões secundárias foram afetadas. Faça upgrade do pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:

  • 1.25.16-gke.1412001
  • 1.26.6-gke.1017002
  • 1.27.10-gke.1055001
  • 1.28.6-gke.1276000
  • 1.29.1-gke.1392000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar o mesmo versão secundária no próprio canal de lançamento. Esse recurso permite proteger seus nós até a versão do patch se torna o padrão no canal de lançamento. Para mais detalhes, consulte Execute versões de patch de um canal mais recente.

Alta

GKE no VMware

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-0193

O que devo fazer?

Pendente

GKE na AWS

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-0193

O que devo fazer?

Pendente

GKE no Azure

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-0193

O que devo fazer?

Pendente

GKE em bare metal

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-0193

O que devo fazer?

Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição.

Nenhum

GCP-2024-011

Publicado : 15/02/2024
Referência: CVE-2023-6932

GKE;

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2023-6932

Os clusters do GKE Standard serão afetados. Os clusters do Autopilot do GKE na configuração padrão não serão afetados, mas poderão ficar vulneráveis se você definir explicitamente o perfil Unconfined seccomp ou permitir CAP_NET_ADMIN

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

As seguintes versões secundárias foram afetadas. Faça upgrade do Pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:

  • 1.24.17-gke.2364001
  • 1.25.16-gke.1229000
  • 1.26.6-gke.1017002
  • 1.27.3-gke.1001003
  • 1.28.5-gke.1194000
  • 1.29.0-gke.1340000

As seguintes versões secundárias foram afetadas. Faça upgrade do pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:

  • 1.25.16-gke.1412001
  • 1.26.6-gke.1017002
  • 1.27.10-gke.1055001
  • 1.28.6-gke.1276000
  • 1.29.1-gke.1221000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar o mesmo versão secundária no próprio canal de lançamento. Esse recurso permite proteger seus nós até a versão do patch se torna o padrão no canal de lançamento. Para mais detalhes, consulte Execute versões de patch de um canal mais recente.

Alta

GKE no VMware

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2023-6932

O que devo fazer?

Pendente

GKE na AWS

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2023-6932

O que devo fazer?

Pendente

GKE no Azure

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2023-6932

O que devo fazer?

Pendente

GKE em bare metal

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2023-6932

O que devo fazer?

Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição.

Nenhum

GCP-2024-010

Publicado : 14/02/2024
Atualizado : 17/04/2024
Referência: CVE-2023-6931

Atualização de 17/04/2024 : adicionamos versões de patch para o GKE no VMware.

GKE;

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-6931

Os clusters do GKE Standard serão afetados. Os clusters do Autopilot do GKE na configuração padrão não serão afetados, mas poderão ficar vulneráveis se você definir explicitamente o perfil Unconfined seccomp ou permitir CAP_NET_ADMIN.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

As seguintes versões secundárias foram afetadas. Faça upgrade do Pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:

  • 1.24.17-gke.2364001
  • 1.25.16-gke.1229000
  • 1.26.6-gke.1017002
  • 1.27.3-gke.1001003
  • 1.28.5-gke.1194000
  • 1.29.0-gke.1340000

As seguintes versões secundárias foram afetadas. Faça upgrade do pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:

  • 1.25.16-gke.1412001
  • 1.26.6-gke.1017002
  • 1.27.10-gke.1055001
  • 1.28.6-gke.1276000
  • 1.29.1-gke.1221000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar o mesmo versão secundária no próprio canal de lançamento. Esse recurso permite proteger seus nós até a versão do patch se torna o padrão no canal de lançamento. Para mais detalhes, consulte Execute versões de patch de um canal mais recente.

Alta

GKE no VMware

Atualizado : 17/04/2024

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-6931

O que devo fazer?

Atualização de 17/04/2024:adicionamos versões de patch para o GKE no VMware.


O código das versões a seguir do GKE no VMware é atualizado para corrigir essa vulnerabilidade. Faça upgrade dos clusters para as versões a seguir ou posteriores:

  • 1.28.200
  • 1.16.6
  • 1.15.10


Pendente

GKE na AWS

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-6931

O que devo fazer?

Pendente

GKE no Azure

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-6931

O que devo fazer?

Pendente

GKE em bare metal

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-6931

O que devo fazer?

Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição.

Nenhum

GCP-2024-008

Publicado : 12/02/2024
Referência: CVE-2023-5528

GKE;

Descrição Severity

A CVE-2023-5528 permite que um invasor crie pods e volumes permanentes em nós do Windows permitindo o escalonamento de privilégios de administrador nesses nós.

Clusters do GKE Standard em execução Windows Server (em inglês) e o uso de um plug-in de armazenamento em árvore pode ser afetado.

clusters do GKE Autopilot e pools de nós do GKE usando GKE Sandbox não estão afetados porque não são compatíveis com os nós do Windows Server.

O que devo fazer?

Determine se você tem nós do Windows Server em uso nos clusters:

kubectl get nodes -l kubernetes.io/os=windows

Verificar registros de auditoria em busca de evidências de exploração. Os registros de auditoria do Kubernetes podem ser auditados determinar se essa vulnerabilidade está sendo explorada. eventos de criação do Persistent Volume com campos de caminho local que contêm caracteres especiais são uma forte indicação de exploração.

Atualize o cluster do GKE e os pools de nós para uma versão com patch. A as seguintes versões do GKE foram atualizadas para corrigir essa vulnerabilidade. Mesmo que a atualização automática de nós esteja ativada, recomendamos fazer upgrade manualmente seus pools de nós do cluster e do Windows Server para um dos seguintes buckets do GKE ou mais recentes:

  • 1.24.17-gke.6100
  • 1.25.15-gke.2000
  • 1.26.10-gke.2000
  • 1.27.7-gke.2000
  • 1.28.3-gke.1600

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar o mesmo versão secundária no próprio canal de lançamento. Esse recurso permite proteger seus nós até a versão do patch se torna o padrão no canal de lançamento. Para mais detalhes, consulte Execute versões de patch de um canal mais recente.

Quais vulnerabilidades são corrigidas por esse patch?

A CVE-2023-5528 permite que um invasor crie pods e volumes permanentes em nós do Windows permitindo o escalonamento de privilégios de administrador nesses nós.

Alta

GKE no VMware

Descrição Severity

A CVE-2023-5528 permite que um invasor crie pods e volumes permanentes em nós do Windows permitindo o escalonamento de privilégios de administrador nesses nós.

Clusters do GKE no VMware em execução Windows Server (em inglês) e o uso de um plug-in de armazenamento em árvore pode ser afetado.

O que devo fazer?

Determine se você tem nós do Windows Server em uso nos clusters:

kubectl get nodes -l kubernetes.io/os=windows

Verificar registros de auditoria em busca de evidências de exploração. Os registros de auditoria do Kubernetes podem ser auditados determinar se essa vulnerabilidade está sendo explorada. eventos de criação do Persistent Volume com campos de caminho local que contêm caracteres especiais são uma forte indicação de exploração.

Atualize o cluster e os pools de nós do GKE no VMware para uma versão com patch. A as versões a seguir do GKE no VMware foram atualizadas para corrigir essa vulnerabilidade. Mesmo que a atualização automática de nós esteja ativada, recomendamos fazer upgrade manualmente seus pools de nós do cluster e do Windows Server para um dos seguintes pools do GKE no VMware ou mais recentes:

  • 1.28.100-gke.131
  • 1.16.5-gke.28
  • 1.15.8-gke.41

Quais vulnerabilidades são corrigidas por esse patch?

A CVE-2023-5528 permite que um invasor crie pods e volumes permanentes em nós do Windows permitindo o escalonamento de privilégios de administrador nesses nós.

Alta

GKE na AWS

Descrição Severity

A CVE-2023-5528 permite que um invasor crie pods e volumes permanentes em nós do Windows permitindo o escalonamento de privilégios de administrador nesses nós.

Os clusters do GKE na AWS não são afetados.

O que devo fazer?

Nenhuma ação necessária

Nenhum

GKE no Azure

Descrição Severity

A CVE-2023-5528 permite que um invasor crie pods e volumes permanentes em nós do Windows permitindo o escalonamento de privilégios de administrador nesses nós.

Os clusters do GKE no Azure não são afetados.

O que devo fazer?

Nenhuma ação necessária

Nenhum

GKE em bare metal

Descrição Severity

A CVE-2023-5528 permite que um invasor crie pods e volumes permanentes em nós do Windows permitindo o escalonamento de privilégios de administrador nesses nós.

Os clusters do GKE em Bare Metal não são afetados.

O que devo fazer?

Nenhuma ação necessária

Nenhum

GCP-2024-005

Publicado : 31/01/2024
Atualizado : 06/05/2024
Referência: CVE-2024-21626

Atualização de 06/05/2024: adicionamos versões de patch para o GKE na AWS e no GKE no Azure.
Atualização de 02/04/2024: adicionamos versões de patch para o GKE em Bare Metal
Atualização de 06/03/2024: adicionamos versões de patch para o GKE no VMware
28/02/2024: versões de patch adicionadas para Ubuntu
Atualização de 15/02/2024: esclarecemos que as versões de patch 1.25 e 1.26 do Ubuntu no A atualização de 14/02/2024 pode causar nós não íntegros.
Atualização de 14/02/2024: versões de patch adicionadas para Ubuntu
Atualização de 06/02/2024 : adicionamos versões de patch para o Container-Optimized OS.

GKE;

Atualizado : 06/03/2024

Descrição Severity

Uma vulnerabilidade de segurança, CVE-2024-21626, foi descoberta em runc, em que um usuário com permissão para criar pods em nós do Ubuntu e do Container-Optimized OS pode ter acesso total ao sistema de arquivos do nó.

Os clusters do GKE Standard e do Autopilot foram afetados.

Clusters que usam o GKE Sandbox não serão afetadas.

O que devo fazer?

Atualização de 28/02/2024: as seguintes versões do GKE têm foi atualizado com código para corrigir essa vulnerabilidade no Ubuntu. Fazer upgrade dos pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:

  • 1.25.16-gke.1537000
  • 1.26.14-gke.1006000

Atualização de 15/02/2024: devido a um problema, as seguintes versões de patch do Ubuntu da atualização de 14/02/2024 pode fazer com que os nós entrem em um estado não íntegro. O que não fazer fazer upgrade para as versões de patch a seguir. Este boletim será atualizado quando houver um patch mais recente para Ubuntu estão disponíveis para 1.25 e 1.26.

  • 1.25.16-gke.1497000
  • 1.26.13-gke.1189000

Se você já fez upgrade para uma dessas versões de patch, fazer downgrade manualmente o pool de nós para uma versão anterior no canal de lançamento.


Atualização de 14/02/2024: as seguintes versões do GKE têm foi atualizado com código para corrigir essa vulnerabilidade no Ubuntu. Fazer upgrade dos pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:

  • 1.25.16-gke.1497000
  • 1.26.13-gke.1189000
  • 1.27.10-gke.1207000
  • 1.28.6-gke.1369000
  • 1.29.1-gke.1575000

Atualização de 06/02/2024: as seguintes versões do GKE têm foi atualizado com código para corrigir essa vulnerabilidade no Container-Optimized OS. Por motivos de segurança, mesmo que a atualização automática de nós esteja ativada, é recomendável fazer upgrade manualmente seus pools de nós do cluster e do Container-Optimized OS para um dos seguintes Versões do GKE ou mais recentes:

  • 1.25.16-gke.1460000
  • 1.26.13-gke.1144000
  • 1.27.10-gke.1152000
  • 1.28.6-gke.1289000
  • 1.29.1-gke.1425000
.

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar o mesmo versão secundária no próprio canal de lançamento. Esse recurso permite proteger seus nós até a versão do patch se torna o padrão no canal de lançamento. Para mais detalhes, consulte Execute versões de patch de um canal mais recente.


Estamos atualizando o GKE com código para corrigir essa vulnerabilidade. Vamos atualizar isso quando as versões de patch estiverem disponíveis.

Quais vulnerabilidades são corrigidas por esse patch?

runc é uma ferramenta de baixo nível para gerar e executar contêineres do Linux usados em pods do Kubernetes. Em runc versões anteriores aos patches lançados neste boletim de segurança, vários descritores de arquivo foram acidentalmente vazados para a Processo runc init que é executado em um contêiner. runc também fez não verificar se o diretório de trabalho final de um contêiner estava dentro da montagem do contêiner . Uma imagem de contêiner maliciosa ou um usuário com permissão para executar pods arbitrários poderia usar uma combinação dos descritores de arquivo vazados e da falta de diretório de trabalho para ter acesso ao namespace de montagem do host de um nó e acessar todo o host e substituir binários arbitrários no nó.

Alta

GKE no VMware

Atualizado : 06/03/2024

Descrição Severity

Uma vulnerabilidade de segurança, CVE-2024-21626, foi descoberta em runc, em que um usuário com permissão para criar pods em nós do Ubuntu e do Container-Optimized OS pode ter acesso total ao sistema de arquivos do nó.

O que devo fazer?

Atualização de 06/03/2024: as seguintes versões do GKE no VMware têm foi atualizado com código para corrigir essa vulnerabilidade. Faça upgrade dos clusters para as versões a seguir ou posteriores:

  • 1.28.200
  • 1.16.6
  • 1.15.9

Versões de patch e uma avaliação de gravidade para o GKE no VMware estão em andamento. Atualizaremos este boletim com essas informações quando elas estiverem disponíveis.

Quais vulnerabilidades são corrigidas por esse patch?

runc é uma ferramenta de baixo nível para gerar e executar contêineres do Linux usados em pods do Kubernetes. Em runc versões anteriores aos patches lançados neste boletim de segurança, vários descritores de arquivo foram acidentalmente vazados para a Processo runc init que é executado em um contêiner. runc também fez não verificar se o diretório de trabalho final de um contêiner estava dentro da montagem do contêiner . Uma imagem de contêiner maliciosa ou um usuário com permissão para executar pods arbitrários poderia usar uma combinação dos descritores de arquivo vazados e da falta de diretório de trabalho para ter acesso ao namespace de montagem do host de um nó e acessar todo o host e substituir binários arbitrários no nó.

Alta

GKE na AWS

Atualizado : 06/05/2024

Descrição Severity

Uma vulnerabilidade de segurança, CVE-2024-21626, foi descoberta em runc, em que um usuário com permissão para criar pods em nós do Ubuntu e do Container-Optimized OS pode ter acesso total ao sistema de arquivos do nó.

O que devo fazer?

Atualização de 06/05/2024: as seguintes versões do GKE na AWS têm foi atualizado com patches para CVE-2024-21626:

  • 1.28.5-gke.1200
  • 1.27.10-gke.500
  • 1.26.13-gke.400

Versões de patch e uma avaliação de gravidade para o GKE na AWS estão em andamento. Atualizaremos este boletim com essas informações quando elas estiverem disponíveis.

Quais vulnerabilidades são corrigidas por esse patch?

runc é uma ferramenta de baixo nível para gerar e executar contêineres do Linux usados em pods do Kubernetes. Em runc versões anteriores aos patches lançados neste boletim de segurança, vários descritores de arquivo foram acidentalmente vazados para a Processo runc init que é executado em um contêiner. runc também fez não verificar se o diretório de trabalho final de um contêiner estava dentro da montagem do contêiner . Uma imagem de contêiner maliciosa ou um usuário com permissão para executar pods arbitrários poderia usar uma combinação dos descritores de arquivo vazados e da falta de diretório de trabalho para ter acesso ao namespace de montagem do host de um nó e acessar todo o host e substituir binários arbitrários no nó.

Alta

GKE no Azure

Atualizado : 06/05/2024

Descrição Severity

Uma vulnerabilidade de segurança, CVE-2024-21626, foi descoberta em runc, em que um usuário com permissão para criar pods em nós do Ubuntu e do Container-Optimized OS pode ter acesso total ao sistema de arquivos do nó.

O que devo fazer?

Atualização de 06/05/2024: as seguintes versões do GKE no Azure têm foi atualizado com patches para CVE-2024-21626:

  • 1.28.5-gke.1200
  • 1.27.10-gke.500
  • 1.26.13-gke.400

Versões de patch e uma avaliação de gravidade para o GKE no Azure estão em andamento. Atualizaremos este boletim com essas informações quando elas estiverem disponíveis.

Quais vulnerabilidades são corrigidas por esse patch?

runc é uma ferramenta de baixo nível para gerar e executar contêineres do Linux usados em pods do Kubernetes. Em runc versões anteriores aos patches lançados neste boletim de segurança, vários descritores de arquivo foram acidentalmente vazados para a Processo runc init que é executado em um contêiner. runc também fez não verificar se o diretório de trabalho final de um contêiner estava dentro da montagem do contêiner . Uma imagem de contêiner maliciosa ou um usuário com permissão para executar pods arbitrários poderia usar uma combinação dos descritores de arquivo vazados e da falta de diretório de trabalho para ter acesso ao namespace de montagem do host de um nó e acessar todo o host e substituir binários arbitrários no nó.

Alta

GKE em bare metal

Atualizado : 02/04/2024

Descrição Severity

Uma vulnerabilidade de segurança, CVE-2024-21626, foi descoberta em runc, em que um usuário com permissão para criar pods pode ter acesso total ao sistema de arquivos do nó.

O que devo fazer?

Atualização de 02/04/2024: as seguintes versões do GKE em Bare Metal têm foi atualizado com código para corrigir essa vulnerabilidade. Faça upgrade dos clusters para as versões a seguir ou posteriores:

  • 1.28.200-gke.118
  • 1.16.6
  • 1.15.10

Versões de patch e uma avaliação de gravidade para o GKE em Bare Metal estão em andamento. Atualizaremos este boletim com essas informações quando elas estiverem disponíveis.

Quais vulnerabilidades são corrigidas por esse patch?

runc é uma ferramenta de baixo nível para gerar e executar contêineres do Linux usados em pods do Kubernetes. Em runc versões anteriores aos patches lançados neste boletim de segurança, vários descritores de arquivo foram acidentalmente vazados para a Processo runc init que é executado em um contêiner. runc também fez não verificar se o diretório de trabalho final de um contêiner estava dentro da montagem do contêiner . Uma imagem de contêiner maliciosa ou um usuário com permissão para executar pods arbitrários poderia usar uma combinação dos descritores de arquivo vazados e da falta de diretório de trabalho para ter acesso ao namespace de montagem do host de um nó e acessar todo o host e substituir binários arbitrários no nó.

Alta

GCP-2024-004

Publicado : 24/01/2024
Atualizado : 07/02/2024
Referência: CVE-2023-6817

Atualização de 07/02/2024 : adicionamos versões de patch para o Ubuntu.

GKE;

Atualizado : 07/02/2024

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-6817

Os clusters do GKE Standard serão afetados. Os clusters do Autopilot do GKE na configuração padrão não serão afetados, mas poderão ficar vulneráveis se você definir explicitamente o perfil Unconfined seccomp ou permitir CAP_NET_ADMIN

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

Atualização de 07/02/2024:as seguintes versões secundárias foram afetadas. Faça upgrade do pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:

  • 1.25.16-gke.1458000
  • 1.26.13-gke.1143000
  • 1.27.10-gke.1152000
  • 1.28.6-gke.1276000
  • 1.29.1-gke.1221000

As seguintes versões secundárias foram afetadas. Faça upgrade do Pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:

  • 1.25.16-gke.1229000
  • 1.26.12-gke.1087000
  • 1.27.3-gke.1001003
  • 1.28.5-gke.1194000
  • 1.29.0-gke.1340000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar o mesmo versão secundária no próprio canal de lançamento. Esse recurso permite proteger seus nós até a versão do patch se torna o padrão no canal de lançamento. Para mais detalhes, consulte Execute versões de patch de um canal mais recente.

Alta

GKE no VMware

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-6817

O que devo fazer?

Pendente

GKE na AWS

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-6817

O que devo fazer?

Pendente

GKE no Azure

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-6817

O que devo fazer?

Pendente

GKE em bare metal

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-6817

O que devo fazer?

Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição.

Nenhum

GCP-2024-003

Publicado : 19/01/2024
Atualizado : 26/01/2024
Atualização de 26/01/2024 : esclarecemos o número de clusters afetados e as ações que que realizamos para ajudar a reduzir o impacto.

GKE;

Atualizado : 26/01/2024

Descrição Severity

Atualização de 26/01/2024: pesquisa de segurança que encontrou um pequeno número de Clusters do GKE com uma configuração incorreta criada pelo cliente envolvendo o grupo system:authenticated foi publicado. O blog do pesquisador post refere-se a 1.300 clusters com algumas vinculações mal configuradas e 108 com alto para conceder privilégios de acesso. Trabalhamos de perto com os clientes afetados para notificá-los e ajudar com removendo as vinculações mal configuradas.


Identificamos vários clusters em que os usuários concederam permissão privilégios para o grupo system:authenticated, que inclui todos usuários com uma Conta do Google. Esses tipos de vinculações não são recomendadas, já que elas violam o princípio de privilégio mínimo e concedem acesso a grupos muito grandes de usuários. Consulte as orientações em "O que devo fazer?" para instruções sobre como encontrar esses tipos de vinculações.

Recentemente, um pesquisador de segurança relatou descobertas de clusters com RBAC por meio de nosso programa de relatórios de vulnerabilidade.

A abordagem do Google em relação à autenticação é fazer com que a autenticação seja feita no Google Cloud e o GKE o mais simples e seguro possível, sem adicionar etapas de configuração complexas. A autenticação informa apenas quem é o usuário. A autorização é em que o acesso é determinado. Portanto, o grupo system:authenticated em O GKE que contém todos os usuários autenticados pelo provedor de identidade do Google é funcionando conforme esperado e funciona da mesma forma que o IAM identificador allAuthenticatedUsers.

Pensando nisso, tomamos várias medidas para reduzir o risco dos usuários erros de autorização com os usuários integrados do Kubernetes e grupos, incluindo system:anonymous, system:authenticated e system:unauthenticated. Todos desses usuários/grupos representam um risco para o cluster se receberem permissões. Qa discutimos algumas das atividades dos invasores direcionadas a configurações incorretas de controle de acesso baseado em função (RBAC) e as defesas disponíveis em Kubecon em novembro de 2023.

Proteger os usuários contra erros de autorização acidentais com esse sistema usuários/grupos, temos:

Os clusters que aplicam clusters autorizados redes têm uma primeira camada de defesa: elas não podem ser atacados diretamente da Internet. Ainda assim, recomendamos remover essas vinculações defesa em profundidade e para proteger contra erros nos controles de rede.
Há vários casos em que as vinculações a usuários do sistema Kubernetes ou grupos sejam usados intencionalmente. Por exemplo, para kubeadm bootstrapping, o Rancher painel e Bitnami seladas. Confirmamos com esses fornecedores de software que aqueles se as vinculações estiverem funcionando corretamente.

Estamos investigando maneiras de aumentar a proteção contra o controle de acesso baseado em função (RBAC) do usuário de configuração com esses usuários/grupos do sistema por meio de prevenção e detecção de ameaças.

O que devo fazer?

Para evitar qualquer nova vinculação de cluster-admin ao User system:anonymous, grupo system:authenticated ou grupo Usuários do system:unauthenticated podem fazer upgrade para o GKE v1.28 ou mais tarde (versão ), em que a criação dessas vinculações é bloqueada.

Revise as vinculações atuais a seguir estas orientações.

Médio

GKE no VMware

Não há atualizações no momento.

GKE na AWS

Não há atualizações no momento.

GKE no Azure

Não há atualizações no momento.

GKE em bare metal

Não há atualizações no momento.

GCP-2024-002

Publicado : 17/01/2024
Atualizado : 20/02/2024
Referência: CVE-2023-6111

Atualização de 20/02/2024 : adicionamos versões de patch para o GKE no VMware.

GKE;

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS.

  • CVE-2023-6111

Os clusters do GKE Standard serão afetados. Os clusters do Autopilot do GKE na configuração padrão não serão afetados, mas poderão ficar vulneráveis se você definir explicitamente o perfil Unconfined seccomp ou permitir CAP_NET_ADMIN

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

As seguintes versões secundárias foram afetadas. Faça upgrade do Pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:

  • 1.27.7-gke.1063001
  • 1.28.5-gke.1194000
  • 1.29.0-gke.1340000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar o mesmo versão secundária no próprio canal de lançamento. Esse recurso permite proteger seus nós até a versão do patch se torna o padrão no canal de lançamento. Para mais detalhes, consulte Execute versões de patch de um canal mais recente.

Alta

GKE no VMware

Atualizado : 20/02/2024

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS.

  • CVE-2023-6111

O que devo fazer?

Atualização de 20/02/2024:as versões a seguir do GKE no VMware foram atualizadas com o código para corrigir essa vulnerabilidade. Faça upgrade dos clusters para as seguintes versões ou posteriores: 1.28.100


Pendente

GKE na AWS

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS.

  • CVE-2023-6111

O que devo fazer?

Pendente

GKE no Azure

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS.

  • CVE-2023-6111

O que devo fazer?

Pendente

GKE em bare metal

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS.

  • CVE-2023-6111

O que devo fazer?

Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição.

Nenhum

GCP-2023-051

Publicado : 28/12/2023
Referência: CVE-2023-3609

GKE;

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-3609

Os clusters do GKE Standard serão afetados. Os clusters do Autopilot do GKE na configuração padrão não serão afetados, mas poderão ficar vulneráveis se você definir explicitamente o perfil Unconfined seccomp ou permitir CAP_NET_ADMIN.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

As seguintes versões secundárias foram afetadas. Faça upgrade do Pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1014001
  • 1.27.3-gke.1001002
  • 1.28.0-gke.100

As seguintes versões secundárias foram afetadas. Faça upgrade do pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:

  • 1.24.14-gke.1027001
  • 1.26.5-gke.1021001
  • 1.27.3-gke.1001002

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar o mesmo versão secundária no próprio canal de lançamento. Esse recurso permite proteger seus nós até a versão do patch se torna o padrão no canal de lançamento. Para mais detalhes, consulte Execute versões de patch de um canal mais recente.

Alta

GKE no VMware

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-3609

O que devo fazer?

Pendente

GKE na AWS

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-3609

O que devo fazer?

Pendente

GKE no Azure

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-3609

O que devo fazer?

Pendente

GKE em bare metal

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-3609

O que devo fazer?

Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição.

Nenhum

GCP-2023-050

Publicado : 27/12/2023
Referência: CVE-2023-3389

GKE;

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-3389

Os clusters do GKE Standard e do Autopilot foram afetados.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

As seguintes versões secundárias foram afetadas. Faça upgrade do Pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1014001
  • 1.27.3-gke.1001002
  • 1.28.0-gke.100

As seguintes versões secundárias foram afetadas. Faça upgrade do pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1014001
  • 1.27.3-gke.1001002
  • 1.28.1-gke.1002003

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar o mesmo versão secundária no próprio canal de lançamento. Esse recurso permite proteger seus nós até a versão do patch se torna o padrão no canal de lançamento. Para mais detalhes, consulte Execute versões de patch de um canal mais recente.

Alta

GKE no VMware

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-3389

O que devo fazer?

Pendente

GKE na AWS

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-3389

O que devo fazer?

Pendente

GKE no Azure

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-3389

O que devo fazer?

Pendente

GKE em bare metal

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-3389

O que devo fazer?

Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição.

Nenhum

GCP-2023-049

Publicado : 20/12/2023
Referência: CVE-2023-3090

GKE;

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-3090

Os clusters do GKE Standard serão afetados. GKE Os clusters do Autopilot na configuração padrão não são afetados, mas podem ser se você definir explicitamente o perfil Unconfined seccomp ou permitir CAP_NET_ADMIN.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

As seguintes versões secundárias foram afetadas. Faça upgrade do Pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:

  • 1.24.14-gke.1027001
  • 1.25.12-gke.900
  • 1.26.5-gke.1014001
  • 1.27.4-gke.400
  • 1.28.0-gke.100

As seguintes versões secundárias foram afetadas. Faça upgrade do pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:

  • 1.24.14-gke.1027001
  • 1.25.12-gke.900
  • 1.26.5-gke.1014001
  • 1.27.4-gke.900
  • 1.28.1-gke.1050000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar o mesmo versão secundária no próprio canal de lançamento. Esse recurso permite proteger seus nós até a versão do patch se torna o padrão no canal de lançamento. Para mais detalhes, consulte Execute versões de patch de um canal mais recente.

Alta

GKE no VMware

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-3090

O que devo fazer?

Pendente

GKE na AWS

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-3090

O que devo fazer?

Pendente

GKE no Azure

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-3090

O que devo fazer?

Pendente

GKE em bare metal

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-3090

O que devo fazer?

Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição.

Nenhum

GCP-2023-048

Publicado : 15/12/2023
Atualizado : 21/12/2023
Referência: CVE-2023-3390

Atualização de 21/12/2023 : esclarecemos que os clusters do Autopilot do GKE na configuração padrão não são afetadas.

GKE;

Atualizado : 21/12/2023

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-3390

Atualização de 21/12/2023: o boletim original informava que o Autopilot era Autopilot. clusters foram afetados, mas isso estava incorreto. Autopilot do GKE clusters na configuração padrão não são afetados, mas podem ficar vulneráveis caso sejam defina explicitamente o perfil seccomp Unconfined ou permitir CAP_NET_ADMIN.

Os clusters do GKE Standard e do Autopilot foram afetados.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

As seguintes versões secundárias foram afetadas. Faça upgrade do Pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:

  • 1.27.4-gke.400
  • 1.28.0-gke.100

As seguintes versões secundárias foram afetadas. Faça upgrade do pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:

  • 1.24.14-gke.1027001
  • 1.25.12-gke.900
  • 1.26.5-gke.1014001
  • 1.27.4-gke.900
  • 1.28.1-gke.1050000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar o mesmo versão secundária no próprio canal de lançamento. Esse recurso permite proteger seus nós até a versão do patch se torna o padrão no canal de lançamento. Para mais detalhes, consulte Execute versões de patch de um canal mais recente.

Alta

GKE no VMware

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-3390

O que devo fazer?

Pendente

GKE na AWS

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-3390

O que devo fazer?

Pendente

GKE no Azure

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-3390

O que devo fazer?

Pendente

GKE em bare metal

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-3390

O que devo fazer?

Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição.

Nenhum

GCP-2023-047

Publicado : 14/12/2023

GKE;

Descrição Severity

Um invasor que tenha comprometido o contêiner de registro do Fluent Bit pode combinar isso com privilégios elevados exigidos pelo Cloud Service Mesh (em clusters com ativado) para escalonar privilégios no cluster. Os problemas com os aplicativos Fluent Bit e O Cloud Service Mesh foi atenuado, e as correções já estão disponíveis. Essas vulnerabilidades não são exploráveis por si só no GKE e exigem um comprometimento inicial. Não temos conhecimento de casos de exploração dessas vulnerabilidades.

Esses problemas foram informados pelo nosso Programa de recompensa para descobertas de vulnerabilidades.

O que devo fazer?

As seguintes versões do GKE foram atualizadas com código para correção essas vulnerabilidades no Fluent Bit e para usuários do Cloud Service Mesh gerenciado. Para para fins de segurança, mesmo que a atualização automática de nós esteja ativada, recomendamos que você fazer upgrade manualmente seus pools de nós e de cluster para uma das seguintes versões do GKE ou depois:

  • 1.25.16-gke.1020000
  • 1.26.10-gke.1235000
  • 1.27.7-gke.1293000
  • 1.28.4-gke.1083000

Um recurso recente do canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição em um canal. Isso permite você protege os nós até que a nova versão se torne o padrão para a rede canal de lançamento

Se o cluster usa o Cloud Service Mesh no cluster, você precisa fazer o upgrade manual para um dos as seguintes versões (notas da versão):

  • 1.17.8-asm.8
  • 1.18.6-asm.2
  • 1.19.5-asm.4

Quais vulnerabilidades estão sendo corrigidas?

As vulnerabilidades abordadas por este boletim exigem que um invasor comprometa a Contêiner de geração de registros do Bit fluente. Não estamos cientes de nenhuma vulnerabilidade existente em Bit fluente que levaria a essa condição de pré-requisito para o escalonamento de privilégios. Nós corrigimos essas vulnerabilidades como medidas de proteção para evitar uma possível cadeia de ataque completa no futuro

O GKE usa o Fluent Bit para processar registros de cargas de trabalho em execução nos clusters. O Fluent Bit no GKE também foi configurado para coletar registros para cargas de trabalho do Cloud Run. A montagem do volume configurada para coletar os registros deu Acesso de Bit fluente aos tokens da conta de serviço do Kubernetes para outros pods em execução no nó. O pesquisador usou esse acesso para descobrir uma conta de serviço altamente privilegiada para clusters com o Cloud Service Mesh ativado.

O Cloud Service Mesh exigia privilégios altos para fazer as modificações necessárias em uma do cluster, incluindo a capacidade de criar e excluir pods. A pesquisador usou o token da conta de serviço privilegiada do Kubernetes do Cloud Service Mesh para escalam os privilégios iniciais comprometidos criando um novo pod com Privilégios de administrador do cluster

Removemos o acesso do Fluent Bit aos tokens da conta de serviço e reformulou a funcionalidade do Cloud Service Mesh para remover os privilégios em excesso.

Médio

GKE no VMware

Descrição Severity

Somente os clusters do GKE no VMware que usam o Cloud Service Mesh são afetados.

O que devo fazer?

Se o cluster usa o Cloud Service Mesh no cluster, você precisa fazer o upgrade manual para uma das seguintes versões (notas da versão):

  • 1.17.8-asm.8
  • 1.18.6-asm.2
  • 1.19.5-asm.4

Quais vulnerabilidades são corrigidas por esse patch?

As vulnerabilidades abordadas por este boletim exigem que um invasor primeiro ou se saírem de um contêiner ou tiverem raiz em um nó de cluster. Qa não estão cientes de nenhuma vulnerabilidade existente que possa levar a esse pré-requisito para o escalonamento de privilégios. Nós corrigimos essas vulnerabilidades como um aumento medidas para evitar uma possível cadeia de ataque completa no futuro.

O Cloud Service Mesh exigia privilégios altos para fazer as modificações necessárias em uma do cluster, incluindo a capacidade de criar e excluir pods. A pesquisadora usou o token da conta de serviço privilegiada do Kubernetes do Cloud Service Mesh para encaminhar privilégios iniciais comprometidos criando um novo pod com privilégios cluster-admin.

Reformulamos a funcionalidade do Cloud Service Mesh para remover excessos para conceder privilégios de acesso.

Médio

GKE na AWS

Descrição Severity

Apenas clusters do GKE na AWS que usam o Cloud Service Mesh são afetados.

O que devo fazer?

Se o cluster usa o Cloud Service Mesh no cluster, você precisa fazer upgrade manualmente para uma das seguintes versões (notas da versão):

  • 1.17.8-asm.8
  • 1.18.6-asm.2
  • 1.19.5-asm.4

Quais vulnerabilidades são corrigidas por esse patch?

As vulnerabilidades abordadas por este boletim exigem que um invasor primeiro ou se saírem de um contêiner ou tiverem raiz em um nó de cluster. Estamos desconhecimento de vulnerabilidades existentes que possam levar a essa condição de pré-requisito. para escalonamento de privilégios. Corrigimos essas vulnerabilidades como medidas de proteção para evitar uma possível cadeia de ataque completa no futuro.

O Cloud Service Mesh exigia privilégios altos para fazer as modificações necessárias em uma do cluster, incluindo a capacidade de criar e excluir pods. A pesquisadora usou o token da conta de serviço privilegiada do Kubernetes do Cloud Service Mesh para encaminhar privilégios iniciais comprometidos criando um novo pod com privilégios cluster-admin.

Reformulamos a funcionalidade do Cloud Service Mesh para remover excessos para conceder privilégios de acesso.

Médio

GKE no Azure

Descrição Severity

Apenas clusters do GKE no Azure que usam o Cloud Service Mesh são afetados.

O que devo fazer?

Se o cluster usa o Cloud Service Mesh no cluster, você precisa fazer upgrade manualmente para uma das seguintes versões (notas da versão):

  • 1.17.8-asm.8
  • 1.18.6-asm.2
  • 1.19.5-asm.4

Quais vulnerabilidades são corrigidas por esse patch?

As vulnerabilidades abordadas por este boletim exigem que um invasor primeiro ou se saírem de um contêiner ou tiverem raiz em um nó de cluster. Estamos desconhecimento de vulnerabilidades existentes que possam levar a essa condição de pré-requisito. para escalonamento de privilégios. Corrigimos essas vulnerabilidades como medidas de proteção para evitar uma possível cadeia de ataque completa no futuro.

O Cloud Service Mesh exigia privilégios altos para fazer as modificações necessárias em uma do cluster, incluindo a capacidade de criar e excluir pods. A pesquisadora usou o token da conta de serviço privilegiada do Kubernetes do Cloud Service Mesh para encaminhar privilégios iniciais comprometidos criando um novo pod com privilégios cluster-admin.

Reformulamos a funcionalidade do Cloud Service Mesh para remover excessos para conceder privilégios de acesso.

Médio

GKE em bare metal

Descrição Severity

Somente clusters do GKE em Bare Metal que usam o Cloud Service Mesh são afetados.

O que devo fazer?

Se o cluster usa o Cloud Service Mesh no cluster, você precisa fazer o upgrade manual para uma das seguintes versões (notas da versão):

  • 1.17.8-asm.8
  • 1.18.6-asm.2
  • 1.19.5-asm.4

Quais vulnerabilidades são corrigidas por esse patch?

As vulnerabilidades abordadas por este boletim exigem que um invasor primeiro ou se saírem de um contêiner ou tiverem raiz em um nó de cluster. Estamos desconhecimento de vulnerabilidades existentes que possam levar a essa condição de pré-requisito. para escalonamento de privilégios. Corrigimos essas vulnerabilidades como medidas de proteção para evitar uma possível cadeia de ataque completa no futuro.

O Anthos Service Mesh exigia privilégios altos para fazer as modificações necessárias em um do cluster, incluindo a capacidade de criar e excluir pods. A pesquisadora usou o token da conta de serviço privilegiada do Kubernetes do Cloud Service Mesh para encaminhar privilégios iniciais comprometidos criando um novo pod com privilégios cluster-admin.

Reformulamos a funcionalidade do Cloud Service Mesh para remover excessos para conceder privilégios de acesso.

Médio

GCP-2023-046

Publicado : 22/11/2023
Atualizado : 04/03/2024
Referência: CVE-2023-5717

Atualização de 04/03/2024 : adicionamos versões do GKE para o GKE no VMware.

Atualização de 22/01/2024 : adicionamos versões de patch do Ubuntu.

GKE;

Atualizado : 22/01/2024

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-5717

Os clusters do GKE Standard e do Autopilot foram afetados.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

Atualização de 22/01/2024: as seguintes versões secundárias foram afetadas. Faça upgrade do pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:

  • 1.24.17-gke.2472000
  • 1.25.16-gke.1268000
  • 1.26.12-gke.1111000
  • 1.27.9-gke.1092000
  • 1.28.5-gke.1217000
  • 1.29.0-gke.138100

As seguintes versões secundárias foram afetadas. Faça upgrade do Pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:

  • 1.24.17-gke.2113000
  • 1.25.14-gke.1421000
  • 1.25.15-gke.1083000
  • 1.26.10-gke.1073000
  • 1.27.7-gke.1088000
  • 1.28.3-gke.1203000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar o mesmo versão secundária no próprio canal de lançamento. Esse recurso permite proteger seus nós até a versão do patch se torna o padrão no canal de lançamento. Para mais detalhes, consulte Execute versões de patch de um canal mais recente.

Alta

GKE no VMware

Atualizado : 29/02/2024

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-5717

O que devo fazer?

Atualização de 04/03/2024: as seguintes versões do GKE no VMware serão atualizados com códigos para corrigir essa vulnerabilidade. Fazer upgrade dos clusters para as seguintes versões ou posteriores:

  • 1.28.200
  • 1.16.5
  • 1.15.8
Alta

GKE na AWS

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-5717

O que devo fazer?

Pendente

GKE no Azure

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-5717

O que devo fazer?

Pendente

GKE em bare metal

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-5717

O que devo fazer?

Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição.

Nenhum

GCP-2023-045

Publicado : 20/11/2023
Atualizado : 21/12/2023
Referência: CVE-2023-5197

Atualização de 21/12/2023 : esclarecemos que os clusters do Autopilot do GKE na configuração padrão não são afetadas.

GKE;

Atualizado : 21/12/2023

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-5197

Atualização de 21/12/2023: o boletim original informava que o Autopilot era Autopilot. clusters foram afetados, mas isso estava incorreto. Autopilot do GKE clusters na configuração padrão não são afetados, mas podem ficar vulneráveis caso sejam defina explicitamente o perfil seccomp Unconfined ou permitir CAP_NET_ADMIN.

Os clusters do GKE Standard e do Autopilot foram afetados.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

As seguintes versões secundárias foram afetadas. Faça upgrade do Pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:

  • 1.25.13-gke.1002003
  • 1.26.9-gke.1514000
  • 1.27.6-gke.1513000
  • 1.28.2-gke.1164000

As seguintes versões secundárias foram afetadas. Faça upgrade do pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:

  • 1.24.16-gke.1005001
  • 1.25.13-gke.1002003
  • 1.26.9-gke.1548000
  • 1.27.7-gke.1039000
  • 1.28.3-gke.1061000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar o mesmo versão secundária no próprio canal de lançamento. Esse recurso permite proteger seus nós até a versão do patch se torna o padrão no canal de lançamento. Para mais detalhes, consulte Execute versões de patch de um canal mais recente.

Alta

GKE no VMware

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-5197

O que devo fazer?

Pendente

GKE na AWS

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-5197

O que devo fazer?

Pendente

GKE no Azure

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-5197

O que devo fazer?

Pendente

GKE em bare metal

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-5197

O que devo fazer?

Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição.

Nenhum

GCP-2023-042

Publicado : 13/11/2023
Atualizado : 15/11/2023
Referência: CVE-2023-4147

Atualização de 15/11/2023 : esclarecemos que apenas as versões secundárias listadas precisam ser atualizadas. para uma versão com patch correspondente para o GKE.

GKE;

Atualizado : 15/11/2023

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-4147

Os clusters do GKE Standard serão afetados. Os clusters do GKE Autopilot não são afetados.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

Atualização de 15/11/2023: só é preciso fazer upgrade para uma das versões com patch que estão listadas neste boletim se você usar essa versão secundária em seus nós. Por exemplo: Se você usa a versão 1.27 do GKE, faça upgrade para a versão com patch correspondente para a versão anterior. No entanto, se você usa a versão 1.24 do GKE, não precisa fazer upgrade para uma versão com patch.


Faça upgrade do Pools de nós do Container-Optimized OS para uma das seguintes versões ou mais recentes:

  • 1.27.5-gke.200
  • 1.28.2-gke.1157000

Faça upgrade dos pools de nós do Ubuntu para uma das versões a seguir ou mais recentes:

  • 1.25.14-gke.1421000
  • 1.26.9-gke.1437000
  • 1.27.6-gke.1248000
  • 1.28.2-gke.1157000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar o mesmo versão secundária no próprio canal de lançamento. Esse recurso permite proteger seus nós até a versão com patch se tornará o padrão no seu canal de lançamento. Para mais detalhes, consulte Execute versões de patch de um canal mais recente.

Alta

GKE no VMware

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-4147

O que devo fazer?

Pendente

GKE na AWS

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-4147

O que devo fazer?

Pendente

GKE no Azure

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-4147

O que devo fazer?

Pendente

GKE em bare metal

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-4147

O que devo fazer?

Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição.

Nenhum

GCP-2023-041

Publicado : 08/11/2023
Atualizado : 21/11/2023, 5/12/2023, 21/12/2023
Referência: CVE-2023-4004

Atualização de 21/12/2023 : esclarecemos que os clusters do Autopilot do GKE na configuração padrão não são afetadas.

Atualização de 5/12/2023 : adicionamos outras versões do GKE para pools de nós do Container-Optimized OS.

Atualização de 21/11/2023 : esclarecemos que apenas as versões secundárias listadas precisam fazer upgrade para uma versão de patch correspondente para o GKE.

GKE;

Atualizado : 21/11/2023, 5/12/2023, 21/12/2023

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-4004

Atualização de 21/12/2023: o boletim original informava que o Autopilot era Autopilot. clusters foram afetados, mas isso estava incorreto. Autopilot do GKE clusters na configuração padrão não são afetados, mas podem ficar vulneráveis caso sejam defina explicitamente o perfil seccomp Unconfined ou permitir CAP_NET_ADMIN.

os clusters do Autopilot são afetados.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

Atualização de 05/12/2023 : algumas versões do GKE foram desaparecidos. Confira a seguir uma lista atualizada das versões do GKE que podem ser atualize o Container-Optimized OS para:

  • 1.24.17-gke.200 ou mais recente
  • 1.25.13-gke.200 ou mais recente.
  • 1.26.8-gke.200 ou mais recente.
  • 1.27.4-gke.2300 ou mais recente
  • 1.28.1-gke.1257000 ou mais recente

Atualização de 21/11/2023 : só será necessário fazer upgrade para uma das versões de patch listadas neste boletim se você usar essa versão secundária nos nós. As versões secundárias que não estão listadas não são afetadas.

Faça upgrade dos pools de nós do Container-Optimized OS para uma das versões a seguir ou mais recentes:

  • 1.27.4-gke.2300
  • 1.28.1-gke.1257000

Faça upgrade dos pools de nós do Ubuntu para uma das versões a seguir ou mais recentes:

  • 1.24.14-gke.1027001
  • 1.25.13-gke.700
  • 1.26.8-gke.700
  • 1.27.5-gke.700
  • 1.28.1-gke.1050000
Alta

GKE no VMware

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-4004

O que devo fazer?

Pendente

GKE na AWS

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-4004

O que devo fazer?

Pendente

GKE no Azure

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-4004

O que devo fazer?

Pendente

GKE em bare metal

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-4004

O que devo fazer?

Nenhuma ação é necessária. O GKE em Bare Metal não é afetado, porque não agrupa um sistema operacional na distribuição.

Nenhum

GCP-2023-040

Publicado : 06/11/2023
Atualizado : 21/11/2023, 21/12/2023
Referência: CVE-2023-4921

Atualização de 21/12/2023 : esclarecemos que os clusters do Autopilot do GKE na configuração padrão não são afetadas.

Atualização de 21/11/2023 : esclarecemos que apenas as versões secundárias listadas precisam fazer upgrade para uma versão de patch correspondente para o GKE.

GKE;

Atualizado : 21/11/2023, 21/12/2023

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-4921

Atualização de 21/12/2023: o boletim original informava que o Autopilot era Autopilot. clusters foram afetados, mas isso estava incorreto. Autopilot do GKE clusters na configuração padrão não são afetados, mas podem ficar vulneráveis caso sejam defina explicitamente o perfil seccomp Unconfined ou permitir CAP_NET_ADMIN.

os clusters do Autopilot são afetados.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

Atualização de 21/11/2023 : só será necessário fazer upgrade para uma das versões de patch listadas neste boletim se você usar essa versão secundária nos nós. As versões secundárias que não estão listadas não são afetadas.

Faça upgrade dos pools de nós do Container-Optimized OS para uma das versões a seguir ou mais recentes:

  • 1.24.14-gke.1027001
  • 1.25.14-gke.1351000
  • 1.26.9-gke.1345000
  • 1.27.6-gke.1389000

Faça upgrade dos pools de nós do Ubuntu para uma das versões a seguir ou mais recentes:

  • 1.24.17-gke.2186000
  • 1.25.15-gke.1016000
  • 1.26.9-gke.1548000
  • 1.27.6-gke.1551000
  • 1.28.2-gke.1256000
Alta

GKE no VMware

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-4921

O que devo fazer?

Pendente

GKE na AWS

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-4921

O que devo fazer?

Pendente

GKE no Azure

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-4921

O que devo fazer?

Pendente

GKE em bare metal

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-4921

O que devo fazer?

Nenhuma ação é necessária. O GKE em Bare Metal não é afetado, porque não agrupa um sistema operacional na distribuição.

Nenhum

GCP-2023-039

Publicado : 06/11/2023
Atualizado : 21/11/2023, 16/11/2023
Referência: CVE-2023-4622

Atualização de 21/11/2023 : esclarecemos que apenas as versões secundárias listadas precisam fazer upgrade para uma versão de patch correspondente para o GKE.

Atualização de 16/11/2023 : a vulnerabilidade associada a este boletim de segurança é a CVE-2023-4622. A CVE-2023-4623 foi listada incorretamente como a vulnerabilidade em uma versão anterior do boletim de segurança.

GKE;

Atualizado : 21/11/2023, 16/11/2023

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-4623

os clusters do Autopilot são afetados.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

Atualização de 21/11/2023 : só será necessário fazer upgrade para uma das versões de patch listadas neste boletim se você usar essa versão secundária nos nós. As versões secundárias que não estão listadas não são afetadas.

Faça upgrade dos pools de nós do Container-Optimized OS para uma das versões a seguir ou mais recentes:

  • 1.24.14-gke.1027001
  • 1.25.14-gke.1351000
  • 1.26.9-gke.1345000
  • 1.27.5-gke.1647000

Faça upgrade dos pools de nós do Ubuntu para uma das versões a seguir ou mais recentes:

  • 1.24.17-gke.2186000
  • 1.25.15-gke.1016000
  • 1.26.9-gke.1548000
  • 1.27.6-gke.1551000
  • 1.28.2-gke.1256000
Alta

GKE no VMware

Atualizado : 16/11/2023

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-4623

O que devo fazer?

Pendente

GKE na AWS

Atualizado : 16/11/2023

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-4623

O que devo fazer?

Pendente

GKE no Azure

Atualizado : 16/11/2023

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-4623

O que devo fazer?

Pendente

GKE em bare metal

Atualizado : 16/11/2023

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-4623

O que devo fazer?

Nenhuma ação é necessária. O GKE em Bare Metal não é afetado, porque não agrupa um sistema operacional na distribuição.

Nenhum

GCP-2023-038

Publicado : 06/11/2023
Atualizado : 21/11/2023, 21/12/2023
Referência: CVE-2023-4623

Atualização de 21/12/2023 : esclarecemos que os clusters do Autopilot do GKE na configuração padrão não são afetadas.

Atualização de 21/11/2023 : esclarecemos que apenas as versões secundárias listadas precisam fazer upgrade para uma versão de patch correspondente para o GKE.

GKE;

Atualizado : 21/11/2023, 21/12/2023

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-4623

Atualização de 21/12/2023: o boletim original informava que o Autopilot era Autopilot. clusters foram afetados, mas isso estava incorreto. Autopilot do GKE clusters na configuração padrão não são afetados, mas podem ficar vulneráveis caso sejam defina explicitamente o perfil seccomp Unconfined ou permitir CAP_NET_ADMIN.

os clusters do Autopilot são afetados.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

Atualização de 21/11/2023 : só será necessário fazer upgrade para uma das versões de patch listadas neste boletim se você usar essa versão secundária nos nós. As versões secundárias que não estão listadas não são afetadas.

Faça upgrade dos pools de nós do Container-Optimized OS para uma das versões a seguir ou mais recentes:

  • 1.24.14-gke.1027001
  • 1.25.14-gke.1351000
  • 1.26.9-gke.1345000
  • 1.27.6-gke.1389000

Faça upgrade dos pools de nós do Ubuntu para uma das versões a seguir ou mais recentes:

  • 1.24.17-gke.2186000
  • 1.25.15-gke.1016000
  • 1.26.9-gke.1548000
  • 1.27.6-gke.1551000
  • 1.28.2-gke.1256000
Alta

GKE no VMware

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-4623

O que devo fazer?

Pendente

GKE na AWS

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-4623

O que devo fazer?

Pendente

GKE no Azure

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-4623

O que devo fazer?

Pendente

GKE em bare metal

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-4623

O que devo fazer?

Nenhuma ação é necessária. O GKE em Bare Metal não é afetado, porque não agrupa um sistema operacional na distribuição.

Nenhum

GCP-2023-037

Publicado : 06/11/2023
Atualizado : 21/11/2023, 21/12/2023
Referência: CVE-2023-4015

Atualização de 21/12/2023 : esclarecemos que os clusters do Autopilot do GKE na configuração padrão não são afetadas.

Atualização de 21/11/2023 : esclarecemos que apenas as versões secundárias listadas precisam fazer upgrade para uma versão de patch correspondente para o GKE.

GKE;

Atualizado : 21/11/2023, 21/12/2023

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-4015

Atualização de 21/12/2023: o boletim original informava que o Autopilot era Autopilot. clusters foram afetados, mas isso estava incorreto. Autopilot do GKE clusters na configuração padrão não são afetados, mas podem ficar vulneráveis caso sejam defina explicitamente o perfil seccomp Unconfined ou permitir CAP_NET_ADMIN.

os clusters do Autopilot são afetados.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

Atualização de 21/11/2023 : só será necessário fazer upgrade para uma das versões de patch listadas neste boletim se você usar essa versão secundária nos nós. As versões secundárias que não estão listadas não são afetadas.

Faça upgrade dos pools de nós do Container-Optimized OS para uma das versões a seguir ou mais recentes:

  • 1.27.5-gke.1647000

Faça upgrade dos pools de nós do Ubuntu para uma das versões a seguir ou mais recentes:

  • 1.24.14-gke.1027001
  • 1.25.13-gke.700
  • 1.26.8-gke.700
  • 1.27.5-gke.700
  • 1.28.1-gke.1050000
Alta

GKE no VMware

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-4015

O que devo fazer?

Pendente

GKE na AWS

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-4015

O que devo fazer?

Pendente

GKE no Azure

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-4015

O que devo fazer?

Pendente

GKE em bare metal

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-4015

O que devo fazer?

Nenhuma ação é necessária. O GKE em Bare Metal não é afetado, porque não agrupa um sistema operacional na distribuição.

Nenhum

GCP-2023-035

Publicado : 26/10/2023
Atualizado : 21/11/2023, 21/12/2023
Referência: CVE-2023-4206, CVE-2023-4207, CVE-2023-4208, CVE-2023-4128

Atualização de 21/12/2023 : esclarecemos que os clusters do Autopilot do GKE na configuração padrão não são afetadas.

Atualização de 21/11/2023 : esclarecemos que apenas as versões secundárias listadas precisam fazer upgrade para uma versão de patch correspondente para o GKE.

GKE;

Atualizado : 21/11/2023, 21/12/2023

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-4206
  • CVE-2023-4207
  • CVE-2023-4208
  • CVE-2023-4128

Atualização de 21/12/2023: o boletim original informava que o Autopilot era Autopilot. clusters foram afetados, mas isso estava incorreto. Autopilot do GKE clusters na configuração padrão não são afetados, mas podem ficar vulneráveis caso sejam defina explicitamente o perfil seccomp Unconfined ou permitir CAP_NET_ADMIN.

os clusters do Autopilot são afetados.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

Atualização de 21/11/2023 : só será necessário fazer upgrade para uma das versões de patch listadas neste boletim se você usar essa versão secundária nos nós. As versões secundárias que não estão listadas não são afetadas.

Faça upgrade dos pools de nós do Container-Optimized OS para uma das versões a seguir ou mais recentes:

  • 1.24.14-gke.1027001
  • 1.25.13-gke.1008000
  • 1.26.8-gke.1647000
  • 1.27.5-gke.200

Faça upgrade dos pools de nós do Ubuntu para uma das versões a seguir ou mais recentes:

  • 1.24.14-gke.1027001
  • 1.25.13-gke.1706000
  • 1.26.8-gke.1647000
  • 1.27.5-gke.1648000
  • 1.28.1-gke.1050000
Alta

GKE no VMware

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-4206
  • CVE-2023-4207
  • CVE-2023-4208
  • CVE-2023-4128

O que devo fazer?

Alta

GKE na AWS

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-4206
  • CVE-2023-4207
  • CVE-2023-4208
  • CVE-2023-4128

O que devo fazer?

Alta

GKE no Azure

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-4206
  • CVE-2023-4207
  • CVE-2023-4208
  • CVE-2023-4128

O que devo fazer?

Alta

GKE em bare metal

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-4206
  • CVE-2023-4207
  • CVE-2023-4208
  • CVE-2023-4128

O que devo fazer?

Nenhuma ação é necessária. O GKE em Bare Metal não é afetado, porque não agrupa um sistema operacional na distribuição.

Alta

GCP-2023-033

Publicado : 24/10/2023
Atualizado : 21/11/2023, 21/12/2023
Referência: CVE-2023-3777

Atualização de 21/12/2023 : esclarecemos que os clusters do Autopilot do GKE na configuração padrão não são afetadas e as cargas de trabalho do GKE Sandbox não são.

Atualização de 21/11/2023 : esclarecemos que apenas as versões secundárias listadas precisam fazer upgrade para uma versão de patch correspondente para o GKE.

GKE;

Atualizado : 21/11/2023, 21/12/2023

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-3777

Atualização de 21/12/2023: o boletim original informava que o Autopilot era Autopilot. clusters foram afetados, mas isso estava incorreto. Autopilot do GKE clusters na configuração padrão não são afetados, mas podem ficar vulneráveis caso sejam defina explicitamente o perfil seccomp Unconfined ou permitir CAP_NET_ADMIN. As cargas de trabalho do GKE Sandbox também não são afetadas.

os clusters do Autopilot são afetados.

Os clusters que usam o GKE Sandbox são afetados.

O que devo fazer?

Atualização de 21/11/2023 : só será necessário fazer upgrade para uma das versões de patch listadas neste boletim se você usar essa versão secundária nos nós. As versões secundárias que não estão listadas não são afetadas.

Faça upgrade dos pools de nós do Container-Optimized OS para uma das versões a seguir ou mais recentes:

  • 1.24.16-gke.2200
  • 1.25.12-gke.2200
  • 1.26.7-gke.2200
  • 1.27.4-gke.2300

Faça upgrade dos pools de nós do Ubuntu para uma das versões a seguir ou mais recentes:

  • 1.24.17-gke.700
  • 1.25.13-gke.700
  • 1.26.8-gke.700
  • 1.27.5-gke.700
  • 1.28.0-gke.100
Alta

GKE no VMware

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-3777

O que devo fazer?

GKE na AWS

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-3777

O que devo fazer?

GKE no Azure

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-3777

O que devo fazer?

GKE em bare metal

Descrição Severity

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-3777

O que devo fazer?

Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição.

GCP-2023-030

Publicado : 10/10/2023
Atualizado : 20/03/2024
Referência: CVE-2023-44487CVE-2023-39325

Atualização de 20/03/2024 : novas versões de patch para o GKE na AWS e GKE no Azure
Atualização de 14/02/2024 : novas versões de patch para o GKE no VMware
Atualização de 09/11/2023 : foi adicionada a CVE-2023-39325. Versões atualizadas do GKE com os patches mais recentes para CVE-2023-44487 e CVE-2023-39325.

GKE;

Atualizado : 09/11/2023

Descrição Severity

Uma vulnerabilidade de negação de serviço (DoS) foi recentemente descoberta em várias implementações do protocolo HTTP/2 (CVE-2023-44487), incluindo o servidor HTTP golang usado pelo Kubernetes. A vulnerabilidade pode levar a um DoS do plano de controle do Google Kubernetes Engine (GKE). Os clusters do GKE com redes autorizadas configuradas são protegidos limitando o acesso à rede, mas todos os outros clusters são afetados.

O que devo fazer?

Atualização de 9/11/2023:lançamos novas versões do GKE que incluem os patches de segurança do Go e do Kubernetes, que você pode atualizar seus clusters. Nas próximas semanas, lançaremos outros no plano de controle do GKE para reduzir ainda mais esse problema.

As seguintes versões do GKE foram atualizadas com patches para CVE-2023-44487 e CVE-2023-39325:

  • 1.24.17-gke.2155000
  • 1.25.14-gke.1474000
  • 1.26.10-gke.1024000
  • 1.27.7-gke.1038000
  • 1.28.3-gke.1090000

Recomendamos que você aplique a mitigação a seguir o quanto antes e faça upgrade para a versão com patch mais recente quando disponível.

Os patches do Golang serão lançados em 10 de outubro. Assim que estiver disponível, vamos criar e qualificar um novo servidor da API Kubernetes com esses patches e lançar uma versão com patch do GKE. Quando a versão do GKE estiver disponível, vamos atualizar este boletim com orientações sobre qual versão vai ser atualizada com o plano de controle. Também vamos tornar os patches visíveis na postura de segurança do GKE quando disponíveis para seu cluster. Para receber uma notificação do Pub/Sub quando um patch estiver disponível para seu canal, ative as notificações de cluster.

Um recurso recente dos canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição. Isso permite proteger os nós até que a nova versão se torne o padrão para o canal específico da versão.

Reduza ao configurar redes autorizadas para acesso ao plano de controle:

É possível adicionar redes autorizadas para clusters atuais. Para saber mais, consulte rede autorizada para clusters atuais.

Além das redes autorizadas adicionadas, há endereços IP predefinidos que podem acessar o plano de controle do GKE. Para saber mais sobre esses endereços, consulte Acesso aos endpoints do plano de controle. Os itens a seguir resumem o isolamento de cluster:

  • Os clusters particulares com --master-authorized-networks e clusters baseados em PSC com --master-authorized-networks e --no-enable-google-cloud configurados são os mais isolados.
  • Os clusters públicos legados com --master-authorized-networks e clusters baseados em PSC com --master-authorized-networks e --enable-google-cloud (padrão) também podem ser acessados pelo seguinte:
    • Endereços IP públicos de todas as VMs do Compute Engine no Google Cloud
    • Endereços IP do Google Cloud Platform

Quais vulnerabilidades são corrigidas por esse patch?

A vulnerabilidade CVE-2023-44487 permite que um invasor execute um ataque de negação de serviço nos nós do plano de controle do GKE.

Alta

GKE no VMware

Atualizado : 14/02/2024

Descrição Severity

Uma vulnerabilidade de negação de serviço (DoS) foi recentemente descoberta em várias implementações do protocolo HTTP/2 (CVE-2023-44487), incluindo o servidor HTTP golang usado pelo Kubernetes. A vulnerabilidade pode levar a um DoS do plano de controle do Kubernetes. O GKE no VMware cria clusters do Kubernetes que, por padrão, não são diretamente acessíveis pela Internet e são protegidos contra essa vulnerabilidade.

O que devo fazer?

Atualização de 14/02/2024 : as seguintes versões do GKE no VMware serão atualizados com códigos para corrigir essa vulnerabilidade. Faça upgrade dos clusters para o seguinte com as versões de patch ou mais recentes:

  • 1.28.100
  • 1.16.6
  • 1.15.8

Se você configurou os clusters do Kubernetes no GKE no VMware para ter acesso direto à Internet ou a outras redes não confiáveis, recomendamos trabalhar com seu administrador de firewall para bloquear ou limitar esse acesso.

Recomendamos que você faça o upgrade para a versão de patch mais recente, quando disponível, assim que possível.

Os patches do Golang serão lançados em 10 de outubro. Assim que estiver disponível, vamos criar e qualificar um novo servidor da API Kubernetes com esses patches e lançar uma versão com patch do GKE. Quando a versão do GKE estiver disponível, vamos atualizar este boletim com orientações sobre para qual versão fazer upgrade do plano de controle.

Quais vulnerabilidades são corrigidas por esse patch?

A vulnerabilidade CVE-2023-44487 permite que um invasor execute um ataque de negação de serviço nos nós do plano de controle do Kubernetes.

Alta

GKE na AWS

Descrição Severity

Uma vulnerabilidade de negação de serviço (DoS) foi recentemente descoberta em várias implementações do protocolo HTTP/2 (CVE-2023-44487), incluindo o servidor HTTP golang usado pelo Kubernetes. A vulnerabilidade pode levar a um DoS do plano de controle do Kubernetes. O GKE na AWS cria clusters particulares do Kubernetes que, por padrão, não são diretamente acessíveis pela Internet e estão protegidos contra essa vulnerabilidade.

O que devo fazer?

Atualização de 20/03/2024:as seguintes versões do GKE na AWS foram atualizadas com patches para CVE-2023-44487:

  • 1.26.10-gke.600
  • 1.27.7-gke.600
  • 1.28.3-gke.700

Se você configurou o GKE na AWS para ter acesso direto à Internet ou a outras redes não confiáveis, recomendamos trabalhar com seu administrador de firewall para bloquear ou limitar esse acesso.

Recomendamos que você faça o upgrade para a versão de patch mais recente, quando disponível, assim que possível.

Os patches do Golang serão lançados em 10 de outubro. Assim que estiver disponível, vamos criar e qualificar um novo servidor da API Kubernetes com esses patches e lançar uma versão com patch do GKE. Quando a versão do GKE estiver disponível, vamos atualizar este boletim com orientações sobre para qual versão fazer upgrade do plano de controle.

Quais vulnerabilidades são corrigidas por esse patch?

A vulnerabilidade CVE-2023-44487 permite que um invasor execute um ataque de negação de serviço nos nós do plano de controle do Kubernetes.

Alta

GKE no Azure

Descrição Severity

Uma vulnerabilidade de negação de serviço (DoS) foi recentemente descoberta em várias implementações do protocolo HTTP/2 (CVE-2023-44487), incluindo o servidor HTTP golang usado pelo Kubernetes. A vulnerabilidade pode levar a um DoS do plano de controle do Kubernetes. O GKE no Azure cria clusters particulares do Kubernetes que, por padrão, não podem ser acessados diretamente pela Internet e estão protegidos contra essa vulnerabilidade.

O que devo fazer?

Atualização de 20/03/2024:as seguintes versões do GKE no Azure foram atualizadas com patches para CVE-2023-44487:

  • 1.26.10-gke.600
  • 1.27.7-gke.600
  • 1.28.3-gke.700

Se você configurou os clusters do GKE no Azure para ter acesso direto à Internet ou a outras redes não confiáveis, recomendamos trabalhar com seu administrador de firewall para bloquear ou limitar esse acesso.

Recomendamos que você faça o upgrade para a versão de patch mais recente, quando disponível, assim que possível.

Os patches do Golang serão lançados em 10 de outubro. Assim que estiver disponível, vamos criar e qualificar um novo servidor da API Kubernetes com esses patches e lançar uma versão com patch do GKE. Quando a versão do GKE estiver disponível, vamos atualizar este boletim com orientações sobre para qual versão fazer upgrade do plano de controle.

Quais vulnerabilidades são corrigidas por esse patch?

A vulnerabilidade CVE-2023-44487 permite que um invasor execute um ataque de negação de serviço nos nós do plano de controle do Kubernetes.

Alta

GKE em bare metal

Descrição Severity

Uma vulnerabilidade de negação de serviço (DoS) foi recentemente descoberta em várias implementações do protocolo HTTP/2 (CVE-2023-44487), incluindo o servidor HTTP golang usado pelo Kubernetes. A vulnerabilidade pode levar a um DoS do plano de controle do Kubernetes. O Anthos em Bare Metal cria clusters do Kubernetes que, por padrão, não são diretamente acessíveis pela Internet e estão protegidos contra essa vulnerabilidade.

O que devo fazer?

Se você configurou os clusters Kubernetes do Anthos em Bare Metal para ter acesso direto à Internet ou a outras redes não confiáveis, recomendamos trabalhar com o administrador do firewall para bloquear ou limitar esse acesso. Para saber mais, consulte a visão geral de segurança do GKE em Bare Metal.

Recomendamos que você faça o upgrade para a versão de patch mais recente, quando disponível, assim que possível.

Os patches do Golang serão lançados em 10 de outubro. Assim que estiver disponível, vamos criar e qualificar um novo servidor da API Kubernetes com esses patches e lançar uma versão com patch do GKE. Quando a versão do GKE estiver disponível, vamos atualizar este boletim com orientações sobre para qual versão fazer upgrade do plano de controle.

Quais vulnerabilidades são corrigidas por esse patch?

A vulnerabilidade CVE-2023-44487 permite que um invasor execute um ataque de negação de serviço nos nós do plano de controle do Kubernetes.

Alta

GCP-2023-026

Publicado : 06/09/2023
Referência: CVE-2023-3676, CVE-2023-3955, CVE-2023-3893

GKE;

Descrição Severity

Três vulnerabilidades (CVE-2023-3676, CVE-2023-3955 e CVE-2023-3893) foram descobertas no Kubernetes. Com elas, um usuário capaz de criar pods em nós do Windows pode escalonar para privilégios de administrador nesses nós. Essas vulnerabilidades afetam as versões para Windows do Kubelet e do proxy CSI do Kubernetes.

Os clusters do GKE só serão afetados se incluírem nós do Windows.

O que devo fazer?

O código das seguintes versões do GKE foi atualizado para corrigir essa vulnerabilidade. Por motivos de segurança, mesmo que você tenha ativado o upgrade automático de nós, nós recomendamos que você faça o upgrade manual dos seus clusters e pools de nós a uma das seguintes versões do GKE:

  • 1.24.17-gke.200
  • 1.25.13-gke.200
  • 1.26.8-gke.200
  • 1.27.5-gke.200
  • 1.28.1-gke.200

O plano de controle do GKE será atualizado na semana de 04/09/2023 para atualizar o csi-proxy para a versão 1.1.3. Se você atualizar os nós antes da atualização do plano de controle, você precisará atualizar seus nós novamente após a atualização para aproveitar o novo proxy. É possível atualizar os nós novamente, mesmo sem alterar a versão do nó, executando o comando gcloud container clusters upgrade e passando o --cluster-version com a mesma versão do GKE que o nó já está em execução. Use a CLI gcloud para essa solução alternativa. Isso causará uma atualização, independentemente janelas de manutenção.

Um recurso recente do canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição em um canal. Isso permite que você proteger os nós até que a nova versão se torne o padrão para a rede canal de lançamento.

Quais vulnerabilidades são corrigidas por esse patch?

Com a CVE-2023-3676, um usuário malicioso poderia criar uma especificação de pod com strings de caminho de host contêm comandos do PowerShell. O kubelet não tem limpeza de entrada e transmite essa string de caminho para o executor de comando como um argumento em que ele executaria partes do como comandos separados. Esses comandos são executados com a mesma configuração os privilégios do Kubelet.

Com a CVE-2023-3955, o Kubelet concede aos usuários que podem criar pods a capacidade de executar códigos no mesmo nível de permissão que o agente do Kubelet (permissões privilegiadas).

Com a CVE-2023-3893, uma falta semelhante de sanitização de entrada permite que um usuário, que consegue criar pods em Nós do Windows que executam o kubernetes-csi-proxy para escalar para privilégios de administrador nesses nós.

Os registros de auditoria do Kubernetes podem ser usados para detectar se essa vulnerabilidade está sendo explorada. Conjunto criar eventos com comandos do PowerShell incorporados são uma forte indicação de exploração. ConfigMaps e Secrets que contêm comandos do PowerShell incorporados e são montados Os pods também são uma forte indicação de exploração.

Alta

GKE no VMware

Descrição Severity

Três vulnerabilidades (CVE-2023-3676, CVE-2023-3955 e CVE-2023-3893) foram descobertas no Kubernetes. Com elas, um usuário capaz de criar pods em nós do Windows pode escalonar para privilégios de administrador nesses nós. Essas vulnerabilidades afetam as versões para Windows do Kubelet e do proxy CSI do Kubernetes.

Os clusters só serão afetados se incluírem nós do Windows.

O que devo fazer?

Quais vulnerabilidades são corrigidas por esse patch?

Com a CVE-2023-3676, um usuário malicioso poderia criar uma especificação de pod com strings de caminho de host contêm comandos do PowerShell. O kubelet não tem limpeza de entrada e transmite essa string de caminho para o executor de comando como um argumento em que ele executaria partes do como comandos separados. Esses comandos são executados com a mesma configuração os privilégios do Kubelet.

Com a CVE-2023-3955, o Kubelet concede aos usuários que podem criar pods a capacidade de executar códigos no mesmo nível de permissão que o agente do Kubelet (permissões privilegiadas).

Com a CVE-2023-3893, uma falta semelhante de sanitização de entrada permite que um usuário, que consegue criar pods em Nós do Windows que executam o kubernetes-csi-proxy para escalar para privilégios de administrador nesses nós.

Os registros de auditoria do Kubernetes podem ser usados para detectar se essa vulnerabilidade está sendo explorada. Conjunto criar eventos com comandos do PowerShell incorporados são uma forte indicação de exploração. ConfigMaps e Secrets que contêm comandos do PowerShell incorporados e são montados Os pods também são uma forte indicação de exploração.

Alta

GKE na AWS

Descrição Severity

Três vulnerabilidades (CVE-2023-3676, CVE-2023-3955 e CVE-2023-3893) foram descobertas no Kubernetes. Com elas, um usuário capaz de criar pods em nós do Windows pode escalonar para privilégios de administrador nesses nós. Essas vulnerabilidades afetam as versões para Windows do Kubelet e do proxy CSI do Kubernetes.

O que devo fazer?

O GKE na AWS não é afetado por essas CVEs. Você não precisa fazer nada.

Nenhum

GKE no Azure

Descrição Severity

Três vulnerabilidades (CVE-2023-3676, CVE-2023-3955 e CVE-2023-3893) foram descobertas no Kubernetes. Com elas, um usuário capaz de criar pods em nós do Windows pode escalonar para privilégios de administrador nesses nós. Essas vulnerabilidades afetam as versões para Windows do Kubelet e do proxy CSI do Kubernetes.

O que devo fazer?

O GKE no Azure não é afetado por essas CVEs. Você não precisa fazer nada.

Nenhum

GKE em bare metal

Descrição Severity

Três vulnerabilidades (CVE-2023-3676, CVE-2023-3955 e CVE-2023-3893) foram descobertas no Kubernetes. Com elas, um usuário capaz de criar pods em nós do Windows pode escalonar para privilégios de administrador nesses nós. Essas vulnerabilidades afetam as versões para Windows do Kubelet e do proxy CSI do Kubernetes.

O que devo fazer?

O GKE em Bare Metal não é afetado por essas CVEs. Você não precisa fazer nada.

Nenhum

GCP-2023-018

Data de publicação: 27/06/2023
Referência: CVE-2023-2235

GKE

Descrição Gravidade

Uma nova vulnerabilidade (CVE-2023-2235) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó. Os clusters do GKE Autopilot são afetados porque os nós do GKE Autopilot sempre usam imagens de nó do Container-Optimized OS. Os clusters do GKE Standard com versões 1.25 ou posteriores que executam imagens de nó do Container-Optimized OS são afetados.

Os clusters do GKE não serão afetados se estiverem executando apenas imagens de nós do Ubuntu ou versões anteriores à 1.25 ou usarem o GKE Sandbox.

O que devo fazer?

O código das seguintes versões do GKE foi atualizado para corrigir essa vulnerabilidade. Por motivos de segurança, mesmo que você tenha ativado o upgrade automático de nós, recomendamos que faça upgrade manualmente dos clusters e pools de nós para uma das seguintes versões do GKE:

  • 1.25.9-gke.1400
  • 1.26.4-gke.1500
  • 1.27.1-gke.2400

Um recurso recente dos canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição. Isso permite proteger os nós até que a nova versão se torne o padrão para o canal específico da versão.

Quais vulnerabilidades estão sendo resolvidas?

Com a CVE-2023-2235, a função perf_group_detach não verificava o "attach_state" dos irmãos do evento antes de chamar add_event_to_groups(). No entanto, "remove_on_exec" tornou possível chamar "list_del_event()" antes de desanexar do grupo, o que permitiu usar um ponteiro suspenso, causando uma vulnerabilidade de uso após a liberação.

Alta

GKE no VMware

Descrição Gravidade

Uma nova vulnerabilidade (CVE-2023-2235) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó. Os clusters do GKE no VMware foram afetados.

O que devo fazer?

Quais vulnerabilidades estão sendo resolvidas?

Com a CVE-2023-2235, a função perf_group_detach não verificava o "attach_state" dos irmãos do evento antes de chamar add_event_to_groups(). No entanto, "remove_on_exec" tornou possível chamar "list_del_event()" antes de desanexar do grupo, o que permitiu usar um ponteiro suspenso, causando uma vulnerabilidade de uso após a liberação.

Alta

GKE na AWS

Descrição Gravidade

Uma nova vulnerabilidade (CVE-2023-2235) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó. Os clusters do GKE na AWS foram afetados.

O que devo fazer?

Quais vulnerabilidades são corrigidas por esse patch?

Com a CVE-2023-2235, a função perf_group_detach não verificava o "attach_state" dos irmãos do evento antes de chamar add_event_to_groups(). No entanto, "remove_on_exec" tornou possível chamar "list_del_event()" antes de desanexar do grupo, o que permitiu usar um ponteiro suspenso, causando uma vulnerabilidade de uso após a liberação.

Alta

GKE no Azure

Descrição Gravidade

Uma nova vulnerabilidade (CVE-2023-2235) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó. Os clusters do GKE no Azure foram afetados.

O que devo fazer?

Quais vulnerabilidades são corrigidas por esse patch?

Com a CVE-2023-2235, a função perf_group_detach não verificava o "attach_state" dos irmãos do evento antes de chamar add_event_to_groups(). No entanto, "remove_on_exec" tornou possível chamar "list_del_event()" antes de desanexar do grupo, o que permitiu usar um ponteiro suspenso, causando uma vulnerabilidade de uso após a liberação.

Alta

GKE em bare metal

Descrição Gravidade

Uma nova vulnerabilidade (CVE-2023-2235) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó.

O Google Distributed Cloud Virtual para Bare Metal não é afetado por essa CVE.

O que devo fazer?

Nenhuma ação é necessária.

Nenhum

GCP-2023-017

Data de publicação: 26/06/2023
Data de atualização: 11/07/2023
Referência: CVE-2023-31436

Atualização de 11/07/2023: novas versões do GKE foram atualizadas para incluir as versões mais recentes do Ubuntu que corrigem a vulnerabilidade CVE-2023-31436.

GKE

Data de atualização: 11/07/2023

Descrição Gravidade

Uma nova vulnerabilidade (CVE-2023-31436) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó. Os clusters do GKE, incluindo os clusters do Autopilot, foram afetados.

Os clusters do GKE que usam o GKE Sandbox não são afetados.

O que devo fazer?

Atualização de 11/07/2023: versões de patch do Ubuntu estão disponíveis.

As seguintes versões do GKE foram atualizadas para incluir as versões mais recentes do Ubuntu que corrigem a vulnerabilidade CVE-2023-31436:

  • 1.23.17-gke.8200
  • 1.24.14-gke.2600
  • 1.25.10-gke.2700
  • 1.26.5-gke.2700
  • 1.27.2-gke.2700

O código das seguintes versões do GKE foi atualizado para corrigir essa vulnerabilidade. Por motivos de segurança, mesmo que você tenha ativado o upgrade automático de nós, recomendamos que faça upgrade manualmente dos clusters e pools de nós para uma das seguintes versões do GKE:

  • 1.22.17-gke.11400
  • 1.23.17-gke.6800
  • 1.24.14-gke.1200
  • 1.25.10-gke.1200
  • 1.26.5-gke.1200
  • 1.27.2-gke.1200

Um recurso recente dos canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição. Isso permite proteger os nós até que a nova versão se torne o padrão para o canal específico da versão.

Quais vulnerabilidades estão sendo resolvidas?

Com a CVE-2023-31436, foi encontrada uma falha de acesso à memória fora do limite no subsistema de controle de tráfego (QoS) do kernel do Linux em como um usuário aciona a função qfq_change_class com um valor de MTU incorreto do dispositivo de rede usado como lmax. Essa falha permite que um usuário local falhe ou possivelmente encaminhe seus privilégios no sistema.

Alta

GKE no VMware

Descrição Gravidade

Uma nova vulnerabilidade (CVE-2023-31436) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó. Os clusters do GKE no VMware foram afetados.

O que devo fazer?

Quais vulnerabilidades estão sendo resolvidas?

Com a CVE-2023-31436, foi encontrada uma falha de acesso à memória fora do limite no subsistema de controle de tráfego (QoS) do kernel do Linux em como um usuário aciona a função qfq_change_class com um valor de MTU incorreto do dispositivo de rede usado como lmax. Essa falha permite que um usuário local falhe ou possivelmente encaminhe seus privilégios no sistema.

Alta

GKE na AWS

Descrição Gravidade

Uma nova vulnerabilidade (CVE-2023-31436) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó. Os clusters do GKE na AWS foram afetados.

O que devo fazer?

Quais vulnerabilidades são corrigidas por esse patch?

Com a CVE-2023-31436, foi encontrada uma falha de acesso à memória fora do limite no subsistema de controle de tráfego (QoS) do kernel do Linux em como um usuário aciona a função qfq_change_class com um valor de MTU incorreto do dispositivo de rede usado como lmax. Essa falha permite que um usuário local falhe ou possivelmente encaminhe seus privilégios no sistema.

Alta

GKE no Azure

Descrição Gravidade

Uma nova vulnerabilidade (CVE-2023-31436) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó. Os clusters do GKE no Azure foram afetados.

O que devo fazer?

Quais vulnerabilidades são corrigidas por esse patch?

Com a CVE-2023-31436, foi encontrada uma falha de acesso à memória fora do limite no subsistema de controle de tráfego (QoS) do kernel do Linux em como um usuário aciona a função qfq_change_class com um valor de MTU incorreto do dispositivo de rede usado como lmax. Essa falha permite que um usuário local falhe ou possivelmente encaminhe seus privilégios no sistema.

Alta

GKE em bare metal

Descrição Gravidade

Uma nova vulnerabilidade (CVE-2023-31436) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó.

O Google Distributed Cloud Virtual para Bare Metal não é afetado por essa CVE.

O que devo fazer?

Nenhuma ação é necessária.

Nenhum

GCP-2023-016

Data de publicação: 26/06/2023
Referência: CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487

GKE

Descrição Severity

Várias vulnerabilidades foram descobertas no Envoy, que é usado no Cloud Service Mesh (ASM, na sigla em inglês). Elas foram relatadas separadamente como GCP-2023-002.

O GKE não é enviado com o ASM e não é afetado por essas vulnerabilidades.

O que devo fazer?

Se você instalou o ASM separadamente para os clusters do GKE, consulte GCP-2023-002.

Nenhum

GKE no VMware

Descrição Severity

Um número de vulnerabilidades (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487) foram descobertas no Envoy, é usada no Cloud Service Mesh no GKE no VMware, permitindo que um invasor malicioso causar uma negação de serviço ou uma falha no Envoy. Elas foram registradas separadamente como GCP-2023-002, mas queremos garantir que Os clientes do GKE Enterprise atualizam as versões que incluem o ASM.

O que devo fazer?

O código das seguintes versões do GKE no VMware foi atualizado para corrigir esse problema a vulnerabilidade. Recomendamos que você faça upgrade dos clusters de administrador e usuário para um dos as seguintes versões do GKE no VMware:

  • 1.13.8
  • 1.14.5
  • 1.15.1

Quais vulnerabilidades são corrigidas por esse patch?

CVE-2023-27496: se o Envoy estiver em execução com o filtro OAuth ativado exposto, um ator malicioso poderá criar uma solicitação que causaria a negação do serviço por meio de uma falha do Envoy.

CVE-2023-27488: os invasores podem usar essa vulnerabilidade para ignorar as verificações de autenticação quando ext_authz é usado.

CVE-2023-27493: a configuração do Envoy também precisa incluir uma opção para adicionar cabeçalhos de solicitação que foram gerados usando entradas da solicitação, como o certificado de peering SAN.

CVE-2023-27492: invasores podem enviar corpos de solicitação grandes para rotas com o filtro Lua ativado e acionar falhas.

CVE-2023-27491: os invasores podem enviar solicitações HTTP/2 ou HTTP/3 criadas especificamente para acionar erros de análise no serviço HTTP/1 upstream.

CVE-2023-27487: o cabeçalho x-envoy-original-path precisa ser interno, mas o Envoy não remove esse cabeçalho da solicitação no início do processamento da solicitação quando ele é enviado de um cliente não confiável.

Alta

GKE na AWS

Descrição Severity

Um número de vulnerabilidades (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487) foram descobertas no Envoy, é usado no Cloud Service Mesh. Elas foram relatadas separadamente como GCP-2023-002.

O GKE na AWS não é enviado com o ASM e não é afetado.

O que devo fazer?

Nenhuma ação é necessária.

Nenhum

GKE no Azure

Descrição Severity

Um número de vulnerabilidades (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487) foram descobertas no Envoy, é usado no Cloud Service Mesh. Elas foram relatadas separadamente como GCP-2023-002.

O GKE no Azure não é enviado com o ASM e não é afetado.

O que devo fazer?

Nenhuma ação é necessária.

Nenhum

GKE em bare metal

Descrição Severity

Um número de vulnerabilidades (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487) foram descobertas no Envoy, é usado no Cloud Service Mesh no GKE em Bare Metal, o que permite que uma conexão o invasor cause uma negação de serviço ou cause uma falha no Envoy. Elas foram registradas separadamente como GCP-2023-002, mas queremos garantir que Os clientes do GKE Enterprise atualizam as versões que incluem o ASM.

O que devo fazer?

As seguintes versões do GKE em Bare Metal foram atualizadas com código para corrigir essa vulnerabilidade. Recomendamos que você faça upgrade dos clusters de administrador e usuário para uma das seguintes versões do GKE em Bare Metal:

  • 1.13.9
  • 1.14.6
  • 1.15.2

Quais vulnerabilidades são corrigidas por esse patch?

CVE-2023-27496: se o Envoy estiver em execução com o filtro OAuth ativado exposto, um ator malicioso poderá criar uma solicitação que causaria a negação do serviço por meio de uma falha do Envoy.

CVE-2023-27488: os invasores podem usar essa vulnerabilidade para ignorar as verificações de autenticação quando ext_authz é usado.

CVE-2023-27493: a configuração do Envoy também precisa incluir uma opção para adicionar cabeçalhos de solicitação que foram gerados usando entradas da solicitação, como o certificado de peering SAN.

CVE-2023-27492: invasores podem enviar corpos de solicitação grandes para rotas com o filtro Lua ativado e acionar falhas.

CVE-2023-27491: os invasores podem enviar solicitações HTTP/2 ou HTTP/3 criadas especificamente para acionar erros de análise no serviço HTTP/1 upstream.

CVE-2023-27487: o cabeçalho x-envoy-original-path precisa ser interno, mas o Envoy não remove esse cabeçalho da solicitação no início do processamento da solicitação quando ele é enviado de um cliente não confiável.

Alta

GCP-2023-015

Data de publicação: 20/06/2023
Referência: CVE-2023-0468

GKE

Descrição Gravidade

Uma nova vulnerabilidade (CVE-2023-0468) foi descoberta na versão 5.15 do kernel do Linux que pode levar a uma negação de serviço no nó. Os clusters do GKE, incluindo os clusters do Autopilot, foram afetados.

Os clusters do GKE que usam o GKE Sandbox não são afetados.

O que fazer?

O código das seguintes versões do GKE foi atualizado para corrigir essa vulnerabilidade. Por motivos de segurança, mesmo que você tenha ativado o upgrade automático de nós, recomendamos que faça upgrade manualmente dos clusters e pools de nós para uma das seguintes versões do GKE:

  • 1.25.7-gke.1200
  • 1.26.2-gke.1200

Um recurso recente dos canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição. Isso permite proteger os nós até que a nova versão se torne o padrão para o canal específico da versão.

Quais vulnerabilidades estão sendo resolvidas?

Na CVE-2023-0468, foi encontrada uma falha de uso após a liberação em io_uring/poll.c, em io_poll_check_events, no subcomponente de io_uring do Kernel do Linux. Essa falha pode causar uma desreferência de ponteiro NULL e, possivelmente, uma falha do sistema que leva à negação de serviço.

Médio

GKE no VMware

Descrição Gravidade

Uma nova vulnerabilidade (CVE-2023-0468) foi descoberta na versão 5.15 do kernel do Linux que pode levar a uma negação de serviço no nó.

O GKE no VMware usa a versão 5.4 do kernel do Linux e não é afetado por essa CVE.

O que devo fazer?

  • Nenhuma ação é necessária.
Nenhum

GKE na AWS

Descrição Gravidade

Uma nova vulnerabilidade (CVE-2023-0468) foi descoberta na versão 5.15 do kernel do Linux que pode levar a uma negação de serviço no nó.

O GKE na AWS não é afetado por essa CVE.

O que devo fazer?

  • Nenhuma ação é necessária.
Nenhum

GKE no Azure

Descrição Gravidade

Uma nova vulnerabilidade (CVE-2023-0468) foi descoberta na versão 5.15 do kernel do Linux que pode levar a uma negação de serviço no nó.

O GKE no Azure não é afetado por essa CVE.

O que devo fazer?

  • Nenhuma ação é necessária.
Nenhum

GKE em bare metal

Descrição Gravidade

Uma nova vulnerabilidade (CVE-2023-0468) foi descoberta na versão 5.15 do kernel do Linux que pode levar a uma negação de serviço no nó.

O Google Distributed Cloud Virtual para Bare Metal não é afetado por essa CVE.

O que devo fazer?

  • Nenhuma ação é necessária.
Nenhum

GCP-2023-014

Publicado : 15/06/2023
Atualizado : 11/08/2023
Referência: CVE-2023-2727, CVE-2023-2728

Atualização de 11/08/2023 : adicionamos versões de patch para GKE no VMware, GKE na AWS, GKE no Azure e GKE em Bare Metal

GKE;

Descrição Gravidade

Foram descobertos dois novos problemas de segurança no Kubernetes em que os usuários podem iniciar contêineres que ignoram as restrições da política ao usar contêineres efêmeros e o ImagePolicyWebhook (CVE-2023-2727) ou o plug-in de admissão ServiceAccount (CVE-2023-2728).

O GKE não usa o ImagePolicyWebhook e não é afetado pela CVE-2023-2727.

Todas as versões do GKE são vulneráveis a CVE-2023-2728.

O que devo fazer?

O código das seguintes versões do GKE foi atualizado para corrigir essa vulnerabilidade. Por motivos de segurança, mesmo que você tenha ativado o upgrade automático de nós, recomendamos que faça upgrade manualmente dos clusters e pools de nós para uma das seguintes versões do GKE:

  • 1.27.2-gke.1200
  • 1.26.5-gke.1200
  • 1.25.10-gke.1200
  • 1.24.14-gke.1200
  • 1.23.17-gke.6800

Um recurso recente dos canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição. Isso permite proteger os nós até que a nova versão se torne o padrão para o canal de lançamento específico.

Quais vulnerabilidades estão sendo resolvidas?

Com a CVE-2023-2727, os usuários podem iniciar contêineres usando imagens restritas pelo ImagePolicyWebhook durante o uso de contêineres temporários. Os clusters do Kubernetes só serão afetados se o plug-in de admissão ImagePolicyWebhook for usado com contêineres efêmeros. Essa CVE também pode ser atenuada com o uso de webhooks de validação, como Gatekeeper e Kyverno, para aplicar as mesmas restrições.

Na CVE-2023-2728, os usuários podem iniciar contêineres que ignoram a política de chaves secretas montadas aplicadas pelo plug-in de admissão do ServiceAccount ao usar contêineres efêmeros. A política garante que os pods em execução com uma conta de serviço só possam fazer referência a chaves secretas especificadas no campo de chave secreta da conta de serviço. Os clusters serão afetados por essa vulnerabilidade se:

  • O plug-in de admissão ServiceAccount é usado.
  • A anotação kubernetes.io/enforce-mountable-secrets é usada por uma conta de serviço. Esta anotação não é adicionada por padrão.
  • Os pods estão usando contêineres efêmeros.
Médio

GKE no VMware

Atualizado : 11/08/2023

Descrição Gravidade

Dois novos problemas de segurança foram descobertos no Kubernetes, em que os usuários podem iniciar contêineres que ignoram as restrições de política ao usar contêineres efêmeros e o ImagePolicyWebhook (CVE-2023-2727) ou o plug-in de admissão ServiceAccount (CVE-2023-2728) O Anthos no VMware não usa ImagePolicyWebhook e não é afetado pelo CVE-2023-2727.

Todas as versões do Anthos no VMware são vulneráveis a CVE-2023-2728.

O que devo fazer?

Atualização de 11/08/2023:o código das versões a seguir do GKE no VMware foi atualizado para corrigir essa vulnerabilidade. Faça upgrade dos clusters de administrador e usuário para uma das seguintes versões do GKE no VMware:

  • 1.13.10
  • 1.14.6
  • 1.15.3
.

Quais vulnerabilidades estão sendo resolvidas?

Com a CVE-2023-2727, os usuários podem iniciar contêineres usando imagens restritas pelo ImagePolicyWebhook durante o uso de contêineres temporários. Os clusters do Kubernetes só serão afetados se o plug-in de admissão ImagePolicyWebhook for usado com contêineres efêmeros. Essa CVE também pode ser atenuada com o uso de webhooks de validação, como Gatekeeper e Kyverno, para aplicar as mesmas restrições.

Na CVE-2023-2728, os usuários podem iniciar contêineres que ignoram a política de chaves secretas montadas aplicadas pelo plug-in de admissão do ServiceAccount ao usar contêineres efêmeros. A política garante que os pods em execução com uma conta de serviço só possam fazer referência a chaves secretas especificadas no campo de chave secreta da conta de serviço. Os clusters serão afetados por essa vulnerabilidade se:

  • O plug-in de admissão ServiceAccount é usado.
  • A anotação kubernetes.io/enforce-mountable-secrets é usada por uma conta de serviço. Esta anotação não é adicionada por padrão.
  • Os pods estão usando contêineres efêmeros.
Médio

GKE na AWS

Atualizado : 11/08/2023

Descrição Gravidade

Foram descobertos dois novos problemas de segurança no Kubernetes em que os usuários podem iniciar contêineres que ignoram as restrições de política ao usar contêineres efêmeros e o ImagePolicyWebhook (CVE-2023-2727) ou o plug-in de admissão ServiceAccount (CVE-2023-2728)
O Anthos na AWS não usa ImagePolicyWebhook e não é afetado pelo CVE-2023-2727.
Todas as versões do Anthos na AWS são vulneráveis a CVE-2023-2728.

O que devo fazer?

Atualização de 11/08/2023:a versão a seguir do GKE na AWS foi atualizada com um código para corrigir essa vulnerabilidade. Faça upgrade dos nós para a seguinte versão do GKE na AWS:

  • 1.15.2
.

Quais vulnerabilidades estão sendo resolvidas?

Com a CVE-2023-2727, os usuários podem iniciar contêineres usando imagens restritas pelo ImagePolicyWebhook durante o uso de contêineres temporários. Os clusters do Kubernetes só serão afetados se o plug-in de admissão ImagePolicyWebhook for usado com contêineres efêmeros. Essa CVE também pode ser atenuada com o uso de webhooks de validação, como Gatekeeper e Kyverno, para aplicar as mesmas restrições.

Na CVE-2023-2728, os usuários podem iniciar contêineres que ignoram a política de chaves secretas montadas aplicadas pelo plug-in de admissão do ServiceAccount ao usar contêineres efêmeros. A política garante que os pods em execução com uma conta de serviço só possam fazer referência a chaves secretas especificadas no campo de chave secreta da conta de serviço. Os clusters serão afetados por essa vulnerabilidade se:

  • O plug-in de admissão ServiceAccount é usado.
  • A anotação kubernetes.io/enforce-mountable-secrets é usada por uma conta de serviço. Esta anotação não é adicionada por padrão.
  • Os pods estão usando contêineres efêmeros.
Médio

GKE no Azure

Atualizado : 11/08/2023

Descrição Gravidade

Foram descobertos dois novos problemas de segurança no Kubernetes em que os usuários podem iniciar contêineres que ignoram as restrições de política ao usar contêineres efêmeros e o ImagePolicyWebhook (CVE-2023-2727) ou o plug-in de admissão ServiceAccount (CVE-2023-2728)
O Anthos on Azure não usa ImagePolicyWebhook e não é afetado pelo CVE-2023-2727.
Todas as versões do Anthos on Azure são vulneráveis a CVE-2023-2728.

O que devo fazer?

Atualização de 11/08/2023:a versão a seguir do GKE no Azure foi atualizada com um código para corrigir essa vulnerabilidade. Faça upgrade dos nós para a seguinte versão do GKE no Azure:

  • 1.15.2
.

Quais vulnerabilidades estão sendo resolvidas?

Com a CVE-2023-2727, os usuários podem iniciar contêineres usando imagens restritas pelo ImagePolicyWebhook durante o uso de contêineres temporários. Os clusters do Kubernetes só serão afetados se o plug-in de admissão ImagePolicyWebhook for usado com contêineres efêmeros. Essa CVE também pode ser atenuada com o uso de webhooks de validação, como Gatekeeper e Kyverno, para aplicar as mesmas restrições.

Na CVE-2023-2728, os usuários podem iniciar contêineres que ignoram a política de chaves secretas montadas aplicadas pelo plug-in de admissão do ServiceAccount ao usar contêineres efêmeros. A política garante que os pods em execução com uma conta de serviço só possam fazer referência a chaves secretas especificadas no campo de chave secreta da conta de serviço. Os clusters serão afetados por essa vulnerabilidade se:

  • O plug-in de admissão ServiceAccount é usado.
  • A anotação kubernetes.io/enforce-mountable-secrets é usada por uma conta de serviço. Esta anotação não é adicionada por padrão.
  • Os pods estão usando contêineres efêmeros.
Médio

GKE em bare metal

Atualizado : 11/08/2023

Descrição Gravidade

Foram descobertos dois novos problemas de segurança no Kubernetes em que os usuários podem iniciar contêineres que ignoram as restrições de política ao usar contêineres efêmeros e o ImagePolicyWebhook (CVE-2023-2727) ou o plug-in de admissão ServiceAccount (CVE-2023-2728)
O Anthos em Bare Metal não usa ImagePolicyWebhook e não é afetado pela CVE-2023-2727.
Todas as versões do Anthos em Bare Metal são potencialmente vulneráveis à CVE-2023-2728.

O que devo fazer?

Atualização de 11/08/2023:as seguintes versões do Google Distributed Cloud Virtual para Bare Metal foram atualizadas com código para corrigir essa vulnerabilidade. Faça upgrade dos nós para uma das seguintes versões do Google Distributed Cloud Virtual para Bare Metal:

  • 1.13.9
  • 1.14.7
  • 1.15.3
.

Quais vulnerabilidades estão sendo resolvidas?

Com a CVE-2023-2727, os usuários podem iniciar contêineres usando imagens restritas pelo ImagePolicyWebhook durante o uso de contêineres temporários. Os clusters do Kubernetes só serão afetados se o plug-in de admissão ImagePolicyWebhook for usado com contêineres efêmeros. Essa CVE também pode ser atenuada com o uso de webhooks de validação, como Gatekeeper e Kyverno, para aplicar as mesmas restrições.

Na CVE-2023-2728, os usuários podem iniciar contêineres que ignoram a política de chaves secretas montadas aplicadas pelo plug-in de admissão do ServiceAccount ao usar contêineres efêmeros. A política garante que os pods em execução com uma conta de serviço só possam fazer referência a chaves secretas especificadas no campo de chave secreta da conta de serviço. Os clusters serão afetados por essa vulnerabilidade se:

  • O plug-in de admissão ServiceAccount é usado.
  • A anotação kubernetes.io/enforce-mountable-secrets é usada por uma conta de serviço. Esta anotação não é adicionada por padrão.
  • Os pods estão usando contêineres efêmeros.
Médio

GCP-2023-009

Data de publicação: 06/06/2023
Referência: CVE-2023-2878

GKE

Descrição Gravidade

Uma nova vulnerabilidade (CVE-2023-2878) foi encontrada no secret-store-csi-driver, em que um ator com acesso aos registros do driver podia observar tokens de conta de serviço. Esses tokens podem ser trocados com provedores de nuvem externos para acessar chaves secretas armazenadas em soluções de nuvem.

O GKE não é afetado por essa CVE.

O que devo fazer?

Embora o GKE não seja afetado, se você tiver instalado o componente secret-store-csi-driver, atualize a instalação com uma versão com patch.

Quais vulnerabilidades são corrigidas por esse patch?

A vulnerabilidade, CVE-2023-2878, foi descoberta no secret-store-csi-driver, em que um ator com acesso aos registros do driver podia observar tokens de conta de serviço. Esses tokens podem ser trocados com provedores de nuvem externos para acessar chaves secretas armazenadas em soluções de nuvem. Os tokens só são registrados quando TokenRequests está configurado no objeto CSIDriver e o driver está configurado para ser executado em nível de registro 2 ou superior por meio da sinalização -v.

Nenhum

GKE no VMware

Descrição Gravidade

Uma nova vulnerabilidade (CVE-2023-2878) foi encontrada no secret-store-csi-driver, em que um ator com acesso aos registros do driver podia observar tokens de conta de serviço. Esses tokens podem ser trocados com provedores de nuvem externos para acessar chaves secretas armazenadas em soluções de nuvem.

O GKE no VMware não é afetado por essa CVE.

O que devo fazer?

Embora o GKE no VMware não seja afetado, se você tiver instalado o componente secrets-store-csi-driver, atualize sua instalação com uma versão com patch.

Quais vulnerabilidades são corrigidas por esse patch?

A vulnerabilidade, CVE-2023-2878, foi descoberta no secret-store-csi-driver, em que um ator com acesso aos registros do driver podia observar tokens de conta de serviço. Esses tokens podem ser trocados com provedores de nuvem externos para acessar chaves secretas armazenadas em soluções de nuvem. Os tokens só são registrados quando TokenRequests está configurado no objeto CSIDriver e o driver está configurado para ser executado em nível de registro 2 ou superior por meio da sinalização -v.

Nenhum

GKE na AWS

Descrição Severity

Uma nova vulnerabilidade (CVE-2023-2878) foi encontrada no secret-store-csi-driver, em que um ator com acesso aos registros do driver podia observar tokens de conta de serviço. Esses tokens podem ser trocados com provedores de nuvem externos para acessar chaves secretas armazenadas em soluções de nuvem.

O GKE na AWS não é afetado por essa CVE.

O que devo fazer?

Embora o GKE na AWS não seja afetado, se você tiver instalado o componente secrets-store-csi-driver, atualize sua instalação com uma versão com patch.

Quais vulnerabilidades são corrigidas por esse patch?

A vulnerabilidade, CVE-2023-2878, foi descoberta no secret-store-csi-driver, em que um ator com acesso aos registros do driver podia observar tokens de conta de serviço. Esses tokens podem ser trocados com provedores de nuvem externos para acessar chaves secretas armazenadas em soluções de nuvem. Os tokens só são registrados quando TokenRequests está configurado no objeto CSIDriver e o driver está configurado para ser executado em nível de registro 2 ou superior por meio da sinalização -v.

Nenhum

GKE no Azure

Descrição Gravidade

Uma nova vulnerabilidade (CVE-2023-2878) foi encontrada no secret-store-csi-driver, em que um ator com acesso aos registros do driver podia observar tokens de conta de serviço. Esses tokens podem ser trocados com provedores de nuvem externos para acessar chaves secretas armazenadas em soluções de nuvem.

O GKE no Azure não é afetado por essa CVE

O que devo fazer?

Embora o GKE no Azure não seja afetado, se você tiver instalado o componente secrets-store-csi-driver, atualize sua instalação com uma versão com patch.

Quais vulnerabilidades são corrigidas por esse patch?

A vulnerabilidade, CVE-2023-2878, foi descoberta no secret-store-csi-driver, em que um ator com acesso aos registros do driver podia observar tokens de conta de serviço. Esses tokens podem ser trocados com provedores de nuvem externos para acessar chaves secretas armazenadas em soluções de nuvem. Os tokens só são registrados quando TokenRequests está configurado no objeto CSIDriver e o driver está configurado para ser executado em nível de registro 2 ou superior por meio da sinalização -v.

Nenhum

GKE em bare metal

Descrição Gravidade

Uma nova vulnerabilidade (CVE-2023-2878) foi encontrada no secret-store-csi-driver, em que um ator com acesso aos registros do driver podia observar tokens de conta de serviço. Esses tokens podem ser trocados com provedores de nuvem externos para acessar chaves secretas armazenadas em soluções de nuvem.

O GKE em Bare Metal não é afetado por essa CVE.

O que devo fazer?

Embora o GKE em Bare Metal não seja afetado, se você tiver instalado o componente secrets-store-csi-driver, atualize sua instalação com uma versão com patch

Quais vulnerabilidades são corrigidas por esse patch?

A vulnerabilidade, CVE-2023-2878, foi descoberta no secret-store-csi-driver, em que um ator com acesso aos registros do driver podia observar tokens de conta de serviço. Esses tokens podem ser trocados com provedores de nuvem externos para acessar chaves secretas armazenadas em soluções de nuvem. Os tokens só são registrados quando TokenRequests está configurado no objeto CSIDriver e o driver está configurado para ser executado em nível de registro 2 ou superior por meio da sinalização -v.

Nenhum

GCP-2023-008

Data de publicação: 05/06/2023
Referência: CVE-2023-1872

GKE

Descrição Gravidade

Uma nova vulnerabilidade (CVE-2023-1872) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios para raiz no nó. Os clusters do GKE Standard e do Autopilot são afetados.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

O código das seguintes versões do GKE foi atualizado para corrigir essa vulnerabilidade. Por motivos de segurança, mesmo que você tenha ativado o upgrade automático de nós, recomendamos que faça upgrade manualmente dos clusters e pools de nós para uma das seguintes versões do GKE:

  • 1.22.17-gke.11400
  • 1.23.17-gke.5600
  • 1.24.13-gke.2500
  • 1.25.9-gke.2300
  • 1.26.5-gke.1200

Um recurso recente dos canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição. Isso permite proteger os nós até que a nova versão se torne o padrão para o canal específico da versão.

Quais vulnerabilidades são corrigidas por esse patch?

A CVE-2023-1872 é uma vulnerabilidade de uso após a liberação no subsistema io_uring do kernel do Linux que pode ser explorada para alcançar o escalonamento de privilégios locais. A função io_file_get_fixed não tem a presença de ctx->uring_lock, o que pode levar a uma vulnerabilidade de uso após a liberação devido a uma disputa com arquivos fixos não registrados.

Alta

GKE no VMware

Descrição Gravidade

Uma nova vulnerabilidade (CVE-2023-1872) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios para raiz no nó.

O que devo fazer?

Quais vulnerabilidades são corrigidas por esse patch?

A CVE-2023-1872 é uma vulnerabilidade de uso após a liberação no subsistema io_uring do kernel do Linux que pode ser explorada para alcançar o escalonamento de privilégios locais. A função io_file_get_fixed não tem a presença de ctx->uring_lock, o que pode levar a uma vulnerabilidade de uso após a liberação devido a uma disputa com arquivos fixos não registrados.

Alta

GKE na AWS

Descrição Severity

Uma nova vulnerabilidade (CVE-2023-1872) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios para raiz no nó.

O que devo fazer?

O código das seguintes versões do GKE na AWS foi atualizado para corrigir essas vulnerabilidades:

  • 1.15.1
  • Quais vulnerabilidades são corrigidas por esse patch?

    A CVE-2023-1872 é uma vulnerabilidade de uso após a liberação no subsistema io_uring do kernel do Linux que pode ser explorada para alcançar o escalonamento de privilégios locais. A função io_file_get_fixed não tem a presença de ctx->uring_lock, o que pode levar a uma vulnerabilidade de uso após a liberação devido a uma disputa com arquivos fixos não registrados.

    Alta

    GKE no Azure

    Descrição Gravidade

    Uma nova vulnerabilidade (CVE-2023-1872) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios para raiz no nó.

    O que devo fazer?

    O código das seguintes versões do GKE no Azure foi atualizado para corrigir essas vulnerabilidades:

  • 1.15.1
  • Quais vulnerabilidades são corrigidas por esse patch?

    A CVE-2023-1872 é uma vulnerabilidade de uso após a liberação no subsistema io_uring do kernel do Linux que pode ser explorada para alcançar o escalonamento de privilégios locais. A função io_file_get_fixed não tem a presença de ctx->uring_lock, o que pode levar a uma vulnerabilidade de uso após a liberação devido a uma disputa com arquivos fixos não registrados.

    Alta

    GKE em bare metal

    Descrição Gravidade

    Uma nova vulnerabilidade (CVE-2023-1872) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios para raiz no nó.

    O GKE em Bare Metal não é afetado por essa CVE.

    O que devo fazer?

    Você não precisa fazer nada.

    Nenhum

    GCP-2023-005

    Data de publicação: 18/05/2023
    Data de atualização: 06/06/2023
    Referência: CVE-2023-1281, CVE-2023-1829

    Atualização de 06/06/2023: novas versões do GKE foram atualizadas para incluir as versões mais recentes do Ubuntu que corrigem CVE-2023-1281 e CVE-2023-1829.

    GKE

    Data de atualização: 06/06/2023

    Descrição Gravidade

    Duas novas vulnerabilidades (CVE-2023-1281, CVE-2023-1829) foram descobertas no kernel do Linux, o que pode levar a um escalonamento de privilégios na raiz do nó. Os clusters do GKE Standard são afetados.

    clusters e clusters do GKE Autopilot usando GKE Sandbox não são afetados.

    O que devo fazer?

    Atualização de 06/06/2023: versões de patch do Ubuntu estão disponíveis.

    As seguintes versões do GKE foram atualizadas para incluir as versões mais recentes do Ubuntu que corrigem CVE-2023-1281 e CVE-2023-1829:

    • 1.23.17-gke.6800
    • 1.24.14-gke.1200
    • 1.25.10-gke.1200
    • 1.26.5-gke.1200

    O código das seguintes versões do GKE foi atualizado para corrigir essa vulnerabilidade. Por motivos de segurança, mesmo que você tenha ativado o upgrade automático de nós, recomendamos que faça upgrade manualmente dos clusters e pools de nós para uma das seguintes versões do GKE:

    • 1.22.17-gke.8100
    • 1.23.17-gke.2300
    • 1.24.12-gke.1100
    • 1.25.8-gke.1000
    • 1.26.3-gke.1000

    Um recurso recente dos canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição. Isso permite proteger os nós até que a nova versão se torne o padrão para o canal específico da versão.

    Quais vulnerabilidades são corrigidas por esse patch?

    Tanto a CVE-2023-1281 quanto a CVE-2023-1829 são vulnerabilidades de uso livre no filtro de índice de controle de tráfego do Linux (tcindex), que podem ser exploradas para alcançar o escalonamento de privilégios locais.

    Com a CVE-2023-1829, a função tcindex_delete não desativa corretamente os filtros em determinados casos, o que pode levar à liberação dupla de uma estrutura de dados.

    Na CVE-2023-1281, a área de hash imperfeita pode ser atualizada enquanto os pacotes estão em transferência, o que causa um uso após a liberação quando tcf_exts_exec() é chamado com o tcf_ext destruído. Um usuário de ataque local pode usar essa vulnerabilidade para elevar os privilégios dele à raiz.

    Alta

    GKE no VMware

    Descrição Gravidade

    Duas novas vulnerabilidades (CVE-2023-1281, CVE-2023-1829) foram descobertas no kernel do Linux, o que pode levar a um escalonamento de privilégios na raiz do nó.

    O que devo fazer?

    Quais vulnerabilidades são corrigidas por esse patch?

    Tanto a CVE-2023-1281 quanto a CVE-2023-1829 são vulnerabilidades de uso livre no filtro de índice de tráfego de tráfego (tcindex) do Linux, que podem ser exploradas para alcançar o escalonamento de privilégios locais.

    Com a CVE-2023-1829, a função tcindex_delete não desativa corretamente os filtros em determinados casos, o que pode levar à liberação dupla de uma estrutura de dados.

    Na CVE-2023-1281, a área de hash imperfeita pode ser atualizada enquanto os pacotes estão em transferência, o que causa um uso após a liberação quando tcf_exts_exec() é chamado com o tcf_ext destruído. Um usuário de ataque local pode usar essa vulnerabilidade para elevar os privilégios dele à raiz.

    Alta

    GKE na AWS

    Descrição Severity

    Duas novas vulnerabilidades (CVE-2023-1281, CVE-2023-1829) foram descobertas no kernel do Linux, o que pode levar a um escalonamento de privilégios na raiz do nó.

    O que devo fazer?

    Quais vulnerabilidades são corrigidas por esse patch?

    Tanto a CVE-2023-1281 quanto a CVE-2023-1829 são vulnerabilidades de uso livre no filtro de índice de tráfego de tráfego (tcindex) do Linux, que podem ser exploradas para alcançar o escalonamento de privilégios locais.

    Com a CVE-2023-1829, a função tcindex_delete não desativa corretamente os filtros em determinados casos, o que pode levar à liberação dupla de uma estrutura de dados.

    Na CVE-2023-1281, a área de hash imperfeita pode ser atualizada enquanto os pacotes estão em transferência, o que causa um uso após a liberação quando tcf_exts_exec() é chamado com o tcf_ext destruído. Um usuário de ataque local pode usar essa vulnerabilidade para elevar os privilégios dele à raiz.

    Alta

    GKE no Azure

    Descrição Gravidade

    Duas novas vulnerabilidades (CVE-2023-1281, CVE-2023-1829) foram descobertas no kernel do Linux, o que pode levar a um escalonamento de privilégios na raiz do nó.

    O que devo fazer?

    Quais vulnerabilidades são corrigidas por esse patch?

    Tanto a CVE-2023-1281 quanto a CVE-2023-1829 são vulnerabilidades de uso livre no filtro de índice de tráfego de tráfego (tcindex) do Linux, que podem ser exploradas para alcançar o escalonamento de privilégios locais.

    Com a CVE-2023-1829, a função tcindex_delete não desativa corretamente os filtros em determinados casos, o que pode levar à liberação dupla de uma estrutura de dados.

    Na CVE-2023-1281, a área de hash imperfeita pode ser atualizada enquanto os pacotes estão em transferência, o que causa um uso após a liberação quando tcf_exts_exec() é chamado com o tcf_ext destruído. Um usuário de ataque local pode usar essa vulnerabilidade para elevar os privilégios dele à raiz.

    Alta

    GKE em bare metal

    Descrição Gravidade

    Duas novas vulnerabilidades (CVE-2023-1281, CVE-2023-1829) foram descobertas no kernel do Linux, o que pode levar a um escalonamento de privilégios na raiz do nó.

    O GKE em Bare Metal não é afetado por essa CVE.

    O que devo fazer?

    Você não precisa fazer nada.

    Nenhum

    GCP-2023-003

    Publicado : 11/04/2023
    Atualizado : 21/12/2023
    Referência: CVE-2023-0240, CVE-2023-23586

    Atualização de 21/12/2023 : esclarecemos que os clusters do Autopilot do GKE na configuração padrão não são afetadas.

    GKE;

    Atualizado : 21/12/2023

    Descrição Severity

    Atualização de 21/12/2023: o boletim original informava que o Autopilot era Autopilot. clusters foram afetados, mas isso estava incorreto. Autopilot do GKE clusters na configuração padrão não são afetados, mas podem ficar vulneráveis caso sejam defina explicitamente o perfil seccomp Unconfined ou permitir CAP_NET_ADMIN.

    Duas novas vulnerabilidades, CVE-2023-0240 e CVE-2023-23586, foram descobertas no kernel do Linux que poderiam permitir que um usuário sem privilégios aumentasse os privilégios. Os clusters do GKE, incluindo os clusters do Autopilot, com o COS usando o kernel do Linux versão 5.10 até 5.10.162 são afetados. Os clusters do GKE que usam imagens do Ubuntu ou o GKE Sandbox não são afetados.

    O que devo fazer?

    As versões do GKE a seguir foram atualizadas com código para corrigir essas vulnerabilidades. Por motivos de segurança, mesmo que você tenha ativado o upgrade automático de nós, recomendamos que faça upgrade manualmente dos pools de nós para uma das seguintes versões do GKE:

    • 1.22.17-gke.4000
    • 1.23.16-gke.1100
    • 1.24.10-gke.1200

    Um recurso recente dos canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição. Isso permite proteger os nós até que a nova versão se torne o padrão para o canal específico da versão.

    Quais vulnerabilidades são corrigidas por esse patch?

    Vulnerabilidade 1 (CVE-2023-0240): uma disputa em io_uring pode levar a um detalhamento completo do contêiner na raiz do nó. As versões 5.10 do kernel do Linux foram afetadas até 5.10.162.

    Vulnerabilidade 2 (CVE-2023-23586): um uso após o uso gratuito (UAF, na sigla em inglês) em io_uring/time_ns pode levar a um detalhamento completo do contêiner para a raiz no nó. As versões 5.10 do kernel do Linux são afetadas até 5.10.162.

    Alta

    GKE no VMware

    Descrição Gravidade

    Duas novas vulnerabilidades, CVE-2023-0240 e CVE-2023-23586, foram descobertas no kernel do Linux que poderiam permitir que um usuário sem privilégios aumentasse os privilégios. Clusters do GKE no VMware com COS usando o Linux Kernel versão 5.10 até 5.10.162 são afetadas. Os clusters do GKE Enterprise que usam imagens do Ubuntu não são afetados.

    O que devo fazer?

    As seguintes versões do GKE no VMware foram atualizadas com código para correção estas vulnerabilidades:

    • 1.12.6
    • 1.13.5

    Quais vulnerabilidades são corrigidas por esse patch?

    Vulnerabilidade 1 (CVE-2023-0240): uma disputa em io_uring pode levar a um detalhamento completo do contêiner na raiz do nó. As versões 5.10 do kernel do Linux foram afetadas até 5.10.162.

    Vulnerabilidade 2 (CVE-2023-23586): um uso após o uso gratuito (UAF, na sigla em inglês) em io_uring/time_ns pode levar a um detalhamento completo do contêiner para a raiz no nó. As versões 5.10 do kernel do Linux foram afetadas até 5.10.162.

    Alta

    GKE na AWS

    Descrição Severity

    Duas novas vulnerabilidades, CVE-2023-0240 e CVE-2023-23586, foram descobertas no kernel do Linux que poderiam permitir que um usuário sem privilégios aumentasse os privilégios. O GKE na AWS não é afetado por essas CVEs.

    O que devo fazer?

    Você não precisa fazer nada.

    Nenhum

    GKE no Azure

    Descrição Gravidade

    Duas novas vulnerabilidades, CVE-2023-0240 e CVE-2023-23586, foram descobertas no kernel do Linux que poderiam permitir que um usuário sem privilégios aumentasse os privilégios. O GKE no Azure não é afetado por essas CVEs

    O que devo fazer?

    Você não precisa fazer nada.

    Nenhum

    GKE em bare metal

    Descrição Gravidade

    Duas novas vulnerabilidades, CVE-2023-0240 e CVE-2023-23586, foram descobertas no kernel do Linux que poderiam permitir que um usuário sem privilégios aumentasse os privilégios. O GKE em Bare Metal não é afetado por essas CVEs.

    O que devo fazer?

    Você não precisa fazer nada.

    Nenhum

    GCP-2023-001

    Publicado : 01/03/2023
    Atualizado : 21/12/2023
    Referência: CVE-2022-4696

    Atualização de 21/12/2023 : esclarecemos que os clusters do Autopilot do GKE na configuração padrão não são afetadas.

    GKE;

    Descrição Severity

    Atualização de 21/12/2023: o boletim original informava que o Autopilot era Autopilot. clusters foram afetados, mas isso estava incorreto. Autopilot do GKE clusters na configuração padrão não são afetados, mas podem ficar vulneráveis caso sejam defina explicitamente o perfil seccomp Unconfined ou permitir CAP_NET_ADMIN.

    Uma nova vulnerabilidade (CVE-2022-4696) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó. Os clusters do GKE, incluindo os clusters do Autopilot, foram afetados. Os clusters do GKE que usam o GKE Sandbox não são afetados.

    O que devo fazer?

    O código das seguintes versões do GKE foi atualizado para corrigir essa vulnerabilidade. Por motivos de segurança, mesmo que você tenha ativado o upgrade automático de nós, recomendamos que faça upgrade manualmente dos seus clusters e pools de nós para uma das seguintes versões do GKE:

    • 1.22.17-gke.3100
    • 1.23.16-gke.200
    • 1.24.9-gke.3200

    Um recurso recente dos canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição. Isso permite proteger os nós até que a nova versão se torne o padrão para o canal específico da versão.

    Quais vulnerabilidades são corrigidas por esse patch?

    Com a CVE-2022-4696, foi encontrada uma falha de uso após a liberação em io_uring e ioring_op_splice no kernel do Linux. Essa falha permite que um usuário local crie um escalonamento de privilégios local.

    Alta

    GKE no VMware

    Descrição Gravidade

    Uma nova vulnerabilidade (CVE-2022-4696) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó. GKE no VMware com as versões v1.12 e para a versão 1.13. O GKE no VMware com a v1.14 ou posterior não foi afetado.

    O que devo fazer?

    O código das seguintes versões do GKE no VMware foi atualizado para corrigir esse problema a vulnerabilidade. Recomendamos que você faça upgrade dos clusters de administrador e usuário para um dos as seguintes versões do GKE no VMware:

    • 1.12.5
    • 1.13.5

    Quais vulnerabilidades são corrigidas por esse patch?

    Com a CVE-2022-4696, foi encontrada uma falha de uso após a liberação em io_uring e ioring_op_splice no kernel do Linux. Essa falha permite que um usuário local crie um escalonamento de privilégios local.

    Alta

    GKE na AWS

    Descrição Severity

    Uma nova vulnerabilidade (CVE-2022-4696) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó. O GKE na AWS não é afetado por essa vulnerabilidade.

    O que devo fazer?

    Nenhuma ação é necessária.

    Nenhum

    GKE no Azure

    Descrição Gravidade

    Uma nova vulnerabilidade (CVE-2022-4696) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó. O GKE no Azure não é afetado por essa vulnerabilidade.

    O que devo fazer?

    Nenhuma ação é necessária.

    Nenhum

    GKE em bare metal

    Descrição Gravidade

    Uma nova vulnerabilidade (CVE-2022-4696) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó. O GKE em Bare Metal não é afetado por essa vulnerabilidade.

    O que devo fazer?

    Nenhuma ação é necessária.

    Nenhum

    GCP-2022-026

    Publicado: 11-01-2023
    Referência: CVE-2022-3786, CVE-2022-3602

    GKE

    Descrição Gravidade

    Duas novas vulnerabilidades (CVE-2022-3786 e CVE-2022-3602) foram descobertas no OpenSSL v3.0.6 que podem causar uma falha. Embora ela tenha sido avaliada como alta no banco de dados do NVD, os endpoints do GKE usam boringSSL ou uma versão mais antiga do OpenSSL que não é afetada. Portanto, a classificação foi reduzida a média para o GKE.

    O que fazer?

    O código das seguintes versões do GKE foi atualizado para corrigir essa vulnerabilidade:

    • 1.25.4-gke.1600
    • 1.24.8-gke.401
    • 1.23.14-gke.401
    • 1.22.16-gke.1300
    • 1.21.14-gke.14100

    Um recurso recente dos canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição. Isso permite proteger os nós até que a nova versão se torne o padrão para o canal específico da versão.

    Quais vulnerabilidades são corrigidas por esse patch?

    Com a CVE-2022-3786 e a CVE-2022-3602, uma sobrecarga de buffer pode ser acionada na verificação de certificado X.509, o que pode causar uma falha que resultará em negação de serviço. Para ser explorada, essa vulnerabilidade exige que uma CA assine um certificado malicioso ou que um aplicativo continue a verificação do certificado, mesmo que não seja possível criar um caminho para um emissor confiável.

    Médio

    GKE no VMware

    Descrição Gravidade

    Duas novas vulnerabilidades (CVE-2022-3786 e CVE-2022-3602) foram descobertas no OpenSSL v3.0.6 que podem causar uma falha.

    O que devo fazer?

    O GKE no VMware não é afetado por essa CVE porque não usa uma versão afetada do OpenSSL.

    Quais vulnerabilidades são corrigidas por esse patch?

    Você não precisa fazer nada.

    Nenhum

    GKE na AWS

    Descrição Severity

    Duas novas vulnerabilidades (CVE-2022-3786 e CVE-2022-3602) foram descobertas no OpenSSL v3.0.6 que podem causar uma falha.

    O que devo fazer?

    O GKE na AWS não é afetado por essa CVE porque não usa uma versão afetada do OpenSSL.

    Quais vulnerabilidades são corrigidas por esse patch?

    Você não precisa fazer nada.

    Nenhum

    GKE no Azure

    Descrição Gravidade

    Duas novas vulnerabilidades (CVE-2022-3786 e CVE-2022-3602) foram descobertas no OpenSSL v3.0.6 que podem causar uma falha.

    O que devo fazer?

    O GKE no Azure não é afetado por essa CVE porque não usa uma versão afetada do OpenSSL.

    Quais vulnerabilidades são corrigidas por esse patch?

    Você não precisa fazer nada.

    Nenhum

    GKE em bare metal

    Descrição Gravidade

    Duas novas vulnerabilidades (CVE-2022-3786 e CVE-2022-3602) foram descobertas no OpenSSL v3.0.6 que podem causar uma falha.

    O que devo fazer?

    O GKE em Bare Metal não é afetado por essa CVE porque não usa uma versão afetada do OpenSSL.

    Quais vulnerabilidades são corrigidas por esse patch?

    Você não precisa fazer nada.

    Nenhuma

    GCP-2022-025

    Publicado : 21/12/2022
    Atualizado : 19/01/2023, 21/12/2023
    Referência: CVE-2022-2602

    Atualização de 21/12/2023 : esclarecemos que os clusters do Autopilot do GKE na configuração padrão não são afetadas.

    Atualização de 19/01/2023 : a versão 1.21.14-gke.14100 do GKE está disponível.

    GKE

    Atualização: 19/01/2023

    Descrição Severity

    Atualização de 21/12/2023: o boletim original informava que o Autopilot era Autopilot. clusters foram afetados, mas isso estava incorreto. Autopilot do GKE clusters na configuração padrão não são afetados, mas podem ficar vulneráveis caso sejam defina explicitamente o perfil seccomp Unconfined ou permitir CAP_NET_ADMIN.

    Uma nova vulnerabilidade (CVE-2022-2602) foi descoberta no subsistema io_uring no kernel do Linux e pode permitir que um invasor execute um código arbitrário. Os clusters do GKE, incluindo os clusters do Autopilot, foram afetados.

    Os clusters do GKE que usam o GKE Sandbox não são afetados.

    O que fazer?

    Atualização de 19/01/2023: a versão 1.21.14-gke.14100 está disponível. Faça upgrade dos pools de nós para esta versão ou mais recente.


    O código das seguintes versões do GKE foi atualizado para corrigir essa vulnerabilidade em uma versão futura. Por motivos de segurança, mesmo que você tenha ativado o upgrade automático de nós, recomendamos que faça upgrade manualmente dos pools de nós para uma das seguintes versões do GKE:

    • Container-optimized OS:
      • 1.22.16-gke.1300 e posterior
      • 1.23.14-gke.401 e posterior
      • 1.24.7-gke.900 e posterior
      • 1.25.4-gke.1600 e posterior
    • Ubuntu:
      • 1.22.15-gke.2500 e posterior
      • 1.23.13-gke.900 e posterior
      • 1.24.7-gke.900 e posterior
      • 1.25.3-gke.800 e posterior

    Um recurso recente dos canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição. Isso permite proteger os nós até que a nova versão se torne o padrão para o canal específico da versão.

    Quais vulnerabilidades são corrigidas por esse patch?

    Na CVE-2022-2602, uma condição de corrida entre o processamento de solicitações io_uring e a coleta de lixo de soquete Unix pode causar uma vulnerabilidade de uso após a liberação. Um invasor local pode usar isso para acionar uma negação de serviço ou possivelmente executar um código arbitrário.

    Alta

    GKE no VMware

    Descrição Gravidade

    Uma nova vulnerabilidade (CVE-2022-2602) foi descoberta no subsistema io_uring no kernel do Linux e pode permitir que um invasor execute um código arbitrário.

    As versões 1.11, 1.12 e 1.13 do GKE no VMware foram afetadas.

    O que devo fazer?

    Faça upgrade do cluster para uma versão com patch. As seguintes versões do O GKE no VMware contém um código que corrige essa vulnerabilidade:

    • 1.13.2
    • 1.12.4
    • 1.11.5

    Quais vulnerabilidades são corrigidas por esse patch?

    Na CVE-2022-2602, uma condição de corrida entre o processamento de solicitações io_uring e a coleta de lixo de soquete Unix pode causar uma vulnerabilidade de uso após a liberação. Um invasor local pode usar isso para acionar uma negação de serviço ou possivelmente executar um código arbitrário.

    Alta

    GKE na AWS

    Descrição Severity

    Uma nova vulnerabilidade (CVE-2022-2602) foi descoberta no subsistema io_uring no kernel do Linux e pode permitir que um invasor execute um código arbitrário.

    O que devo fazer?

    As seguintes versões atuais e anteriores do GKE na AWS foram atualizado com código para corrigir essa vulnerabilidade. Recomendamos que você faça o upgrade dos nós para uma das seguintes versões do GKE na AWS:

    • Geração atual:
      • 1.22.15-gke.100
      • 1.23.11-gke.300
      • 1.24.5-gke.200
    • Geração anterior:
      • 1.22.15-gke.1400
      • 1.23.12-gke.1400
      • 1.24.6-gke.1300

    Quais vulnerabilidades são corrigidas por esse patch?

    Na CVE-2022-2602, uma condição de corrida entre o processamento de solicitações io_uring e a coleta de lixo de soquete Unix pode causar uma vulnerabilidade de uso após a liberação. Um invasor local pode usar isso para acionar uma negação de serviço ou possivelmente executar um código arbitrário.

    Alta

    GKE no Azure

    Descrição Gravidade

    Uma nova vulnerabilidade (CVE-2022-2602) foi descoberta no subsistema io_uring no kernel do Linux e pode permitir que um invasor execute um código arbitrário.

    O que devo fazer?

    As seguintes versões do GKE no Azure foram atualizadas com código para correção essa vulnerabilidade. Recomendamos que você faça o upgrade dos nós para um dos seguintes Versões do GKE no Azure:

    • 1.22.15-gke.100
    • 1.23.11-gke.300
    • 1.24.5-gke.200

    Quais vulnerabilidades são corrigidas por esse patch?

    Na CVE-2022-2602, uma condição de corrida entre o processamento de solicitações io_uring e a coleta de lixo de soquete Unix pode causar uma vulnerabilidade de uso após a liberação. Um invasor local pode usar isso para acionar uma negação de serviço ou possivelmente executar um código arbitrário.

    Alta

    GKE em bare metal

    Descrição Gravidade

    Uma nova vulnerabilidade (CVE-2022-2602) foi descoberta no subsistema io_uring no kernel do Linux e pode permitir que um invasor execute um código arbitrário.

    O GKE em Bare Metal não é afetado por essa CVE porque não agrupa de um sistema operacional na distribuição dele.

    O que devo fazer?

    Você não precisa fazer nada.

    Nenhuma

    GCP-2022-024

    Publicado em: 09/11/2022
    Atualizado em: 19/01/2023
    Referência: CVE-2022-2585, CVE-2022-2588

    Atualização de 19/01/2023 : a versão 1.21.14-gke.14100 do GKE está disponível.
    Atualização de 16/12/2022 : adicionamos versões de patch revisadas para GKE e GKE no VMware.

    GKE;

    Atualização: 19/01/2023

    Descrição Gravidade

    Duas novas vulnerabilidades (CVE-2022-2585 e CVE-2022-2588) foram descobertas no kernel do Linux que podem levar a uma divisão completa do contêiner para raiz do nó. Os clusters do GKE, incluindo os clusters do Autopilot, foram afetados.

    Os clusters do GKE que usam o GKE Sandbox não são afetados.

    O que fazer?

    Atualização de 19/01/2023: a versão 1.21.14-gke.14100 está disponível. Faça upgrade dos pools de nós para esta versão ou mais recente.

    Atualização de 16/12/2022: uma versão anterior do boletim foi revisada devido a uma regressão de lançamento. Faça upgrade manual dos pools de nós para uma das seguintes versões do GKE:

    • 1.22.16-gke.1300 e posterior
    • 1.23.14-gke.401 e posterior
    • 1.24.7-gke.900 e posterior
    • 1.25.4-gke.1600 e posterior

    O código das seguintes versões do GKE foi atualizado para corrigir essa vulnerabilidade. Por motivos de segurança, mesmo que você tenha ativado o upgrade automático de nós, recomendamos que faça upgrade manualmente dos pools de nós para uma das seguintes versões do GKE:

    • 1.21.14-gke.9500
    • 1.24.7-gke.900

    As atualizações do GKE v1.22, 1.23 e 1.25 serão disponibilizadas em breve. Este boletim de segurança será atualizado quando estiver disponível.

    Um recurso recente dos canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição. Isso permite proteger os nós até que a nova versão se torne o padrão para o canal específico da versão.

    Quais vulnerabilidades são corrigidas por esse patch?

    • Com a CVE-2022-2585, a limpeza inadequada dos timers no temporizador de CPU posix permite uma exploração de uso após a liberação, dependendo de como os temporizadores são criados e excluídos.
    • Na CVE-2022-2588, encontramos uma falha de uso após a liberação em route4_change no kernel do Linux. Essa falha permite que um usuário local cause uma falha no sistema e possivelmente leve a um escalonamento de privilégios local.
    Alta

    GKE no VMware

    Atualizado: 16/12/2022

    Descrição Gravidade

    Duas novas vulnerabilidades (CVE-2022-2585 e CVE-2022-2588) foram descobertas no kernel do Linux que podem levar a uma divisão completa do contêiner para raiz do nó.

    As versões 1.13, 1.12 e 1.11 do GKE no VMware foram afetadas.

    O que devo fazer?

    Atualização de 16/12/2022:as seguintes versões do O código do GKE no VMware foi atualizado para corrigir essa vulnerabilidade. Recomendamos faça upgrade dos clusters de administrador e usuário para um dos seguintes Versões do GKE no VMware:

    • 1.13.2
    • 1.12.4
    • 1.11.6

    • Observação: versões do GKE no VMware que contêm patches do Container-Optimized OS serão lançadas em breve. Este boletim de segurança será atualizado quando as versões do GKE no VMware estiverem disponíveis para download.

    Quais vulnerabilidades são corrigidas por esse patch?

    • Com a CVE-2022-2585, a limpeza inadequada dos timers no temporizador de CPU posix permite uma exploração de uso após a liberação, dependendo de como os temporizadores são criados e excluídos.
    • Na CVE-2022-2588, encontramos uma falha de uso após a liberação em route4_change no kernel do Linux. Essa falha permite que um usuário local cause uma falha no sistema e possivelmente leve a um escalonamento de privilégios local.
    Alta

    GKE na AWS

    Descrição Severity

    Duas novas vulnerabilidades (CVE-2022-2585 e CVE-2022-2588) foram descobertas no kernel do Linux que podem levar a uma divisão completa do contêiner para raiz do nó.

    As seguintes versões do Kubernetes na AWS podem ser afetadas:

    • 1.23: versões anteriores à 1.23.9-gke.800. As versões secundárias mais recentes não são afetadas.
    • 1.22: versões anteriores à 1.22.12-gke.1100. As versões secundárias mais recentes não são afetadas.

    O Kubernetes V1.24 não foi afetado.

    O que fazer?

    Recomendamos que você faça upgrade dos clusters para uma das seguintes versões do Kubernetes da AWS:

    • 1.23: uma versão posterior à v1.23.9-gke.800
    • 1.22: uma versão posterior a 1.22.12-gke-1100

    Quais vulnerabilidades estão sendo resolvidas?

    Com a CVE-2022-2585, a limpeza inadequada dos timers no temporizador de CPU posix permite uma exploração de uso após a liberação, dependendo de como os temporizadores são criados e excluídos.

    Na CVE-2022-2588, encontramos uma falha de uso após a liberação em route4_change no kernel do Linux. Essa falha permite que um usuário local cause uma falha no sistema e possivelmente leve a um escalonamento de privilégios local.

    Alta

    GKE no Azure

    Descrição Gravidade

    Duas novas vulnerabilidades (CVE-2022-2585 e CVE-2022-2588) foram descobertas no kernel do Linux que podem levar a uma divisão completa do contêiner para raiz do nó.

    As seguintes versões do Kubernetes no Azure podem ser afetadas:

    • 1.23: versões anteriores à 1.23.9-gke.800. As versões secundárias mais recentes não são afetadas.
    • 1.22: versões anteriores à 1.22.12-gke.1100. As versões secundárias mais recentes não são afetadas.

    O Kubernetes V1.24 não foi afetado.

    O que fazer?

    Recomendamos que você faça upgrade dos clusters para uma das seguintes versões do Azure Kubernetes:

    • 1.23: uma versão posterior à v1.23.9-gke.800
    • 1.22: uma versão posterior a 1.22.12-gke-1100

    Quais vulnerabilidades estão sendo resolvidas?

    Com a CVE-2022-2585, a limpeza inadequada dos timers no temporizador de CPU posix permite uma exploração de uso após a liberação, dependendo de como os temporizadores são criados e excluídos.

    Na CVE-2022-2588, encontramos uma falha de uso após a liberação em route4_change no kernel do Linux. Essa falha permite que um usuário local cause uma falha no sistema e possivelmente leve a um escalonamento de privilégios local.

    Alta

    GKE em bare metal

    Descrição Gravidade

    Duas novas vulnerabilidades (CVE-2022-2585 e CVE-2022-2588) foram descobertas no kernel do Linux que podem levar a uma divisão completa do contêiner para raiz do nó.

    O GKE em Bare Metal não é afetado por essa CVE porque não agrupa um sistema operacional na distribuição.

    O que devo fazer?

    Você não precisa fazer nada.

    Nenhum

    GCP-2022-023

    Data de publicação: 04-11-2022
    Referência: CVE-2022-39278

    GKE

    Descrição Severity

    Foi descoberta uma vulnerabilidade de segurança, CVE-2022-39278, no Istio, que é usada em Cloud Service Mesh, que permite que um invasor malicioso cause uma falha no plano de controle.

    O que devo fazer?

    O Google Kubernetes Engine (GKE) não é enviado com o Istio e não é afetado por essa vulnerabilidade. No entanto, se você tiver instalado separadamente o Cloud Service Mesh ou o Istio nos seus cluster do GKE, consulte GCP-2022-020 o boletim de segurança do Cloud Service Mesh neste CVE para mais informações.

    Nenhum

    GKE no VMware

    Descrição Severity

    Foi descoberta uma vulnerabilidade de segurança, CVE-2022-39278, no Istio, que é usada no Cloud Service Mesh no GKE no VMware, que permite que um invasor cause uma falha plano de controle do Istio.

    O que devo fazer?

    O código das seguintes versões do GKE no VMware foi atualizado para corrigir esse problema a vulnerabilidade. Recomendamos que você faça upgrade dos clusters de administrador e usuário para um dos as seguintes versões do GKE no VMware:

    • 1.11.4
    • 1.12.3
    • 1.13.1

    Quais vulnerabilidades são corrigidas por esse patch?

    Com a vulnerabilidade CVE-2022-39278, o plano de controle do Istio istiod está vulnerável a um erro de processamento de solicitação. Ele permite que um invasor envie uma mensagem especialmente criada, o que resulta em falha no plano de controle quando o webhook de validação de um cluster é exposto publicamente. Esse endpoint é exibido pela porta TLS 15017, mas não requer autenticação do invasor.

    Alta

    GKE na AWS

    Descrição Severity

    Foi descoberta uma vulnerabilidade de segurança, CVE-2022-39278, no Istio, que é usada no Cloud Service Mesh, o que permite que um invasor cause falhas no plano de controle.

    O que devo fazer?

    O GKE na AWS não é afetado por essa vulnerabilidade, e nenhuma ação é necessária.

    Nenhum

    GKE no Azure

    Descrição Severity

    Foi descoberta uma vulnerabilidade de segurança, CVE-2022-39278, no Istio, que é usada no Cloud Service Mesh, o que permite que um invasor cause falhas no plano de controle.

    O que devo fazer?

    O GKE no Azure não é afetado por essa vulnerabilidade, e nenhuma ação é obrigatórios.

    Nenhum

    GKE em bare metal

    Descrição Severity

    Foi descoberta uma vulnerabilidade de segurança, CVE-2022-39278, no Istio, que é usada no Cloud Service Mesh no GKE em Bare Metal, que permite que um invasor para causar falhas no plano de controle do Istio.

    O que devo fazer?

    As seguintes versões do GKE em Bare Metal foram atualizadas com código para corrigir essa vulnerabilidade. Recomendamos que você faça o upgrade dos clusters para um dos seguintes versões do GKE em Bare Metal:

    • 1.11.7
    • 1.12.4
    • 1.13.1

    Quais vulnerabilidades são corrigidas por esse patch?

    Com a vulnerabilidade CVE-2022-39278, o plano de controle do Istio istiod está vulnerável a um erro de processamento de solicitação. Ele permite que um invasor envie uma mensagem especialmente criada, o que resulta em falha no plano de controle quando o webhook de validação de um cluster é exposto publicamente. Esse endpoint é exibido pela porta TLS 15017, mas não requer autenticação do invasor.

    Alta

    GCP-2022-022-updated

    Data de publicação: 18/12/2022
    Referência: CVE-2022-20409

    GKE

    Atualizado: 14/12/2022

    Descrição Gravidade

    Uma nova vulnerabilidade CVE-2022-20409, foi descoberta no kernel do Linux que pode levar ao escalonamento de privilégios locais. Os clusters do Google Kubernetes Engine (GKE) v1.22, v1.23 e v1.24, incluindo clusters do Autopilot, que usam o Container-Optimized OS versões 93 e 97 são afetados. Outras versões compatíveis do GKE não são afetadas. Os clusters do GKE que usam o GKE Sandbox não são afetados.

    O que fazer?

    Atualização de 14/12/2022: uma versão anterior do boletim foi revisada devido a uma regressão de lançamento. Faça upgrade manual dos pools de nós para uma das seguintes versões do GKE:

    • 1.22.15-gke.2500 e posterior
    • 1.23.13-gke.900 e posterior
    • 1.24.7-gke.900 e posterior

    O código das versões a seguir do GKE que usam o Container-Optimized OS 93 e 97 foi atualizado para corrigir essa vulnerabilidade em uma versão futura. Por motivos de segurança, mesmo que você tenha ativado o upgrade automático de nós, recomendamos que faça upgrade manualmente dos pools de nós para uma das seguintes versões do GKE:

    • 1.22.15-gke.2300 e posterior
    • 1.23.13-gke.700 e posterior
    • 1.24.7-gke.700 e posterior

    Um recurso recente dos canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição em um canal. Esse recurso permite que você proteja os nós até que a nova versão se torne o padrão para o canal específico da versão.

    Quais vulnerabilidades são corrigidas por esse patch?

    Com a CVE-2022-20409, o kernel do Linux tem uma vulnerabilidade em io_identity_cow do subsistema io_urs. Existe um potencial de corrupção de memória devido a uma vulnerabilidade de Use-After-Free (UAF, na sigla em inglês). Um invasor local pode usar essa corrupção de memória para negação de serviço (falha do sistema) ou possivelmente executar código arbitrário.

    Alta

    GKE no VMware

    Atualizado: 14/12/2022

    Descrição Gravidade

    Uma nova vulnerabilidade (CVE-2022-20409) foi descoberta no kernel do Linux que pode levar ao escalonamento de privilégios locais.

    O que devo fazer?

    Atualização de 14/12/2022:as seguintes versões do O código do GKE no VMware para Ubuntu foi atualizado para corrigir essa vulnerabilidade. Recomendamos que você faça o upgrade dos nós para um dos seguintes produtos do GKE no VMware versões:

    • 1.13.1 ou superior
    • 1.12.3 ou superior
    • 1.11.4 e posterior

    Quais vulnerabilidades são corrigidas por esse patch?

    Com a CVE-2022-20409, o kernel do Linux tem uma vulnerabilidade em io_identity_cow do subsistema io_urs. Existe um potencial de corrupção de memória devido a uma vulnerabilidade de Use-After-Free (UAF, na sigla em inglês). Um invasor local pode usar essa corrupção de memória para negação de serviço (falha do sistema) ou possivelmente executar código arbitrário.

    Alta

    GKE na AWS

    Descrição Severity

    Foi descoberta uma nova vulnerabilidade, a CVE-2022-20409, no kernel do Linux que poderia permitir que um usuário sem privilégios encaminhe para o privilégio de execução do sistema.

    O que fazer?

    Nenhuma ação é necessária. O GKE na AWS não usa as versões afetadas do Kernel do Linux

    Quais vulnerabilidades são corrigidas por esse patch?

    Com a CVE-2022-20409, o kernel do Linux tem uma vulnerabilidade em io_identity_cow do subsistema io_urs. Existe um potencial de corrupção de memória devido a uma vulnerabilidade de Use-After-Free (UAF, na sigla em inglês). Um invasor local pode usar essa corrupção de memória para negação de serviço (falha do sistema) ou possivelmente executar código arbitrário.

    Nenhum

    GKE no Azure

    Descrição Gravidade

    Foi descoberta uma nova vulnerabilidade, a CVE-2022-20409, no kernel do Linux que poderia permitir que um usuário sem privilégios encaminhe para o privilégio de execução do sistema.

    O que fazer?

    Nenhuma ação é necessária. O GKE no Azure não usa as versões afetadas do kernel do Linux.

    Quais vulnerabilidades são corrigidas por esse patch?

    Com a CVE-2022-20409, o kernel do Linux tem uma vulnerabilidade em io_identity_cow do subsistema io_urs. Existe um potencial de corrupção de memória devido a uma vulnerabilidade de Use-After-Free (UAF, na sigla em inglês). Um invasor local pode usar essa corrupção de memória para negação de serviço (falha do sistema) ou possivelmente executar código arbitrário.

    Nenhum

    GKE em bare metal

    Descrição Gravidade

    Uma nova vulnerabilidade (CVE-2022-20409) foi descoberta no kernel do Linux que pode levar ao escalonamento de privilégios locais.

    O que fazer?

    • Nenhuma ação é necessária. O GKE em Bare Metal não é afetado por isso CVE, já que não agrupa um sistema operacional na distribuição.
    Nenhum

    GCP-2022-021

    Publicado : 27/10/2022
    Atualizado : 19/01/2023, 21/12/2023
    Referência: CVE-2022-3176

    Atualização de 21/12/2023 : esclarecemos que os clusters do Autopilot do GKE na configuração padrão não são afetadas.

    Atualização de 19/01/2023 : a versão 1.21.14-gke.14100 do GKE está disponível.
    Atualização de 15/12/2022: informações atualizadas de que a versão 1.21.14-gke.9400 do Google Kubernetes Engine está com lançamento pendente e pode ser substituída por um número de versão mais recente.
    Atualização de 21/11/2022 : adicionamos versões de patch para GKE no VMware, GKE na AWS e GKE no Azure.

    GKE;

    Atualizado : 19/01/2023, 21/12/2023

    Descrição Gravidade

    Uma nova vulnerabilidade (CVE-2022-3176) foi descoberta no kernel do Linux que pode levar ao escalonamento de privilégios locais. Com essa vulnerabilidade, um usuário sem privilégios pode realizar uma invasão de contêiner completa com acesso root no nó.

    Atualização de 21/12/2023: o boletim original informava que o Autopilot era Autopilot. clusters foram afetados, mas isso estava incorreto. Autopilot do GKE clusters na configuração padrão não são afetados, mas podem ficar vulneráveis caso sejam defina explicitamente o perfil seccomp Unconfined ou permitir CAP_NET_ADMIN.

    Os clusters do Google Kubernetes Engine (GKE) v1.21, incluindo clusters do Autopilot, que usam o Container-Optimized OS versão 89 são afetados. As versões posteriores do GKE não são afetadas. Todos os clusters do Linux com Ubuntu são afetados. Os clusters do GKE que usam o GKE Sandbox não são afetados.

    O que fazer?

    Atualização de 19/01/2023: a versão 1.21.14-gke.14100 está disponível. Faça upgrade dos pools de nós para esta versão ou mais recente.

    Atualização de 15/12/2022:a versão 1.21.14-gke.9400 está com lançamento pendente e pode ser substituída por um número de versão mais recente. Este documento vai ser atualizado quando a nova versão for disponibilizada.


    O código das seguintes versões do GKE foi atualizado para corrigir essa vulnerabilidade em uma versão futura. Por motivos de segurança, mesmo que você tenha ativado o upgrade automático de nós, recomendamos que faça upgrade manualmente dos pools de nós para uma das seguintes versões do GKE:

    • Container-optimized OS:
      • 1.21.14-gke.7100 e posterior
    • Ubuntu:
      • 1.21.14-gke.9400 e posterior
      • 1.22.15-gke.2400 e posterior
      • 1.23.13-gke.800 e posterior
      • 1.24.7-gke.800 e posterior
      • 1.25.3-gke.700 e posterior

    Um recurso recente dos canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição em um canal. Esse recurso permite que você proteja os nós até que a nova versão se torne o padrão para o canal específico da versão.

    Quais vulnerabilidades são corrigidas por esse patch?

    Com a CVE-2022-3176, o kernel do Linux tem uma vulnerabilidade no subsistema io_uring. O não processamento de POLLFREE pode levar a explorações Use-After-Free (UAF) que podem ser usadas para escalonamento de privilégios.

    Alta

    GKE no VMware

    Atualização em: 21/11/2022

    Descrição Gravidade

    Uma nova vulnerabilidade (CVE-2022-3176) foi descoberta no kernel do Linux que pode levar ao escalonamento de privilégios locais. Com essa vulnerabilidade, um usuário sem privilégios pode realizar uma invasão de contêiner completa com acesso root no nó.

    O que devo fazer?

    • As versões do GKE no VMware com o Container-Optimized OS não serão afetadas.

    Atualização de 21/11/2022:as seguintes versões do O código do GKE no VMware para Ubuntu foi atualizado para corrigir essa vulnerabilidade. Recomendamos que você faça o upgrade dos nós para uma das seguintes versões do GKE no VMware:

    • 1.12.3 ou superior
    • 1.13.1 ou superior
    • 1.11.5 ou superior

    Serão lançadas versões do GKE no VMware que contêm patches do Ubuntu logo. Este boletim de segurança será atualizado quando as versões do GKE no VMware forem disponível para download.

    Quais vulnerabilidades são corrigidas por esse patch?

    Com a CVE-2022-3176, o kernel do Linux tem uma vulnerabilidade no subsistema io_uring. O não processamento de POLLFREE pode levar a explorações Use-After-Free (UAF) que podem ser usadas para escalonamento de privilégios.

    Alta

    GKE na AWS

    Atualização em: 21/11/2022

    Descrição Severity

    Uma nova vulnerabilidade (CVE-2022-3176) foi descoberta no kernel do Linux que pode levar ao escalonamento de privilégios locais. Com essa vulnerabilidade, um usuário sem privilégios pode realizar uma invasão de contêiner completa com acesso root no nó.

    O que devo fazer?

    Atualização de 21/11/2022: As seguintes versões atuais e anteriores do GKE na AWS foram atualizado com código para corrigir essa vulnerabilidade. Recomendamos que você faça o upgrade dos nós a uma das seguintes versões do GKE na AWS:

    Geração atual
    • 1.21.14-gke.7100
    • 1.22.15-gke.100
    • 1.23.11-gke.300
    • 1.24.5-gke.200
    Geração anterior
    • 1.22.15-gke.1400
    • 1.23.12-gke.1400
    • 1.24.6-gke.1300

    Versões do GKE na AWS que contêm patches do Ubuntu serão lançadas logo. Este boletim de segurança será atualizado quando as versões do GKE na AWS forem atualizadas disponível para download.

    Quais vulnerabilidades são corrigidas por esse patch?

    Com a CVE-2022-3176, o kernel do Linux tem uma vulnerabilidade no subsistema io_uring. O não processamento de POLLFREE pode levar a explorações Use-After-Free (UAF) que podem ser usadas para escalonamento de privilégios.

    Alta

    GKE no Azure

    Atualização em: 21/11/2022

    Descrição Gravidade

    Uma nova vulnerabilidade (CVE-2022-3176) foi descoberta no kernel do Linux que pode levar ao escalonamento de privilégios locais. Com essa vulnerabilidade, um usuário sem privilégios pode realizar uma invasão de contêiner completa com acesso root no nó.

    O que devo fazer?

    Atualização de 21/11/2022: As seguintes versões do GKE no Azure foram atualizadas com código para correção essa vulnerabilidade. Recomendamos que você faça o upgrade dos nós para um dos seguintes Versões do GKE no Azure:

    • 1.21.14-gke.7100
    • 1.22.15-gke.100
    • 1.23.11-gke.300
    • 1.24.5-gke.200

    As versões do GKE no Azure que contêm patches do Ubuntu serão será lançado em breve. Este boletim de segurança será atualizado quando o GKE no Azure mais recentes ficam disponíveis para download.

    Quais vulnerabilidades são corrigidas por esse patch?

    Com a CVE-2022-3176, o kernel do Linux tem uma vulnerabilidade no subsistema io_uring. O não processamento de POLLFREE pode levar a explorações Use-After-Free (UAF) que podem ser usadas para escalonamento de privilégios.

    Alta

    GKE em bare metal

    Descrição Gravidade

    Uma nova vulnerabilidade (CVE-2022-3176) foi descoberta no kernel do Linux que pode levar ao escalonamento de privilégios locais. Com essa vulnerabilidade, um usuário sem privilégios pode realizar uma invasão de contêiner completa com acesso root no nó.

    O que fazer?

    Nenhuma ação é necessária. O GKE em Bare Metal não é afetado por essa CVE porque não agrupa um sistema operacional na sua distribuição.

    Nenhum

    GCP-2022-018

    Publicado : 01/08/2022
    Atualizado : 14/09/2022, 21/12/2023
    Referência: CVE-2022-2327

    Atualização de 21/12/2023 : esclarecemos que os clusters do Autopilot do GKE na configuração padrão não são afetadas.

    Atualização de 14/09/2022 : adicionamos versões de patch para GKE no VMware, GKE na AWS e GKE no Azure.

    GKE;

    Atualizado : 21/12/2023

    Descrição Gravidade

    Uma nova vulnerabilidade (CVE-2022-2327) foi descoberta no kernel do Linux que pode levar ao escalonamento de privilégios locais. Com essa vulnerabilidade, um usuário sem privilégios pode realizar uma invasão de contêiner completa com acesso root no nó.

    Detalhes técnicos

    Atualização de 21/12/2023: o boletim original informava que o Autopilot era Autopilot. clusters foram afetados, mas isso estava incorreto. Autopilot do GKE clusters na configuração padrão não são afetados, mas podem ficar vulneráveis caso sejam defina explicitamente o perfil seccomp Unconfined ou permitir CAP_NET_ADMIN.

    Os clusters do GKE, incluindo os clusters do Autopilot, com o Container-Optimized OS (COS) que usam a versão do kernel do Linux 5.10 são afetados. Os clusters do GKE que usam imagens do Ubuntu ou o GKE Sandbox não são afetados.

    O que fazer?

    Faça upgrade dos clusters do GKE para uma versão que inclui a correção. As imagens de nó do Linux para COS foram atualizadas com as versões do GKE que usam as versões do COS.

    Por motivos de segurança, mesmo que o upgrade automático de nós esteja ativado, recomendamos que você faça upgrade manualmente dos seus pools de nós para uma das seguintes versões do GKE:

    Versões do COS

    • 1.22.12-gke.300
    • 1.23.8-gke.1900
    • 1.24.2-gke.1900


    Um recurso recente dos canais de lançamentos permite que você aplique um patch sem precisar cancelar a inscrição de um canal. Isso permite fazer upgrade dos nós para a versão com patch antes que ela se torne o padrão no canal de lançamento selecionado.

    Quais vulnerabilidades são corrigidas por esse patch?

    Com a CVE-2022-2327, o kernel do Linux na versão 5.10 tem uma vulnerabilidade no subsistema io_uring em que várias solicitações estão sem tipos de item (flags). Usar essas solicitações sem os tipos de item adequados especificados pode causar o escalonamento de privilégios com acesso root.
    Alta

    GKE no VMware

    Atualizado em: 14/09/2022

    Descrição Gravidade

    Uma nova vulnerabilidade (CVE-2022-2327) foi descoberta no kernel do Linux que pode levar ao escalonamento de privilégios locais. Com essa vulnerabilidade, um usuário sem privilégios pode realizar uma invasão de contêiner completa com acesso root no nó.

    Clusters com uma imagem do Container Optimized OS (COS) usando o GKE no VMware 1.10, 1.11 e 1.12 foram afetados.

    O que devo fazer?

    Atualização de 14/09/2022:as seguintes versões do O GKE no VMware contém um código que corrige essa vulnerabilidade.

    • 1.10.6 ou mais recente
    • 1.11.3 ou mais recente
    • 1.12.1 ou mais recente

    Versões do GKE no VMware que contêm patches serão lançadas logo. Este boletim de segurança será atualizado quando o GKE no VMware mais recentes ficam disponíveis para download.

    Quais vulnerabilidades são corrigidas por esse patch?

    Com a CVE-2022-2327, o kernel do Linux na versão 5.10 tem uma vulnerabilidade no subsistema io_uring em que várias solicitações estão sem tipos de item (flags). Usar essas solicitações sem os tipos de item adequados especificados pode causar o escalonamento de privilégios com acesso root.

    Alta

    GKE na AWS

    Atualizado em: 14/09/2022

    Descrição Severity

    Uma nova vulnerabilidade (CVE-2022-2327) foi descoberta no kernel do Linux que pode levar ao escalonamento de privilégios locais. Com essa vulnerabilidade, um usuário sem privilégios pode realizar uma invasão de contêiner completa com acesso root no nó.

    O que devo fazer?

    Atualização de 14/09/2022:os seguintes itens atuais e da geração anterior do GKE na AWS foram atualizado com código para corrigir essa vulnerabilidade. Recomendamos que você faça upgrade dos nós para um dos seguintes GKE na AWS versões:

    Current generation

    • 1.23.8-gke.1700
    • 1.22.12-gke.200
    • 1.21.14-gke.2100

    Geração anterior

    • 1.23.8-gke.2000
    • 1.22.12-gke.300
    • 1.21.14-gke.2100

    As versões do GKE na AWS que contêm patches serão lançadas em breve. Este boletim de segurança será atualizado quando o GKE na AWS mais recentes ficam disponíveis para download.

    Quais vulnerabilidades são corrigidas por esse patch?

    Com a CVE-2022-2327, o kernel do Linux na versão 5.10 tem uma vulnerabilidade no subsistema io_uring em que várias solicitações estão sem tipos de item (flags). Usar essas solicitações sem os tipos de item adequados especificados pode causar o escalonamento de privilégios com acesso root.

    Alta

    GKE no Azure

    Atualizado em: 14/09/2022

    Descrição Gravidade

    Uma nova vulnerabilidade (CVE-2022-2327) foi descoberta no kernel do Linux que pode levar ao escalonamento de privilégios locais. Com essa vulnerabilidade, um usuário sem privilégios pode realizar uma invasão de contêiner completa com acesso root no nó.

    O que devo fazer?

    Atualização de 14/09/2022:as seguintes versões do O código do GKE no Azure foi atualizado para corrigir esse problema a vulnerabilidade. Recomendamos que você atualize seus nós para um dos as seguintes versões do GKE no Azure:

    • 1.23.8-gke.1700
    • 1.22.12-gke.200
    • 1.21.14-gke.2100

    As versões do GKE no Azure que contêm patches serão lançadas em breve. Este boletim de segurança será atualizado quando o GKE no Azure mais recentes ficam disponíveis para download.

    Quais vulnerabilidades são corrigidas por esse patch?

    Com a CVE-2022-2327, o kernel do Linux na versão 5.10 tem uma vulnerabilidade no subsistema io_uring em que várias solicitações estão sem tipos de item (flags). Usar essas solicitações sem os tipos de item adequados especificados pode causar o escalonamento de privilégios com acesso root.

    Alta

    Google Cloud Distributed Cloud Virtual para Bare Metal

    Descrição Gravidade

    Uma nova vulnerabilidade (CVE-2022-2327) foi descoberta no kernel do Linux que pode levar ao escalonamento de privilégios locais. Com essa vulnerabilidade, um usuário sem privilégios pode realizar uma invasão de contêiner completa com acesso root no nó.

    O que fazer?

    Nenhuma ação é necessária. O Google Distributed Cloud Virtual para Bare Metal não é afetado pelo essa CVE porque ela não agrupa um sistema operacional e distribuição de dados.

    Nenhum

    GCP-2022-017

    Publicação: 29/06/2022
    Atualizado em: 22/11/2022
    Referência: CVE-2022-1786
    Atualização de 22/11/2022: informações atualizadas sobre cargas de trabalho usando o GKE Sandbox.
    Atualização de 21/07/2022 : informações atualizadas sobre as imagens do GKE no VMware COS são afetadas.

    GKE;

    Atualização em: 22/11/2022

    Descrição Gravidade

    Atualização de 22/11/2022: as cargas de trabalho que usam o GKE Sandbox não são afetadas por essas vulnerabilidades.


    Uma nova vulnerabilidade (CVE-2022-1786) foi descoberta na versão 5.10 e 5.11 do kernel do Linux. Essa vulnerabilidade permite que um usuário sem privilégios com acesso local ao cluster consiga um detalhamento completo do contêiner com acesso root no nó. Apenas os clusters que executam o Container-Optimized OS são afetados. As versões do GKE Ubuntu usam a versão 5.4 ou 5.15 do kernel e não são afetadas.

    O que fazer?

    O código das versões do nó Linux para o Container-Optimized OS das seguintes versões do GKE foi atualizado com o objetivo de corrigir essa vulnerabilidade. Por motivos de segurança, mesmo que o upgrade automático de nós esteja ativado, é recomendável fazer upgrade manual dos seus pools de nós para uma das seguintes versões do GKE a seguir:

    • 1.22.10-gke.600
    • 1.23.7-gke.1400
    • 1.24.1-gke.1400

    Um recurso recente de canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição em um canal. Isso permite fazer upgrade dos nós para a versão com patch antes que ela se torne o padrão no canal de lançamento selecionado.

    Quais vulnerabilidades são corrigidas por esse patch?

    Na CVE-2022-1786, foi encontrada uma falha após o uso sem custo financeiro no subsistema io_bing do kernel do Linux. Se um usuário configurar um anel com IORING_SETUP_IOPOLL com mais de uma tarefa que conclui envios no anel, um usuário local poderá falhar ou escalonar os privilégios no sistema.

    Alta

    GKE no VMware

    Atualizado em: 14/07/2022

    Descrição Gravidade

    Uma nova vulnerabilidade (CVE-2022-1786) foi descoberta na versão 5.10 e 5.11 do kernel do Linux. Essa vulnerabilidade permite que um usuário sem privilégios com acesso local ao cluster consiga um detalhamento completo do contêiner com acesso root no nó.

    O que devo fazer?

    Atualização de 21/07/2022:as seguintes versões do GKE no VMware contêm um código que corrige essa vulnerabilidade.

    COS
    • 1.10.5 ou mais recente
    • 1.11.2 ou mais recente
    • 1.12.0 ou mais recente

    Ubuntu

    Nenhuma ação é necessária. O GKE no VMware não usa as versões afetadas do kernel do Linux.

    Nenhum

    GKE na AWS

    Descrição Gravidade

    Uma nova vulnerabilidade (CVE-2022-1786) foi descoberta na versão 5.10 e 5.11 do kernel do Linux. Essa vulnerabilidade permite que um usuário sem privilégios com acesso local ao cluster consiga um detalhamento completo do contêiner com acesso root no nó.

    O que fazer?

    Nenhuma ação é necessária. O GKE na AWS não usa as versões afetadas do kernel do Linux.

    Nenhum

    GKE no Azure

    Descrição Gravidade

    Uma nova vulnerabilidade (CVE-2022-1786) foi descoberta na versão 5.10 e 5.11 do kernel do Linux. Essa vulnerabilidade permite que um usuário sem privilégios com acesso local ao cluster consiga um detalhamento completo do contêiner com acesso root no nó.

    O que fazer?

    Nenhuma ação é necessária. O GKE no Azure não usa as versões afetadas do kernel do Linux.

    Nenhum

    Google Cloud Distributed Cloud Virtual para Bare Metal

    Descrição Gravidade

    Uma nova vulnerabilidade (CVE-2022-1786) foi descoberta na versão 5.10 e 5.11 do kernel do Linux. Essa vulnerabilidade permite que um usuário sem privilégios com acesso local ao cluster consiga um detalhamento completo do contêiner com acesso root no nó.

    O que fazer?

    Nenhuma ação é necessária. O Google Distributed Cloud Virtual para Bare Metal não foi afetado por esta CVE pois não agrupa um sistema operacional na sua distribuição.

    Nenhum

    GCP-2022-016

    Publicação: 23/06/2022
    Atualizado em: 22/11/2022
    Referência: CVE-2022-29581, CVE-2022-29582 e CVE-2022-1116
    Atualização de 22/11/2022: informações adicionadas sobre as cargas de trabalho em execução nos clusters do Autopilot.
    Atualização de 29/07/2022 : versões atualizadas do GKE no VMware, GKE na AWS e GKE no Azure.

    GKE;

    Atualização em: 22/11/2022

    Descrição Gravidade

    Atualização de 22/11/2022: os clusters do Autopilot não são afetados pela CVE-2022-29581, mas são vulneráveis à CVE-2022-29582 e CVE-2022-1116.


    Atualização de 29/07/2022: os pods que usam o GKE Sandbox não são suscetíveis a essas vulnerabilidades.


    Foram detectadas três novas vulnerabilidades de corrupção de memória (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) no kernel do Linux. Essas vulnerabilidades permitem que um usuário sem privilégios com acesso local ao cluster consiga um detalhamento completo do contêiner com acesso root no nó. Todos os clusters do Linux (Container-Optimized OS e Ubuntu) são afetados.

    O que fazer?

    As versões das imagens de nó do Linux para o Container-Optimized OS e o Ubuntu das seguintes versões do GKE foi atualizado com o código para corrigir essa vulnerabilidade. Por motivos de segurança, mesmo que você tenha ativado o upgrade automático de nós, recomendamos que faça upgrade manualmente dos pools de nós para uma das seguintes versões do GKE:

    • Container-Optimized OS:
      • 1.19.16-gke.13800
      • 1.20.15-gke.8000
      • 1.21.12-gke.1500
      • 1.22.9-gke.1300
      • 1.23.6-gke.1500
      • 1.24.1-gke.1400
    • Ubuntu:
      • 1.20.15-gke.9600
      • 1.21.13-gke.900
      • 1.22.10-gke.600
      • 1.23.7-gke.1400
      • 1.24.1-gke.1400

    Um recurso recente dos canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição. Isso permite fazer upgrade dos nós para a versão com patch antes que ela se torne o padrão no canal de lançamento selecionado.

    Quais vulnerabilidades são corrigidas por esse patch?

    Com o CVE-2022-29582, o kernel do Linux em versões anteriores à 5.17.3 tem um uso após o uso gratuito devido a uma disputa nos tempos limite de io_uring.

    A CVE-2022-29581 e a CVE-2022-1116 são vulnerabilidades em que um invasor local pode causar corrupção de memória no io_ving ou net/sched no kernel do Linux para escalonar privilégios para a raiz.

    Alta

    GKE no VMware

    Atualização: 29/07/2022

    Descrição Severity

    Atualização de 29/07/2022:as seguintes versões do O GKE no VMware contém um código que corrige essas vulnerabilidades.

    • 1.9.7 ou mais recente
    • 1.10.5 ou mais recente
    • 1.11.2 ou mais recente
    • 1.12.0 ou mais recente


    Foram detectadas três novas vulnerabilidades de corrupção de memória (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) no kernel do Linux. Essas vulnerabilidades permitem que um usuário sem privilégios com acesso local ao cluster consiga um detalhamento completo do contêiner com acesso root no nó. Essas vulnerabilidades afetam o GKE no VMware v1.9 e versões posteriores para imagens do Ubuntu e do Container-Optimized OS.

    O que devo fazer?

    As versões do GKE no VMware que contêm patches serão lançadas em breve. Este boletim de segurança será atualizado quando as versões do GKE no VMware estiverem disponíveis para download.

    Quais vulnerabilidades são corrigidas por esse patch?

    Com o CVE-2022-29582, o kernel do Linux em versões anteriores à 5.17.3 tem um uso após o uso gratuito devido a uma disputa nos tempos limite de io_uring.

    A CVE-2022-29581 e a CVE-2022-1116 são vulnerabilidades em que um invasor local pode causar corrupção de memória no io_ving ou net/sched no kernel do Linux para escalonar privilégios para a raiz.

    Alta

    GKE na AWS

    Atualização: 29/07/2022

    Descrição Severity

    Atualização de 29/07/2022: Atualização: as seguintes versões atuais e anteriores do GKE na AWS foram atualizados com código para corrigir essas vulnerabilidades. Qa recomendamos o upgrade dos nós para um dos seguintes Versões do GKE na AWS:

    Geração atual:

    • 1.23.7-gke.1300
    • 1.22.10-gke.1500
    • 1.21.11-gke.1900
    Geração anterior:
    • 1.23.7-gke.1500
    • 1.22.10-gke.1500
    • 1.21.13-gke.1600

    Foram detectadas três novas vulnerabilidades de corrupção de memória (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) no kernel do Linux. Essas vulnerabilidades permitem que um usuário sem privilégios com acesso local ao cluster consiga um detalhamento completo do contêiner com acesso root no nó. Essas vulnerabilidades afetam todas as versões do GKE na AWS.

    O que devo fazer?

    As versões do GKE na AWS que contêm patches serão lançadas em breve. Este boletim de segurança será atualizado quando as versões do GKE na AWS estiverem disponíveis para download.

    Quais vulnerabilidades são corrigidas por esse patch?

    Com o CVE-2022-29582, o kernel do Linux em versões anteriores à 5.17.3 tem um uso após o uso gratuito devido a uma disputa nos tempos limite de io_uring.

    A CVE-2022-29581 e a CVE-2022-1116 são vulnerabilidades em que um invasor local pode causar corrupção de memória no io_ving ou net/sched no kernel do Linux para escalonar privilégios para a raiz.

    Alta

    GKE no Azure

    Descrição Severity

    Atualização de 29/07/2022: Atualização: as seguintes versões do GKE no Azure foram atualizados com código para corrigir essas vulnerabilidades. Qa recomendamos o upgrade dos nós para um dos seguintes Versões do GKE no Azure:

    • 1.23.7-gke.1300
    • 1.22.10-gke.1500
    • 1.21.11-gke.1900


    Foram detectadas três novas vulnerabilidades de corrupção de memória (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) no kernel do Linux. Essas vulnerabilidades permitem que um usuário sem privilégios com acesso local ao cluster consiga um detalhamento completo do contêiner com acesso root no nó. Essas vulnerabilidades afetam todas as versões do GKE no Azure.

    O que devo fazer?

    As versões do GKE no Azure que contêm patches serão lançadas em breve. Este boletim de segurança será atualizado quando as versões do GKE no Azure estiverem disponíveis para download.

    Quais vulnerabilidades são corrigidas por esse patch?

    Com o CVE-2022-29582, o kernel do Linux em versões anteriores à 5.17.3 tem um uso após o uso gratuito devido a uma disputa nos tempos limite de io_uring.

    A CVE-2022-29581 e a CVE-2022-1116 são vulnerabilidades em que um invasor local pode causar corrupção de memória no io_ving ou net/sched no kernel do Linux para escalonar privilégios para a raiz.

    Alta

    Google Cloud Distributed Cloud Virtual para Bare Metal

    Descrição Gravidade

    Foram detectadas três novas vulnerabilidades de corrupção de memória (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) no kernel do Linux. Essas vulnerabilidades permitem que um usuário sem privilégios com acesso local ao cluster consiga um detalhamento completo do contêiner com acesso root no nó.

    O que fazer?

    Nenhuma ação é necessária. O Google Distributed Cloud Virtual para Bare Metal não é afetado por essa vulnerabilidade porque não agrupa um sistema operacional na distribuição.

    Nenhum

    GCP-2022-014

    Publicado: 26/04/2022
    Atualização: 22/11/2022
    Atualização de 22/11/2022: informações sobre cargas de trabalho em execução nos clusters do Autopilot adicionadas.
    Atualização de 12/05/2022: versões de patch atualizadas para o GKE na AWS e GKE no Azure.
    Referência: CVE-2022-1055, CVE-2022-27666

    GKE

    Atualização em: 22/11/2022

    Descrição Gravidade

    Atualização de 22/11/2022: os clusters e as cargas de trabalho do Autopilot do GKE em execução no GKE Sandbox não são afetados por essas vulnerabilidades.


    Duas vulnerabilidades de segurança, CVE-2022-1055 e CVE-2022-27666, foram descobertas no kernel do Linux. Cada um deles pode fazer com que um invasor local realize uma análise de contêineres, um escalonamento de privilégios no host ou ambos. Essas vulnerabilidades afetam todos os sistemas operacionais dos nós do GKE (Container-Optimized OS e Ubuntu).

    Detalhes técnicos

    Na CVE-2022-1055, um invasor pode explorar o uso pós-gratuito em tc_new_tfilter(), que permite que um invasor local no contêiner encaminhe privilégios para uma raiz no nó.

    Na CVE-2022-27666, o buffer overflow em esp/esp6_output_head permite que um invasor local no contêiner encaminhe os privilégios para a raiz do nó.

    O que fazer?

    As versões de imagens de nó do Linux para as seguintes versões do GKE foram atualizadas com código para corrigir essas vulnerabilidades. Faça upgrade dos clusters para uma das seguintes versões do GKE:

    • 1.19.16-gke.11000 e mais recente
    • 1.20.15-gke.5200 e mais recente
    • 1.21.11-gke.1100 e mais recente
    • 1.22.8-gke.200 e mais recente
    • 1.23.5-gke.1500 e mais recente

    Quais vulnerabilidades são corrigidas por esse patch?

    Alta

    GKE no VMware

    Descrição Gravidade

    Duas vulnerabilidades de segurança, CVE-2022-1055 e CVE-2022-27666, foram descobertas no kernel do Linux. Cada um deles pode fazer com que um invasor local realize uma análise de contêineres, um escalonamento de privilégios no host ou ambos. Essas vulnerabilidades afetam todos os sistemas operacionais dos nós do GKE (Container-Optimized OS e Ubuntu).

    Detalhes técnicos

    Na CVE-2022-1055, um invasor pode explorar o uso pós-gratuito em tc_new_tfilter(), que permite que um invasor local no contêiner encaminhe privilégios para uma raiz no nó.

    Na CVE-2022-27666, o buffer overflow em esp/esp6_output_head permite que um invasor local no contêiner encaminhe os privilégios para a raiz do nó.

    O que fazer?

    Faça upgrade do cluster para uma versão com patch. As seguintes versões do GKE no VMware ou mais recentes contêm a correção para essa vulnerabilidade:

    • 1.9.6 (em breve)
    • 1.10.3
    • 1.11.0 (em breve)

    Quais vulnerabilidades são corrigidas por esse patch?

    Alta

    GKE na AWS

    Atualizado em: 12/05/2022

    Descrição Severity

    Duas vulnerabilidades de segurança, CVE-2022-1055 e CVE-2022-27666, foram descobertas no kernel do Linux. Cada um deles pode fazer com que um invasor local realize uma análise de contêineres, um escalonamento de privilégios no host ou ambos. Essas vulnerabilidades afetam todos os sistemas operacionais dos nós do GKE (Container-Optimized OS e Ubuntu).

    Detalhes técnicos

    Na CVE-2022-1055, um invasor pode explorar o uso pós-gratuito em tc_new_tfilter(), que permite que um invasor local no contêiner encaminhe privilégios para uma raiz no nó.

    Na CVE-2022-27666, o buffer overflow em esp/esp6_output_head permite que um invasor local no contêiner encaminhe os privilégios para a raiz do nó.

    O que devo fazer?

    Atualização de 12/05/2022: As seguintes versões atuais e anteriores do GKE na AWS foram atualizados com código para corrigir essas vulnerabilidades. Recomendamos que você faça o upgrade dos nós a uma das seguintes versões do GKE na AWS:

    Geração atual
    • 1.21.11-gke.1100
    • 1.22.8-gke.1300
    Geração anterior
    • 1.20.15-gke.5200
    • 1.21.11-gke.1100
    • 1.22.8-gke.1300

    Faça upgrade do cluster para uma versão com patch. Os patches estarão disponíveis em uma versão futura. Este boletim será atualizado quando eles estiverem disponíveis.

    Quais vulnerabilidades são corrigidas por esse patch?

    Alta

    GKE no Azure

    Atualizado em: 12/05/2022

    Descrição Gravidade

    Duas vulnerabilidades de segurança, CVE-2022-1055 e CVE-2022-27666, foram descobertas no kernel do Linux. Cada um deles pode fazer com que um invasor local realize uma análise de contêineres, um escalonamento de privilégios no host ou ambos. Essas vulnerabilidades afetam todos os sistemas operacionais dos nós do GKE (Container-Optimized OS e Ubuntu).

    Detalhes técnicos

    Na CVE-2022-1055, um invasor pode explorar o uso pós-gratuito em tc_new_tfilter(), que permite que um invasor local no contêiner encaminhe privilégios para uma raiz no nó.

    Na CVE-2022-27666, o buffer overflow em esp/esp6_output_head permite que um invasor local no contêiner encaminhe os privilégios para a raiz do nó.

    O que devo fazer?

    Atualização de 12/05/2022: As seguintes versões do GKE no Azure foram atualizadas com código para correção essas vulnerabilidades. Recomendamos que você faça o upgrade dos nós para um dos seguintes Versões do GKE no Azure:

    • 1.21.11-gke.1100
    • 1.22.8-gke.1300

    Faça upgrade do cluster para uma versão com patch. Os patches estarão disponíveis em uma versão futura. Este boletim será atualizado quando eles estiverem disponíveis.

    Quais vulnerabilidades são corrigidas por esse patch?

    Alta

    Google Cloud Distributed Cloud Virtual para Bare Metal

    Descrição Gravidade

    Duas vulnerabilidades de segurança, CVE-2022-1055 e CVE-2022-27666, foram descobertas no kernel do Linux. Cada um deles pode fazer com que um invasor local realize uma análise de contêineres, um escalonamento de privilégios no host ou ambos. Essas vulnerabilidades afetam todos os sistemas operacionais dos nós do GKE (Container-Optimized OS e Ubuntu).

    Detalhes técnicos

    Na CVE-2022-1055, um invasor pode explorar o uso pós-gratuito em tc_new_tfilter(), que permite que um invasor local no contêiner encaminhe privilégios para uma raiz no nó.

    Na CVE-2022-27666, o buffer overflow em esp/esp6_output_head permite que um invasor local no contêiner encaminhe os privilégios para a raiz do nó.

    O que fazer?

    Nenhuma ação é necessária. O Google Distributed Cloud Virtual para Bare Metal não é afetado por essa CVE porque não inclui o Linux como parte do próprio pacote. Verifique se as imagens de nó usadas estão atualizadas para as versões que contêm a correção para CVE-2022-1055 e CVE-2022-27666.

    Quais vulnerabilidades são corrigidas por esse patch?

    Alto

    GCP-2022-013

    Publicado : 11/04/2022
    Atualizado : 20/04/2022
    Referência: CVE-2022-23648
    Atualização de 22/04/2022 : versões de patch atualizadas para o Google Distributed Cloud Virtual para Bare Metal e GKE no VMware.

    GKE;

    Descrição Gravidade

    Uma vulnerabilidade de segurança, CVE-2022-23648, foi descoberta no processamento de Path Traversal de contêineres na especificação do volume de imagem OCI. Os contêineres lançados pela implementação da CRI em contêiner com uma configuração de imagem especialmente criada podem obter acesso completo de leitura para arquivos e diretórios arbitrários no host.

    Essa vulnerabilidade pode ignorar qualquer aplicação baseada em políticas na configuração do contêiner (incluindo uma política de segurança de pods do Kubernetes). Essa vulnerabilidade afeta todos os sistemas operacionais dos nós do GKE (Container-Optimized OS e Ubuntu) que usam o container por padrão. Todos os nós do GKE, Autopilot e GKE Sandbox foram afetados.

    O que fazer?

    As versões de imagens de nó do Linux para as seguintes versões do GKE foram atualizadas com código para corrigir essa vulnerabilidade. Por motivos de segurança, mesmo que você tenha ativado o upgrade automático de nós, recomendamos que faça upgrade manual dos seus nós para uma das seguintes versões do GKE:

    • 1.19.16-gke.9400
    • 1.20.15-gke.3600
    • 1.21.10-gke.1500
    • 1.22.7-gke.1500
    • 1.23.4-gke.1500

    Um recurso recente dos canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição. Isso permite proteger os nós até que a nova versão se torne o padrão para o canal de lançamento específico.

    Médio

    GKE no VMware

    Atualização: 22-04-2022

    Descrição Gravidade

    Uma vulnerabilidade de segurança, CVE-2022-23648, foi descoberta no processamento de Path Traversal de contêineres na especificação do volume de imagem OCI. Os contêineres lançados pela implementação da CRI em contêiner com uma configuração de imagem especialmente criada podem obter acesso completo de leitura para arquivos e diretórios arbitrários no host.

    Essa vulnerabilidade pode ignorar qualquer aplicação baseada em políticas na configuração do contêiner (incluindo uma política de segurança de pods do Kubernetes). Essa vulnerabilidade afeta todo o GKE no VMware com o Stackdriver ativado, que usa o containerd. As versões 1.8, 1.9 e 1.10 do GKE no VMware foram afetadas

    O que devo fazer?

    Atualização de 22/04/2022 : as versões a seguir do GKE no VMware contêm um código que corrige essa vulnerabilidade.

    • 1.9.5 ou mais recente
    • 1.10.3 ou mais recente
    • 1.11.0 ou mais recente

    O código das versões a seguir do GKE no VMware foi atualizado para corrigir essa vulnerabilidade. Recomendamos que você faça o upgrade dos nós para uma das seguintes versões do GKE no VMware:

    • 1.8.8 ou mais recente
    • 1.9.5 ou mais recente
    • 1.10.2 ou mais recente

    Essa CVE pode ser reduzida com a configuração de IgnoreImageDefinedVolumes como "true".

    Médio

    GKE na AWS

    Descrição Severity

    Uma vulnerabilidade de segurança, CVE-2022-23648, foi descoberta no processamento de Path Traversal de contêineres na especificação do volume de imagem OCI. Os contêineres lançados pela implementação da CRI em contêiner com uma configuração de imagem especialmente criada podem obter acesso completo de leitura para arquivos e diretórios arbitrários no host.

    Essa vulnerabilidade pode ignorar qualquer aplicação baseada em políticas na configuração do contêiner (incluindo uma política de segurança de pods do Kubernetes). Todas as versões do GKE na AWS foram afetadas.

    O que devo fazer?

    O código das versões a seguir do GKE na AWS foi atualizado para corrigir essa vulnerabilidade. Recomendamos que você faça o upgrade dos nós para uma das seguintes versões do GKE na AWS.

    GKE na AWS (geração atual)
    • Versão 1.22: 1.22.8-gke.200
    • Versão 1.21: 1.21.11-gke.100
    GKE na AWS (geração anterior)
    • Versão 1.22: 1.22.8-gke.300
    • Versão 1.21: 1.21.11-gke.100
    • Versão 1.20: 1.20.15-gke.2200

    Essa CVE pode ser reduzida com a configuração de IgnoreImageDefinedVolumes como "true".

    Médio

    GKE no Azure

    Descrição Gravidade

    Uma vulnerabilidade de segurança, CVE-2022-23648, foi descoberta no processamento de Path Traversal de contêineres na especificação do volume de imagem OCI. Os contêineres lançados pela implementação da CRI em contêiner com uma configuração de imagem especialmente criada podem obter acesso completo de leitura para arquivos e diretórios arbitrários no host.

    Essa vulnerabilidade pode ignorar qualquer aplicação baseada em políticas na configuração do contêiner (incluindo uma política de segurança de pods do Kubernetes). Todas as versões do GKE no Azure são afetadas.

    O que devo fazer?

    O código das versões a seguir do GKE no Azure foi atualizado para corrigir essa vulnerabilidade. Recomendamos que você faça o upgrade dos nós da seguinte maneira:

    • Versão 1.22: 1.22.8-gke.200
    • Versão 1.21: 1.21.11-gke.100

    Essa CVE pode ser reduzida com a configuração de IgnoreImageDefinedVolumes como "true".

    Médio

    Google Cloud Distributed Cloud Virtual para Bare Metal

    Atualização: 22-04-2022

    Descrição Gravidade

    Uma vulnerabilidade de segurança, CVE-2022-23648, foi descoberta no processamento de Path Traversal de contêineres na especificação do volume de imagem OCI. Os contêineres lançados pela implementação da CRI em contêiner com uma configuração de imagem especialmente criada podem obter acesso completo de leitura para arquivos e diretórios arbitrários no host.

    Essa vulnerabilidade pode ignorar qualquer aplicação baseada em políticas na configuração do contêiner (incluindo uma política de segurança de pods do Kubernetes). Essa vulnerabilidade afeta todo o Google Distributed Cloud Virtual para Bare Metal que usa o containerd. As versões 1.8, 1.9 e 1.10 do Google Distributed Cloud Virtual para Bare Metal foram afetadas

    O que devo fazer?

    Atualização de 22/04/2022 : as seguintes versões do Google Distributed Cloud Virtual para Bare Metal contêm um código que corrige essa vulnerabilidade.

    • 1.8.9 ou mais recente
    • 1.9.6 ou mais recente
    • 1.10.3 ou mais recente
    • 1.11.0 ou mais recente

    O código das seguintes versões do Google Distributed Cloud Virtual para Bare Metal foi atualizado para corrigir essa vulnerabilidade. Recomendamos que você faça upgrade dos nós para uma das seguintes versões do Google Distributed Cloud Virtual para Bare Metal:

    • 1.8.8 ou mais recente
    • 1.9.5 ou mais recente
    • 1.10.2 ou mais recente

    Essa CVE pode ser reduzida com a configuração de IgnoreImageDefinedVolumes como "true".

    Média

    GCP-2022-012

    Publicação: 2022-04-07
    Atualizado em: 2022-11-22
    Referência: CVE-2022-0847
    Atualização de 2022-11-22: informações atualizadas sobre cargas de trabalho que usam o sandbox do GKE.

    GKE

    Atualização em: 22/11/2022

    Descrição Gravidade

    Atualização de 22/11/2022: as cargas de trabalho que usam o GKE Sandbox não são afetadas por essas vulnerabilidades.


    Uma vulnerabilidade de segurança, CVE-2022-0847, foi descoberta na versão 5.8 e posterior do kernel do Linux. É possível escalonar privilégios de contêiner na raiz. Essa vulnerabilidade afeta todas as versões do pool de nós do GKE v1.22 e posteriores que usam imagens do Container-Optimized OS (Container-Optimized OS 93 e versões mais recentes). Os pools de nós do GKE que usam o SO Ubuntu não são afetados.

    O que fazer?

    As versões de imagens de nó do Linux para as seguintes versões do GKE foram atualizadas com código para corrigir essa vulnerabilidade. Por motivos de segurança, mesmo que você tenha ativado o upgrade automático de nós, recomendamos que faça upgrade manualmente dos pools de nós para uma das seguintes versões do GKE:

    • 1.22.7-gke.1500 e mais recente
    • 1.23.4-gke.1600 e mais recente

    Um recurso recente dos canais de lançamento permite que você aplique uma versão de patch de outros canais de lançamento sem ter que cancelar a inscrição em um canal. Isso permite proteger os nós até que a nova versão se torne o padrão para o canal específico da versão.

    Quais vulnerabilidades são corrigidas por esse patch?

    A CVE-2022-0847 está relacionada à sinalização PIPE_BUF_FLAG_CAN_MERGE, introduzida na versão 5.8 do kernel do Linux. Nessa vulnerabilidade, o membro "sinalizações" da nova estrutura de buffer de canal não tinha a inicialização adequada no kernel do Linux. Um invasor local sem privilégios pode usar essa falha para gravar páginas no cache de páginas apoiadas por arquivos somente leitura e escalonar os privilégios.

    Novas versões do Container-Optimized OS que corrigem esse problema foram integradas às versões atualizadas do pool de nós do GKE.

    Alta

    GKE no VMware

    Descrição Gravidade

    Uma vulnerabilidade de segurança, CVE-2022-0847, foi descoberta no kernel Linux 5.8 e posterior. Ela pode escalonar privilégios para a raiz. Essa vulnerabilidade afeta o GKE no VMware v1.10 para imagens do Container-Optimized OS. Atualmente, o GKE no VMware com Ubuntu está na versão 5.4 do kernel e não está vulnerável a esse ataque.

    O que devo fazer?

    As versões das imagens de nó do Linux para as versões a seguir do GKE no VMware foram atualizadas com o código para corrigir essa vulnerabilidade. Recomendamos que você faça upgrade dos clusters de administrador e usuário para a seguinte versão do GKE no VMware:

    • 1.10.3

    Quais vulnerabilidades são corrigidas por esse patch?

    A CVE-2022-0847 está relacionada à sinalização PIPE_BUF_FLAG_CAN_MERGE, introduzida na versão 5.8 do kernel do Linux. Nessa vulnerabilidade, o membro "sinalizações" da nova estrutura de buffer de canal não tinha a inicialização adequada no kernel do Linux. Um invasor local sem privilégios pode usar essa falha para gravar páginas no cache de páginas apoiadas por arquivos somente leitura e escalonar os privilégios.

    Novas versões do Container-Optimized OS que corrigem esse problema foram integradas às versões atualizadas do GKE no VMware.

    Alta

    GKE na AWS

    Descrição Severity

    Uma vulnerabilidade de segurança, CVE-2022-0847, foi descoberta no kernel Linux 5.8 e posterior. Ela pode escalonar privilégios para a raiz.

    Essa vulnerabilidade afeta os clusters gerenciados do GKE na AWS v1.21 e os clusters em execução no GKE na AWS (geração anterior) v1.19, v1.20 e v1.21, que usam o Ubuntu.

    O que devo fazer?

    As versões das imagens de nó do Linux para as versões a seguir do GKE na AWS foram atualizadas com código para corrigir essa vulnerabilidade.

    Para o GKE gerenciado na AWS, recomendamos que você faça upgrade dos clusters de usuário e do pool de nós para uma das seguintes versões:

    • 1.21.11-gke.100

    Para o GKE K-lite na AWS, recomendamos que você faça upgrade dos objetos AWSManagementService, AWSCluster e AWSNodePool para a versão a seguir:

    • 1.21.11-gke.100
    • 1.20.15-gke.2200

    Quais vulnerabilidades são corrigidas por esse patch?

    A CVE-2022-0847 está relacionada à sinalização PIPE_BUF_FLAG_CAN_MERGE, introduzida na versão 5.8 do kernel do Linux. Nessa vulnerabilidade, o membro "sinalizações" da nova estrutura de buffer de canal não tinha a inicialização adequada no kernel do Linux. Um invasor local sem privilégios pode usar essa falha para gravar páginas no cache de páginas apoiadas por arquivos somente leitura e escalonar os privilégios.

    Alta

    GKE no Azure

    Descrição Gravidade

    Uma vulnerabilidade de segurança, CVE-2022-0847, foi descoberta no kernel Linux 5.8 e posterior. Ela pode escalonar privilégios para a raiz. Essa vulnerabilidade afeta clusters gerenciados do GKE no Azure v1.21 que usam o Ubuntu.

    O que devo fazer?

    As versões das imagens de nó do Linux para as versões a seguir do GKE no Azure foram atualizadas com código para corrigir essa vulnerabilidade. Recomendamos que você faça upgrade dos clusters de usuário e do pool de nós para a seguinte versão:

    • 1.21.11-gke.100

    Quais vulnerabilidades são corrigidas por esse patch?

    A CVE-2022-0847 está relacionada à sinalização PIPE_BUF_FLAG_CAN_MERGE, introduzida na versão 5.8 do kernel do Linux. Nessa vulnerabilidade, o membro "sinalizações" da nova estrutura de buffer de canal não tinha a inicialização adequada no kernel do Linux. Um invasor local sem privilégios pode usar essa falha para gravar páginas no cache de páginas apoiadas por arquivos somente leitura e escalonar os privilégios.

    Alta

    Google Cloud Distributed Cloud Virtual para Bare Metal

    Descrição Gravidade

    Uma vulnerabilidade de segurança, CVE-2022-0847, foi descoberta no kernel Linux 5.8 e posterior. Ela pode escalonar privilégios para a raiz.

    O que fazer?

    Nenhuma ação é necessária. O Google Distributed Cloud Virtual para Bare Metal não é afetado por essa CVE porque não inclui o Linux como parte do próprio pacote. É preciso garantir que as imagens de nó usadas sejam atualizadas para versões que contêm a correção para CVE-2022-0847.

    Alto

    GCP-2022-011

    Publicação: 22/03/2022
    Atualizado em: 11/08/2022

    Atualização de 11/08/2022 : adicionamos mais detalhes sobre os efeitos da configuração incorreta da SMT.

    GKE

    Descrição Gravidade

    Atualização de 11/08/2022: mais informações foram adicionadas sobre a configuração de várias linhas de execução simultâneas (SMT, na sigla em inglês). O objetivo da SMT era ser desativado, mas ativado nas versões listadas.

    Se você ativou a SMT manualmente para um pool de nós no modo sandbox, a SMT permanecerá ativada manualmente, apesar desse problema.


    Há uma configuração incorreta com várias linhas de execução simultâneas (SMT, na sigla em inglês), também conhecida como Hyper-threading, nas imagens do GKE Sandbox. A configuração incorreta deixa os nós potencialmente expostos a ataques de canal lateral, como amostragem de dados de microarquitetura (MDS, na sigla em inglês). Para mais contexto, consulte a documentação do GKE Sandbox. Não recomendamos o uso das seguintes versões afetadas:

    • 1.22.4-gke.1501
    • 1.22.6-gke.300
    • 1.23.2-gke.300
    • 1.23.3-gke.600

    Se você tiver ativado manualmente a SMT para um pool de nós, esse problema não afetará seus nós no modo sandbox.

    O que fazer?

    Atualize os nós para uma das seguintes versões:

    • 1.22.6-gke.1500 e mais recente
    • 1.23.3-gke.1100 e mais recente

    Qual vulnerabilidade é corrigida por esse patch?

    Os nós do GKE Sandbox têm a SMT desativada por padrão, reduzindo ataques de canal lateral.

    Média

    GCP-2022-009

    Publicação: 01/03/2022
    Atualizado em: 15/03/2022

    GKE

    Descrição Severity

    Atualização de 15/03/2022:adicionamos guias de proteção para o GKE na AWS e no GKE no Azure. Adição de uma seção sobre persistência usando webhooks.


    Alguns caminhos inesperados para acessar a VM do nó em clusters do Autopilot GKE podem ter sido usados para escalonar privilégios no cluster. Esses problemas foram corrigidos e nenhuma outra ação é necessária. As correções resolvem problemas reportados pelo nosso Programa de recompensa para descobertas de vulnerabilidades.

    Os usuários dos clusters do GKE Standard e do GKE têm a opção de aplicar uma política de aumento da proteção semelhante, conforme descrito abaixo.

    Detalhes técnicos

    Acesso ao host usando isenções de política de terceiros

    Para permitir que o Google Cloud ofereça gerenciamento completo de nós e um SLA no nível do pod, o Autopilot do GKE restringe alguns primitivos do Kubernetes altamente privilegiados para impedir que as cargas de trabalho tenham acesso de baixo nível à VM do nó. Para isso: o GKE Standard apresenta acesso total à computação subjacente, o Autopilot tem acesso limitado e o Cloud Run não tem acesso.

    O Autopilot flexibiliza algumas dessas restrições em uma lista predefinida de ferramentas de terceiros para permitir que os clientes executem essas ferramentas no Autopilot sem modificações. Com os privilégios para criar pods com ativações de caminho de host, o pesquisador conseguiu executar um contêiner privilegiado em um pod parecido com uma dessas ferramentas de terceiros autorizadas para ter acesso ao host.

    A capacidade de programar pods dessa maneira é esperada no GKE Standard, mas não no Autopilot do GKE, já que isso ignora as restrições de acesso ao host usadas para ativar o SLA descrito anteriormente.

    Esse problema foi corrigido ao reforçar a especificação de pod da lista de permissões de terceiros.

    Escalonamento de privilégios a partir da raiz no nó

    Além do acesso ao host, os pods stackdriver-metadata-agent-cluster-level e metrics-server foram identificados como altamente privilegiados. Depois de ter acesso ao nível raiz do nó, esses serviços podem ser usados para ter mais controle sobre o cluster.

    Suspendemos o uso e removemos o stackdriver-metadata-agent para o GKE Standard e o Autopilot. Esse componente ainda está em uso no GKE no VMware e no Google Distributed Cloud Virtual para Bare Metal.

    Como uma medida de aumento da proteção do sistema para evitar esse tipo de ataque no futuro, aplicaremos uma restrição do Autopilot a uma versão futura que impedirá atualizações na conta de serviço de vários objetos no namespace kube-system. Desenvolvemos uma política Gatekeeper para você aplicar uma proteção semelhante aos clusters do GKE Standard e clusters do GKE para evitar a automodificação da carga de trabalho privilegiada. Esta política é aplicada automaticamente a clusters Autopilot. Para receber instruções, consulte os seguintes guias de proteção:


    Adição de 15/03/2022: persistência com o uso de webhooks mutáveis

    Os webhooks mutáveis foram usados no relatório para estabelecer uma posição privilegiada no pós-compromisso do cluster. Essas são partes padrão da API Kubernetes criadas pelos administradores do cluster e ficaram visíveis para os administradores quando o Autopilot adicionou suporte para webhooks definidos pelo cliente.


    Contas de serviço privilegiadas no namespace padrão

    Os implementadores de políticas do Autopilot permitiam duas contas de serviço no namespace padrão: csi-attacher e otelsvc para conceder privilégios especiais às contas de serviço. Um invasor com privilégios elevados, incluindo permissões para criar objetos ClusterRoleBinding e com acesso para criar pods no namespace padrão, pode usar esses nomes de conta de serviço para acessar esses privilégios adicionais. Esses serviços foram movidos para o namespace kube-system a fim de proteger a política existente do Autopilot. Os clusters do GKE Standard e os clusters do GKE não são afetados.

    O que devo fazer?

    As políticas de todos os clusters do GKE Autopilot foram atualizadas para remover o acesso não intencional ao host, e nenhuma outra ação será necessária.

    Outras proteções de políticas serão aplicadas ao Autopilot nas próximas semanas como uma proteção secundária. Nenhuma ação é necessária.

    Os clusters do GKE Standard e os clusters do GKE não são afetados porque os usuários já têm acesso ao host. Como medida de proteção do sistema, os clusters do GKE Standard e os usuários dos clusters do GKE podem aplicar uma proteção semelhante com uma política Gatekeeper que impede a automodificação da carga de trabalho privilegiada. Para receber instruções, consulte os seguintes guias de proteção:

    Baixo

    GCP-2022-008

    Publicada em: 23/02/2022
    Atualização: 28/04/2022
    Referência: CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-21654, CVE-2022-21657, CVE-2022-21656

    GKE

    Descrição Gravidade
    projeto Envoy descobriu recentemente um conjunto de vulnerabilidades, CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-21654, CVE-2022-21657, and CVE-2022-21656 que podem afetar os clusters do GKE que usam Anthos Service Mesh, Istio-on-GKE ou implementações Istio personalizadas.
    Todos os problemas listados abaixo foram corrigidos na versão 1.21.1 do Envoy.
    Informações técnicas
    Veja mais detalhes sobre essas vulnerabilidades neste link.

    O que fazer?

    Os clusters do GKE que executam o Anthos Service Mesh precisam fazer upgrade para uma versão compatível com a correção das vulnerabilidades acima.
    • Se você estiver usando o Anthos Service Mesh 1.12, faça upgrade para a v1.12.4-asm.0. .
    • Se você estiver usando o Anthos Service Mesh 1.11, faça upgrade para a v1.11.7-asm.1.
    • Se você estiver usando o Anthos Service Mesh 1.10, faça upgrade para a v1.10.6-asm.1.
    Se você estiver usando o Anthos Service Mesh v1.9 ou versões anteriores, a versão atingiu o fim da vida útil e não terá mais suporte. Essas correções de CVE não foram compatíveis com outras versões. É necessário fazer upgrade para o ASM 1.10 ou superior.

    Os clusters do GKE que executam o Istio-on-GKE precisam fazer upgrade para uma versão compatível com a correção das vulnerabilidades acima.
    • Se você estiver usando o Istio-on-GKE 1.6, faça upgrade para a v1.6.14-gke.8.
    • Se você estiver usando o Istio-on-GKE 1.4.11, faça upgrade para a v1.4.11-gke.4.
    • Se você estiver usando o Istio-on-GKE 1.4.10, faça upgrade para a v1.4.10-gke.23.
    • Se você estiver usando o GKE 1.22 ou posterior, use o Istio GKE 1.4.10. Caso contrário, use o Istio-on-GKE 1.4.11.

    Quais vulnerabilidades são corrigidas por esse patch?

    CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-21654, CVE-2022-21657, e CVE-2022-21656
    Alta

    GKE no VMware

    Atualização: 28-04-2022

    Descrição Gravidade
    Recentemente, o Envoy lançou várias correções de vulnerabilidades de segurança. O GKE no VMware é afetado porque o Envoy é usado com o metrics-server. As CVEs do Envoy que estamos corrigindo estão listadas abaixo. Este boletim vai ser atualizado com versões específicas quando elas estiverem disponíveis:
    • CVE-2021-43824 (pontuação do CVSS de 6.5, média): possível referência de ponteiro nulo ao usar a correspondência do filtro safe_regex do JWT.
      Observação: embora o ASM/Istio-on-GKE não tenha suporte para os filtros do Envoy, é possível que você seja afetado se usar o regex de filtro JWT.
    • CVE-2021-43825 (pontuação do CVSS de 6,1, média): use após a saída quando os filtros de resposta aumentarem os dados de resposta e os dados maiores excederem os limites de buffer downstream.
      Observação: embora o ASM/Istio-on-GKE não tenha suporte para filtros do Envoy, é possível que você seja afetado se usar um filtro de descompactação.
    • CVE-2021-43826 (pontuação do CVSS de 6,1, média): use após a troca quando estabelecer um tunelamento de TCP sobre HTTP, se o downstream desconectado durante o estabelecimento upstream de conexões.
      Observação: embora o ASM/Istio-on-GKE não tenha suporte para filtros do Envoy, é possível que você seja afetado se usar um filtro de túnel.
    • CVE-2022-21654 (pontuação do CVSS de 7,3, alta): o gerenciamento incorreto de configurações permite a reutilização da sessão de mTLS sem revalidação depois que as configurações de validação são alteradas.
      Observação: todos os serviços de ASM/Istio-on-GKE que usam mTLS são afetados por essa CVE.
    • CVE-2022-21655 (pontuação do CVSS de 7.5, alta): processamento incorreto de redirecionamentos internos para rotas com uma entrada de resposta direta.
      Observação: embora o ASM/Istio-on-GKE não tenha suporte para os filtros do Envoy, é possível que você seja afetado se usar um filtro de resposta direta.
    • CVE-2022-23606 (pontuação do CVSS de 4.4, média): esgotamento da pilha quando um cluster é excluído pelo serviço de descoberta de clusters.
      Observação: o ASM 1.11+ é afetado por esta CVE. O ASM 1.10 e todo o Istio-on-GKE não foram afetados por esta CVE.
    • CVE-2022-21657 (pontuação do CVSS de 3,1: baixa): o Envoy até a versão 1.20.1 contém uma vulnerabilidade de exploração remota devido ao erro uso de chave estendido X.509 e desvio de finalidades de confiança.
    • CVE-2022-21656 (pontuação do CVSS de 3,1, baixa): o Envoy até a versão 1.20.1 contém uma vulnerabilidade que pode ser explorada remotamente devido ao desvio de correspondência do X.509 subjectAltName (e nameConstraints).

    O Istio lançou recentemente uma correção de vulnerabilidade de segurança. O Anthos no VMware foi afetado porque o Istio é usado para entrada. As CVEs do Istio que estamos corrigindo estão listadas abaixo. Este boletim vai ser atualizado com versões específicas quando elas estiverem disponíveis.

    CVE-2022-23635 (pontuação do CVSS de 7.5, alta): o Istiod falha ao receber solicitações com um cabeçalho "authorization" especialmente criado.


    Para ver as descrições completas e os impactos das CVEs acima, consulte os boletins de segurança.

    Adição de 28-04-2022: o que devo fazer?

    As seguintes versões do GKE no VMware corrigem essas vulnerabilidades:

    • 1.9.5
    • 1.10.3
    • 1.11.0

    Quais vulnerabilidades são corrigidas por esse patch?

    CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-21654, CVE-2022-21657, e CVE-2022-21656
    Alta

    Google Cloud Distributed Cloud Virtual para Bare Metal

    Descrição Gravidade
    Recentemente, o Envoy lançou várias correções de vulnerabilidades de segurança. O Anthos em bare metal é afetado porque o Envoy é usado para Metrics-server. As CVEs do Envoy que estamos corrigindo nas versões 1.10.3, 1.9.6 e 1.8.9 estão listadas abaixo:
    • CVE-2021-43824 (pontuação do CVSS de 6.5, média): possível referência de ponteiro nulo ao usar a correspondência do filtro safe_regex do JWT.
      Observação: embora o ASM/Istio-on-GKE não tenha suporte para os filtros do Envoy, é possível que você seja afetado se usar o regex de filtro JWT.
    • CVE-2021-43825 (pontuação do CVSS de 6,1, média): use após a saída quando os filtros de resposta aumentarem os dados de resposta e os dados maiores excederem os limites de buffer downstream.
      Observação: embora o ASM/Istio-on-GKE não tenha suporte para filtros do Envoy, é possível que você seja afetado se usar um filtro de descompactação.
    • CVE-2021-43826 (pontuação do CVSS de 6,1, média): use após a troca quando estabelecer um tunelamento de TCP sobre HTTP, se o downstream desconectado durante o estabelecimento upstream de conexões.
      Observação: embora o ASM/Istio-on-GKE não tenha suporte para filtros do Envoy, é possível que você seja afetado se usar um filtro de túnel.
    • CVE-2022-21654 (pontuação do CVSS de 7,3, alta): o gerenciamento incorreto de configurações permite a reutilização da sessão de mTLS sem revalidação depois que as configurações de validação são alteradas.
      Observação: todos os serviços de ASM/Istio-on-GKE que usam mTLS são afetados por essa CVE.
    • CVE-2022-21655 (pontuação do CVSS de 7.5, alta): processamento incorreto de redirecionamentos internos para rotas com uma entrada de resposta direta.
      Observação: embora o ASM/Istio-on-GKE não tenha suporte para os filtros do Envoy, é possível que você seja afetado se usar um filtro de resposta direta.
    • CVE-2022-23606 (pontuação do CVSS de 4.4, média): esgotamento da pilha quando um cluster é excluído pelo serviço de descoberta de clusters.
      Observação: o ASM 1.11+ é afetado por esta CVE. O ASM 1.10 e todo o Istio-on-GKE não foram afetados por esta CVE.
    • CVE-2022-21657 (pontuação do CVSS de 3,1: baixa): o Envoy até a versão 1.20.1 contém uma vulnerabilidade de exploração remota devido ao erro uso de chave estendido X.509 e desvio de finalidades de confiança.
    • CVE-2022-21656 (pontuação do CVSS de 3,1, baixa): o Envoy até a versão 1.20.1 contém uma vulnerabilidade que pode ser explorada remotamente devido ao desvio de correspondência do X.509 subjectAltName (e nameConstraints).
    O Istio lançou recentemente uma correção de vulnerabilidade de segurança. O Anthos em Bare Metal é afetado porque o Istio é usado para entrada. A CVE do Istio que estamos corrigindo nas versões 1.10.3, 1.9.6 e 1.8.9 está listada abaixo:

    • CVE-2022-23635 (pontuação do CVSS de 7.5, alta): o Istiod falha ao receber solicitações com um cabeçalho "authorization" especialmente criado.
      Observação: todo o ASM/Istio-on-GKE é afetado por esta CVE.

    Para ver as descrições completas e os impactos das CVEs acima, consulte os boletins de segurança.

    Quais vulnerabilidades são corrigidas por esse patch?

    CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-21654, CVE-2022-21657, e CVE-2022-21656
    Alto

    GCP-2022-006

    Publicação : 14/02/2022
    Atualizado em: 16/05/2022
    16/05/2022 Atualização: o GKE versão 1.19.16-gke.7800 ou posterior foi adicionado à lista de versões que têm código para corrigir essa vulnerabilidade.
    12/05/2022 : versões de patch atualizadas para o GKE, Google Distributed Cloud Virtual para Bare Metal, GKE no VMware e GKE na AWS. Foi corrigido um problema em que o boletim de segurança do GKE na AWS não era exibidos quando ele foi adicionado, em 23/02/2022.

    GKE;

    Descrição Gravidade

    Uma vulnerabilidade de segurança, CVE-2022-0492, foi descoberta na função cgroup_release_agent_write do kernel do Linux. O ataque usa namespaces de usuários sem privilégios e, em determinadas circunstâncias, essa vulnerabilidade pode ser explorada na quebra do contêiner.

    O que fazer?

    Atualização de 16/05/2022: além das versões do GKE mencionadas na atualização de 12/05/2022, a versão 1.19.16-gke.7800 ou posterior do GKE também contém o código que corrige essa vulnerabilidade.


    Atualização de 12/05/2022: as seguintes versões do GKE contêm código que corrige essa vulnerabilidade:

    • 1.20.15-gke.5600 ou mais recente
    • 1.21.11-gke.1500 ou mais recente
    • 1.22.8-gke.1800 ou mais recente
    • 1.23.5-gke.1800 ou mais recente

    Atualização de 15/02/2022: a instrução gVisor foi corrigida.

    A vulnerabilidade é encontrada no cgroup_release_agent_write do kernel do Linux na função kernel/cgroup/cgroup-v1.c e pode ser usada como uma interrupção do contêiner. O GKE não é afetado devido à proteção do perfil AppArmor padrão no Ubuntu e no COS. No entanto, alguns clientes ainda poderão estar vulneráveis se tiverem reduzido as restrições de segurança nos pods por meio da modificação do campo do pod ou do contêiner do securityContext, por exemplo, desativar/alterar o perfil do AppArmor, o que não é recomendado. Além do perfil padrão do AppArmor, esses recursos também protegem contra a vulnerabilidade:

    • O Autopilot do GKE não foi afetado devido ao perfil seccomp padrão.
    • Atualização de 15/02/2022: o gVisor (GKE Sandbox) não foi afetado, já que o gVisor não permite acesso à chamada de sistema vulnerável no host.

    Os patches estarão disponíveis em uma versão futura. Este boletim será atualizado quando estiver disponível.

    Qual vulnerabilidade é corrigida por esse patch?

    CVE-2022-0492

    Baixo

    Clusters do GKE no

    Descrição Gravidade

    Uma vulnerabilidade de segurança, CVE-2022-0492, foi descoberta na função cgroup_release_agent_write do kernel do Linux. O ataque usa namespaces de usuários sem privilégios e, em determinadas circunstâncias, essa vulnerabilidade pode ser explorada na quebra do contêiner.

    O que devo fazer?

    Atualização de 12/05/2022: As seguintes versões do GKE no VMware contêm um código que corrige isso a vulnerabilidade.

    COS
    • 1.8.8 ou mais recente
    • 1.9.5 ou mais recente
    • 1.10.2 ou mais recente
    • 1.11.0 ou mais recente
    Ubuntu
    • 1.9.6 ou mais recente
    • 1.10.3 ou mais recente
    • 1.11.0 ou mais recente

    A vulnerabilidade é encontrada na função cgroup_release_agent_write do kernel do Linux na função kernel/cgroup/cgroup-v1.c e pode ser usada como uma saída de contêiner. O GKE no VMware não foi afetado devido à proteção do perfil padrão do AppArmor no Ubuntu e COS. No entanto, alguns clientes podem ficar vulneráveis caso tenham se reduzido restrições de segurança em pods pela modificação do securityContext do pod ou do contêiner campo, por exemplo, desativando/alterando o perfil AppArmor, o que não é recomendado.

    Os patches estarão disponíveis em uma versão futura. Este boletim será atualizado quando eles estiverem disponíveis.

    Qual vulnerabilidade é corrigida por esse patch?

    CVE-2022-0492

    Baixo

    GKE na AWS

    Descrição Gravidade

    Uma vulnerabilidade de segurança, CVE-2022-0492, foi descoberta na função cgroup_release_agent_write do kernel do Linux. O ataque usa namespaces de usuários sem privilégios e, em determinadas circunstâncias, essa vulnerabilidade pode ser explorada na quebra do contêiner.

    O que devo fazer?

    Atualização de 12/05/2022: As versões a seguir do GKE da geração atual e da geração anterior na AWS contêm que corrige essa vulnerabilidade:

    Geração atual
    • 1.21.11-gke.1100
    • 1.22.8-gke.1300
    Geração anterior
    • 1.22.8-gke.1300
    • 1.21.11-gke.1100
    • 1.20.15-gke.5200

    Atualização de 23/02/2022:adicionamos uma observação para o GKE na AWS.

    O GKE na AWS nas gerações anteriores e atuais não foi afetado devido à proteção do perfil AppArmor padrão no Ubuntu. No entanto, alguns clientes ainda poderão estar vulneráveis se tiverem reduzido as restrições de segurança nos pods por meio da modificação do campo do pod ou do contêiner do securityContext, por exemplo, desativando/alterando o perfil do AppArmor, o que não é recomendado.

    Os patches estarão disponíveis em uma versão futura. Este boletim será atualizado quando eles estiverem disponíveis.

    Qual vulnerabilidade é corrigida por esse patch?

    CVE-2022-0492

    Baixo

    GKE Enterprise ativado

    Descrição Gravidade

    Uma vulnerabilidade de segurança, CVE-2022-0492, foi descoberta na função cgroup_release_agent_write do kernel do Linux. O ataque usa namespaces de usuários sem privilégios e, em determinadas circunstâncias, essa vulnerabilidade pode ser explorada na quebra do contêiner.

    O que devo fazer?

    Atualização de 12/05/2022: As seguintes versões do GKE no Azure contêm o código que corrige isso vulnerabilidade:

    • 1.21.11-gke.1100
    • 1.22.8-gke.1300

    O GKE no Azure não foi afetado devido à proteção do perfil padrão do AppArmor no Ubuntu. No entanto, alguns clientes ainda poderão estar vulneráveis se tiverem reduzido as restrições de segurança nos pods por meio da modificação do campo do pod ou do contêiner do securityContext, por exemplo, desativando/alterando o perfil do AppArmor, o que não é recomendado.

    Os patches estarão disponíveis em uma versão futura. Este boletim será atualizado quando eles estiverem disponíveis.

    Qual vulnerabilidade é corrigida por esse patch?

    CVE-2022-0492

    Baixa

    GCP-2022-005

    Publicado : 11/02/2022
    Atualizado : 15/02/2022
    Referência: CVE-2021-43527

    GKE

    Descrição Gravidade
    Atualização de 15/02/2022: algumas versões do GKE mencionadas no boletim original foram combinadas com outras correções e tiveram os números de versão incrementados antes do lançamento. Os patches estão disponíveis nas seguintes versões do GKE:
    • 1.20.15-gke.300
    • 1.21.9-gke.300
    • 1.22.6-gke.1000

    Uma vulnerabilidade de segurança, CVE-2021-43527, foi descoberta em qualquer binário que vincule às versões vulneráveis do libnss3 encontradas nas versões NSS (Serviços de segurança de rede) anteriores à 3.73 ou 3.68.1. Aplicativos que usam NSS para validação de certificados ou outro recurso TLS, X.509, OCSP ou CRL podem ser afetados, dependendo de como o NSS é usado/configurado. As imagens do GKE COS e do Ubuntu têm uma versão vulnerável instalada e precisam receber patches.

    Possivelmente, a CVE-2021-43527 pode ter um grande impacto nos aplicativos que usam NSS para processar assinaturas codificadas em CMS, S/MIME, PKCS#7 ou PKCS#12. Além disso, aplicativos que usam NSS para validação de certificados ou outro recurso TLS, X.509, OCSP ou CRL podem ser afetados. O impacto depende de como o NSS é usado/configurado.

    O GKE não usa o libnss3 para nenhuma API acessível pela Internet. O impacto é limitado ao código no host em execução fora dos contêineres, o que é pequeno devido ao design mínimo do Chrome OS. O código do GKE em execução dentro de contêineres usando a imagem base de golang distroless não é afetado.

    O que fazer?

    As versões de imagens de nó do Linux para as seguintes versões do GKE foram atualizadas com código para corrigir essas vulnerabilidades. Faça upgrade do plano de controle e dos nós para uma das seguintes versões do GKE:

    • Versão 1.18 a ser determinada
    • 1.19.16-gke.6100
    • 1.20.15-gke.200
    • 1.21.9-gke.200
    • 1.22.6-gke.600
    • 1.23.3-gke.500
    Você está usando uma versão do GKE anterior à 1.18? Você está usando uma versão do GKE fora do SLA e precisa considerar fazer upgrade para uma das versões compatíveis.

    Qual vulnerabilidade é corrigida por esse patch?

    CVE-2021-43527

    Médio

    Clusters do GKE no

    Descrição Gravidade

    Uma vulnerabilidade de segurança, CVE-2021-43527, foi descoberta em qualquer binário que vincule às versões vulneráveis do libnss3 encontradas nas versões NSS (Serviços de segurança de rede) anteriores à 3.73 ou 3.68.1. Aplicativos que usam NSS para validação de certificado ou outro recurso TLS, X.509, OCSP ou CRL podem ser afetados, dependendo de como eles configuram o NSS. Ambos As imagens do COS e Ubuntu do GKE no VMware têm uma versão vulnerável instalada e precisam que serão corrigidas.

    Possivelmente, a CVE-2021-43527 pode ter um grande impacto nos aplicativos que usam NSS para processar assinaturas codificadas em CMS, S/MIME, PKCS \#7, or PKCS \#12. Além disso, aplicativos que usam NSS para validação de certificados ou outro recurso TLS, X.509, OCSP ou CRL podem ser afetados. Os impactos dependem de como eles configuram/usam o NSS. Anthos no O VMware não usa a libnss3 para nenhuma API acessível publicamente, portanto, o impacto é limitado. e a gravidade dessa CVE para o GKE no VMware é classificada como média.

    O que devo fazer?

    As versões de imagens de nó do Linux para as seguintes versões do Anthos foram atualizadas com código para corrigir essas vulnerabilidades. Faça upgrade do plano de controle e dos nós para uma das seguintes versões do Anthos:

    • 1.8.7
    • 1.9.4
    • 1.10.2

    Você está usando uma versão do GKE no VMware anterior à 1.18? Você está usando uma versão do Anthos fora do SLA e precisa fazer upgrade para uma das versões compatíveis.

    Qual vulnerabilidade é corrigida por esse patch?

    CVE-2021-43527

    Médio

    GKE Enterprise ativado

    Descrição Gravidade

    Uma vulnerabilidade de segurança, CVE-2021-43527, foi descoberta em qualquer binário que vincule às versões vulneráveis do libnss3 encontradas nas versões NSS (Serviços de segurança de rede) anteriores à 3.73 ou 3.68.1. Aplicativos que usam NSS para validação de certificados ou outro recurso TLS, X.509, OCSP ou CRL podem ser afetados, dependendo de como o NSS é usado/configurado. Os clusters do Anthos em imagens do Azure Ubuntu têm uma versão vulnerável instalada, e precisam receber patches.

    Possivelmente, a CVE-2021-43527 pode ter um grande impacto nos aplicativos que usam NSS para processar assinaturas codificadas em CMS, S/MIME, PKCS#7 ou PKCS#12. Além disso, aplicativos que usam NSS para validação de certificados ou outro recurso TLS, X.509, OCSP ou CRL podem ser afetados. Os impactos dependem de como eles configuram/usam o NSS. Os clusters do Anthos no Azure não usam libnss3 para nenhuma API publicamente acessível. Portanto, o impacto é limitado, e a gravidade da CVE para o Anthos no Azure é classificada como "Média".

    O que fazer?

    As versões das imagens de nó do Linux para as seguintes versões do GKE no Azure foram atualizados com código para corrigir essas vulnerabilidades. Faça upgrade dos clusters para uma das seguintes versões do Anthos no Azure:

    • v1.21.6-gke.1500

    Qual vulnerabilidade é corrigida por esse patch?

    CVE-2021-43527

    Média

    GCP-2022-004

    Publicado : 04/02/2022
    Referência: CVE-2021-4034

    GKE;

    Descrição Gravidade

    Uma vulnerabilidade de segurança, CVE-2021-4034, foi descoberta no pkexec, parte do pacote do kit de políticas do Linux (polkit) que permite que um usuário autenticado execute um ataque de escalonamento de privilégios. O PolicyKit geralmente é usado apenas em sistemas Linux para computadores, permitindo que usuários não raiz realizem ações como reiniciar o sistema, instalar pacotes, reiniciar serviços etc., conforme regido por uma política.

    O que fazer?

    O GKE não é afetado porque o módulo vulnerável, policykit-1, não está instalado nas imagens do COS ou do Ubuntu usadas no GKE. Nenhuma ação é necessária.

    Nenhum

    Clusters do GKE no

    Descrição Gravidade

    Uma vulnerabilidade de segurança, CVE-2021-4034, foi descoberta no pkexec, parte do pacote do kit de políticas do Linux (polkit) que permite que um usuário autenticado execute um ataque de escalonamento de privilégios. O PolicyKit geralmente é usado apenas em sistemas Linux para computadores, permitindo que usuários não raiz realizem ações como reiniciar o sistema, instalar pacotes, reiniciar serviços etc., conforme regido por uma política.

    A configuração padrão do GKE Enterprise já dá aos usuários o "sudo" completo privilégios, portanto, essa exploração não altera a postura de segurança atual do GKE Enterprise

    Detalhes técnicos

    Para que esse bug possa ser explorado, um invasor precisa de um shell não raiz no sistema de arquivos do nó e ter a versão vulnerável do pkexec instalada. Embora o GKE no VMware inclua uma versão do policykit-1 nas imagens de lançamento, a configuração padrão do GKE Enterprise permite o sudo sem senha para qualquer pessoa com acesso ao shell. Portanto, essa vulnerabilidade não concede ao usuário mais privilégios do que ele já tem.

    O que devo fazer?

    Você não precisa fazer nada. O GKE no VMware não é afetado.

    Nenhum

    Clusters do GKE no

    Descrição Severity
    O GKE na AWS não foi afetado. O módulo vulnerável, o policykit-1, não está instalado nas imagens do Ubuntu usadas pelas versões atuais e anteriores do GKE na AWS. Nenhum

    GKE Enterprise ativado

    Descrição Gravidade

    Uma vulnerabilidade de segurança, CVE-2021-4034, foi descoberta no pkexec, parte do pacote do kit de políticas do Linux (polkit) que permite que um usuário autenticado execute um ataque de escalonamento de privilégios. O PolicyKit geralmente é usado apenas em sistemas Linux para computadores, permitindo que usuários não raiz realizem ações como reiniciar o sistema, instalar pacotes, reiniciar serviços etc., conforme regido por uma política.

    A configuração padrão do GKE Enterprise já dá aos usuários o "sudo" completo privilégios, portanto, essa exploração não altera a postura de segurança atual do GKE Enterprise

    Detalhes técnicos

    Para que esse bug possa ser explorado, um invasor precisa de um shell não raiz no sistema de arquivos do nó e ter a versão vulnerável do pkexec instalada. Embora o GKE no Azure inclua uma versão do policykit-1 nas imagens de lançamento, a configuração padrão do GKE Enterprise permite o sudo sem senha para qualquer pessoa com acesso ao shell. Portanto, essa vulnerabilidade não concede ao usuário mais privilégios do que ele já tem.

    O que devo fazer?

    Você não precisa fazer nada. O GKE no Azure não é afetado.

    Nenhum

    Clusters do GKE no

    Descrição Severity
    O Google Distributed Cloud Virtual para Bare Metal pode ser afetado dependendo dos pacotes instalados no sistema operacional gerenciado pelo cliente. Verifique as imagens do SO e corrija-as, se necessário. None

    GCP-2022-002

    Publicado : 01/02/2022
    Atualizado : 07/03/2022
    Referência:
    CVE-2021-4154, CVE-2021-22600, CVE-2022-0185
    Atualização de 04/02/2022 : adicionamos seções para o GKE na AWS e o GKE no Azure. Adicionamos atualizações de lançamento para GKE e GKE no VMware.

    GKE;

    Atualizado em: 07/03/2022

    Descrição Gravidade

    Três vulnerabilidades de segurança, CVE-2021-4154, CVE-2021-22600 e CVE-2022-0185. foram descobertas no kernel do Linux. Cada uma delas pode levar a uma falha de contêiner, escalonamento de privilégios no host ou ambos. Essas vulnerabilidades afetam todos os sistemas operacionais de nós (COS e Ubuntu) no GKE, GKE no VMware, GKE na AWS (geração atual e anterior) e GKE no Azure.

    Os pods que usam o GKE Sandbox não são vulneráveis a essas vulnerabilidades.

    Para mais detalhes, consulte as Notas de lançamento do COS.

    Detalhes técnicos

    Na CVE-2021-4154 (em inglês), um invasor pode explorar o parâmetro de chamada do sistema fsconfig para acionar um bug de uso após a liberação no kernel do Linux, resultando na implantação de privilégios de raiz. Esse é um ataque local de escalonamento de privilégios que levará a um rompimento de contêiner.

    A CVE-2021-22600 é uma exploração livre dupla em package_set_ring que pode levar a um escape de contêiner para o nó do host.

    Com a CVE-2022-0185 (link em inglês), um bug de heap overflow no legacy_parse_param() pode gerar uma gravação fora dos limites, o que causará uma falha do contêiner.

    O caminho de exploração dessa vulnerabilidade que depende do syscall "unshare" é bloqueado em clusters do GKE Autopilot por padrão usando o filtro seccomp.

    Os usuários que ativaram manualmente o perfil seccomp de ambiente de execução padrão do contêiner nos clusters do GKE Standard também estão protegidos.

    O que fazer?

    Atualização de 07/03/2022: as versões das imagens de nó do Linux para as seguintes versões do GKE foram atualizadas com código para corrigir todas essas vulnerabilidades para as imagens do Ubuntu e do COS. Faça upgrade do plano de controle e dos nós para uma destas versões do GKE:

    • 1.18.20-gke.6101
    • 1.19.16-gke.8300
    • 1.20.15-gke.2500
    • 1.21.10-gke.400
    • 1.22.7-gke.900
    • 1.23.3-gke.1100

    Atualização de 25/02/2022: se você usar imagens de nó do Ubuntu, o 1.22.6-gke.1000 não se destina à CVE-2021-22600. Este boletim será atualizado com as versões de patch do Ubuntu assim que estiverem disponíveis.


    Atualização de 23/02/2022: as versões das imagens de nó do Linux para as seguintes versões do GKE foram atualizadas com código para corrigir essas vulnerabilidades. Faça upgrade dos clusters para uma das seguintes versões do GKE.

    • 1.18.20-gke.6101
    • 1.22.6-gke.1000
    • 1.23.3-gke.1100

    Atualização de 04/02/2022: a data de início do lançamento das versões de patch do GKE foi 2 de fevereiro.


    As versões de imagens de nó do Linux para as seguintes versões do GKE foram atualizadas com código para corrigir essas vulnerabilidades. Faça upgrade dos clusters para uma das seguintes versões do GKE.

    • 1.19.16-gke.6100
    • 1.20.15-gke.300
    • 1.21.9-gke.300

    As versões 1.22 e 1.23 também estão em andamento. Este boletim será atualizado com versões específicas quando elas estiverem disponíveis.

    Qual vulnerabilidade é corrigida por esse patch?

    Alta

    Clusters do GKE no

    Atualização: 23/02/2022

    Descrição Gravidade

    Três vulnerabilidades de segurança, CVE-2021-4154, CVE-2021-22600 e CVE-2022-0185. foram descobertas no kernel do Linux. Cada uma delas pode levar a uma falha de contêiner, escalonamento de privilégios no host ou ambos. Essas vulnerabilidades afetam todos os sistemas operacionais de nós (COS e Ubuntu) no GKE, GKE no VMware, GKE na AWS (geração atual e anterior) e GKE no Azure.

    Para mais detalhes, consulte as Notas de lançamento do COS.

    Detalhes técnicos

    Na CVE-2021-4154 (em inglês), um invasor pode explorar o parâmetro de chamada do sistema fsconfig para acionar um bug de uso após a liberação no kernel do Linux, resultando na implantação de privilégios de raiz. Esse é um ataque local de escalonamento de privilégios que levará a um rompimento de contêiner.

    A CVE-2021-22600 é uma exploração livre dupla em package_set_ring que pode levar a um escape de contêiner para o nó do host.

    Com a CVE-2022-0185 (link em inglês), um bug de heap overflow no legacy_parse_param() pode gerar uma gravação fora dos limites, o que causará uma falha do contêiner.

    Os usuários que ativaram manualmente o perfil seccomp de ambiente de execução padrão do contêiner nos clusters do GKE Standard também estão protegidos.

    O que fazer?

    Atualização de 23/02/2022: a versão 1.10.2 (corrige a CVE-2021-22600, CVE-2021-4154 e CVE-2022-0185) em 1º de março.

    Atualização de 23/02/2022: versões com patch corrigidas da CVE-2021-2260.

    A versão 1.10.1 não resolve a CVE-2021-22600, mas aborda as outras vulnerabilidades. As versões 1.9.4 e 1.10.2, ambos não lançadas, são relacionadas à CVE-2021-22600. As versões das imagens de nó do Linux para as seguintes versões do O código do GKE no VMware foi atualizado para corrigir essas vulnerabilidades. Faça o upgrade do clusters para uma das seguintes versões do GKE no VMware:

    • 1.10.1 (corrige a CVE-2021-4154 e a CVE-2022-0185). lançada em 10 de fevereiro)
    • 1.8.7 (corrige a CVE-2021-22600, CVE-2021-4154 e CVE-2022-0185). lançada em 17 de fevereiro)
    • 1.9.4 (corrige a CVE-2021-22600, a CVE-2021-4154 e a CVE-2022-0185). lançada em 23 de fevereiro)
    • 1.10.2 (corrige a CVE-2021-22600, a CVE-2021-4154 e a CVE-2022-0185). (programada para 24 de fevereiro)

    Atualização de 04/02/2022: informações adicionadas sobre as imagens do Ubuntu que não abordam a CVE-2021-22600.

    As versões das imagens de nó do Linux para as seguintes versões do GKE no VMware têm foram atualizados com código para corrigir essas vulnerabilidades. Faça upgrade dos clusters para um dos as seguintes versões do GKE no VMware:

    • 1.10.1 (apenas atualização do COS). O patch do Ubuntu será 1.10.2 programado para 23 de fevereiro
    • 1.9.4 (programado para 15 de fevereiro)
    • 1.8.7 (programado para 15 de fevereiro)

    Qual vulnerabilidade é corrigida por esse patch?

    Alta

    Clusters do GKE no

    Descrição Severity

    Três vulnerabilidades de segurança, CVE-2021-4154, CVE-2021-22600 e CVE-2022-0185. foram descobertas no kernel do Linux. Cada uma delas pode levar a uma falha de contêiner, escalonamento de privilégios no host ou ambos. Essas vulnerabilidades afetam todos os sistemas operacionais de nós (COS e Ubuntu) no GKE, GKE no VMware, GKE na AWS (geração atual e anterior) e GKE no Azure.

    Para mais detalhes, consulte as Notas de lançamento do COS.

    Detalhes técnicos

    Na CVE-2021-4154 (em inglês), um invasor pode explorar o parâmetro de chamada do sistema fsconfig para acionar um bug de uso após a liberação no kernel do Linux, resultando na implantação de privilégios de raiz. Esse é um ataque local de escalonamento de privilégios que levará a um rompimento de contêiner.

    A CVE-2021-22600 é uma exploração livre dupla em package_set_ring que pode levar a um escape de contêiner para o nó do host.

    Com a CVE-2022-0185 (link em inglês), um bug de heap overflow no legacy_parse_param() pode gerar uma gravação fora dos limites, o que causará uma falha do contêiner.

    Os usuários que ativaram manualmente o perfil seccomp de ambiente de execução padrão do contêiner nos clusters do GKE Standard também estão protegidos.

    O que devo fazer?

    GKE na AWS

    As versões das imagens de nó do Linux para as versões a seguir do GKE na AWS foram atualizadas com código para corrigir essas vulnerabilidades. Faça upgrade dos clusters para a seguinte versão do GKE na AWS:

    • 1.21.6-gke.1500 e mais recentes (disponível em fevereiro)

    GKE na AWS (geração anterior)

    As versões das imagens de nó do Linux para as seguintes versões do GKE na AWS (geração anterior) foram atualizadas com código para corrigir essas vulnerabilidades. Faça upgrade dos clusters para uma das seguintes versões do GKE na AWS (geração anterior):

    • 1.19.16-gke.5300
    • 1.20.14-gke.2000
    • 1.21.8-gke.2000

    Qual vulnerabilidade é corrigida por esse patch?

    Alta

    GKE Enterprise ativado

    Descrição Gravidade

    Três vulnerabilidades de segurança, CVE-2021-4154, CVE-2021-22600 e CVE-2022-0185. foram descobertas no kernel do Linux. Cada uma delas pode levar a uma falha de contêiner, escalonamento de privilégios no host ou ambos. Essas vulnerabilidades afetam todos os sistemas operacionais de nós (COS e Ubuntu) no GKE, GKE no VMware, GKE na AWS (geração atual e anterior) e GKE no Azure.

    Para mais detalhes, consulte as Notas de lançamento do COS.

    Detalhes técnicos

    Na CVE-2021-4154 (em inglês), um invasor pode explorar o parâmetro de chamada do sistema fsconfig para acionar um bug de uso após a liberação no kernel do Linux, resultando na implantação de privilégios de raiz. Esse é um ataque local de escalonamento de privilégios que levará a um rompimento de contêiner.

    A CVE-2021-22600 é uma exploração livre dupla em package_set_ring que pode levar a um escape de contêiner para o nó do host.

    Com a CVE-2022-0185 (link em inglês), um bug de heap overflow no legacy_parse_param() pode gerar uma gravação fora dos limites, o que causará uma falha do contêiner.

    Os usuários que ativaram manualmente o perfil seccomp de ambiente de execução padrão do contêiner nos clusters do GKE Standard também estão protegidos.

    O que devo fazer?

    As versões das imagens de nó do Linux para as versões a seguir do GKE no Azure foram atualizadas com código para corrigir essas vulnerabilidades. Faça upgrade dos clusters para a seguinte versão do GKE no Azure:

    • 1.21.6-gke.1500 e mais recentes (disponível em fevereiro)

    Qual vulnerabilidade é corrigida por esse patch?

    Alto

    GCP-2021-024

    Publicado : 21/10/2021
    Referência: CVE-2021-25742

    GKE

    Descrição Gravidade

    Um problema de segurança foi encontrado no controlador ingress-nginx do Kubernetes, CVE-2021-25742 (em inglês). Os snippets personalizados do ingress-nginx permitem a recuperação de tokens e secrets da conta de serviço no ingress-nginx em todos os namespaces.

    O que devo fazer?

    Esse problema de segurança não afeta seu cluster do GKE ou qualquer infraestrutura de cluster do GKE Enterprise. Se você usar ingress-nginx nas suas implantações de carga de trabalho, lembre-se desse problema de segurança. Consulte o problema ingress-nginx 7837 para ver mais detalhes.

    Nenhum

    Clusters do GKE no

    Descrição Gravidade

    Um problema de segurança foi encontrado no controlador ingress-nginx do Kubernetes, CVE-2021-25742 (em inglês). Os snippets personalizados do ingress-nginx permitem a recuperação de tokens e secrets da conta de serviço no ingress-nginx em todos os namespaces.

    O que devo fazer?

    Esse problema de segurança não afeta seu cluster do GKE ou qualquer infraestrutura de cluster do GKE Enterprise. Se você usar ingress-nginx nas suas implantações de carga de trabalho, lembre-se desse problema de segurança. Consulte o problema ingress-nginx 7837 para ver mais detalhes.

    Nenhum

    Clusters do GKE no

    Descrição Gravidade

    Um problema de segurança foi encontrado no controlador ingress-nginx do Kubernetes, CVE-2021-25742 (em inglês). Os snippets personalizados do ingress-nginx permitem a recuperação de tokens e secrets da conta de serviço no ingress-nginx em todos os namespaces.

    O que devo fazer?

    Esse problema de segurança não afeta seu cluster do GKE ou qualquer infraestrutura de cluster do GKE Enterprise. Se você usar ingress-nginx nas suas implantações de carga de trabalho, lembre-se desse problema de segurança. Consulte o problema ingress-nginx 7837 para ver mais detalhes.

    Nenhum

    Clusters do GKE no

    Descrição Gravidade

    Um problema de segurança foi encontrado no controlador ingress-nginx do Kubernetes, CVE-2021-25742 (em inglês). Os snippets personalizados do ingress-nginx permitem a recuperação de tokens e secrets da conta de serviço no ingress-nginx em todos os namespaces.

    O que devo fazer?

    Esse problema de segurança não afeta seu cluster do GKE ou qualquer infraestrutura de cluster do GKE Enterprise. Se você usar ingress-nginx nas suas implantações de carga de trabalho, lembre-se desse problema de segurança. Consulte o problema ingress-nginx 7837 para ver mais detalhes.

    None

    GCP-2021-019

    Data de publicação: 29/09/2021

    GKE

    Descrição Gravidade

    Há um problema conhecido em que a atualização de um recurso BackendConfig usando a API v1beta1 remove uma política de segurança ativa do Google Cloud Armor do Serviço.

    Meu ambiente foi afetado por essa vulnerabilidade?

    Se o BackendConfig já foi atualizado com a API v1beta1, a política de segurança do Google Cloud Armor pode ter sido removida. Para determinar se isso aconteceu, execute o seguinte comando:

    kubectl get backendconfigs -A -o json | \
    jq -r '.items[] | select(.spec.securityPolicy == {}) | .metadata | "\(.namespace)/\(.name)"'
    • Se a resposta retornar a saída: o cluster é afetado pelo problema. A saída desse comando retorna uma lista de recursos BackendConfig (<namespace>/<name>) que foram afetados pelo problema.
    • Se a saída estiver vazia: o BackendConfig não foi atualizado usando a API v1beta1 desde que o problema foi identificado. As atualizações futuras do BackendConfig precisam usar somente v1.

    Esse problema afeta as seguintes versões do GKE:

    • 1.18.19-gke.1400 a 1.18.20-gke.5100 (exclusivo)
    • 1.19.10-gke.700 a 1.19.14-gke.300 (exclusivo)
    • 1.20.6-gke.700 a 1.20.9-gke.900 (exclusivo)
    • 1.21 a 1.21.1-gke.2700 (exclusivo)

    Se você não configurar o Google Cloud Armor nos recursos de Entrada pelo BackendConfig, esse problema não afetará os clusters.

    O que fazer?

    Faça upgrade do plano de controle do GKE para uma das versões atualizadas a seguir que corrige esse problema e permite que os recursos v1beta1 BackendConfig sejam usados com segurança:

    • 1.21.1-gke.2700 e posterior
    • 1.20.9-gke.900 e posterior
    • 1.19.14-gke.300 e posterior
    • 1.18.20-gke.5100 e posterior

    Para evitar esse problema, evite a implantação de recursos v1beta1 BackendConfig. Se você configurou o Google Cloud Armor nos recursos do Ingress pelo BackendConfig e descobriu que foi afetado pelas etapas acima, reative o Google Cloud Armor enviando uma atualização à sua instância atual BackendConfig pela versão da API cloud.google.com/v1 .

    Para evitar esse problema, faça atualizações somente para o BackendConfig usando a API v1 BackendConfig.

    Como a BackendConfig da v1 é compatível com os mesmos campos que v1beta1 e não faz alterações interruptivas, o campo da API pode ser atualizado de forma transparente. Para fazer isso, substitua o campo apiVersion de qualquer manifesto BackendConfig ativo por cloud.google.com/v1 e faça não use cloud.google.com/v1beta1.

    O manifesto de amostra a seguir descreve um recurso BackendConfig que usa a API v1:

    apiVersion: cloud.google.com/v1
    kind: BackendConfig
    metadata:
      name: my-backend-config
    spec:
      securityPolicy:
        name: "ca-how-to-security-policy"
    

    Se você tiver sistemas ou ferramentas de CI/CD que atualizam regularmente os recursos do BackendConfig, verifique se você está usando o grupo de APIs cloud.google.com/v1 nesses sistemas

    Baixa

    GCP-2021-022

    Publicado : 23/09/2021

    Clusters do GKE no

    Descrição Severity

    Uma vulnerabilidade foi descoberta no serviço de identidade do GKE Enterprise (AIS) do GKE no VMware versões 1.8 e 1.8.1, em que um de seed usada para gerar chaves é previsível. Com essa vulnerabilidade, um usuário autenticado pode adicionar declarações arbitrárias e escalonar privilégios indefinidamente.

    Detalhes técnicos

    Uma adição recente ao código ACS cria chaves simétricas com o módulo de matemática/randa do golang, que não é adequado para códigos sensíveis à segurança. O módulo é usado de modo a gerar uma chave previsível. Durante a verificação de identidade, é gerada uma chave do serviço de token seguro (STS, na sigla em inglês) que, depois, é criptografada com uma chave simétrica simples de derivar.

    O que devo fazer?

    Essa vulnerabilidade só afeta clientes que usam AIS nos GKE no VMware versões 1.8 e 1.8.1. Para usuários do GKE no VMware 1.8, faça upgrade dos clusters para o seguinte versão:

    • 1.8.2
    Alto

    GCP-2021-021

    Publicado : 22/09/2021
    Referência: CVE-2020-8561

    GKE

    Descrição Gravidade

    Uma vulnerabilidade de segurança, CVE-2020-8561, foi descoberta no Kubernetes. Nela, é possível fazer determinados webhooks para redirecionar solicitações kube-apiserver para redes privadas desse servidor de API.

    Detalhes técnicos

    Com essa vulnerabilidade, os agentes que controlam as respostas de solicitações MutatingWebhookConfiguration ou ValidatingWebhookConfiguration são capazes de redirecionar solicitações kube-apiserver para redes privadas do servidor da API. Se esse usuário puder visualizar os registros kube-apiserver quando o nível de registro estiver definido como 10, ele poderá ver as respostas redirecionadas e os cabeçalhos nos registros.

    Esse problema pode ser atenuado alterando determinados parâmetros do servidor de API.

    O que fazer?

    Nenhuma ação é necessária no momento.

    As versões disponíveis do GKE e O GKE Enterprise implementou as mitigações a seguir que para proteger contra esse tipo de ataque:

    • A sinalização --profiling de kube-apiserver está definida como false.
    • O nível de registro kube-apiserver está definido abaixo de 10.

    Qual vulnerabilidade é corrigida por esse patch?

    <pCVE-2020-8561

    </p
    Médio

    Clusters do GKE no

    Descrição Gravidade

    Uma vulnerabilidade de segurança, CVE-2020-8561, foi descoberta no Kubernetes. Nela, é possível fazer determinados webhooks para redirecionar solicitações kube-apiserver para redes privadas desse servidor de API.

    Detalhes técnicos

    Com essa vulnerabilidade, os agentes que controlam as respostas de solicitações MutatingWebhookConfiguration ou ValidatingWebhookConfiguration são capazes de redirecionar solicitações kube-apiserver para redes privadas do servidor da API. Se esse usuário puder visualizar os registros kube-apiserver quando o nível de registro estiver definido como 10, ele poderá ver as respostas redirecionadas e os cabeçalhos nos registros.

    Esse problema pode ser atenuado alterando determinados parâmetros do servidor de API.

    O que fazer?

    Nenhuma ação é necessária no momento.

    As versões disponíveis do GKE e O GKE Enterprise implementou as mitigações a seguir que para proteger contra esse tipo de ataque:

    • A sinalização --profiling de kube-apiserver está definida como false.
    • O nível de registro kube-apiserver está definido abaixo de 10.

    Qual vulnerabilidade é corrigida por esse patch?

    <pCVE-2020-8561

    </p
    Médio

    Clusters do GKE no

    Descrição Gravidade

    Uma vulnerabilidade de segurança, CVE-2020-8561, foi descoberta no Kubernetes. Nela, é possível fazer determinados webhooks para redirecionar solicitações kube-apiserver para redes privadas desse servidor de API.

    Detalhes técnicos

    Com essa vulnerabilidade, os agentes que controlam as respostas de solicitações MutatingWebhookConfiguration ou ValidatingWebhookConfiguration são capazes de redirecionar solicitações kube-apiserver para redes privadas do servidor da API. Se esse usuário puder visualizar os registros kube-apiserver quando o nível de registro estiver definido como 10, ele poderá ver as respostas redirecionadas e os cabeçalhos nos registros.

    Esse problema pode ser atenuado alterando determinados parâmetros do servidor de API.

    O que fazer?

    Nenhuma ação é necessária no momento.

    As versões disponíveis do GKE e O GKE Enterprise implementou as mitigações a seguir que para proteger contra esse tipo de ataque:

    • A sinalização --profiling de kube-apiserver está definida como false.
    • O nível de registro kube-apiserver está definido abaixo de 10.

    Qual vulnerabilidade é corrigida por esse patch?

    <pCVE-2020-8561

    </p
    Médio

    Clusters do GKE no

    Descrição Gravidade

    Uma vulnerabilidade de segurança, CVE-2020-8561, foi descoberta no Kubernetes. Nela, é possível fazer determinados webhooks para redirecionar solicitações kube-apiserver para redes privadas desse servidor de API.

    Detalhes técnicos

    Com essa vulnerabilidade, os agentes que controlam as respostas de solicitações MutatingWebhookConfiguration ou ValidatingWebhookConfiguration são capazes de redirecionar solicitações kube-apiserver para redes privadas do servidor da API. Se esse usuário puder visualizar os registros kube-apiserver quando o nível de registro estiver definido como 10, ele poderá ver as respostas redirecionadas e os cabeçalhos nos registros.

    Esse problema pode ser atenuado alterando determinados parâmetros do servidor de API.

    O que fazer?

    Nenhuma ação é necessária no momento.

    As versões disponíveis do GKE e O GKE Enterprise implementou as mitigações a seguir que para proteger contra esse tipo de ataque:

    • A sinalização --profiling de kube-apiserver está definida como false.
    • O nível de registro kube-apiserver está definido abaixo de 10.

    Qual vulnerabilidade é corrigida por esse patch?

    <pCVE-2020-8561

    </p
    Médio

    GCP-2021-018

    Data de publicação: 15/09/2021
    Atualizado em: 24/09/2021
    Referência: CVE-2021-25741

    Atualização de 24/09/2021: boletim do GKE em Bare Metal atualizado com versões adicionais com patch.

    Atualização de 20/09/2021: avisos adicionados para o GKE em Bare Metal

    Atualização de 16/09/2021: avisos adicionados para o GKE no VMware


    GKE;

    Descrição Gravidade

    Foi descoberto recentemente um problema de segurança no Kubernetes, CVE-2021-25741, em que um usuário pode criar um contêiner com montagens de volume de subcaminho para acessar arquivos e diretórios fora do volume, incluindo no sistema de arquivos do host.

    Detalhes técnicos:

    No problema CVE-2021-25741, o invasor pode criar um link simbólico de um emptyDir montado que redireciona para o sistema de arquivos raiz do nó ( / ). O kubelet seguirá o link simbólico e montará a raiz do host no contêiner.

    O que fazer?

    Recomendamos que você faça upgrade dos pools de nós para uma das versões a seguir ou mais recente para aproveitar os patches mais recentes:

    • 1.21.4-gke.301
    • 1.20.10-gke.301
    • 1.19.14-gke.301
    • 1.18.20-gke.4501

    As seguintes versões também contêm a correção:

    • 1.21.3-gke.2001
    • 1.20.8-gke.2101
    • 1.20.9-gke.701
    • 1.20.9-gke.1001
    • 1.19.12-gke.2101
    • 1.19.13-gke.701
    • 1.18.20-gke.3001
    Alta

    Clusters do GKE no

    Descrição Gravidade

    Foi descoberto recentemente um problema de segurança no Kubernetes, CVE-2021-25741, em que um usuário pode criar um contêiner com montagens de volume de subcaminho para acessar arquivos e diretórios fora do volume, incluindo no sistema de arquivos do host.

    Detalhes técnicos:

    No problema CVE-2021-25741, o invasor pode criar um link simbólico de um emptyDir montado que redireciona para o sistema de arquivos raiz do nó ( / ). O kubelet seguirá o link simbólico e montará a raiz do host no contêiner.

    O que fazer?

    Atualizado em 24/09/2021: as versões com patch 1.8.3 e 1.7.4 já estão disponíveis.

    Atualizado em 17/09/2021: foi corrigida a lista de versões disponíveis que contêm o patch.


    As seguintes versões do GKE no VMware foram atualizadas com para corrigir essa vulnerabilidade. Faça upgrade dos seus clusters de administrador e de usuário para uma das seguintes versões:

    • 1.8.3
    • 1.8.2
    • 1.7.4
    • 1.6.5
    Alta

    Clusters do GKE no

    Descrição Gravidade

    Foi descoberto recentemente um problema de segurança no Kubernetes, CVE-2021-25741, em que um usuário pode criar um contêiner com montagens de volume de subcaminho para acessar arquivos e diretórios fora do volume, incluindo no sistema de arquivos do host.

    Detalhes técnicos:

    No problema CVE-2021-25741, o invasor pode criar um link simbólico de um emptyDir montado que redireciona para o sistema de arquivos raiz do nó ( / ). O kubelet seguirá o link simbólico e montará a raiz do host no contêiner.

    O que fazer?

    Atualização de 16/09/2021: adição da lista de versões gke compatíveis para objetos AWSCluster e AWSNodePool.


    As seguintes versões do GKE na AWS foram atualizadas com para corrigir essa vulnerabilidade. Nesse caso, recomendamos o seguinte:

    • Faça upgrade dos seus objetos AWSManagementService, AWSCluster e AWSNodePool para a seguinte versão:
      • 1.8.2
    • Atualize o gke-version dos objetos AWSCluster e AWSNodePool para uma das versões compatíveis do Kubernetes:
      • 1.17.17-gke.15800
      • 1.18.20-gke.4800
      • 1.19.14-gke.600
      • 1.20.10-gke.600
    Alta

    Clusters do GKE no

    Descrição Gravidade

    Foi descoberto recentemente um problema de segurança no Kubernetes, CVE-2021-25741, em que um usuário pode criar um contêiner com montagens de volume de subcaminho para acessar arquivos e diretórios fora do volume, incluindo no sistema de arquivos do host.

    Detalhes técnicos:

    No problema CVE-2021-25741, o invasor pode criar um link simbólico de um emptyDir montado que redireciona para o sistema de arquivos raiz do nó ( / ). O kubelet seguirá o link simbólico e montará a raiz do host no contêiner.

    O que devo fazer?

    As seguintes versões do GKE em Bare Metal foram atualizadas com código para corrigir essa vulnerabilidade. Faça upgrade dos seus clusters de administrador e de usuário para uma das seguintes versões:

    • 1.8.3
    • 1.7.4
    Alto

    GCP-2021-017

    Publicado : 01/09/2021
    Atualizado : 23/09/2021
    Referência: CVE-2021-33909
    CVE-2021-33910

    GKE

    Descrição Gravidade
    Atualização de 23/19/2021:

    Contêineres em execução dentro do GKE Sandbox não são afetados por essa vulnerabilidade em ataques originados dentro do contêiner.


    Atualização de 15/19/2021:

    As seguintes versões do GKE corrigem as vulnerabilidades:

    • 1.18.20-gke.4100
    • 1.19.13-gke.1900
    • 1.20.9-gke.1500
    • 1.21.3-gke.1400

    Duas vulnerabilidades de segurança, CVE-2021-33909 e CVE-2021-33910, foram descobertas no kernel do Linux que podem levar a uma falha no SO ou um escalonamento para a raiz por um usuário sem privilégios. Essa vulnerabilidade afeta todos os sistemas operacionais dos nós do GKE (COS e Ubuntu).

    Detalhes técnicos:

    Na CVE-2021-33909 (em inglês), a camada do sistema de arquivos do kernel do Linux não restringe corretamente as alocações de buffer seq, levando a um estouro de números inteiros, uma gravação fora dos limites e escalonamento para raiz
    Com a CVE-2021-33910, a systemd tem uma alocação de memória com um valor de tamanho excessivo (envolvendo strdupa e alloca para um pathname controlado por um invasor local que resulta em falha do sistema operacional.

    O que fazer?

    As versões de imagens de nó do Linux para as seguintes versões do GKE foram atualizadas com código para corrigir essa vulnerabilidade. Faça upgrade dos clusters para uma das seguintes versões:

    • 1.18.20-gke.4100
    • 1.19.13-gke.1900
    • 1.20.9-gke.1500
    • 1.21.3-gke.1400
    Alta

    Clusters do GKE no

    Descrição Gravidade

    Duas vulnerabilidades de segurança, CVE-2021-33909 e CVE-2021-33910, foram descobertas no kernel do Linux que podem levar a uma falha no SO ou um escalonamento para a raiz por um usuário sem privilégios. Essa vulnerabilidade afeta todos os sistemas operacionais dos nós do GKE (COS e Ubuntu).

    Detalhes técnicos:

    Na CVE-2021-33909 (em inglês), a camada do sistema de arquivos do kernel do Linux não restringe corretamente as alocações de buffer seq, levando a um estouro de números inteiros, uma gravação fora dos limites e escalonamento para raiz
    Com a CVE-2021-33910, a systemd tem uma alocação de memória com um valor de tamanho excessivo (envolvendo strdupa e alloca para um pathname controlado por um invasor local que resulta em falha do sistema operacional.

    O que devo fazer?

    As versões das imagens de nó do Linux para o GKE na AWS foram atualizadas com o código para corrigir essa vulnerabilidade. Faça upgrade dos clusters para uma das seguintes versões:

    • 1.20.10-gke.600
    • 1.19.14-gke.600
    • 1.18.20-gke.4800
    • 1.17.17-gke.15800
    Alta

    Clusters do GKE no

    Descrição Gravidade

    Duas vulnerabilidades de segurança, CVE-2021-33909 e CVE-2021-33910, foram descobertas no kernel do Linux que podem levar a uma falha no SO ou um escalonamento para a raiz por um usuário sem privilégios. Essa vulnerabilidade afeta todos os sistemas operacionais dos nós do GKE (COS e Ubuntu).

    Detalhes técnicos:

    Na CVE-2021-33909 (em inglês), a camada do sistema de arquivos do kernel do Linux não restringe corretamente as alocações de buffer seq, levando a um estouro de números inteiros, uma gravação fora dos limites e escalonamento para raiz
    Com a CVE-2021-33910, a systemd tem uma alocação de memória com um valor de tamanho excessivo (envolvendo strdupa e alloca para um pathname controlado por um invasor local que resulta em falha do sistema operacional.

    O que devo fazer?

    As versões das imagens de nó do Linux e do COS para o GKE no VMware foram atualizadas com o código para corrigir essa vulnerabilidade. Faça upgrade dos clusters para uma das seguintes versões:

    • 1.9
    • 1.8.2
    • 1.7.3
    • 1.6.4 (somente no Linux)

    Consulte Histórico de versões: Kubernetes e versões do kernel do nó.

    Alto

    GCP-2021-015

    Publicado : 13/07/2021
    Atualizado:15/07/2021
    Referência: CVE-2021-22555

    GKE

    Descrição Gravidade

    Foi descoberta uma nova vulnerabilidade de segurança, a CVE-2021-22555 (em inglês), em que um ator mal-intencionado com privilégios CAP_NET_ADMIN pode causar uma falha de root no contêiner. Essa vulnerabilidade afeta todos os clusters do GKE e GKE no VMware executando a versão 2.6.19 ou posterior do Linux.

    Detalhes técnicos

    Nesse ataque, uma gravação fora dos limites em setsockopt no subsistema netfilter no Linux pode permitir uma corrupção de heap (e, portanto, negação de serviço) e o escalonamento de privilégios.

    O que fazer?

    As seguintes versões do Linux no GKE foram atualizadas com código para corrigir essa vulnerabilidade. Faça upgrade dos clusters para uma das seguintes versões:

    • 1.21.1-gke.2200
    • 1.20.7-gke.2200
    • 1.19.11-gke.2100
    • 1.18.20-gke.501

    Qual vulnerabilidade é corrigida por esse patch?

    CVE-2021-22555

    Alta

    Clusters do GKE no

    Descrição Gravidade

    Foi descoberta uma nova vulnerabilidade de segurança, a CVE-2021-22555 (em inglês), em que um ator mal-intencionado com privilégios CAP_NET_ADMIN pode causar uma falha de root no contêiner. Essa vulnerabilidade afeta todos os clusters do GKE e GKE no VMware executando a versão 2.6.19 ou posterior do Linux.

    Detalhes técnicos

    Nesse ataque, uma gravação fora dos limites em setsockopt no subsistema netfilter no Linux pode permitir uma corrupção de heap (e, portanto, negação de serviço) e o escalonamento de privilégios.

    O que devo fazer?

    As seguintes versões do Linux no GKE no VMware foram atualizadas com o código para correção essa vulnerabilidade. Faça upgrade dos clusters para uma das seguintes versões:

    • 1.8
    • 1.7.3
    • 1.6.4

    Qual vulnerabilidade é corrigida por esse patch?

    CVE-2021-22555

    Alto

    GCP-2021-014

    Data de publicação: 05/07/2021
    Referência: CVE-2021-34527

    GKE

    Descrição Gravidade

    A Microsoft publicou um boletim de segurança sobre uma vulnerabilidade de execução remota de código (RCE, na sigla em inglês), CVE-2021-34527, que afeta o spooler de impressão nos servidores do Windows. O CERT Coordination Center (CERT/CC) publicou uma nota de atualização sobre uma vulnerabilidade relacionada, chamada de "Printnightmare", que também afeta os spoolers de impressão do Windows. Vulnerabilidade do Spooler de impressão crítica do Windows

    O que fazer?

    Nenhuma ação é necessária. Os nós do GKE no Windows não contêm o serviço Spooler afetado como parte da imagem base. Por isso, as implantações do GKE no Windows não estão vulneráveis a esse ataque.

    Quais vulnerabilidades são corrigidas por esse boletim?

    Alto

    GCP-2021-012

    Publicado : 01/07/2021
    Atualizado : 9/07/2021
    Referência: CVE-2021-34824

    GKE

    Descrição Gravidade

    O que fazer?

    Recentemente, o projeto Istio divulgou uma nova vulnerabilidade de segurança (CVE-2021-34824) que afeta o Istio. O Istio tem uma vulnerabilidade que pode ser explorada remotamente, em que é possível acessar as credenciais especificadas nos campos "gateway" e "DestinationRule "credentialName" de diferentes namespaces.

    Detalhes técnicos:

    O gateway seguro do Istio ou as cargas de trabalho que usam a DestinationRule podem carregar chaves privadas e certificados TLS com base em secrets do Kubernetes pela configuração credentialName. A partir do Istio 1.8, os secrets são lidos no istiod e transmitidos para gateways e cargas de trabalho pelo XDS.

    Normalmente, uma implantação de gateway ou carga de trabalho só consegue acessar certificados TLS e chaves privadas armazenadas no secret dentro do namespace. No entanto, um bug no istiod permite que um cliente autorizado acesse a API Istio XDS e recupere qualquer certificado TLS e chaves privadas armazenadas em cache em istiod.

    O que fazer?

    Por padrão, os clusters do GKE não executam o Istio e, quando ativados, usam a versão 1.6 do Istio, que não é vulnerável a esse ataque. Se você instalou ou fez upgrade do Istio no cluster para o Istio 1.8 ou posterior, faça upgrade do Istio para a versão compatível mais recente.

    Alta

    Clusters do GKE no

    Descrição Gravidade

    O que fazer?

    Recentemente, o projeto Istio divulgou uma nova vulnerabilidade de segurança (CVE-2021-34824) que afeta o Istio. O Istio tem uma vulnerabilidade que pode ser explorada remotamente, em que é possível acessar as credenciais especificadas nos campos "gateway" e "DestinationRule "credentialName" de diferentes namespaces.

    Detalhes técnicos:

    O gateway seguro do Istio ou as cargas de trabalho que usam a DestinationRule podem carregar chaves privadas e certificados TLS com base em secrets do Kubernetes pela configuração credentialName. A partir do Istio 1.8, os secrets são lidos no istiod e transmitidos para gateways e cargas de trabalho pelo XDS.

    Normalmente, uma implantação de gateway ou carga de trabalho só consegue acessar certificados TLS e chaves privadas armazenadas no secret dentro do namespace. No entanto, um bug no istiod permite que um cliente autorizado acesse a API Istio XDS e recupere qualquer certificado TLS e chaves privadas armazenadas em cache em istiod.

    O que fazer?

    Os clusters do Anthos no VMware v1.6 e v1.7 não são vulneráveis a esse ataque. Os clusters do Anthos no VMware v1.8 são vulneráveis.

    Se você estiver usando clusters do Anthos no VMware v1.8, faça upgrade para a seguinte versão com patch ou posterior:

    • 1.8.0-gke.25
    Alta

    Clusters do GKE no

    Descrição Gravidade

    O que fazer?

    Recentemente, o projeto Istio divulgou uma nova vulnerabilidade de segurança (CVE-2021-34824) que afeta o Istio. O Istio tem uma vulnerabilidade que pode ser explorada remotamente, em que é possível acessar as credenciais especificadas nos campos "gateway" e "DestinationRule "credentialName" de diferentes namespaces.

    Detalhes técnicos:

    O gateway seguro do Istio ou as cargas de trabalho que usam a DestinationRule podem carregar chaves privadas e certificados TLS com base em secrets do Kubernetes pela configuração credentialName. A partir do Istio 1.8, os secrets são lidos no istiod e transmitidos para gateways e cargas de trabalho pelo XDS.

    Normalmente, uma implantação de gateway ou carga de trabalho só consegue acessar certificados TLS e chaves privadas armazenadas no secret dentro do namespace. No entanto, um bug no istiod permite que um cliente autorizado acesse a API Istio XDS e recupere qualquer certificado TLS e chaves privadas armazenadas em cache em istiod. Os clusters criados ou atualizados com clusters do Anthos no bare metal v1.8.0 são afetados por essa CVE.

    O que fazer?

    O Anthos v1.6 e 1.7 não são vulneráveis a esse ataque. Se você tiver clusters v1.8.0, faça o download e instale a versão 1.8.1 do bmctl e faça upgrade dos clusters para a seguinte versão com patch:

    • 1.8.1
    Alto

    GCP-2021-011

    Data de publicação: 04/06/2021
    Atualizado em: 19/10/2021
    Referência: CVE-2021-30465

    Atualização de 19/10/2021: novos boletins sobre o GKE no VMware, GKE na AWS e GKE em Bare Metal.

    GKE;

    Descrição Gravidade

    A comunidade de segurança divulgou recentemente uma nova vulnerabilidade de segurança, a CVE-2021-30465, encontrada no runc e que tem o potencial de permitir acesso total a um sistema de arquivos de nós.

    Para o GKE, como a exploração dessa vulnerabilidade requer a capacidade de criar pods, classificamos a gravidade dessa vulnerabilidade como "MÉDIA".

    Detalhes técnicos

    O pacote runc é vulnerável a um ataque de troca de link simbólico ao montar um volume.

    Para esse ataque específico, um usuário pode explorar uma disputa ao iniciar vários pods em um único nó simultaneamente, todos com a mesma quantidade de volume com um link simbólico.

    Se o ataque for bem-sucedido, um dos pods ativará o sistema de arquivos do nó com permissões raiz.

    O que fazer?

    Há um patch recém-lançado para runc (1.0.0-rc95) que corrige essa vulnerabilidade.

    Faça upgrade do cluster do GKE para uma das versões atualizadas a seguir:

    • 1.18.19-gke.2100
    • 1.19.9-gke.1400
    • 1.20.6-gke.1400
    • 1.21.2-gke.600

    Médio

    Clusters do GKE no

    Descrição Gravidade

    A comunidade de segurança divulgou recentemente uma nova vulnerabilidade de segurança, a CVE-2021-30465, encontrada no runc e que tem o potencial de permitir acesso total a um sistema de arquivos de nós.

    Para o GKE no VMware, porque a exploração dessa vulnerabilidade requer a capacidade de criar pods, classificamos a gravidade dessa vulnerabilidade como MÉDIA.

    Detalhes técnicos

    O pacote runc é vulnerável a um ataque de troca de link simbólico ao montar um volume.

    Para esse ataque específico, um usuário pode explorar uma disputa ao iniciar vários pods em um único nó simultaneamente, todos com a mesma quantidade de volume com um link simbólico.

    Se o ataque for bem-sucedido, um dos pods ativará o sistema de arquivos do nó com permissões raiz.

    O que fazer?

    Há um patch recém-lançado a runc que corrige essa vulnerabilidade. Faça upgrade do GKE no VMware para uma das seguintes versões:

    • 1.7.3-gke-2
    • 1.8.1-gke.7
    • 1.9.0-gke.8

    Médio

    Clusters do GKE no

    Descrição Gravidade

    A comunidade de segurança divulgou recentemente uma nova vulnerabilidade de segurança, a CVE-2021-30465, encontrada no runc e que tem o potencial de permitir acesso total a um sistema de arquivos de nós.

    Como essa é uma vulnerabilidade no nível do SO, o GKE na AWS não é vulnerável.

    Detalhes técnicos

    O pacote runc é vulnerável a um ataque de troca de link simbólico ao montar um volume.

    Para esse ataque específico, um usuário pode explorar uma disputa ao iniciar vários pods em um único nó simultaneamente, todos com a mesma quantidade de volume com um link simbólico.

    Se o ataque for bem-sucedido, um dos pods ativará o sistema de arquivos do nó com permissões raiz.

    O que devo fazer?

    Verifique se a versão do SO em que você está executando o GKE na AWS é atualizado para a versão mais recente do SO que tem um pacote atualizado do runc.

    Nenhum

    Clusters do GKE no

    Descrição Gravidade

    A comunidade de segurança divulgou recentemente uma nova vulnerabilidade de segurança, a CVE-2021-30465, encontrada no runc e que tem o potencial de permitir acesso total a um sistema de arquivos de nós.

    Como essa é uma vulnerabilidade no nível do SO, o GKE em Bare Metal não é vulnerável.

    Detalhes técnicos

    O pacote runc é vulnerável a um ataque de troca de link simbólico ao montar um volume.

    Para esse ataque específico, um usuário pode explorar uma disputa ao iniciar vários pods em um único nó simultaneamente, todos com a mesma quantidade de volume com um link simbólico.

    Se o ataque for bem-sucedido, um dos pods ativará o sistema de arquivos do nó com permissões raiz.

    O que devo fazer?

    Verifique se a versão do SO em que você está executando o Google Distributed Cloud Virtual para Bare Metal é atualizado para a versão mais recente do SO que tem um pacote atualizado do runc.

    Nenhum

    GCP-2021-006

    Data de publicação: 11/05/2021
    Referência: CVE-2021-31920

    GKE

    Descrição Gravidade

    Recentemente, o projeto Istio divulgou uma nova vulnerabilidade de segurança (CVE-2021-31920) que afeta o Istio.

    O Istio tem uma vulnerabilidade que pode ser explorada remotamente, em que uma solicitação HTTP com várias barras ou caracteres de barra de escape pode ignorar a política de autorização do Istio quando regras de autorização com base em caminho forem usadas.

    O que fazer?

    É altamente recomendável atualizar e reconfigurar os clusters do GKE. É importante concluir as duas etapas abaixo para resolver a vulnerabilidade:

    1. Atualize os clusters: preencha as instruções a seguir para fazer o upgrade dos clusters para as versões de patch mais recentes assim que possível:
      • Se você estiver usando o Istio no GKE 1.6:

        A versão de lançamento mais recente do patch é 1.6.14-gke.3. Siga as instruções de upgrade para fazer upgrade dos clusters para a versão mais recente.

      • Se você estiver usando o Istio no GKE 1.4:
      • As versões do Istio no GKE 1.4 não são mais compatíveis com o Istio, e não oferecemos suporte a correções de CVE para essas versões. Siga as instruções de upgrade do Istio (em inglês) para fazer upgrade dos clusters para 1.6. Depois, siga as instruções acima para conseguir a versão mais recente do Istio no GKE 1.6.

    2. Configure o Istio:

      Depois que os clusters forem corrigidos, você precisará reconfigurar o Istio no GKE. Consulte o guia de práticas recomendadas de segurança para configurar corretamente o sistema.

    Alto

    GCP-2021-004

    Data de publicação: 06/05 2021
    Referência: CVE-2021-28683, CVE-2021-28682, CVE-2021-29258

    GKE

    Descrição Gravidade

    Os projetos do Envoy e do Istio recentemente anunciaram várias novas vulnerabilidades de segurança (CVE-2021-28683, CVE-2021-28682). e CVE-2021-29258, que permitem que um invasor cause uma falha no Envoy.

    Os clusters do GKE não executam o Istio por padrão e não são vulneráveis. Se o Istio tiver sido instalado em um cluster e configurado para expor serviços à Internet, esses serviços poderão ficar vulneráveis a ataques de negação de serviço.

    O que fazer?

    Para corrigir essas vulnerabilidades, faça upgrade do seu plano de controle do GKE para uma das seguintes versões com patch:

    • 1.16.15-gke.16200
    • 1.17.17-gke.6100
    • 1.18.17-gke.1300
    • 1.19.9-gke.1300
    • 1.20.5-gke.1400
    Médio

    Clusters do GKE no

    Descrição Gravidade

    Os projetos do Envoy e do Istio recentemente anunciaram várias novas vulnerabilidades de segurança (CVE-2021-28683, CVE-2021-28682). e CVE-2021-29258, que permitem que um invasor cause uma falha no Envoy.

    O GKE no VMware usa o Envoy por padrão para o Ingress. Portanto, os serviços de entrada podem ser vulneráveis à negação de serviço.

    O que devo fazer?

    Para corrigir essas vulnerabilidades, faça upgrade do GKE no VMware para uma das seguintes opções com o patch aplicado quando lançadas:

    • 1.5.4
    • 1.6.3
    • 1.7.1
    Médio

    Clusters do GKE no

    Atualizado em: 06/05/2021

    Descrição Gravidade

    Os projetos do Envoy e do Istio recentemente anunciaram várias novas vulnerabilidades de segurança (CVE-2021-28683, CVE-2021-28682). e CVE-2021-29258, que permitem que um invasor cause uma falha no Envoy.

    O Google Distributed Cloud Virtual para Bare Metal usa o Envoy por padrão para Entrada. Portanto, os serviços de entrada podem ficar vulneráveis à negação de serviço.

    O que devo fazer?

    Para corrigir essas vulnerabilidades, faça upgrade do seu cluster do Google Distributed Cloud Virtual para Bare Metal para um das seguintes versões com patch quando lançadas:

    • 1.6.3
    • 1.7.1
    Média

    GCP-2021-003

    Data de publicação: 19/04/2021
    Referência: CVE-2021-25735

    GKE

    Descrição Gravidade

    O projeto do Kubernetes anunciou recentemente uma nova vulnerabilidade de segurança, CVE-2021-25735, que permite que as atualizações de nó ignorem uma validação do webhook de admissão.

    Em um cenário em que um invasor tem privilégios suficientes e em que uma validação do webhook de admissão foi implementada que usa propriedades de objetos Node antigas (por exemplo, campos em Node.NodeSpec), o invasor pode atualizar propriedades de um nó que podem levar a um comprometimento do cluster. Nenhuma das políticas aplicadas pelos controladores de admissão integrados do GKE e do Kubernetes é afetada. No entanto, recomendamos que os clientes verifiquem os webhooks de admissão adicionais instalados.

    O que fazer?

    Para corrigir essa vulnerabilidade, faça o upgrade do cluster do GKE para uma das seguintes versões com patch:

    • 1.18.17-gke.900
    • 1.19.9-gke.900
    • 1.20.5-gke.900
    Médio

    Clusters do GKE no

    Descrição Gravidade

    O projeto do Kubernetes anunciou recentemente uma nova vulnerabilidade de segurança, CVE-2021-25735, que permite que as atualizações de nó ignorem uma validação do webhook de admissão.

    Em um cenário em que um invasor tem privilégios suficientes e em que uma validação do webhook de admissão foi implementada que usa propriedades de objetos Node antigas (por exemplo, campos em Node.NodeSpec), o invasor pode atualizar propriedades de um nó que podem levar a um comprometimento do cluster. Nenhuma das políticas aplicadas pelos controladores de admissão integrados do GKE e do Kubernetes é afetada. No entanto, recomendamos que os clientes verifiquem os webhooks de admissão adicionais instalados.

    O que fazer?

    Uma versão de patch futura incluirá uma mitigação dessa vulnerabilidade.

    Médio

    Clusters do GKE no

    Descrição Gravidade

    O projeto do Kubernetes anunciou recentemente uma nova vulnerabilidade de segurança, CVE-2021-25735, que permite que as atualizações de nó ignorem uma validação do webhook de admissão.

    Em um cenário em que um invasor tem privilégios suficientes e em que uma validação do webhook de admissão foi implementada que usa propriedades de objetos Node antigas (por exemplo, campos em Node.NodeSpec), o invasor pode atualizar propriedades de um nó que podem levar a um comprometimento do cluster. Nenhuma das políticas aplicadas pelos controladores de admissão integrados do GKE e do Kubernetes é afetada. No entanto, recomendamos que os clientes verifiquem os webhooks de admissão adicionais instalados.

    O que fazer?

    Uma versão de patch futura incluirá uma mitigação dessa vulnerabilidade.

    Médio

    Clusters do GKE no

    Descrição Gravidade

    O projeto do Kubernetes anunciou recentemente uma nova vulnerabilidade de segurança, CVE-2021-25735, que permite que as atualizações de nó ignorem uma validação do webhook de admissão.

    Em um cenário em que um invasor tem privilégios suficientes e em que uma validação do webhook de admissão foi implementada que usa propriedades de objetos Node antigas (por exemplo, campos em Node.NodeSpec), o invasor pode atualizar propriedades de um nó que podem levar a um comprometimento do cluster. Nenhuma das políticas aplicadas pelos controladores de admissão integrados do GKE e do Kubernetes é afetada. No entanto, recomendamos que os clientes verifiquem os webhooks de admissão adicionais instalados.

    O que fazer?

    Uma versão de patch futura incluirá uma mitigação dessa vulnerabilidade.

    Média

    GCP-2021-001

    Data de publicação: 28/01/2021
    Referência: CVE-2021-3156

    GKE

    Descrição Gravidade

    Uma vulnerabilidade foi descoberta recentemente no utilitário sudo do Linux, descrito em CVE-2021-3156, que pode permitir que um invasor com acesso shell local não privilegiado em um sistema com o sudo instalado encaminhe seus privilégios à raiz do sistema.

    Os clusters do Google Kubernetes Engine (GKE) não são afetados por esta vulnerabilidade:

    • Os usuários autorizados a nós SSH para GKE já são considerados altamente privilegiados e podem usar sudo para conseguir privilégios raiz desde a criação. A vulnerabilidade não produz mais caminhos de escalonamento de privilégios nesse cenário.
    • A maioria dos contêineres do sistema do GKE é criada com base em imagens de base distroless, que não têm um shell ou sudo instalados. Outras imagens são criadas de uma imagem base do Debian que não contém sudo. Mesmo que sudo esteja presente, o acesso a sudo no contêiner não dá acesso ao host devido ao limite do contêiner.

    O que fazer?

    Como os clusters do GKE não são afetados por essa vulnerabilidade, nenhuma outra ação é necessária.

    O GKE terá o patch dessa vulnerabilidade aplicado em uma próxima versão na cadência regular.

    Nenhum

    Clusters do GKE no

    Descrição Gravidade

    Uma vulnerabilidade foi descoberta recentemente no utilitário sudo do Linux, descrito em CVE-2021-3156, que pode permitir que um invasor com acesso shell local não privilegiado em um sistema com o sudo instalado encaminhe seus privilégios à raiz do sistema.

    O GKE no VMware não é afetado por essa vulnerabilidade:

    • Os usuários autorizados a usar SSH nos nós do GKE no VMware já são considerados são altamente privilegiados e podem usar sudo para receber privilégios raiz por padrão. A vulnerabilidade não produz mais caminhos de escalonamento de privilégios nesse cenário.
    • A maioria dos contêineres do sistema do GKE no VMware é criada imagens de base distroless que não têm um shell ou sudo instalado. Outras imagens são criadas de uma imagem base do Debian que não contém sudo. Mesmo que sudo esteja presente, o acesso a sudo no contêiner não concede acesso ao host devido ao limite do contêiner.

    O que devo fazer?

    Como os clusters do GKE no VMware não são afetados por essa vulnerabilidade, nenhum outro é necessária uma ação.

    O patch dessa vulnerabilidade no GKE no VMware será aplicado em uma versão futura em um ritmo regular.

    Nenhum

    Clusters do GKE no

    Descrição Gravidade

    Uma vulnerabilidade foi descoberta recentemente no utilitário sudo do Linux, descrito em CVE-2021-3156, que pode permitir que um invasor com acesso shell local não privilegiado em um sistema com o sudo instalado encaminhe seus privilégios à raiz do sistema.

    O GKE na AWS não é afetado por essa vulnerabilidade:

    • Os usuários autorizados a usar SSH no GKE em nós da AWS já são considerados são altamente privilegiados e podem usar sudo para receber privilégios raiz por padrão. A vulnerabilidade não produz mais caminhos de escalonamento de privilégios nesse cenário.
    • A maioria dos contêineres de sistema do GKE na AWS é criada imagens de base distroless que não têm um shell ou sudo instalado. Outras imagens são criadas de uma imagem base do Debian que não contém sudo. Mesmo que sudo esteja presente, o acesso a sudo no contêiner não concede acesso ao host devido ao limite do contêiner.

    O que devo fazer?

    Como os clusters do GKE na AWS não são afetados por essa vulnerabilidade, nenhum outro é necessária uma ação.

    O patch dessa vulnerabilidade no GKE na AWS será aplicado em uma versão futura em um ritmo regular.

    Nenhum

    Clusters do GKE no

    Descrição Gravidade

    Uma vulnerabilidade foi descoberta recentemente no utilitário sudo do Linux, descrito em CVE-2021-3156, que pode permitir que um invasor com acesso shell local não privilegiado em um sistema com o sudo instalado encaminhe seus privilégios à raiz do sistema.

    Os clusters do Google Distributed Cloud Virtual para Bare Metal não são afetados por esta vulnerabilidade:

    • Os usuários autorizados a usar SSH nos nós do Google Distributed Cloud Virtual para Bare Metal já são considerados são altamente privilegiados e podem usar sudo para receber privilégios raiz por padrão. A vulnerabilidade não produz mais caminhos de escalonamento de privilégios nesse cenário.
    • A maioria dos contêineres de sistema do Google Distributed Cloud Virtual para Bare Metal é criada imagens de base distroless que não têm um shell ou sudo instalado. Outras imagens são criadas de uma imagem base do Debian que não contém sudo. Mesmo que sudo esteja presente, o acesso a sudo no contêiner não concede acesso ao host devido ao limite do contêiner.

    O que devo fazer?

    Como os clusters do Google Distributed Cloud Virtual para Bare Metal não são afetados por essa vulnerabilidade, os é necessária uma ação.

    O Google Distributed Cloud Virtual para Bare Metal terá o patch dessa vulnerabilidade aplicado em uma versão futura em um ritmo regular.

    Nenhum

    GCP-2020-015

    Data de publicação: 07/12/2020
    Atualizado em: 22/12/2021
    Referência: CVE-2020-8554

    Atualização de 22/12/2021: usa gcloud beta em vez do comando gcloud.

    Atualização de 15/12/2021: mitigação adicional do GKE.

    GKE

    Descrição Gravidade
    Atualizado em 22/12/2021: o comando para o GKE na seção a seguir deve usar gcloud beta em vez do comando gcloud.
    gcloud beta container clusters update –no-enable-service-externalips
    

    Atualizado em 15/12/2021 No GKE, a mitigação a seguir foi aplicada disponíveis:
    1. A partir da versão 1.21 do GKE, os serviços com ExternalIPs serão bloqueados por um controlador de admissão DenyServiceExternalIPs ativado por padrão para novos clusters.
    2. Os clientes que fizerem o upgrade para a versão 1.21 do GKE poderão bloquear serviços com ExternalIPs usando o seguinte comando:
      gcloud container clusters update –no-enable-service-externalips
      

    Para mais informações, consulte Como aumentar a segurança do cluster.


    O projeto Kubernetes descobriu recentemente uma nova vulnerabilidade de segurança, CVE-2020-8554, que permite que um invasor que conseguiu permissões para criar um serviço do Kubernetes do tipo LoadBalancer ou ClusterIP intercepte o tráfego de rede proveniente de outros pods no cluster.

    Essa vulnerabilidade em si não concede permissões a um invasor para criar um serviço do Kubernetes.

    Todos os clusters do Google Kubernetes Engine (GKE) são afetados por essa vulnerabilidade.

    O que fazer?

    O Kubernetes pode precisar fazer alterações de design incompatíveis com versões anteriores em uma versão futura para lidar com a vulnerabilidade.

    Se muitos usuários compartilharem acesso ao cluster com permissões para criar serviços, como em um cluster multilocatário, considere aplicar uma mitigação nesse meio tempo. Por enquanto, a melhor abordagem para a mitigação é restringir o uso de ExternalIPs em um cluster. ExternalIPs não são um recurso frequentemente usado.

    Restrinja o uso de ExternalIPs em um cluster com um dos seguintes métodos:

    1. Use o GKE Enterprise Policy Controller ou Gatekeeper com esta modelo de restrição e aplicá-la. Por exemplo:
      # Only allow the creation of Services with no
      # ExternalIP or an ExternalIP of 203.0.113.1:
      
      apiVersion: constraints.gatekeeper.sh/v1beta1
      kind: K8sExternalIPs
      metadata:
        name: external-ips
      spec:
        match:
          kinds:
            - apiGroups: [""]
              kinds: ["Service"]
        parameters:
          allowedIPs:
            - "203.0.113.1"
      
    2. Ou instale um controlador de admissão para impedir o uso de ExternalIPs. O projeto do Kubernetes forneceu um controlador de admissão de amostra para essa tarefa.

    Como mencionado no Anúncio do Kubernetes, nenhuma mitigação é fornecida para os serviços do tipo LoadBalancer porque, por padrão, apenas usuários altamente privilegiados e componentes do sistema recebem a permissão container.services.updateStatus que é necessária para fazer uso dessa vulnerabilidade.

    Médio

    Clusters do GKE no

    Descrição Gravidade
    Atualizado em 22/12/2021: o comando para o GKE na seção a seguir deve usar gcloud beta em vez do comando gcloud.
    gcloud beta container clusters update –no-enable-service-externalips
    

    Atualizado em 15/12/2021 No GKE, a mitigação a seguir foi aplicada disponíveis:
    1. A partir da versão 1.21 do GKE, os serviços com ExternalIPs serão bloqueados por um controlador de admissão DenyServiceExternalIPs ativado por padrão para novos clusters.
    2. Os clientes que fizerem o upgrade para a versão 1.21 do GKE poderão bloquear serviços com ExternalIPs usando o seguinte comando:
      gcloud container clusters update –no-enable-service-externalips
      

    Para mais informações, consulte Como aumentar a segurança do cluster.


    O projeto Kubernetes descobriu recentemente uma nova vulnerabilidade de segurança, CVE-2020-8554, que permite que um invasor que conseguiu permissões para criar um serviço do Kubernetes do tipo LoadBalancer ou ClusterIP intercepte o tráfego de rede proveniente de outros pods no cluster.

    Essa vulnerabilidade em si não concede permissões a um invasor para criar um serviço do Kubernetes.

    Todos os GKEs no VMware são afetados por essa vulnerabilidade.

    O que devo fazer?

    O Kubernetes pode precisar fazer alterações de design incompatíveis com versões anteriores em uma versão futura para lidar com a vulnerabilidade.

    Se muitos usuários compartilharem acesso ao cluster com permissões para criar serviços, como em um cluster multilocatário, considere aplicar uma mitigação nesse meio tempo. Por enquanto, a melhor abordagem para a mitigação é restringir o uso de ExternalIPs em um cluster. ExternalIPs não são um recurso frequentemente usado.

    Restrinja o uso de ExternalIPs em um cluster com um dos seguintes métodos:

    1. Use o GKE Enterprise Policy Controller ou Gatekeeper com esta modelo de restrição e aplicá-la. Por exemplo:
      # Only allow the creation of Services with no
      # ExternalIP or an ExternalIP of 203.0.113.1:
      
      apiVersion: constraints.gatekeeper.sh/v1beta1
      kind: K8sExternalIPs
      metadata:
        name: external-ips
      spec:
        match:
          kinds:
            - apiGroups: [""]
              kinds: ["Service"]
        parameters:
          allowedIPs:
            - "203.0.113.1"
      
    2. Ou instale um controlador de admissão para impedir o uso de ExternalIPs. O projeto do Kubernetes forneceu um controlador de admissão de amostra para essa tarefa.

    Como mencionado no Anúncio do Kubernetes, nenhuma mitigação é fornecida para os serviços do tipo LoadBalancer porque, por padrão, apenas usuários altamente privilegiados e componentes do sistema recebem a permissão container.services.updateStatus que é necessária para fazer uso dessa vulnerabilidade.

    Médio

    Clusters do GKE no

    Descrição Gravidade
    Atualizado em 22/12/2021: o comando para o GKE na seção a seguir deve usar gcloud beta em vez do comando gcloud.
    gcloud beta container clusters update –no-enable-service-externalips
    

    Atualizado em 15/12/2021 No GKE, a mitigação a seguir foi aplicada disponíveis:
    1. A partir da versão 1.21 do GKE, os serviços com ExternalIPs serão bloqueados por um controlador de admissão DenyServiceExternalIPs ativado por padrão para novos clusters.
    2. Os clientes que fizerem o upgrade para a versão 1.21 do GKE poderão bloquear serviços com ExternalIPs usando o seguinte comando:
      gcloud container clusters update –no-enable-service-externalips
      

    Para mais informações, consulte Como aumentar a segurança do cluster.


    O projeto Kubernetes descobriu recentemente uma nova vulnerabilidade de segurança, CVE-2020-8554, que permite que um invasor que conseguiu permissões para criar um serviço do Kubernetes do tipo LoadBalancer ou ClusterIP intercepte o tráfego de rede proveniente de outros pods no cluster.

    Essa vulnerabilidade em si não concede permissões a um invasor para criar um serviço do Kubernetes.

    Todos os GKEs na AWS são afetados por essa vulnerabilidade.

    O que devo fazer?

    O Kubernetes pode precisar fazer alterações de design incompatíveis com versões anteriores em uma versão futura para lidar com a vulnerabilidade.

    Se muitos usuários compartilharem acesso ao cluster com permissões para criar serviços, como em um cluster multilocatário, considere aplicar uma mitigação nesse meio tempo. Por enquanto, a melhor abordagem para a mitigação é restringir o uso de ExternalIPs em um cluster. ExternalIPs não são um recurso frequentemente usado.

    Restrinja o uso de ExternalIPs em um cluster com um dos seguintes métodos:

    1. Use o GKE Enterprise Policy Controller ou Gatekeeper com esta modelo de restrição e aplicá-la. Por exemplo:
      # Only allow the creation of Services with no
      # ExternalIP or an ExternalIP of 203.0.113.1:
      
      apiVersion: constraints.gatekeeper.sh/v1beta1
      kind: K8sExternalIPs
      metadata:
        name: external-ips
      spec:
        match:
          kinds:
            - apiGroups: [""]
              kinds: ["Service"]
        parameters:
          allowedIPs:
            - "203.0.113.1"
      
    2. Ou instale um controlador de admissão para impedir o uso de ExternalIPs. O projeto do Kubernetes forneceu um controlador de admissão de amostra para essa tarefa.

    Como mencionado no Anúncio do Kubernetes, nenhuma mitigação é fornecida para os serviços do tipo LoadBalancer porque, por padrão, apenas usuários altamente privilegiados e componentes do sistema recebem a permissão container.services.updateStatus que é necessária para fazer uso dessa vulnerabilidade.

    Média

    GCP-2020-014

    Publicado em: 20/10/2020
    Referência: CVE-2020-8563, CVE-2020-8564, CVE-2020-8565, CVE-2020-8566

    GKE

    Atualizado em: 20/10/2020

    Descrição Gravidade

    Recentemente, o projeto do Kubernetes descobriu vários problemas que permitem a exposição de dados secretos quando as opções de registro detalhado estão ativadas. Os problemas são:

    • CVE-2020-8563: vazamentos de secret em registros para o provedor vSphere kube-controller-manager.
    • CVE-2020-8564: os secrets de configuração do Docker vazaram quando o arquivo estava malformado e com logLevel >= 4.
    • CVE-2020-8565: correção incompleta para CVE-2019-11250 no Kubernetes possibilita o vazamento de token nos registros com logLevel >= 9. Descoberto pela segurança do GKE.
    • CVE-2020-8566: adminSecrets do Ceph RBD expostos nos registros com logLevel >= 4.

    O GKE não é afetado.

    O que fazer?

    Nenhuma outra ação é necessária devido aos níveis de registro detalhado padrão do GKE.

    Nenhum

    Clusters do GKE no

    Atualizado em: 10/10/2020

    Descrição Gravidade

    Recentemente, o projeto do Kubernetes descobriu vários problemas que permitem a exposição de dados secretos quando as opções de registro detalhado estão ativadas. Os problemas são:

    • CVE-2020-8563: vazamentos de secret em registros para o provedor vSphere kube-controller-manager.
    • CVE-2020-8564: os secrets de configuração do Docker vazaram quando o arquivo estava malformado e com logLevel >= 4.
    • CVE-2020-8565: correção incompleta para CVE-2019-11250 no Kubernetes possibilita o vazamento de token nos registros com logLevel >= 9. Descoberto pela segurança do GKE.
    • CVE-2020-8566: adminSecrets do Ceph RBD expostos nos registros com logLevel >= 4.

    O GKE no VMware não é afetado.

    O que devo fazer?

    Nenhuma outra ação é necessária devido aos níveis de registro detalhado padrão do GKE.

    Nenhum

    Clusters do GKE no

    Atualizado em: 20/10/2020

    Descrição Gravidade

    Recentemente, o projeto do Kubernetes descobriu vários problemas que permitem a exposição de dados secretos quando as opções de registro detalhado estão ativadas. Os problemas são:

    • CVE-2020-8563: vazamentos de secret em registros para o provedor vSphere kube-controller-manager.
    • CVE-2020-8564: os secrets de configuração do Docker vazaram quando o arquivo estava malformado e com logLevel >= 4.
    • CVE-2020-8565: correção incompleta para CVE-2019-11250 no Kubernetes possibilita o vazamento de token nos registros com logLevel >= 9. Descoberto pela segurança do GKE.
    • CVE-2020-8566: adminSecrets do Ceph RBD expostos nos registros com logLevel >= 4.

    O GKE na AWS não foi afetado.

    O que fazer?

    Nenhuma outra ação é necessária devido aos níveis de registro detalhado padrão do GKE.

    None

    GCP-2020-012

    Publicado em: 14/09/2020
    Referência: CVE-2020-14386

    GKE

    Descrição Gravidade

    Uma vulnerabilidade foi descoberta recentemente no kernel do Linux, descrita em CVE-2020-14386, que permite que os escapes de contêineres recebam privilégios raiz no nó do host.

    Essa vulnerabilidade afeta todos os nós do GKE. Os pods em execução no GKE Sandbox não são afetados por essa vulnerabilidade.

    O que fazer?

    Para corrigir essa vulnerabilidade, faça upgrade do plano de controle e, depois, faça upgrade dos nós para uma das versões com patch listadas abaixo:

    • 1.14.10-gke.50
    • 1.15.12-gke.20
    • 1.16.13-gke.401
    • 1.17.9-gke.1504
    • 1.18.6-gke.3504

    O uso dessa vulnerabilidade requer CAP_NET_RAW, mas poucos ontêineres geralmente exigem CAP_NET_RAW. Este e outros recursos avançados precisam ser bloqueados por padrão usando PodSecurityPolicy ou o Policy Controller:

    Reduza a capacidade de CAP_NET_RAW dos contêineres com um dos seguintes métodos:

    • Aplicar o bloqueio desses recursos com o PodSecurityPolicy Por exemplo:
          # Require dropping CAP_NET_RAW with a PSP
          apiversion: extensions/v1beta1
          kind: PodSecurityPolicy
          metadata:
            name: no-cap-net-raw
          spec:
            requiredDropCapabilities:
              -NET_RAW
               ...
               # Unrelated fields omitted
    • Ou então, use o Policy Controller ou o Gatekeeper com restrição modelo e aplicá-lo, por exemplo:
          # Dropping CAP_NET_RAW with Gatekeeper
          # (requires the K8sPSPCapabilities template)
          apiversion: constraints.gatekeeper.sh/v1beta1
          kind:  K8sPSPCapabilities
          metadata:
            name: forbid-cap-net-raw
          spec:
            match:
              kinds:
                - apiGroups: [""]
                kinds: ["Pod"]
              namespaces:
                #List of namespaces to enforce this constraint on
                - default
              # If running gatekeeper >= v3.1.0-beta.5,
              # you can exclude namespaces rather than including them above.
              excludedNamespaces:
                - kube-system
            parameters:
              requiredDropCapabilities:
                - "NET_RAW"
    • Ou atualizando as especificações do pod:
          # Dropping CAP_NET_RAW from a Pod:
          apiVersion: v1
          kind: Pod
          metadata:
            name: no-cap-net-raw
          spec:
            containers:
              -name: my-container
               ...
              securityContext:
                capabilities:
                  drop:
                    -NET_RAW
    .

    Qual vulnerabilidade é corrigida por esse patch?

    O patch reduz os riscos da seguinte vulnerabilidade:

    A vulnerabilidade CVE-2020-14386, que permite que os contêineres com CAP_NET_RAW gravem de 1 a 10 bytes de memória do kernel. Isso também permite fazer o escape do contêiner e receber privilégios de raiz no nó do host. Isso é classificado como uma vulnerabilidade de alta gravidade.

    Alta

    Clusters do GKE no

    Atualizado em: 17/09/2020

    Descrição Gravidade

    Uma vulnerabilidade foi descoberta recentemente no kernel do Linux, descrita em CVE-2020-14386, que permite que os escapes de contêineres recebam privilégios raiz no nó do host.

    Todos os nós do GKE no VMware são afetados.

    O que devo fazer?

    Para corrigir essa vulnerabilidade, faça upgrade do cluster para uma versão com patch. As próximas versões do {gke_on_prem_name}} conterão a correção da vulnerabilidade, e este boletim será atualizado quando elas estiverem disponíveis:

    • GKE no VMware 1.4.3, agora disponível.
    • GKE no VMware 1.3.4, agora disponível.

    O uso dessa vulnerabilidade requer CAP_NET_RAW, mas poucos ontêineres geralmente exigem CAP_NET_RAW. Este e outros recursos avançados precisam ser bloqueados por padrão usando PodSecurityPolicy ou o Policy Controller:

    Reduza a capacidade de CAP_NET_RAW dos contêineres com um dos seguintes métodos:

    • Aplicar o bloqueio desses recursos com o PodSecurityPolicy Por exemplo:
          # Require dropping CAP_NET_RAW with a PSP
          apiversion: extensions/v1beta1
          kind: PodSecurityPolicy
          metadata:
            name: no-cap-net-raw
          spec:
            requiredDropCapabilities:
              -NET_RAW
               ...
               # Unrelated fields omitted
    • Ou então, use o Policy Controller ou o Gatekeeper com restrição modelo e aplicá-lo, por exemplo:
          # Dropping CAP_NET_RAW with Gatekeeper
          # (requires the K8sPSPCapabilities template)
          apiversion: constraints.gatekeeper.sh/v1beta1
          kind:  K8sPSPCapabilities
          metadata:
            name: forbid-cap-net-raw
          spec:
            match:
              kinds:
                - apiGroups: [""]
                kinds: ["Pod"]
              namespaces:
                #List of namespaces to enforce this constraint on
                - default
              # If running gatekeeper >= v3.1.0-beta.5,
              # you can exclude namespaces rather than including them above.
              excludedNamespaces:
                - kube-system
            parameters:
              requiredDropCapabilities:
                - "NET_RAW"
    • Ou atualizando as especificações do pod:
          # Dropping CAP_NET_RAW from a Pod:
          apiVersion: v1
          kind: Pod
          metadata:
            name: no-cap-net-raw
          spec:
            containers:
              -name: my-container
               ...
              securityContext:
                capabilities:
                  drop:
                    -NET_RAW

    Qual vulnerabilidade é corrigida por esse patch?

    O patch reduz os riscos da seguinte vulnerabilidade:

    A vulnerabilidade CVE-2020-14386, que permite que os contêineres com CAP_NET_RAW gravem de 1 a 10 bytes de memória do kernel. Isso também permite fazer o escape do contêiner e receber privilégios de raiz no nó do host. Isso é classificado como uma vulnerabilidade de alta gravidade.

    Alta

    Clusters do GKE no

    Atualizado em: 13/10/2020

    Descrição Gravidade

    Uma vulnerabilidade foi descoberta recentemente no kernel do Linux, descrita em CVE-2020-14386, que permite que os escapes de contêineres recebam privilégios raiz no nó do host.

    Todos os nós do GKE nos nós da AWS são afetados.

    O que devo fazer?

    Para corrigir essa vulnerabilidade, faça upgrade do serviço de gerenciamento e dos clusters do usuário para uma versão com patch. As próximas versões do GKE na AWS ou mais recentes incluirão a correção para essa vulnerabilidade. Este boletim será atualizado quando estiverem disponíveis:

    • 1.5.0-gke.6
    • 1.4.3-gke.7

    Reduza a capacidade de CAP_NET_RAW dos contêineres com um dos seguintes métodos:

    • Aplicar o bloqueio desses recursos com o PodSecurityPolicy Por exemplo:
          # Require dropping CAP_NET_RAW with a PSP
          apiversion: extensions/v1beta1
          kind: PodSecurityPolicy
          metadata:
            name: no-cap-net-raw
          spec:
            requiredDropCapabilities:
              -NET_RAW
               ...
               # Unrelated fields omitted
    • Ou então, use o Policy Controller ou o Gatekeeper com restrição modelo e aplicá-lo, por exemplo:
          # Dropping CAP_NET_RAW with Gatekeeper
          # (requires the K8sPSPCapabilities template)
          apiversion: constraints.gatekeeper.sh/v1beta1
          kind:  K8sPSPCapabilities
          metadata:
            name: forbid-cap-net-raw
          spec:
            match:
              kinds:
                - apiGroups: [""]
                kinds: ["Pod"]
              namespaces:
                #List of namespaces to enforce this constraint on
                - default
              # If running gatekeeper >= v3.1.0-beta.5,
              # you can exclude namespaces rather than including them above.
              excludedNamespaces:
                - kube-system
            parameters:
              requiredDropCapabilities:
                - "NET_RAW"
    • Ou atualizando as especificações do pod:
          # Dropping CAP_NET_RAW from a Pod:
          apiVersion: v1
          kind: Pod
          metadata:
            name: no-cap-net-raw
          spec:
            containers:
              -name: my-container
               ...
              securityContext:
                capabilities:
                  drop:
                    -NET_RAW

    Qual vulnerabilidade é corrigida por esse patch?

    O patch reduz os riscos da seguinte vulnerabilidade:

    A vulnerabilidade CVE-2020-14386, que permite que os contêineres com CAP_NET_RAW gravem de 1 a 10 bytes de memória do kernel. Isso também permite fazer o escape do contêiner e receber privilégios de raiz no nó do host. Isso é classificado como uma vulnerabilidade de alta gravidade.

    Alto

    GCP-2020-011

    Publicado em: 2020-07-24
    Referência: CVE-2020-8558

    GKE

    Descrição Gravidade

    Uma vulnerabilidade de rede, CVE-2020-8558 (em inglês), foi descoberta recentemente no Kubernetes. Às vezes, os serviços se comunicam com outros aplicativos em execução no mesmo pod usando a interface de loopback local (127.0.0.1). Essa vulnerabilidade permite que um invasor com acesso à rede do cluster envie tráfego para a interface de loopback de pods e nós adjacentes. Os serviços que dependem da interface de loopback e não são acessados fora do pod podem ser explorados.

    A exploração dessa vulnerabilidade nos clusters do GKE requer que um invasor tenha privilégios de administrador de rede no Google Cloud que hospede a VPC do cluster. Por si só, essa vulnerabilidade não concede privilégios de administrador de rede a invasores. Por esse motivo, essa vulnerabilidade recebeu uma gravidade baixa no GKE.

    O que fazer?

    Para corrigir essa vulnerabilidade, faça upgrade dos pools de nós do cluster para as seguintes versões do GKE (e posteriores):

    • 1.17.7-gke.0
    • 1.16.11-gke.0
    • 1.16.10-gke.11
    • 1.16.9-gke.14

    Qual vulnerabilidade é corrigida por esse patch?

    Esse patch corrige a seguinte vulnerabilidade: CVE-2020-8558 (em inglês).

    Baixo

    Clusters do GKE no

    Descrição Gravidade

    Uma vulnerabilidade de rede, CVE-2020-8558 (em inglês), foi descoberta recentemente no Kubernetes. Às vezes, os serviços se comunicam com outros aplicativos em execução no mesmo pod usando a interface de loopback local (127.0.0.1). Essa vulnerabilidade permite que um invasor com acesso à rede do cluster envie tráfego para a interface de loopback de pods e nós adjacentes. Os serviços que dependem da interface de loopback e não são acessados fora do pod podem ser explorados.

    O que fazer?

    Para corrigir essa vulnerabilidade, faça upgrade do cluster para uma versão com patch. As próximas versões do GKE no VMware ou mais recentes contêm a correção para esta vulnerabilidade:

    • GKE no VMware 1.4.1

    Qual vulnerabilidade é corrigida por esse patch?

    Esse patch corrige a seguinte vulnerabilidade: CVE-2020-8558.

    Médio

    Clusters do GKE no

    Descrição Gravidade

    Uma vulnerabilidade de rede, CVE-2020-8558 (em inglês), foi descoberta recentemente no Kubernetes. Às vezes, os serviços se comunicam com outros aplicativos em execução no mesmo pod usando a interface de loopback local (127.0.0.1). Essa vulnerabilidade permite que um invasor com acesso à rede do cluster envie tráfego para a interface de loopback de pods e nós adjacentes. Os serviços que dependem da interface de loopback e não são acessados fora do pod podem ser explorados.

    A exploração dessa vulnerabilidade nos clusters de usuário requer que um invasor desative verificações de destino de origem nas instâncias do EC2 no cluster. Isso exige que o invasor tenha permissões do IAM da AWS para ModifyInstanceAttribute ou ModifyNetworkInterfaceAttribute nas instâncias do EC2. Por esse motivo, essa vulnerabilidade recebeu uma GKE na AWS.

    O que devo fazer?

    Para corrigir essa vulnerabilidade, faça upgrade do cluster para uma versão com patch. As próximas versões do GKE na AWS ou mais recentes precisam incluir a correção para essa vulnerabilidade:

    • GKE na AWS 1.4.1-gke.17

    Qual vulnerabilidade é corrigida por esse patch?

    Esse patch corrige a seguinte vulnerabilidade: CVE-2020-8558 (em inglês).

    Baixa

    GCP-2020-009

    Publicado em: 15/07/2020
    Referência: CVE-2020-8559

    GKE

    Descrição Gravidade

    Uma vulnerabilidade de escalonamento de privilégios, CVE-2020-8559 (em inglês), foi descoberta recentemente no Kubernetes. Essa vulnerabilidade permite que um invasor que já tenha comprometido um nó execute um comando em qualquer pod do cluster. Dessa forma, o invasor pode usar o nó já afetado para comprometer outros nós e, possivelmente, ler informações ou causar ações destrutivas.

    Para que um invasor explore essa vulnerabilidade, é preciso que um nó do cluster já tenha sido comprometido. Essa vulnerabilidade, por si só, não comprometerá os nós do cluster.

    O que fazer?

    Faça upgrade do cluster para uma versão com patch. Os clusters serão atualizados automaticamente nas próximas semanas, e as versões com patch estarão disponíveis até 19 de julho de 2020 para uma programação acelerada por upgrade manual. As seguintes versões do plano de controle do GKE ou mais recentes contêm a correção dessa vulnerabilidade:

    • v1.14.10-gke.46
    • v1.15.12-gke.8
    • v1.16.9-gke.11
    • v1.16.10-gke.9
    • v1.16.11-gke.3+
    • v1.17.7-gke.6+

    Qual vulnerabilidade é corrigida por esse patch?

    Esses patches mitigam a vulnerabilidade CVE-2020-8559. Isso é classificado como uma vulnerabilidade média do GKE, porque exige que o invasor tenha informações em primeira mão sobre o cluster, os nós e as cargas de trabalho para aproveitar esse ataque de forma eficaz, além de um nó comprometido. Essa vulnerabilidade sozinha não fornece um nó comprometido a um invasor.

    Médio

    Clusters do GKE no

    Descrição Gravidade

    Uma vulnerabilidade de escalonamento de privilégios, CVE-2020-8559 (em inglês), foi descoberta recentemente no Kubernetes. Essa vulnerabilidade permite que um invasor que já tenha comprometido um nó execute um comando em qualquer pod do cluster. Dessa forma, o invasor pode usar o nó já afetado para comprometer outros nós e, possivelmente, ler informações ou causar ações destrutivas.

    Para que um invasor explore essa vulnerabilidade, é preciso que um nó do cluster já tenha sido comprometido. Essa vulnerabilidade, por si só, não comprometerá os nós do cluster.

    O que fazer?

    Faça upgrade do cluster para uma versão com patch. Confira a seguir o próximo GKE no VMware ou mais recentes contêm a correção para essa vulnerabilidade:

    • Anthos 1.3.3
    • Anthos 1.4.1

    Qual vulnerabilidade é corrigida por esse patch?

    Esses patches mitigam a vulnerabilidade CVE-2020-8559. Isso é classificado como uma vulnerabilidade média do GKE, porque exige que o invasor tenha informações em primeira mão sobre o cluster, os nós e as cargas de trabalho para aproveitar esse ataque de forma eficaz, além de um nó comprometido. Essa vulnerabilidade sozinha não fornece um nó comprometido a um invasor.

    Médio

    Clusters do GKE no

    Descrição Gravidade

    Uma vulnerabilidade de escalonamento de privilégios, CVE-2020-8559 (em inglês), foi descoberta recentemente no Kubernetes. Essa vulnerabilidade permite que um invasor que já tenha comprometido um nó execute um comando em qualquer pod do cluster. Dessa forma, o invasor pode usar o nó já afetado para comprometer outros nós e, possivelmente, ler informações ou causar ações destrutivas.

    Para que um invasor explore essa vulnerabilidade, é preciso que um nó do cluster já tenha sido comprometido. Essa vulnerabilidade, por si só, não comprometerá os nós do cluster.

    O que fazer?

    O GKE na AWS GA (1.4.1, disponível no final de julho de 2020) ou mais recente inclui o patch para essa vulnerabilidade. Se você estiver usando uma versão anterior, faça o download de uma nova versão da ferramenta de linha de comando anthos-gke e recrie seus clusters de gerenciamento e usuário.

    Qual vulnerabilidade é corrigida por esse patch?

    Esses patches mitigam a vulnerabilidade CVE-2020-8559. Isso é classificado como uma vulnerabilidade média do GKE, porque exige que o invasor tenha informações em primeira mão sobre o cluster, os nós e as cargas de trabalho para aproveitar esse ataque de forma eficaz, além de um nó comprometido. Essa vulnerabilidade sozinha não fornece um nó comprometido a um invasor.

    Média

    GCP-2020-007

    Publicado em: 01/06/2020
    Referência: CVE-2020-8555

    GKE

    Descrição Gravidade

    A vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF, na sigla em inglês) CVE-2020-8555 foi descoberta recentemente no Kubernetes. Ela permite que determinados usuários autorizados vazem até 500 bytes de informações confidenciais da rede do host do plano de controle. O plano de controle do Google Kubernetes Engine (GKE) usa os controladores do Kubernetes e, portanto, foi afetado por essa vulnerabilidade. Recomendamos que você faça o upgrade do plano de controle para a última versão do patch, como detalhamos a seguir. Não é necessário fazer upgrade do nó.

    O que fazer?

    Para quase todos os clientes, nenhuma ação é necessária. A grande maioria dos clusters já executa uma versão com o patch. As seguintes versões do GKE ou superiores contêm a solução para essa vulnerabilidade:
    • 1.14.7-gke.39
    • 1.14.8-gke.32
    • 1.14.9-gke.17
    • 1.14.10-gke.12
    • 1.15.7-gke.17
    • 1.16.4-gke.21
    • 1.17.0-gke.0

    Os clusters que usam canais de lançamento já estão nas versões do plano de controle com a mitigação.

    Qual vulnerabilidade é corrigida pelo patch?

    Esses patches mitigam a vulnerabilidade CVE-2020-8555. Ela é classificada como uma vulnerabilidade de gravidade média para o GKE, porque era difícil explorá-la já que havia várias medidas de aumento de proteção do plano de controle.

    Um invasor com permissões para criar um pod com determinados tipos de volume integrado (GlusterFS, Quobyte, StorageFS e ScaleIO) ou permissões para criar um StorageClass pode fazer com que kube-controller-manager crie solicitações GET ou POST sem um corpo de solicitação controlado pelo invasor na rede do host do mestre. Esses tipos de volume raramente são usados no GKE, então uma nova utilização deles pode ser um sinal útil para detectar problemas.

    Combinado com um meio de vazar os resultados de GET/POST para o invasor, como por meio de registros, essa vulnerabilidade pode levar à divulgação de informações confidenciais. Atualizamos os drivers de armazenamento em questão para remover a possibilidade desses vazamentos acontecerem.

    Médio

    Clusters do GKE no

    Descrição Gravidade

    A vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF, na sigla em inglês) CVE-2020-8555 foi descoberta recentemente no Kubernetes. Ela permite que determinados usuários autorizados vazem até 500 bytes de informações confidenciais da rede do host do plano de controle. O plano de controle do Google Kubernetes Engine (GKE) usa os controladores do Kubernetes e, portanto, foi afetado por essa vulnerabilidade. Recomendamos que você faça o upgrade do plano de controle para a versão mais recente do patch, conforme detalhado abaixo. Não é necessário fazer upgrade do nó.

    O que devo fazer?

    As seguintes versões do GKE no VMware ou mais recentes contêm a correção para esta vulnerabilidade:

    • Anthos 1.3.0

    Se você estiver usando uma versão anterior, faça upgrade do cluster atual para uma versão que contenha a correção.

    Qual vulnerabilidade é corrigida por esse patch?

    Esses patches mitigam a vulnerabilidade CVE-2020-8555. Ela é classificada como uma vulnerabilidade de gravidade média para o GKE, porque era difícil explorá-la já que havia várias medidas de aumento de proteção do plano de controle.

    Um invasor com permissões para criar um pod com determinados tipos de volume integrado (GlusterFS, Quobyte, StorageFS e ScaleIO) ou permissões para criar um StorageClass pode fazer com que kube-controller-manager crie solicitações GET ou POST sem um corpo de solicitação controlado pelo invasor na rede do host do mestre. Esses tipos de volume raramente são usados no GKE, então uma nova utilização deles pode ser um sinal útil para detectar problemas.

    Combinado com um meio de vazar os resultados de GET/POST para o invasor, como por meio de registros, essa vulnerabilidade pode levar à divulgação de informações confidenciais. Atualizamos os drivers de armazenamento em questão para remover a possibilidade desses vazamentos acontecerem.

    Médio

    Clusters do GKE no

    Descrição Gravidade

    A vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF, na sigla em inglês) CVE-2020-8555 foi descoberta recentemente no Kubernetes. Ela permite que determinados usuários autorizados vazem até 500 bytes de informações confidenciais da rede do host do plano de controle. O plano de controle do Google Kubernetes Engine (GKE) usa os controladores do Kubernetes e, portanto, foi afetado por essa vulnerabilidade. Recomendamos que você faça o upgrade do plano de controle para a versão mais recente do patch, conforme detalhado abaixo. Não é necessário fazer upgrade do nó.

    O que fazer?

    O GKE v0.2.0 na AWS ou mais recente já inclui o patch para essa vulnerabilidade. Se você estiver usando uma versão anterior, faça o download de uma nova versão da ferramenta de linha de comando anthos-gke e recrie seus clusters de gerenciamento e usuário.

    Qual vulnerabilidade é corrigida por esse patch?

    Esses patches mitigam a vulnerabilidade CVE-2020-8555. Ela é classificada como uma vulnerabilidade de gravidade média para o GKE, porque era difícil explorá-la já que havia várias medidas de aumento de proteção do plano de controle.

    Um invasor com permissões para criar um pod com determinados tipos de volume integrado (GlusterFS, Quobyte, StorageFS e ScaleIO) ou permissões para criar um StorageClass pode fazer com que kube-controller-manager crie solicitações GET ou POST sem um corpo de solicitação controlado pelo invasor na rede do host do mestre. Esses tipos de volume raramente são usados no GKE, então uma nova utilização deles pode ser um sinal útil para detectar problemas.

    Combinado com um meio de vazar os resultados de GET/POST para o invasor, como por meio de registros, essa vulnerabilidade pode levar à divulgação de informações confidenciais. Atualizamos os drivers de armazenamento em questão para remover a possibilidade desses vazamentos acontecerem.

    Média

    GCP-2020-006

    Publicado em: 01/062020
    Referência: problema 91507 do Kubernetes

    GKE

    Descrição Gravidade

    O Kubernetes divulgou uma vulnerabilidade que permite que um contêiner com privilégios redirecione o tráfego do nó para outro contêiner. O tráfego TLS/SSH mútuo, como entre o kubelet e o servidor da API, e o tráfego de aplicativos que usam mTLS não podem ser lidos ou modificados por esse ataque. Todos os nós do Google Kubernetes Engine (GKE) afetadas por essa vulnerabilidade. Recomendamos que você fazer upgrade para para a versão mais recente do patch, conforme detalhado abaixo.

    O que devo fazer?

    Para mitigar essa vulnerabilidade, faça o upgrade do seu plano de controle e dos seus nós para uma das versões com patch listadas a seguir. Os clusters nos canais de lançamento já estão executando uma versão com patch no plano de controle e nos nós:
    • 1.14.10-gke.36
    • 1.15.11-gke.15
    • 1.16.8-gke.15

    Em geral, pouquíssimos contêineres exigem CAP_NET_RAW. Essa e outras capacidades poderosas deveriam estar bloqueadas por padrão pela PodSecurityPolicy ou o Policy Controller do Anthos:

    Reduza a capacidade de CAP_NET_RAW dos contêineres com um dos seguintes métodos:

    • Aplicar o bloqueio desses recursos com o PodSecurityPolicy Por exemplo:
          # Require dropping CAP_NET_RAW with a PSP
          apiversion: extensions/v1beta1
          kind: PodSecurityPolicy
          metadata:
            name: no-cap-net-raw
          spec:
            requiredDropCapabilities:
              -NET_RAW
               ...
               # Unrelated fields omitted
    • Ou então, use o Policy Controller ou o Gatekeeper com restrição modelo e aplicá-lo, por exemplo:
          # Dropping CAP_NET_RAW with Gatekeeper
          # (requires the K8sPSPCapabilities template)
          apiversion: constraints.gatekeeper.sh/v1beta1
          kind:  K8sPSPCapabilities
          metadata:
            name: forbid-cap-net-raw
          spec:
            match:
              kinds:
                - apiGroups: [""]
                kinds: ["Pod"]
              namespaces:
                #List of namespaces to enforce this constraint on
                - default
              # If running gatekeeper >= v3.1.0-beta.5,
              # you can exclude namespaces rather than including them above.
              excludedNamespaces:
                - kube-system
            parameters:
              requiredDropCapabilities:
                - "NET_RAW"
    • Ou atualizando as especificações do pod:
          # Dropping CAP_NET_RAW from a Pod:
          apiVersion: v1
          kind: Pod
          metadata:
            name: no-cap-net-raw
          spec:
            containers:
              -name: my-container
               ...
              securityContext:
                capabilities:
                  drop:
                    -NET_RAW

    Qual vulnerabilidade é corrigida por esse patch?

    O patch mitiga a seguinte vulnerabilidade:

    A vulnerabilidade descrita na capacidade CAP_NET_RAW do problema 91507 do Kubernetes (que está incluída no conjunto de capacidades de contêiner padrão) que envolve configurar de forma mal-intencionada a pilha do IPv6 no nó e redirecionar o tráfego do nó para o contêiner controlado pelo invasor. Isso permite que o invasor intercepte/modifique o tráfego que se origina do nó ou se destina a ele. O tráfego mútuo TLS/SSH, como entre o kubelet e o servidor da API, ou o tráfego de aplicativos que usam mTLS não pode ser lido ou modificado por essa invasão.

    Médio

    Clusters do GKE no

    Descrição Gravidade

    O Kubernetes divulgou uma vulnerabilidade que permite que um contêiner com privilégios redirecione o tráfego do nó para outro contêiner. O tráfego TLS/SSH mútuo, como entre o kubelet e o servidor da API, e o tráfego de aplicativos que usam mTLS não podem ser lidos ou modificados por esse ataque. Todos os nós do Google Kubernetes Engine (GKE) afetadas por essa vulnerabilidade. Recomendamos que você fazer upgrade para para a versão mais recente do patch, conforme detalhado abaixo.

    O que devo fazer?

    Para reduzir essa vulnerabilidade do GKE no VMware, fazer upgrade dos clusters para a seguinte versão ou mais recente:
    • Anthos 1.3.2

    Em geral, pouquíssimos contêineres exigem CAP_NET_RAW. Esse e outros recursos avançados precisam ser bloqueados, por padrão, usando o Anthos Policy Controller ou atualizando as especificações de pod:

    Reduza a capacidade de CAP_NET_RAW dos contêineres com um dos seguintes métodos:

    • Aplicar o bloqueio desses recursos com o PodSecurityPolicy Por exemplo:
          # Require dropping CAP_NET_RAW with a PSP
          apiversion: extensions/v1beta1
          kind: PodSecurityPolicy
          metadata:
            name: no-cap-net-raw
          spec:
            requiredDropCapabilities:
              -NET_RAW
               ...
               # Unrelated fields omitted
    • Ou então, use o Policy Controller ou o Gatekeeper com restrição modelo e aplicá-lo, por exemplo:
          # Dropping CAP_NET_RAW with Gatekeeper
          # (requires the K8sPSPCapabilities template)
          apiversion: constraints.gatekeeper.sh/v1beta1
          kind:  K8sPSPCapabilities
          metadata:
            name: forbid-cap-net-raw
          spec:
            match:
              kinds:
                - apiGroups: [""]
                kinds: ["Pod"]
              namespaces:
                #List of namespaces to enforce this constraint on
                - default
              # If running gatekeeper >= v3.1.0-beta.5,
              # you can exclude namespaces rather than including them above.
              excludedNamespaces:
                - kube-system
            parameters:
              requiredDropCapabilities:
                - "NET_RAW"
    • Ou atualizando as especificações do pod:
          # Dropping CAP_NET_RAW from a Pod:
          apiVersion: v1
          kind: Pod
          metadata:
            name: no-cap-net-raw
          spec:
            containers:
              -name: my-container
               ...
              securityContext:
                capabilities:
                  drop:
                    -NET_RAW

    Qual vulnerabilidade é corrigida por esse patch?

    O patch mitiga a seguinte vulnerabilidade:

    A vulnerabilidade descrita na capacidade CAP_NET_RAW do problema 91507 do Kubernetes (que está incluída no conjunto de capacidades de contêiner padrão) que envolve configurar de forma mal-intencionada a pilha do IPv6 no nó e redirecionar o tráfego do nó para o contêiner controlado pelo invasor. Isso permite que o invasor intercepte/modifique o tráfego que se origina do nó ou se destina a ele. O tráfego mútuo TLS/SSH, como entre o kubelet e o servidor da API, ou o tráfego de aplicativos que usam mTLS não pode ser lido ou modificado por essa invasão.

    Médio

    Clusters do GKE no

    Descrição Gravidade

    O Kubernetes divulgou uma vulnerabilidade que permite que um contêiner com privilégios redirecione o tráfego do nó para outro contêiner. O tráfego TLS/SSH mútuo, como entre o kubelet e o servidor da API, e o tráfego de aplicativos que usam mTLS não podem ser lidos ou modificados por esse ataque. Todos os nós do Google Kubernetes Engine (GKE) afetadas por essa vulnerabilidade. Recomendamos que você fazer upgrade para para a versão mais recente do patch, conforme detalhado abaixo.

    O que devo fazer?

    Faça o download da ferramenta de linha de comando anthos-gke com a seguinte versão ou mais recente e crie novamente os clusters de gerenciamento e usuário:

    • aws-0.2.1-gke.7

    Em geral, pouquíssimos contêineres exigem CAP_NET_RAW. Esse e outros recursos avançados precisam ser bloqueados, por padrão, usando o Anthos Policy Controller ou atualizando as especificações de pod:

    Reduza a capacidade de CAP_NET_RAW dos contêineres com um dos seguintes métodos:

    • Aplicar o bloqueio desses recursos com o PodSecurityPolicy Por exemplo:
          # Require dropping CAP_NET_RAW with a PSP
          apiversion: extensions/v1beta1
          kind: PodSecurityPolicy
          metadata:
            name: no-cap-net-raw
          spec:
            requiredDropCapabilities:
              -NET_RAW
               ...
               # Unrelated fields omitted
    • Ou então, use o Policy Controller ou o Gatekeeper com restrição modelo e aplicá-lo, por exemplo:
          # Dropping CAP_NET_RAW with Gatekeeper
          # (requires the K8sPSPCapabilities template)
          apiversion: constraints.gatekeeper.sh/v1beta1
          kind:  K8sPSPCapabilities
          metadata:
            name: forbid-cap-net-raw
          spec:
            match:
              kinds:
                - apiGroups: [""]
                kinds: ["Pod"]
              namespaces:
                #List of namespaces to enforce this constraint on
                - default
              # If running gatekeeper >= v3.1.0-beta.5,
              # you can exclude namespaces rather than including them above.
              excludedNamespaces:
                - kube-system
            parameters:
              requiredDropCapabilities:
                - "NET_RAW"
    • Ou atualizando as especificações do pod:
          # Dropping CAP_NET_RAW from a Pod:
          apiVersion: v1
          kind: Pod
          metadata:
            name: no-cap-net-raw
          spec:
            containers:
              -name: my-container
               ...
              securityContext:
                capabilities:
                  drop:
                    -NET_RAW

    Qual vulnerabilidade é corrigida por esse patch?

    O patch mitiga a seguinte vulnerabilidade:

    A vulnerabilidade descrita na capacidade CAP_NET_RAW do problema 91507 do Kubernetes (que está incluída no conjunto de capacidades de contêiner padrão) que envolve configurar de forma mal-intencionada a pilha do IPv6 no nó e redirecionar o tráfego do nó para o contêiner controlado pelo invasor. Isso permite que o invasor intercepte/modifique o tráfego que se origina do nó ou se destina a ele. O tráfego mútuo TLS/SSH, como entre o kubelet e o servidor da API, ou o tráfego de aplicativos que usam mTLS não pode ser lido ou modificado por essa invasão.

    Média

    GCP-2020-005

    Publicado em: 07/052020
    Atualizado em: 07/05/2020
    Referência: CVE-2020-8835

    GKE

    Descrição Gravidade

    Uma vulnerabilidade foi recentemente descoberta no kernel do Linux, descrita em CVE-2020-8835 (em inglês), permitindo que o escape de contêiner receba privilégios de raiz no nó do host.

    Os nós do Ubuntu do Google Kubernetes Engine executando a versão 1.16 ou 1.17 do GKE foram afetados por essa vulnerabilidade. Recomendamos que você faça upgrade para a versão de patch mais recente assim que possível, conforme detalhado abaixo.

    Os nós executando o SO otimizado para contêineres não foram afetados. Nós em execução no GKE no VMware não são afetadas.

    O que devo fazer?

    Para a maioria dos clientes, nenhuma outra ação é necessária. Apenas os nós executando o Ubuntu na versão 1.16 ou 1.17 do GKE foram afetados.

    Para fazer upgrade dos seus nós, primeiro você precisa fazer o upgrade do mestre para a versão mais recente. Esse patch será disponibilizado nestas versões do Kubernetes: 1.16.8-gke.12, 1.17.4-gke.10 e lançamentos posteriores. Acompanhe a disponibilidade dos patches nas notas de lançamento.

    Qual vulnerabilidade é corrigida por esse patch?

    O patch reduz os riscos da seguinte vulnerabilidade:

    A CVE-2020-8835 (em inglês) descreve uma vulnerabilidade na versão 5.5.0 e posteriores do kernel do Linux, que permite que um contêiner mal-intencionado (com interação mínima do usuário na forma de um exec) leia e grave na memória do kernel e consiga a execução do código no nível da raiz do nó do host. Isso é classificado como uma vulnerabilidade de alto nível de gravidade.

    Alto

    GCP-2020-004

    Publicado em: 07/05/2020
    Atualizado em: 07-05-2020
    Referência: CVE-2019-11254

    Clusters do GKE no

    Descrição Gravidade

    Uma vulnerabilidade foi descoberta no Kubernetes recentemente, descrita em CVE-2019-11254 (em inglês). Ela permite que qualquer usuário autorizado a fazer solicitações POST execute um ataque remoto de negação de serviço em um servidor da API Kubernetes. O Comitê de Segurança de Produto (PSC, na sigla em inglês) do Kubernetes divulgou mais informações sobre essa vulnerabilidade. Para saber mais, acesse-as aqui (em inglês).

    É possível mitigar essa vulnerabilidade limitando os clientes que têm acesso à rede dos servidores da API Kubernetes.

    O que fazer?

    Recomendamos fazer upgrade de seus clusters para corrigir versões que contenham a correção dessa vulnerabilidade assim que estiverem disponíveis.

    Veja abaixo as versões de patch que solucionam o problema:

    • Anthos 1.3.0, que executa o Kubernetes versão 1.15.7-gke.32

    Quais vulnerabilidades são corrigidas por esse patch?

    A de negação de serviço (DoS) a seguir:

    CVE-2019-11254 (em inglês).

    Média

    GCP-2020-003

    Publicado em: 31/03/2020
    Atualizado em: 31/03/2020
    Referência: CVE-2019-11254

    GKE

    Descrição Gravidade

    Uma vulnerabilidade foi descoberta no Kubernetes recentemente, descrita em CVE-2019-11254 (em inglês). Ela permite que qualquer usuário autorizado a fazer solicitações POST execute um ataque remoto de negação de serviço em um servidor da API Kubernetes. O Comitê de Segurança de Produto (PSC, na sigla em inglês) do Kubernetes divulgou mais informações sobre essa vulnerabilidade. Para saber mais, acesse-as aqui (em inglês).

    Os clusters do GKE que usam redes mestras autorizadas e clusters privados sem endpoint público reduzem essa vulnerabilidade.

    O que fazer?

    Recomendamos que você faça o upgrade do seu cluster para uma versão de patch com a correção da vulnerabilidade.

    Veja abaixo as versões de patch que solucionam o problema:

    • 1.13.12-gke.29
    • 1.14.9-gke.27
    • 1.14.10-gke.24
    • 1.15.9-gke.20
    • 1.16.6-gke.1

    Quais vulnerabilidades são corrigidas por esse patch?

    A de negação de serviço (DoS) a seguir:

    CVE-2019-11254 (em inglês).

    Média

    GCP-2020-002

    Publicado : 23/03/2020
    Atualizado:23/03/2020
    Referência: CVE-2020-8551, CVE-2020-8552

    GKE

    Descrição Gravidade

    O Kubernetes divulgou duas vulnerabilidades de negação de serviço (em inglês), uma com impacto no servidor de API e outra no Kubelets. Para mais detalhes, veja os seguintes problemas do Kubernetes: 89377 e 89378 (ambos em inglês).

    O que fazer?

    Todos os usuários do GKE estão protegidos contra a CVE-2020-8551, a menos que usuários que não sejam de confiança possam enviar solicitações dentro da rede interna dos clusters. Além disso, o uso das redes mestras autorizadas reduz a CVE-2020-8552.

    Quando essas vulnerabilidades serão corrigidas?

    Os patches para a CVE-2020-8551 exigem um upgrade de nó. Abaixo, as versões de patch que mitigam o problema:

    • 1.15.10-gke.*
    • 1.16.7-gke.*

    Os patches para a CVE-2020-8552 exigem o upgrade de um mestre. Abaixo, as versões de patch que mitigam o problema:

    • 1.14.10-gke.32
    • 1.15.10-gke.*
    • 1.16.7-gke.*
    Médio

    GCP-january_21_2020

    Publicado em: 21/01/2020
    Atualizado em: 24/01/2020
    Referência: CVE-2019-11254

    GKE

    Descrição Gravidade

    Atualização de 24/01/2020: o processo de disponibilização de versões com patch está sendo realizado e será concluído em 25 de janeiro de 2020.


    A Microsoft divulgou uma vulnerabilidade na Windows CryptoAPI e em sua validação de assinaturas de curva elíptica. Para mais informações, consulte o anúncio da Microsoft.

    O que fazer?

    Para a maioria dos clientes, nenhuma outra ação é necessária. Somente os nós com Windows Server em execução são afetados.

    Nesse caso, para reduzir a vulnerabilidade, é necessário atualizar os nós e as cargas de trabalho em contêineres executadas neles para as versões com patch.

    Para atualizar os contêineres:

    É necessário recriá-los. Para isso, use as imagens de contêiner de base mais recentes da Microsoft selecionando uma tag de servercore ou nanoserver (páginas em inglês) que tenha o valor "1/14/2020" ou posterior em "LastUpdated Time".

    Para atualizar os nós:

    O processo de disponibilização de versões com patch está sendo realizado e será concluído em 24 de janeiro de 2020.

    Faça o upgrade dos nós para uma versão de patch do GKE ou use o Windows Update para implantar manualmente o patch mais recente do Windows a qualquer momento.

    Abaixo, as versões de patch que incluem a mitigação:

    • 1.14.7-gke.40
    • 1.14.8-gke.33
    • 1.14.9-gke.23
    • 1.14.10-gke.17
    • 1.15.7-gke.23
    • 1.16.4-gke.22

    Quais vulnerabilidades são corrigidas por esse patch?

    O patch reduz as vulnerabilidades a seguir:

    CVE-2020-0601 (em inglês): também conhecida como Vulnerabilidade de spoofing da Windows CryptoAPI. Usada para fazer executáveis maliciosos parecerem confiáveis ou permitir que o invasor realize ataques "man-in-the-middle" e descriptografe informações confidenciais nas conexões TLS com o software afetado.

    Pontuação base do NVD: 8,1 (alta)

    Boletins de segurança arquivados

    Para boletins de segurança anteriores a 2020, consulte o Arquivo de boletins de segurança.