In questa pagina sono descritti tutti i bollettini sulla sicurezza per i prodotti seguenti:
- Google Kubernetes Engine (GKE)
- Google Distributed Cloud (solo software) su VMware
- GKE su AWS
- GKE su Azure
- Google Distributed Cloud (solo software) on bare metal
Spesso le vulnerabilità vengono mantenute segrete sotto embargo finché le parti interessate non hanno avuto la possibilità di affrontarle. In questi casi, le note di rilascio del prodotto faranno riferimento agli "aggiornamenti della sicurezza " fino a quando l'embargo non sarà stato revocato. A quel punto le note verranno aggiornate per riflettere la vulnerabilità affrontata dalla patch.
Quando GKE pubblica un bollettino sulla sicurezza direttamente correlato alla configurazione o alla versione del tuo cluster, potremmo inviarti una notifica del cluster SecurityBulletinEvent
che fornisce informazioni sulla vulnerabilità e sulle azioni che puoi intraprendere, se applicabile. Per informazioni sulla configurazione delle notifiche dei cluster, consulta Notifiche dei cluster.
Per ulteriori informazioni su come Google gestisce le vulnerabilità e le patch di sicurezza per GKE e GKE Enterprise, consulta Applicazione di patch di sicurezza.
Le piattaforme GKE e GKE Enterprise non utilizzano componenti
come ingress-nginx
e il runtime del container CRI-O e non sono interessate
da eventuali vulnerabilità in questi componenti. Se installi componenti da
altre origini, fai riferimento agli aggiornamenti della sicurezza e ai consigli sulle patch di questi
componenti all'origine.
Utilizza questo feed XML per iscriverti ai bollettini sulla sicurezza per questa pagina.
GCP-2024-041
Pubblicato: 08-07-2024
Riferimento:
CVE-2023-52654, CVE-2023-52656
GKE
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Sono interessati i cluster GKE Standard e Autopilot. I cluster che utilizzano GKE Sandbox non sono interessati. Che cosa devo fare?Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi di Container-Optimized OS a una delle seguenti versioni di patch o a una versione successiva:
Puoi applicare versioni patch da canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità consente di proteggere i nodi fino a quando la versione della patch non diventa quella predefinita nel canale di rilascio. Per maggiori dettagli, consulta Eseguire le versioni delle patch da un canale più recente. |
Alta |
GDC (VMware)
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare? |
In attesa |
GKE su AWS
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare? |
In attesa |
GKE su Azure
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare? |
In attesa |
GDC (bare metal)
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare?Non sono necessarie ulteriori azioni. Il software GDC per bare metal non è interessato perché non include un sistema operativo nella sua distribuzione. |
Nessuna |
GCP-2024-040
Data di pubblicazione: 01/07/2024
Ultimo aggiornamento: 11/07/2024
Riferimento:
CVE-2024-6387
Aggiornamento dell'11/07/2024: sono state aggiunte le versioni patch per il software GDC per VMware, GKE su AWS e GKE su Azure.
Aggiornamento 03/07/2024: sono state aggiunte le versioni patch per GKE
Aggiornamenti 2024-07-02:
- È stato chiarito che i cluster Autopilot sono interessati e che richiederanno l'azione dell'utente.
- Sono state aggiunte valutazioni dell'impatto e passaggi di mitigazione per GDC (VMware), GKE su AWS e GKE su Azure.
- È stato corretto il bollettino sulla sicurezza GDC (bare metal) per chiarire che la GDC (bare metal) non è direttamente interessata e che i clienti devono verificare le patch con i fornitori dei sistemi operativi.
GKE
Ultimo aggiornamento: 03/07/2024
Descrizione | Gravità |
---|---|
Aggiornamento 03/07/2024: è in corso un'implementazione rapida che dovrebbe rendere disponibili nuove versioni delle patch in tutte le zone entro il 3 luglio 2024 alle 17:00 (ora legale del Pacifico - USA). Per ricevere una notifica non appena è disponibile una patch per il tuo cluster specifico, utilizza notifiche cluster. Aggiornamento 02/07/2024: questa vulnerabilità interessa sia i cluster in modalità Autopilot sia quelli in modalità Standard. Ogni sezione che segue ti indicherà le modalità a cui si applica. Di recente è stata scoperta una vulnerabilità di esecuzione di codice remoto, CVE-2024-6387 in OpenSSH. La vulnerabilità sfrutta una race condition che potrebbe essere utilizzata per ottenere l'accesso a una shell remota, consentendo ai malintenzionati di ottenere l'accesso root ai nodi GKE. Al momento della pubblicazione, lo sfruttamento è ritenuto difficile e richiede diverse ore per ogni macchina attaccata. Non siamo a conoscenza di tentativi di sfruttamento. Tutte le versioni supportate di Container Optimized OS e delle immagini Ubuntu su GKE eseguono versioni di OpenSSH vulnerabili a questo problema. I cluster GKE con indirizzi IP dei nodi pubblici e SSH esposti a internet devono essere trattati con la massima priorità per la mitigazione. Il piano di controllo GKE non è vulnerabile a questo problema. Che cosa devo fare?Aggiornamento 03/07/2024: versioni patch per GKEÈ in corso un'implementazione rapida e si prevede che le nuove versioni delle patch saranno disponibili in tutte le zone entro il 3 luglio 2024 alle 17:00 (ora legale del Pacifico - UTC-7). L'upgrade dei cluster e dei nodi in cui è abilitato l'upgrade automatico inizierà nel corso della settimana; tuttavia, a causa della gravità della vulnerabilità, consigliamo di eseguire l'upgrade manualmente come segue per ottenere le patch il più rapidamente possibile. Sia per i cluster Autopilot che per quelli Standard, esegui l'upgrade del piano di controllo a una versione con patch. Inoltre, per i cluster in modalità Standard, esegui l'upgrade dei pool di nodi a una versione con patch. I cluster Autopilot inizieranno a eseguire l'upgrade dei nodi in modo che corrispondano alla versione del piano di controllo il prima possibile. Le versioni GKE con patch sono disponibili per ogni versione supportata al fine di ridurre al minimo le modifiche necessarie per applicare la patch. Il numero di versione di ogni nuova versione è un incremento della cifra finale nel numero di versione di una versione esistente corrispondente. Ad esempio, se utilizzi 1.27.14-gke.1100000, eseguirai l'upgrade a 1.27.14-gke.1100002 per ottenere la correzione con la modifica più piccola possibile. Sono disponibili le seguenti versioni GKE con patch:
Per verificare se una patch è disponibile nella zona o nella regione del cluster, esegui questo comando: gcloud container get-server-config --location=
Sostituisci Aggiornamento 02/07/2024: è necessario eseguire l'upgrade dei cluster in modalità Autopilot e Standard il prima possibile dopo che le versioni patch saranno disponibili. Il prima possibile sarà disponibile una versione GKE con patch che include un OpenSSH aggiornato. Questo bollettino verrà aggiornato quando saranno disponibili le patch. Per ricevere una notifica Pub/Sub quando è disponibile una patch per il tuo canale, abilita le notifiche del cluster. Ti consigliamo di seguire i passaggi riportati di seguito per verificare l'esposizione del cluster e di applicare le mitigazioni descritte, se necessario. Determina se i nodi hanno indirizzi IP pubbliciAggiornamento 2/07/2024: questa sezione si applica sia ai cluster Autopilot che di quelli Standard. Se viene creato un cluster con
gcloud container clusters describe $CLUSTER_NAME \ --format="value(privateClusterConfig.enablePrivateNodes)" Se il valore restituito è True, tutti i nodi sono nodi privati per questo cluster e la vulnerabilità è mitigata. Se il valore è vuoto o false, continua per applicare una delle mitigazioni nelle sezioni seguenti. Per trovare tutti i cluster creati originariamente con nodi pubblici, utilizza questa query di Cloud Asset Inventory nel progetto o nell'organizzazione: SELECT resource.data.name AS cluster_name, resource.parent AS project_name, resource.data.privateClusterConfig.enablePrivateNodes FROM `container_googleapis_com_Cluster` WHERE resource.data.privateClusterConfig.enablePrivateNodes is null OR resource.data.privateClusterConfig.enablePrivateNodes = false Non consentire l'accesso SSH ai nodi del clusterAggiornamento 2/07/2024: questa sezione si applica sia ai cluster Autopilot che di quelli Standard. La rete predefinita è precompilata con una regola firewall
Se hai creato altre regole firewall che potrebbero consentire l'accesso tramite SSH tramite TCP sulla porta 22, disabilitale o limita gli IP di origine alle reti attendibili. Verifica di non poter più eseguire l'accesso tramite SSH ai nodi del cluster da internet. Questa configurazione del firewall attenua la vulnerabilità. Converti i pool di nodi pubblici in privatiAggiornamento 2/07/2024: per i cluster Autopilot creati originariamente come cluster pubblici, puoi posizionare i carichi di lavoro su nodi privati utilizzando nodeSelector. Tuttavia, i nodi Autopilot che eseguono carichi di lavoro di sistema su cluster creati originariamente come cluster pubblici saranno ancora nodi pubblici e dovrebbero essere protetti utilizzando le modifiche del firewall descritte nella sezione precedente. Per proteggere al meglio i cluster creati originariamente con nodi pubblici, consigliamo prima di non consentire l'accesso SSH attraverso il firewall, come già descritto. Se non puoi impedire l'uso di SSH tramite le regole firewall, puoi convertire i pool di nodi pubblici sui cluster GKE Standard in privati seguendo queste indicazioni per isolare i pool di nodi. Modifica configurazione SSHDAggiornamento 02/07/2024: questa sezione si applica solo ai cluster standard. Ai carichi di lavoro Autopilot non è consentito modificare la configurazione del nodo. Se nessuna di queste mitigazioni può essere applicata, abbiamo anche pubblicato un daemonset che imposta SSHD |
Critico |
GDC (VMware)
Ultimo aggiornamento: 11/07/2024
Descrizione | Gravità |
---|---|
Aggiornamento dell'11/07/2024: le seguenti versioni del software GDC per VMware sono state aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade della workstation di amministrazione, dei cluster di amministrazione e dei cluster utente (inclusi i pool di nodi) a una delle seguenti versioni o a una versione successiva. Per le istruzioni, consulta Eseguire l'upgrade di un cluster o di un pool di nodi.
L'aggiornamento del 2° luglio 2024 a questo bollettino dichiarava erroneamente che tutte le versioni supportate delle immagini Ubuntu sul software GDC per VMware eseguono versioni di OpenSSH vulnerabili a questo problema. Le immagini Ubuntu sul software GDC per i cluster VMware versione 1.16 eseguono versioni di OpenSSH non vulnerabili a questo problema. Le immagini Ubuntu nel software GDC per VMware 1.28 e 1.29 sono vulnerabili. Le immagini Container-Optimized OS su tutte le versioni supportate del software GDC per VMware sono vulnerabili a questo problema. Aggiornamento 2/07/2024: tutte le versioni supportate di Container-Optimized OS e immagini Ubuntu sul software GDC per VMware eseguono versioni di OpenSSH vulnerabili a questo problema. Il software GDC per i cluster VMware con indirizzi IP dei nodi pubblici e SSH esposto a internet deve essere trattato con la massima priorità per la mitigazione. Di recente è stata scoperta una vulnerabilità di esecuzione di codice remoto, CVE-2024-6387 in OpenSSH. La vulnerabilità sfrutta una race condition che potrebbe essere utilizzata per ottenere l'accesso a una shell remota, consentendo ai malintenzionati di ottenere l'accesso root ai nodi GKE. Al momento della pubblicazione, lo sfruttamento è ritenuto difficile e richiede diverse ore per ogni macchina attaccata. Non siamo a conoscenza di tentativi di sfruttamento. Che cosa devo fare?Aggiornamento 2/07/2024: il software GDC con patch per la versione VMware che include un OpenSSH aggiornato verrà reso disponibile il prima possibile. Questo bollettino verrà aggiornato quando saranno disponibili le patch. Ti consigliamo di applicare le seguenti mitigazioni, se necessario. Non consentire l'accesso SSH ai nodi del clusterPuoi modificare la configurazione della rete dell'infrastruttura in modo da non consentire la connettività SSH da fonti non attendibili, come la rete internet pubblica. Modifica configurazione SSHSe non riesci ad applicare la mitigazione precedente, abbiamo pubblicato un DaemonSet che imposta il parametro sshd |
Critico |
GKE su AWS
Ultimo aggiornamento: 11/07/2024
Descrizione | Gravità |
---|---|
Aggiornamento 11/07/2024: le seguenti versioni di GKE su AWS sono state aggiornate con il codice per correggere questa vulnerabilità:
Esegui l'upgrade di GKE su piano di controllo e pool di nodi di GKE a una di queste versioni con patch o versioni successive. Per le istruzioni, consulta Eseguire l'upgrade della versione del cluster AWS e Aggiornare un pool di nodi. Aggiornamento 02/07/2024: tutte le versioni supportate delle immagini Ubuntu su GKE su AWS eseguono versioni di OpenSSH vulnerabili a questo problema. I cluster GKE su AWS con indirizzi IP dei nodi pubblici e SSH esposto a internet devono essere trattati con la massima priorità per la mitigazione. Di recente è stata scoperta una vulnerabilità di esecuzione di codice remoto, CVE-2024-6387 in OpenSSH. La vulnerabilità sfrutta una race condition che potrebbe essere utilizzata per ottenere l'accesso a una shell remota, consentendo ai malintenzionati di ottenere l'accesso root ai nodi GKE. Al momento della pubblicazione, lo sfruttamento è ritenuto difficile e richiede diverse ore per ogni macchina attaccata. Non siamo a conoscenza di tentativi di sfruttamento. Che cosa devo fare?Aggiornamento 02/07/2024: il prima possibile sarà resa disponibile una versione GKE con patch su AWS che include un OpenSSH aggiornato. Questo bollettino verrà aggiornato quando saranno disponibili le patch. Ti consigliamo di seguire questi passaggi per verificare l'esposizione del tuo cluster e applicare le mitigazioni descritte in base alle esigenze. Determina se i nodi hanno indirizzi IP pubbliciGKE su AWS non esegue il provisioning di alcuna macchina con indirizzi IP pubblici o con regole firewall che consentono il traffico alla porta 22 per impostazione predefinita. Tuttavia, a seconda della configurazione della subnet, le macchine possono ottenere automaticamente un indirizzo IP pubblico durante il provisioning. Per verificare se per i nodi viene eseguito il provisioning di indirizzi IP pubblici, controlla la configurazione della subnet associata alla risorsa del pool di nodi AWS. Non consentire l'accesso SSH ai nodi del clusterAnche se GKE su AWS non consente il traffico sulla porta 22 su nessun nodo per impostazione predefinita, i clienti possono collegare gruppi di sicurezza aggiuntivi ai pool di nodi, abilitando il traffico SSH in entrata. Ti consigliamo di rimuovere o ridurre l'ambito delle regole corrispondenti dai gruppi di sicurezza forniti. Converti i pool di nodi pubblici in privatiPer proteggere al meglio i cluster con nodi pubblici, consigliamo prima di non consentire l'accesso SSH tramite il gruppo di sicurezza, come descritto nella sezione precedente. Se non puoi consentire l'accesso SSH tramite le regole del gruppo di sicurezza, puoi convertire i pool di nodi pubblici in privati disabilitando l'opzione di assegnazione automatica degli IP pubblici alle macchine all'interno di una subnet ed eseguendo nuovamente il provisioning del pool di nodi. |
Critico |
GKE su Azure
Ultimo aggiornamento: 11/07/2024
Descrizione | Gravità |
---|---|
Aggiornamento dell'11/07/2024: le seguenti versioni di GKE su Azure sono state aggiornate con il codice per correggere questa vulnerabilità:
Esegui l'upgrade di GKE su piano di controllo e pool di nodi di GKE a una di queste versioni con patch o versioni successive. Per le istruzioni, consulta Eseguire l'upgrade della versione del cluster Azure e Aggiornare un pool di nodi. Aggiornamento 02/07/2024: tutte le versioni supportate delle immagini Ubuntu su GKE su Azure eseguono versioni di OpenSSH vulnerabili a questo problema. I cluster GKE su Azure con indirizzi IP dei nodi pubblici e SSH esposto a internet devono essere trattati con la massima priorità per la mitigazione. Di recente è stata scoperta una vulnerabilità di esecuzione di codice remoto, CVE-2024-6387 in OpenSSH. La vulnerabilità sfrutta una race condition che potrebbe essere utilizzata per ottenere l'accesso a una shell remota, consentendo ai malintenzionati di ottenere l'accesso root ai nodi GKE. Al momento della pubblicazione, lo sfruttamento è ritenuto difficile e richiede diverse ore per ogni macchina attaccata. Non siamo a conoscenza di tentativi di sfruttamento. Che cosa devo fare?Aggiornamento 02/07/2024: il prima possibile sarà resa disponibile una versione GKE su Azure con patch che include un OpenSSH aggiornato. Questo bollettino verrà aggiornato quando saranno disponibili le patch. Ti consigliamo di seguire questi passaggi per verificare l'esposizione del tuo cluster e applicare le mitigazioni descritte in base alle esigenze. Determina se i nodi hanno indirizzi IP pubbliciGKE su Azure non esegue il provisioning di alcuna macchina con indirizzi IP pubblici o con regole firewall che consentono il traffico alla porta 22 per impostazione predefinita. Per rivedere la configurazione di Azure e verificare se sul tuo cluster GKE su Azure sono configurati indirizzi IP pubblici, esegui questo comando: az network public-ip list -g
Non consentire l'accesso SSH ai nodi del clusterAnche se GKE su Azure non consente il traffico sulla porta 22 su nessun nodo per impostazione predefinita, i clienti possono aggiornare le regole NetworkSecurityGroup in pool di nodi, abilitando il traffico SSH in entrata dalla rete internet pubblica. Ti consigliamo vivamente di esaminare i gruppi di sicurezza di rete (NSG) associati ai tuoi cluster Kubernetes. Se esiste una regola NSG che consente il traffico in entrata senza restrizioni sulla porta 22 (SSH), procedi in uno dei seguenti modi:
Converti i pool di nodi pubblici in privatiPer proteggere al meglio i cluster con nodi pubblici, consigliamo prima di non consentire l'accesso SSH tramite il gruppo di sicurezza, come descritto nella sezione precedente. Se non puoi consentire l'accesso SSH tramite le regole del gruppo di sicurezza, puoi convertire i pool di nodi pubblici in privati rimuovendo gli indirizzi IP pubblici associati alle VM. Per rimuovere un indirizzo IP pubblico da una VM e sostituirlo con una configurazione di indirizzo IP privato, consulta Dissociare un indirizzo IP pubblico da una VM Azure. Impatto: tutte le connessioni esistenti che utilizzano l'indirizzo IP pubblico verranno interrotte. Assicurati di disporre di metodi di accesso alternativi, ad esempio una VPN o un bastion Azure. |
Critico |
GDC (bare metal)
Ultimo aggiornamento: 02/07/2024
Descrizione | Gravità |
---|---|
Aggiornamento 02/07/2024: la versione originale di questo bollettino per il software GDC per bare metal indicava erroneamente che erano in corso le versioni patch. Il software GDC per bare metal non è interessato direttamente perché non gestisce la configurazione o il daemon SSH del sistema operativo. Di conseguenza, le versioni patch sono responsabilità del fornitore del sistema operativo, come descritto nella sezione Cosa devo fare?. Di recente è stata scoperta una vulnerabilità di esecuzione di codice remoto, CVE-2024-6387 in OpenSSH. La vulnerabilità sfrutta una race condition che potrebbe essere utilizzata per ottenere l'accesso a una shell remota, consentendo ai malintenzionati di ottenere l'accesso root ai nodi GKE. Al momento della pubblicazione, lo sfruttamento è ritenuto difficile e richiede diverse ore per ogni macchina attaccata. Non siamo a conoscenza di tentativi di sfruttamento. Che cosa devo fare?Aggiornamento 02/07/2024: contatta il tuo fornitore del sistema operativo per ottenere una patch per i sistemi operativi in uso con il software GDC per bare metal. Finché non avrai applicato la patch del fornitore del sistema operativo, assicurati che le macchine raggiungibili pubblicamente non consentano le connessioni SSH da internet. Se ciò non è possibile, un'alternativa è impostare grep "^LoginGraceTime" /etc/ssh/sshd_config LoginGraceTime 0 Tieni presente che questa modifica alla configurazione potrebbe aumentare il rischio di attacchi DoS e causare problemi con l'accesso SSH legittimo. Testo originale 01/07/2024 (vedi l'aggiornamento precedente dell'02/07/2024 per una correzione): |
Critico |
GCP-2024-039
Data di pubblicazione: 28/06/2024
Riferimento:
CVE-2024-26923
GKE
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Sono interessati i cluster GKE Standard e Autopilot. I cluster che utilizzano GKE Sandbox non sono interessati. Che cosa devo fare?Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi di Container-Optimized OS a una delle seguenti versioni di patch o a una versione successiva:
Puoi applicare versioni patch da canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità consente di proteggere i nodi fino a quando la versione della patch non diventa quella predefinita nel canale di rilascio. Per maggiori dettagli, consulta Eseguire le versioni delle patch da un canale più recente. |
Alta |
GDC (VMware)
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare? |
In attesa |
GKE su AWS
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare? |
In attesa |
GKE su Azure
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare? |
In attesa |
GDC (bare metal)
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare?Non sono necessarie ulteriori azioni. Il software GDC per bare metal non è interessato perché non include un sistema operativo nella sua distribuzione. |
Nessuna |
GCP-2024-038
Data di pubblicazione: 26-06-2024
Riferimento:
CVE-2024-26924
GKE
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
I cluster GKE Standard ne sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo I cluster che utilizzano GKE Sandbox non sono interessati. Che cosa devo fare?Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi di Container-Optimized OS a una delle seguenti versioni di patch o a una versione successiva:
Puoi applicare versioni patch da canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità consente di proteggere i nodi fino a quando la versione della patch non diventa quella predefinita nel canale di rilascio. Per maggiori dettagli, consulta Eseguire le versioni delle patch da un canale più recente. |
Alta |
GDC (VMware)
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare? |
In attesa |
GKE su AWS
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare? |
In attesa |
GKE su Azure
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare? |
In attesa |
GDC (bare metal)
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare?Non sono necessarie ulteriori azioni. Il software GDC per bare metal non è interessato perché non include un sistema operativo nella sua distribuzione. |
Nessuna |
GCP-2024-036
Data di pubblicazione: 18/06/2024
Riferimento:
CVE-2024-26584
GKE
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi di Container-Optimized OS:
Sono interessati i cluster GKE Standard e Autopilot. I cluster che utilizzano GKE Sandbox non sono interessati. Che cosa devo fare?Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi di Container-Optimized OS a una delle seguenti versioni di patch o a una versione successiva:
Puoi applicare versioni patch da canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità consente di proteggere i nodi fino a quando la versione della patch non diventa quella predefinita nel canale di rilascio. Per maggiori dettagli, consulta Eseguire le versioni delle patch da un canale più recente. |
Alta |
GKE su VMware
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi di Container-Optimized OS:
Che cosa devo fare? |
In attesa |
GKE su AWS
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi di Container-Optimized OS:
Che cosa devo fare? |
In attesa |
GKE su Azure
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi di Container-Optimized OS:
Che cosa devo fare? |
In attesa |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi di Container-Optimized OS:
Che cosa devo fare?Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione. |
Nessuna |
GCP-2024-035
Data di pubblicazione: 12/06/2024
Riferimento:
CVE-2024-26584
GKE
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Sono interessati i cluster GKE Standard e Autopilot. I cluster che utilizzano GKE Sandbox non sono interessati. Che cosa devo fare?Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi di Container-Optimized OS a una delle seguenti versioni di patch o a una versione successiva:
Le seguenti versioni secondarie sono interessate, ma non dispongono di una versione patch. Aggiorneremo questo bollettino quando saranno disponibili le versioni patch:
Puoi applicare versioni patch da canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità consente di proteggere i nodi fino a quando la versione della patch non diventa quella predefinita nel canale di rilascio. Per maggiori dettagli, consulta Eseguire le versioni delle patch da un canale più recente. |
Alta |
GKE su VMware
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare? |
In attesa |
GKE su AWS
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare? |
In attesa |
GKE su Azure
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare? |
In attesa |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare?Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione. |
Nessuna |
GCP-2024-034
Data di pubblicazione: 11/06/2024
Ultimo aggiornamento: 10/07/2024
Riferimento:
CVE-2024-26583
Aggiornamento 10/07/2024: sono state aggiunte le versioni patch per i nodi Container-Optimized OS che eseguono versioni secondarie 1.26 e 1.27 e versioni patch per i nodi Ubuntu.
GKE
Ultimo aggiornamento: 10/07/2024
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi di Container-Optimized OS:
Sono interessati i cluster GKE Standard e Autopilot. I cluster che utilizzano GKE Sandbox non sono interessati. Che cosa devo fare?Aggiornamento 10/07/2024: le seguenti versioni di GKE vengono aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni di patch o a versioni successive:
Per le versioni secondarie 1.26 e 1.27, esegui l'upgrade dei pool di nodi di Container-Optimized OS a una delle seguenti versioni di patch o a versioni successive:
Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi di Container-Optimized OS a una delle seguenti versioni di patch o a una versione successiva:
Puoi applicare versioni patch da canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità consente di proteggere i nodi fino a quando la versione della patch non diventa quella predefinita nel canale di rilascio. Per maggiori dettagli, consulta Eseguire le versioni delle patch da un canale più recente. |
Alta |
GKE su VMware
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi di Container-Optimized OS:
Che cosa devo fare? |
In attesa |
GKE su AWS
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi di Container-Optimized OS:
Che cosa devo fare? |
In attesa |
GKE su Azure
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi di Container-Optimized OS:
Che cosa devo fare? |
In attesa |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi di Container-Optimized OS:
Che cosa devo fare?Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione. |
Nessuna |
GCP-2024-033
Pubblicato: 10-06-2024
Riferimento:
CVE-2022-23222
GKE
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi di Container-Optimized OS:
Sono interessati i cluster GKE Standard e Autopilot. I cluster che utilizzano GKE Sandbox non sono interessati. Che cosa devo fare?Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi di Container-Optimized OS a una delle seguenti versioni di patch o a una versione successiva:
Puoi applicare versioni patch da canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità consente di proteggere i nodi fino a quando la versione della patch non diventa quella predefinita nel canale di rilascio. Per maggiori dettagli, consulta Eseguire le versioni delle patch da un canale più recente. |
Alta |
GKE su VMware
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi di Container-Optimized OS:
Che cosa devo fare? |
In attesa |
GKE su AWS
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi di Container-Optimized OS:
Che cosa devo fare? |
In attesa |
GKE su Azure
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi di Container-Optimized OS:
Che cosa devo fare? |
In attesa |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi di Container-Optimized OS:
Che cosa devo fare?Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione. |
Nessuna |
GCP-2024-031
Data di pubblicazione: 24/05/2024
Riferimento: CVE-2024-4323
GKE
Descrizione | Gravità |
---|---|
È stata scoperta una nuova vulnerabilità (CVE-2024-4323) in Fluent Bit che potrebbe comportare l’esecuzione di codice da remoto. Sono interessate le versioni da 2.0.7 a 3.0.3 di Fluent Bit. GKE non utilizza una versione vulnerabile di Fluent Bit e non è interessato. Che cosa devo fare?GKE non è interessato da questa vulnerabilità. Non è richiesta alcuna azione da parte tua. |
Nessuna |
GKE su VMware
Descrizione | Gravità |
---|---|
È stata scoperta una nuova vulnerabilità (CVE-2024-4323) in Fluent Bit che potrebbe comportare l’esecuzione di codice da remoto. Sono interessate le versioni da 2.0.7 a 3.0.3 di Fluent Bit. GKE on VMware non utilizza una versione vulnerabile di Fluent Bit e non è interessato. Che cosa devo fare?GKE su VMware non è interessato da questa vulnerabilità. Non è richiesta alcuna azione da parte tua. |
Nessuna |
GKE su AWS
Descrizione | Gravità |
---|---|
È stata scoperta una nuova vulnerabilità (CVE-2024-4323) in Fluent Bit che potrebbe comportare l’esecuzione di codice da remoto. Sono interessate le versioni da 2.0.7 a 3.0.3 di Fluent Bit. GKE su AWS non utilizza una versione vulnerabile di Fluent Bit e non è interessato. Che cosa devo fare?GKE su AWS non è interessato da questa vulnerabilità. Non è richiesta alcuna azione da parte tua. |
Nessuna |
GKE su Azure
Descrizione | Gravità |
---|---|
È stata scoperta una nuova vulnerabilità (CVE-2024-4323) in Fluent Bit che potrebbe comportare l’esecuzione di codice da remoto. Sono interessate le versioni da 2.0.7 a 3.0.3 di Fluent Bit. GKE su Azure non utilizza una versione vulnerabile di Fluent Bit e non è interessato. Che cosa devo fare?GKE su Azure non è interessato da questa vulnerabilità. Non è richiesta alcuna azione da parte tua. |
Nessuna |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
È stata scoperta una nuova vulnerabilità (CVE-2024-4323) in Fluent Bit che potrebbe comportare l’esecuzione di codice da remoto. Sono interessate le versioni da 2.0.7 a 3.0.3 di Fluent Bit. GKE on Bare Metal non utilizza una versione vulnerabile di Fluent Bit e non è interessato. Che cosa devo fare?GKE on Bare Metal non è interessato da questa vulnerabilità. Non è richiesta alcuna azione da parte tua. |
Nessuna |
GCP-2024-030
Data di pubblicazione: 15/05/2024
Riferimento:
CVE-2023-52620
GKE
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
I cluster GKE Standard ne sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo I cluster che utilizzano GKE Sandbox non sono interessati. Che cosa devo fare?Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi di Container-Optimized OS a una delle seguenti versioni di patch o a una versione successiva:
Puoi applicare versioni patch da canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità consente di proteggere i nodi fino a quando la versione della patch non diventa quella predefinita nel canale di rilascio. Per maggiori dettagli, consulta Eseguire le versioni delle patch da un canale più recente. |
Alta |
GKE su VMware
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare? |
In attesa |
GKE su AWS
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare? |
In attesa |
GKE su Azure
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare? |
In attesa |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare?Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione. |
Nessuna |
GCP-2024-029
Data di pubblicazione: 14-05-2024
Riferimento:
CVE-2024-26642
GKE
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
I cluster GKE Standard ne sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo I cluster che utilizzano GKE Sandbox non sono interessati. Che cosa devo fare?Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi di Container-Optimized OS a una delle seguenti versioni di patch o a una versione successiva:
Puoi applicare versioni patch da canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità consente di proteggere i nodi fino a quando la versione della patch non diventa quella predefinita nel canale di rilascio. Per maggiori dettagli, consulta Eseguire le versioni delle patch da un canale più recente. |
Alta |
GKE su VMware
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare? |
In attesa |
GKE su AWS
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare? |
In attesa |
GKE su Azure
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare? |
In attesa |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare?Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione. |
Nessuna |
GCP-2024-028
Data di pubblicazione: 13/05/2024
Ultimo aggiornamento: 22/05/2024
Riferimento:
CVE-2024-26581
Aggiornamento 22/05/2024: sono state aggiunte le versioni patch per i nodi Ubuntu.
GKE
Ultimo aggiornamento: 22/05/2024
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
I cluster GKE Standard ne sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo I cluster che utilizzano GKE Sandbox non sono interessati. Che cosa devo fare?Aggiornamento 22/05/2024: le seguenti versioni di GKE vengono aggiornate con il codice per correggere questa vulnerabilità su Ubuntu. Esegui l'upgrade dei pool di nodi Ubuntu alle seguenti versioni o successive:
Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi di Container-Optimized OS a una delle seguenti versioni di patch o a una versione successiva:
Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni di patch o a versioni successive:
Puoi applicare versioni patch da canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità consente di proteggere i nodi fino a quando la versione della patch non diventa quella predefinita nel canale di rilascio. Per maggiori dettagli, consulta Eseguire le versioni delle patch da un canale più recente. |
Alta |
GKE su VMware
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare? |
In attesa |
GKE su AWS
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare? |
In attesa |
GKE su Azure
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare? |
In attesa |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare?Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione. |
Nessuna |
GCP-2024-027
Data di pubblicazione: 08/05/2024
Ultimo aggiornamento: 09/05/2024/15/05/2024
Riferimento:
CVE-2024-26808
Aggiornamento 15/05/2024: sono state aggiunte versioni patch per i pool di nodi GKE Ubuntu.
Aggiornamento 09/05/2024: è stata corretta la gravità da media ad alta ed è stato chiarito che i cluster GKE Autopilot nella configurazione predefinita non sono interessati.
GKE
Ultimo aggiornamento: 09/05/2024, 15/05/2024
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Aggiornamento 09/05/2024: gravità corretta da media ad alta.
Il bollettino originale indicava che i cluster Autopilot sono interessati, ma non è corretto. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o consenti Sono interessati i cluster GKE Standard e Autopilot. I cluster che utilizzano GKE Sandbox non sono interessati. Che cosa devo fare?Aggiornamento del 15/05/2024: le seguenti versioni di GKE vengono aggiornate con il codice per correggere questa vulnerabilità su Ubuntu. Esegui l'upgrade dei pool di nodi Ubuntu alle seguenti versioni o successive:
Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi di Container-Optimized OS a una delle seguenti versioni di patch o a una versione successiva:
Puoi applicare versioni patch da canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità consente di proteggere i nodi fino a quando la versione della patch non diventa quella predefinita nel canale di rilascio. Per maggiori dettagli, consulta Eseguire le versioni delle patch da un canale più recente. |
Alta |
GKE su VMware
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare? |
In attesa |
GKE su AWS
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare? |
In attesa |
GKE su Azure
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare? |
In attesa |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare?Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione. |
Nessuna |
GCP-2024-026
Data di pubblicazione: 07/05/2024
Ultimo aggiornamento: 09/05/2024
Riferimento:
CVE-2024-26643
Aggiornamento 09/05/2024 : gravità corretta da media ad alta.
GKE
Ultimo aggiornamento: 09/05/2024
Descrizione | Gravità |
---|---|
Aggiornamento 09/05/2024: gravità corretta da media ad alta. Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
I cluster GKE Standard ne sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo I cluster che utilizzano GKE Sandbox non sono interessati. Che cosa devo fare?Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi di Container-Optimized OS a una delle seguenti versioni di patch o a una versione successiva:
Puoi applicare versioni patch da canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità consente di proteggere i nodi fino a quando la versione della patch non diventa quella predefinita nel canale di rilascio. Per maggiori dettagli, consulta Eseguire le versioni delle patch da un canale più recente. |
Alta |
GKE su VMware
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare? |
In attesa |
GKE su AWS
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare? |
In attesa |
GKE su Azure
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare? |
In attesa |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare?Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione. |
Nessuna |
GCP-2024-024
Data di pubblicazione: 25-04-2024
Riferimento:
CVE-2024-26585
GKE
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Sono interessati i cluster GKE Standard e Autopilot. I cluster che utilizzano GKE Sandbox non sono interessati. Che cosa devo fare?Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi di Container-Optimized OS a una delle seguenti versioni di patch o a una versione successiva:
Puoi applicare versioni patch da canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità consente di proteggere i nodi fino a quando la versione della patch non diventa quella predefinita nel canale di rilascio. Per maggiori dettagli, consulta Eseguire le versioni delle patch da un canale più recente. |
Alta |
GKE su VMware
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare? |
In attesa |
GKE su AWS
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare? |
In attesa |
GKE su Azure
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare? |
In attesa |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare?Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione. |
Nessuna |
GCP-2024-022
Data di pubblicazione: 03/04/2024
Ultimo aggiornamento: 09/07/2024
Riferimento: CVE-2023-45288
Aggiornamento 09/07/2024: sono state aggiunte versioni patch per GKE on Bare Metal.
Aggiornamento 24/04/2024: sono state aggiunte versioni patch per GKE.
GKE
Ultimo aggiornamento: 24/04/2024
Descrizione | Gravità |
---|---|
Di recente è stata scoperta una vulnerabilità DoS (Denial of Service) (CVE-2023-45288) in molteplici implementazioni del protocollo HTTP/2, tra cui il server HTTP golang utilizzato da Kubernetes. La vulnerabilità potrebbe causare un DoS del piano di controllo Google Kubernetes Engine (GKE). I cluster GKE con reti autorizzate configurate sono protetti limitando l'accesso alla rete, ma sono interessati tutti gli altri cluster. Sono interessati i cluster GKE Autopilot e Standard. Che cosa devo fare?Aggiornamento 24/04/2024: sono state aggiunte versioni patch per GKE. Le seguenti versioni di GKE includono le patch di sicurezza Golang per correggere questa vulnerabilità. Esegui l'upgrade dei cluster GKE alle versioni seguenti o successive:
Il progetto golang ha rilasciato patch il 3 aprile 2024. Aggiorneremo questo bollettino quando saranno disponibili versioni di GKE che incorporano queste patch. Per richiedere una patch in una tempistica accelerata, contatta l'assistenza. Mitigazione configurando reti autorizzate per l'accesso al piano di controllo:Puoi limitare i tuoi cluster da questa classe di attacchi configurando le reti autorizzate. Segui le istruzioni per abilitare le reti autorizzate per un cluster esistente. Per saperne di più su come le reti autorizzate controllano l'accesso al piano di controllo, vedi Come funzionano le reti autorizzate. Per visualizzare l'accesso alla rete autorizzato predefinito, visualizza la tabella nella sezione Accesso agli endpoint del piano di controllo. Quali vulnerabilità vengono affrontate da questa patch?La vulnerabilità (CVE-2023-45288) consente a un utente malintenzionato di eseguire un attacco DoS sul piano di controllo Kubernetes. |
Alta |
GKE su VMware
Descrizione | Gravità |
---|---|
Di recente è stata scoperta una vulnerabilità DoS (Denial of Service) (CVE-2023-45288) in molteplici implementazioni del protocollo HTTP/2, tra cui il server HTTP golang utilizzato da Kubernetes. La vulnerabilità potrebbe causare un DoS del piano di controllo Google Kubernetes Engine (GKE). Che cosa devo fare?Il progetto golang ha rilasciato patch il 3 aprile 2024. Aggiorneremo questo bollettino quando saranno disponibili le versioni di GKE on VMware che incorporano queste patch. Per richiedere una patch in una tempistica accelerata, contatta l'assistenza. Quali vulnerabilità vengono affrontate da questa patch?La vulnerabilità (CVE-2023-45288) consente a un utente malintenzionato di eseguire un attacco DoS sul piano di controllo Kubernetes. |
Alta |
GKE su AWS
Descrizione | Gravità |
---|---|
Di recente è stata scoperta una vulnerabilità DoS (Denial of Service) (CVE-2023-45288) in molteplici implementazioni del protocollo HTTP/2, tra cui il server HTTP golang utilizzato da Kubernetes. La vulnerabilità potrebbe causare un DoS del piano di controllo Google Kubernetes Engine (GKE). Che cosa devo fare?Il progetto golang ha rilasciato patch il 3 aprile 2024. Aggiorneremo questo bollettino quando saranno disponibili le versioni GKE su AWS che incorporano queste patch. Per richiedere una patch in una tempistica accelerata, contatta l'assistenza. Quali vulnerabilità vengono affrontate da questa patch?La vulnerabilità (CVE-2023-45288) consente a un utente malintenzionato di eseguire un attacco DoS sul piano di controllo Kubernetes. |
Alta |
GKE su Azure
Descrizione | Gravità |
---|---|
Di recente è stata scoperta una vulnerabilità DoS (Denial of Service) (CVE-2023-45288) in molteplici implementazioni del protocollo HTTP/2, tra cui il server HTTP golang utilizzato da Kubernetes. La vulnerabilità potrebbe causare un DoS del piano di controllo Google Kubernetes Engine (GKE). Che cosa devo fare?Il progetto golang ha rilasciato patch il 3 aprile 2024. Aggiorneremo questo bollettino quando saranno disponibili versioni di GKE su Azure che incorporano queste patch. Per richiedere una patch in una tempistica accelerata, contatta l'assistenza. Quali vulnerabilità vengono affrontate da questa patch?La vulnerabilità (CVE-2023-45288) consente a un utente malintenzionato di eseguire un attacco DoS sul piano di controllo Kubernetes. |
Alta |
GKE su Bare Metal
Ultimo aggiornamento: 09/07/2024
Descrizione | Gravità |
---|---|
Di recente è stata scoperta una vulnerabilità DoS (Denial of Service) (CVE-2023-45288) in molteplici implementazioni del protocollo HTTP/2, tra cui il server HTTP golang utilizzato da Kubernetes. La vulnerabilità potrebbe causare un DoS del piano di controllo Google Kubernetes Engine (GKE). Che cosa devo fare?Aggiornamento 09/07/2024: sono state aggiunte versioni patch per GKE on Bare Metal. Le seguenti versioni di GKE su Bare Metal includono il codice per correggere questa vulnerabilità. Esegui l'upgrade dei cluster GKE on Bare Metal alle versioni seguenti o successive:
Il progetto golang ha rilasciato patch il 3 aprile 2024. Aggiorneremo questo bollettino quando saranno disponibili le versioni di GKE on Bare Metal che incorporano queste patch. Per richiedere una patch in una tempistica accelerata, contatta l'assistenza. Quali vulnerabilità vengono affrontate da questa patch?La vulnerabilità (CVE-2023-45288) consente a un utente malintenzionato di eseguire un attacco DoS sul piano di controllo Kubernetes. |
Alta |
GCP-2024-018
Data di pubblicazione: 12/03/2024
Ultimo aggiornamento: 6/05/2024
Riferimento:
CVE-2024-1085
Aggiornamento 06/05/2024: sono state aggiunte le versioni patch per i pool di nodi GKE Ubuntu e è stato rimosso un elemento di riga orizzontale extra dall'aggiornamento 04/04/2024.
Aggiornamento 04/04/2024: le versioni minime corrette per i pool di nodi di GKE Container-Optimized OS.
GKE
Ultimo aggiornamento: 06/05/2024
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
I cluster GKE Standard ne sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo I cluster che utilizzano GKE Sandbox non sono interessati. Che cosa devo fare?Aggiornamento 06/05/2024: le seguenti versioni di GKE vengono aggiornate con il codice per correggere questa vulnerabilità in Ubuntu. Esegui l'upgrade dei pool di nodi Ubuntu alle versioni seguenti o successive.
Aggiornamento 04/04/2024: sono state corrette le versioni minime per i pool di nodi di GKE Container-Optimized OS. Le versioni minime di GKE contenenti le correzioni di Container-Optimized OS elencate in precedenza non erano corrette. Le seguenti versioni di GKE vengono aggiornate con il codice per correggere questa vulnerabilità su Container-Optimized OS. Esegui l'upgrade dei pool di nodi di Container-Optimized OS alle versioni seguenti o successive:
Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi di Container-Optimized OS a una delle seguenti versioni di patch o a una versione successiva:
Puoi applicare versioni patch da canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità consente di proteggere i nodi fino a quando la versione della patch non diventa quella predefinita nel canale di rilascio. Per maggiori dettagli, consulta Eseguire le versioni delle patch da un canale più recente. |
Alta |
GKE su VMware
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare? |
In attesa |
GKE su AWS
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare? |
In attesa |
GKE su Azure
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare? |
In attesa |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare?Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione. |
Nessuna |
GCP-2024-017
Data di pubblicazione: 06/03/2024
Riferimento:
CVE-2023-3611
GKE
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
I cluster GKE Standard ne sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo I cluster che utilizzano GKE Sandbox non sono interessati. Che cosa devo fare?Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi di Container-Optimized OS a una delle seguenti versioni di patch o a una versione successiva:
Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni di patch o a versioni successive:
Puoi applicare versioni patch da canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità consente di proteggere i nodi fino a quando la versione della patch non diventa quella predefinita nel canale di rilascio. Per maggiori dettagli, consulta Eseguire le versioni delle patch da un canale più recente. |
Alta |
GKE su VMware
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare? |
In attesa |
GKE su AWS
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare? |
In attesa |
GKE su Azure
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare? |
In attesa |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare?Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione. |
Nessuna |
GCP-2024-014
Data di pubblicazione: 26-02-2024
Riferimento:
CVE-2023-3776
GKE
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
I cluster GKE Standard ne sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo I cluster che utilizzano GKE Sandbox non sono interessati. Che cosa devo fare?Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi di Container-Optimized OS a una delle seguenti versioni di patch o a una versione successiva:
Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni di patch o a versioni successive:
Puoi applicare versioni patch da canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità consente di proteggere i nodi fino a quando la versione della patch non diventa quella predefinita nel canale di rilascio. Per maggiori dettagli, consulta Eseguire le versioni delle patch da un canale più recente. |
Alta |
GKE su VMware
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare? |
In attesa |
GKE su AWS
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare? |
In attesa |
GKE su Azure
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare? |
In attesa |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare?Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione. |
Nessuna |
GCP-2024-013
Data di pubblicazione: 23-02-2024
Riferimento:
CVE-2023-3610
GKE
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
I cluster GKE Standard ne sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo I cluster che utilizzano GKE Sandbox non sono interessati. Che cosa devo fare?Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi di Container-Optimized OS a una delle seguenti versioni di patch o a una versione successiva:
Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni di patch o a versioni successive:
Puoi applicare versioni patch da canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità consente di proteggere i nodi fino a quando la versione della patch non diventa quella predefinita nel canale di rilascio. Per maggiori dettagli, consulta Eseguire le versioni delle patch da un canale più recente. |
Alta |
GKE su VMware
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare? |
In attesa |
GKE su AWS
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare? |
In attesa |
GKE su Azure
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare? |
In attesa |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare?Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione. |
Nessuna |
GCP-2024-012
Data di pubblicazione: 20/02/2024
Riferimento:
CVE-2024-0193
GKE
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
I cluster GKE Standard ne sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo I cluster che utilizzano GKE Sandbox non sono interessati. Che cosa devo fare?Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi di Container-Optimized OS a una delle seguenti versioni di patch o a una versione successiva:
Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni di patch o a versioni successive:
Puoi applicare versioni patch da canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità consente di proteggere i nodi fino a quando la versione della patch non diventa quella predefinita nel canale di rilascio. Per maggiori dettagli, consulta Eseguire le versioni delle patch da un canale più recente. |
Alta |
GKE su VMware
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare? |
In attesa |
GKE su AWS
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare? |
In attesa |
GKE su Azure
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare? |
In attesa |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare?Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione. |
Nessuna |
GCP-2024-011
Data di pubblicazione: 15/02/2024
Riferimento:
CVE-2023-6932
GKE
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
I cluster GKE Standard ne sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo I cluster che utilizzano GKE Sandbox non sono interessati. Che cosa devo fare?Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi di Container-Optimized OS a una delle seguenti versioni di patch o a una versione successiva:
Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni di patch o a versioni successive:
Puoi applicare versioni patch da canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità consente di proteggere i nodi fino a quando la versione della patch non diventa quella predefinita nel canale di rilascio. Per maggiori dettagli, consulta Eseguire le versioni delle patch da un canale più recente. |
Alta |
GKE su VMware
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare? |
In attesa |
GKE su AWS
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare? |
In attesa |
GKE su Azure
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare? |
In attesa |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare?Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione. |
Nessuna |
GCP-2024-010
Data di pubblicazione: 14/02/2024
Ultimo aggiornamento: 17/04/2024
Riferimento:
CVE-2023-6931
Aggiornamento 17/04/2024: sono state aggiunte versioni patch per GKE su VMware.
GKE
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
I cluster GKE Standard ne sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo I cluster che utilizzano GKE Sandbox non sono interessati. Che cosa devo fare?Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi di Container-Optimized OS a una delle seguenti versioni di patch o a una versione successiva:
Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni di patch o a versioni successive:
Puoi applicare versioni patch da canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità consente di proteggere i nodi fino a quando la versione della patch non diventa quella predefinita nel canale di rilascio. Per maggiori dettagli, consulta Eseguire le versioni delle patch da un canale più recente. |
Alta |
GKE su VMware
Ultimo aggiornamento: 17/04/2024
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare?Aggiornamento del 17/04/2024: sono state aggiunte versioni patch per GKE su VMware. Le seguenti versioni di GKE on VMware vengono aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade dei cluster alle versioni seguenti o successive:
|
In attesa |
GKE su AWS
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare? |
In attesa |
GKE su Azure
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare? |
In attesa |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare?Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione. |
Nessuna |
GCP-2024-008
Data di pubblicazione: 12/02/2024
Riferimento: CVE-2023-5528
GKE
Descrizione | Gravità |
---|---|
CVE-2023-5528 consente a un utente malintenzionato di creare pod e volumi permanenti sui nodi Windows in modo da consentire l'escalation dei privilegi amministrativi su questi nodi. Potrebbero essere interessati i cluster GKE Standard che eseguono nodi Windows Server e che utilizzano un plug-in di archiviazione in-tree. I cluster GKE Autopilot e i pool di nodi GKE che utilizzano GKE Sandbox non sono interessati perché non supportano i nodi di Windows Server. Che cosa devo fare?Determina se sono in uso nodi Windows Server nei tuoi cluster: kubectl get nodes -l kubernetes.io/os=windows Controllare i log di controllo per verificare che non ci siano prove di sfruttamento. Gli audit log di Kubernetes possono essere controllati per determinare se questa vulnerabilità viene sfruttata. Gli eventi di creazione di volumi permanenti con campi di percorso locali contenenti caratteri speciali sono un chiaro indice di sfruttamento. Aggiorna il cluster GKE e i pool di nodi a una versione con patch. Le seguenti versioni di GKE sono state aggiornate per correggere questa vulnerabilità. Anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire manualmente l'upgrade del cluster e dei pool di nodi Windows Server a una delle seguenti versioni di GKE o successive:
Puoi applicare versioni patch da canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità consente di proteggere i nodi fino a quando la versione della patch non diventa quella predefinita nel canale di rilascio. Per maggiori dettagli, consulta Eseguire le versioni delle patch da un canale più recente. Quali vulnerabilità vengono affrontate da questa patch?CVE-2023-5528 consente a un utente malintenzionato di creare pod e volumi permanenti sui nodi Windows in modo da consentire l'escalation dei privilegi amministrativi su questi nodi. |
Alta |
GKE su VMware
Descrizione | Gravità |
---|---|
CVE-2023-5528 consente a un utente malintenzionato di creare pod e volumi permanenti sui nodi Windows in modo da consentire l'escalation dei privilegi amministrativi su questi nodi. Potrebbero essere interessati i cluster GKE on VMware che eseguono nodi Windows Server e che utilizzano un plug-in di archiviazione in-tree. Che cosa devo fare?Determina se sono in uso nodi Windows Server nei tuoi cluster: kubectl get nodes -l kubernetes.io/os=windows Controllare i log di controllo per verificare che non ci siano prove di sfruttamento. Gli audit log di Kubernetes possono essere controllati per determinare se questa vulnerabilità viene sfruttata. Gli eventi di creazione di volumi permanenti con campi di percorso locali contenenti caratteri speciali sono un chiaro indice di sfruttamento. Aggiorna il cluster GKE on VMware e i pool di nodi a una versione con patch. Le seguenti versioni di GKE on VMware sono state aggiornate per correggere questa vulnerabilità. Anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire manualmente l'upgrade del cluster e dei pool di nodi di Windows Server a una delle seguenti versioni di GKE on VMware o successive:
Quali vulnerabilità vengono affrontate da questa patch?CVE-2023-5528 consente a un utente malintenzionato di creare pod e volumi permanenti sui nodi Windows in modo da consentire l'escalation dei privilegi amministrativi su questi nodi. |
Alta |
GKE su AWS
Descrizione | Gravità |
---|---|
CVE-2023-5528 consente a un utente malintenzionato di creare pod e volumi permanenti sui nodi Windows in modo da consentire l'escalation dei privilegi amministrativi su questi nodi. I cluster GKE su AWS non sono interessati. Che cosa devo fare?Nessuna azione richiesta |
Nessuna |
GKE su Azure
Descrizione | Gravità |
---|---|
CVE-2023-5528 consente a un utente malintenzionato di creare pod e volumi permanenti sui nodi Windows in modo da consentire l'escalation dei privilegi amministrativi su questi nodi. I cluster GKE on Azure non sono interessati. Che cosa devo fare?Nessuna azione richiesta |
Nessuna |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
CVE-2023-5528 consente a un utente malintenzionato di creare pod e volumi permanenti sui nodi Windows in modo da consentire l'escalation dei privilegi amministrativi su questi nodi. I cluster GKE on Bare Metal non sono interessati. Che cosa devo fare?Nessuna azione richiesta |
Nessuna |
GCP-2024-005
Data di pubblicazione: 31/01/2024
Ultimo aggiornamento: 6/05/2024
Riferimento: CVE-2024-21626
Aggiornamento 06/05/2024: sono state aggiunte le versioni delle patch per GKE su AWS e GKE su Azure.
Aggiornamento 02/04/2024: sono state aggiunte le versioni patch per GKE su Bare Metal
Aggiornamento 06/03/2024: sono state aggiunte le versioni patch per GKE su VMware
Aggiornamento 28/02/2024: sono state aggiunte le versioni patch per Ubuntu
Aggiornamento 15/02/2024: è stato chiarito che le versioni 1.265-02-15 della patch 1 potrebbero essere aggiornate in Ubuntu2-15.
Aggiornamento 14/02/2024: aggiunte versioni patch per Ubuntu
Aggiornamento 06/02/2024: sono state aggiunte le versioni patch per Container-Optimized OS.
GKE
Ultimo aggiornamento: 06/03/2024
Descrizione | Gravità |
---|---|
In Sono interessati i cluster GKE Standard e Autopilot. I cluster che utilizzano GKE Sandbox non sono interessati. Che cosa devo fare?Aggiornamento 28/02/2024: le seguenti versioni di GKE sono state aggiornate con il codice per correggere questa vulnerabilità in Ubuntu. Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni di patch o a versioni successive:
Aggiornamento del 15/02/2024: a causa di un problema, le seguenti versioni delle patch di Ubuntu dell'aggiornamento del 14/02/2024 potrebbero causare lo stato non integro dei nodi. Non eseguire l'upgrade alle seguenti versioni delle patch. Aggiorneremo questo bollettino quando saranno disponibili versioni più recenti delle patch per Ubuntu 1.25 e 1.26.
Se hai già eseguito l'upgrade a una di queste versioni della patch, esegui il downgrade manuale del pool di nodi a una versione precedente nel canale di rilascio. Aggiornamento 14/02/2024: le seguenti versioni di GKE sono state aggiornate con il codice per correggere questa vulnerabilità in Ubuntu. Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni di patch o a versioni successive:
Aggiornamento 06/02/2024: le seguenti versioni di GKE sono state aggiornate con il codice per correggere questa vulnerabilità in Container-Optimized OS. Per motivi di sicurezza, anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire manualmente l'upgrade del cluster e dei pool di nodi di Container-Optimized OS a una delle seguenti versioni GKE o successive:
Puoi applicare versioni patch da canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità consente di proteggere i nodi fino a quando la versione della patch non diventa quella predefinita nel canale di rilascio. Per maggiori dettagli, consulta Eseguire le versioni delle patch da un canale più recente. Stiamo aggiornando GKE con il codice per correggere questa vulnerabilità. Aggiorneremo questo bollettino quando saranno disponibili le versioni delle patch. Quali vulnerabilità vengono affrontate da questa patch?
|
Alta |
GKE su VMware
Ultimo aggiornamento: 06/03/2024
Descrizione | Gravità |
---|---|
In Che cosa devo fare?Aggiornamento 06/03/2024: le seguenti versioni di GKE su VMware sono state aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade dei cluster alle versioni seguenti o successive:
Sono in corso versioni patch e una valutazione della gravità per GKE su VMware. Aggiorneremo questo bollettino con queste informazioni non appena saranno disponibili. Quali vulnerabilità vengono affrontate da questa patch?
|
Alta |
GKE su AWS
Ultimo aggiornamento: 06/05/2024
Descrizione | Gravità |
---|---|
In Che cosa devo fare?Aggiornamento 06/05/2024: le seguenti versioni di GKE su AWS sono state aggiornate con le patch per CVE-2024-21626:
Sono in corso le versioni delle patch e una valutazione della gravità per GKE su AWS. Aggiorneremo questo bollettino con queste informazioni non appena saranno disponibili. Quali vulnerabilità vengono affrontate da questa patch?
|
Alta |
GKE su Azure
Ultimo aggiornamento: 06/05/2024
Descrizione | Gravità |
---|---|
In Che cosa devo fare?Aggiornamento 06/05/2024: le seguenti versioni di GKE su Azure sono state aggiornate con le patch per CVE-2024-21626:
Sono in corso le versioni delle patch e una valutazione della gravità per GKE su Azure. Aggiorneremo questo bollettino con queste informazioni non appena saranno disponibili. Quali vulnerabilità vengono affrontate da questa patch?
|
Alta |
GKE su Bare Metal
Ultimo aggiornamento: 02/04/2024
Descrizione | Gravità |
---|---|
In Che cosa devo fare?Aggiornamento 02/04/2024: le seguenti versioni di GKE on Bare Metal sono state aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade dei cluster alle versioni seguenti o successive:
Sono in corso le versioni delle patch e una valutazione della gravità per GKE on Bare Metal. Aggiorneremo questo bollettino con queste informazioni non appena saranno disponibili. Quali vulnerabilità vengono affrontate da questa patch?
|
Alta |
GCP-2024-004
Data di pubblicazione: 24/01/2024
Ultimo aggiornamento: 7/02/2024
Riferimento:
CVE-2023-6817
Aggiornamento 07/02/2024: sono state aggiunte versioni patch per Ubuntu.
GKE
Ultimo aggiornamento: 07/02/2024
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
I cluster GKE Standard ne sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo I cluster che utilizzano GKE Sandbox non sono interessati. Che cosa devo fare?Aggiornamento 07/02/2024: sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni di patch o a versioni successive:
Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi di Container-Optimized OS a una delle seguenti versioni di patch o a una versione successiva:
Puoi applicare versioni patch da canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità consente di proteggere i nodi fino a quando la versione della patch non diventa quella predefinita nel canale di rilascio. Per maggiori dettagli, consulta Eseguire le versioni delle patch da un canale più recente. |
Alta |
GKE su VMware
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare? |
In attesa |
GKE su AWS
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare? |
In attesa |
GKE su Azure
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare? |
In attesa |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare?Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione. |
Nessuna |
GCP-2024-003
Data di pubblicazione: 19/01/2024
Aggiornamento: 26/01/2024
Aggiornamento del 26/01/2024: è stato chiarito il numero di cluster interessati e le azioni che abbiamo intrapreso per mitigare l'impatto.
GKE
Ultimo aggiornamento: 26/01/2024
Descrizione | Gravità |
---|---|
Aggiornamento 26/01/2024: è stata pubblicata una ricerca sulla sicurezza che ha rilevato un numero limitato di cluster GKE con un errore di configurazione creato dal cliente che coinvolge il gruppo Abbiamo identificato diversi cluster in cui gli utenti hanno concesso privilegi Kubernetes al gruppo Recentemente, un ricercatore della sicurezza ha segnalato risultati relativi a cluster con configurazioni errate dell'RBAC tramite il nostro programma di segnalazione delle vulnerabilità. L'approccio di Google all'autenticazione consiste nel rendere l'autenticazione su Google Cloud e
GKE il più semplice e sicura possibile senza aggiungere passaggi di configurazione complessi.
L'autenticazione ci indica semplicemente chi è l'utente, mentre l'autorizzazione è quella in cui viene determinato l'accesso. Pertanto, il gruppo Tenendo conto di ciò, abbiamo adottato diverse misure per ridurre il rischio che gli utenti effettuino errori di autorizzazione con gli utenti e i gruppi integrati di Kubernetes, tra cui Per proteggere gli utenti da errori di autorizzazione accidentali con questi utenti/gruppi di sistema, abbiamo:
I cluster che applicano limitazioni delle reti autorizzate dispongono di un primo livello di difesa: non possono essere attaccati direttamente da internet. Tuttavia, consigliamo comunque di rimuovere queste associazioni per una difesa in profondità e evitare errori nei controlli di rete. Stiamo studiando i modi in cui possiamo proteggerti ulteriormente dagli errori di configurazione dell'RBAC degli utenti con questi utenti o gruppi di sistema attraverso prevenzione e rilevamento. Che cosa devo fare?Per evitare eventuali nuove associazioni di Le associazioni esistenti devono essere esaminate seguendo queste indicazioni. |
Medio |
GKE su VMware
Nessun aggiornamento al momento.
GKE su AWS
Nessun aggiornamento al momento.
GKE su Azure
Nessun aggiornamento al momento.
GKE su Bare Metal
Nessun aggiornamento al momento.
GCP-2024-002
Data di pubblicazione: 17/01/2024
Ultimo aggiornamento: 20/02/2024
Riferimento:
CVE-2023-6111
Aggiornamento 20/02/2024: sono state aggiunte le versioni patch per GKE su VMware.
GKE
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi di Container-Optimized OS.
I cluster GKE Standard ne sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo I cluster che utilizzano GKE Sandbox non sono interessati. Che cosa devo fare?Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi di Container-Optimized OS a una delle seguenti versioni di patch o a una versione successiva:
Puoi applicare versioni patch da canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità consente di proteggere i nodi fino a quando la versione della patch non diventa quella predefinita nel canale di rilascio. Per maggiori dettagli, consulta Eseguire le versioni delle patch da un canale più recente. |
Alta |
GKE su VMware
Ultimo aggiornamento: 20/02/2024
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi di Container-Optimized OS.
Che cosa devo fare?Aggiornamento 20/02/2024: le seguenti versioni di GKE su VMware vengono aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade dei cluster alle versioni seguenti o successive: 1.28.100 |
In attesa |
GKE su AWS
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi di Container-Optimized OS.
Che cosa devo fare? |
In attesa |
GKE su Azure
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi di Container-Optimized OS.
Che cosa devo fare? |
In attesa |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi di Container-Optimized OS.
Che cosa devo fare?Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione. |
Nessuna |
GCP-2023-051
Data di pubblicazione: 28/12/2023
Riferimento:
CVE-2023-3609
GKE
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
I cluster GKE Standard ne sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo I cluster che utilizzano GKE Sandbox non sono interessati. Che cosa devo fare?Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi di Container-Optimized OS a una delle seguenti versioni di patch o a una versione successiva:
Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni di patch o a versioni successive:
Puoi applicare versioni patch da canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità consente di proteggere i nodi fino a quando la versione della patch non diventa quella predefinita nel canale di rilascio. Per maggiori dettagli, consulta Eseguire le versioni delle patch da un canale più recente. |
Alta |
GKE su VMware
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare? |
In attesa |
GKE su AWS
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare? |
In attesa |
GKE su Azure
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare? |
In attesa |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare?Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione. |
Nessuna |
GCP-2023-050
Data di pubblicazione: 27-12-2023
Riferimento:
CVE-2023-3389
GKE
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Sono interessati i cluster GKE Standard e Autopilot. I cluster che utilizzano GKE Sandbox non sono interessati. Che cosa devo fare?Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi di Container-Optimized OS a una delle seguenti versioni di patch o a una versione successiva:
Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni di patch o a versioni successive:
Puoi applicare versioni patch da canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità consente di proteggere i nodi fino a quando la versione della patch non diventa quella predefinita nel canale di rilascio. Per maggiori dettagli, consulta Eseguire le versioni delle patch da un canale più recente. |
Alta |
GKE su VMware
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare? |
In attesa |
GKE su AWS
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare? |
In attesa |
GKE su Azure
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare? |
In attesa |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare?Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione. |
Nessuna |
GCP-2023-049
Data di pubblicazione: 20/12/2023
Riferimento:
CVE-2023-3090
GKE
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
I cluster GKE Standard ne sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo I cluster che utilizzano GKE Sandbox non sono interessati. Che cosa devo fare?Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi di Container-Optimized OS a una delle seguenti versioni di patch o a una versione successiva:
Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni di patch o a versioni successive:
Puoi applicare versioni patch da canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità consente di proteggere i nodi fino a quando la versione della patch non diventa quella predefinita nel canale di rilascio. Per maggiori dettagli, consulta Eseguire le versioni delle patch da un canale più recente. |
Alta |
GKE su VMware
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare? |
In attesa |
GKE su AWS
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare? |
In attesa |
GKE su Azure
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare? |
In attesa |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare?Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione. |
Nessuna |
GCP-2023-048
Data di pubblicazione: 15/12/2023
Ultimo aggiornamento: 21/12/2023
Riferimento:
CVE-2023-3390
Aggiornamento 21/12/2023: chiarire che i cluster GKE Autopilot nella configurazione predefinita non sono interessati.
GKE
Ultimo aggiornamento: 21/12/2023
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Aggiornamento 21/12/2023: il bollettino originale indicava che i cluster Autopilot sono interessati, ma questo dato non è corretto. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o consenti Sono interessati i cluster GKE Standard e Autopilot. I cluster che utilizzano GKE Sandbox non sono interessati. Che cosa devo fare?Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi di Container-Optimized OS a una delle seguenti versioni di patch o a una versione successiva:
Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni di patch o a versioni successive:
Puoi applicare versioni patch da canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità consente di proteggere i nodi fino a quando la versione della patch non diventa quella predefinita nel canale di rilascio. Per maggiori dettagli, consulta Eseguire le versioni delle patch da un canale più recente. |
Alta |
GKE su VMware
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare? |
In attesa |
GKE su AWS
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare? |
In attesa |
GKE su Azure
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare? |
In attesa |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare?Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione. |
Nessuna |
GCP-2023-047
Pubblicato: 14/12/2023
GKE
Descrizione | Gravità |
---|---|
Un utente malintenzionato che ha compromesso il container di logging di Fluent Bit potrebbe combinare questo accesso con gli elevati privilegi richiesti da Cloud Service Mesh (sui cluster in cui è abilitato) per aumentare i privilegi nel cluster. I problemi relativi a Fluent Bit e Cloud Service Mesh sono stati ridotti e sono ora disponibili correzioni. Queste vulnerabilità non sono sfruttabili da sole in GKE e richiedono una compromissione iniziale. Non siamo a conoscenza di casi di sfruttamento di queste vulnerabilità. Questi problemi sono stati segnalati tramite il nostro Vulnerability Reward Program. Che cosa devo fare?Le seguenti versioni di GKE sono state aggiornate con il codice per correggere queste vulnerabilità in Fluent Bit e per gli utenti del mesh di servizi Cloud gestito. Per motivi di sicurezza, anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire manualmente l'upgrade del cluster e dei pool di nodi a una delle seguenti versioni di GKE o successive:
Una funzionalità recente dei canali di rilascio consente di applicare una patch senza dover annullare l'iscrizione a un canale. In questo modo puoi proteggere i nodi fino a quando la nuova versione non diventa quella predefinita per il tuo canale di rilascio specifico Se il cluster utilizza Cloud Service Mesh nel cluster, devi eseguire manualmente l'upgrade a una delle seguenti versioni (note di rilascio):
Quali vulnerabilità vengono affrontate da questa patch? Le vulnerabilità affrontate da questo bollettino richiedono a un utente malintenzionato di compromettere il container di logging di Fluent Bit. Non siamo a conoscenza di vulnerabilità esistenti in Fluent Bit che porterebbero a questa condizione di prerequisito per l'escalation dei privilegi. Abbiamo corretto queste vulnerabilità come misure di protezione avanzata per prevenire una potenziale catena di attacchi completa in futuro GKE utilizza Fluent Bit per elaborare i log per i carichi di lavoro in esecuzione sui cluster. Fluent Bit su GKE è stato configurato anche per raccogliere i log per i carichi di lavoro di Cloud Run. Il montaggio del volume configurato per raccogliere questi log ha concesso a Fluent Bit l'accesso ai token degli account di servizio Kubernetes per gli altri pod in esecuzione sul nodo. Il ricercatore ha usato questo accesso per scoprire un token dell'account di servizio con privilegi elevati per i cluster in cui è abilitato Cloud Service Mesh. Cloud Service Mesh necessitava di privilegi elevati per apportare le modifiche necessarie alla configurazione di un cluster, inclusa la possibilità di creare ed eliminare pod. Il ricercatore ha utilizzato il token dell'account di servizio Kubernetes con privilegi di Cloud Service Mesh per aumentare i privilegi iniziali compromessi creando un nuovo pod con privilegi cluster-admin Abbiamo rimosso l'accesso di Fluent Bit ai token degli account di servizio e abbiamo riprogettato la funzionalità di Cloud Service Mesh per rimuovere i privilegi in eccesso. |
Medio |
GKE su VMware
Descrizione | Gravità |
---|---|
Sono interessati solo i cluster GKE on VMware che utilizzano Cloud Service Mesh. Che cosa devo fare?Se il cluster utilizza Cloud Service Mesh nel cluster, devi eseguire manualmente l'upgrade a una delle seguenti versioni (note di rilascio):
Quali vulnerabilità vengono affrontate da questa patch?Le vulnerabilità affrontate da questo bollettino richiedono che un utente malintenzionato prima compromettere o altrimenti uscire da un container o avere la radice su un nodo cluster sia root. Non siamo a conoscenza di vulnerabilità esistenti che porterebbero a questa condizione dei prerequisiti per l'escalation dei privilegi. Abbiamo corretto queste vulnerabilità come misure di protezione avanzata per prevenire una potenziale catena di attacchi completa in futuro. Cloud Service Mesh necessitava di privilegi elevati per apportare le modifiche necessarie alla configurazione di un cluster, inclusa la possibilità di creare ed eliminare pod. Il ricercatore ha utilizzato il token dell'account di servizio Kubernetes con privilegi di Cloud Service Mesh per aumentare i privilegi iniziali compromessi creando un nuovo pod con privilegi cluster-admin. Abbiamo riprogettato la funzionalità di Cloud Service Mesh per rimuovere i privilegi eccessivi. |
Medio |
GKE su AWS
Descrizione | Gravità |
---|---|
È interessato solo GKE su cluster AWS che utilizzano Cloud Service Mesh. Che cosa devo fare?Se il cluster utilizza Cloud Service Mesh nel cluster, devi eseguire manualmente l'upgrade a una delle seguenti versioni (note di rilascio):
Quali vulnerabilità vengono affrontate da questa patch?Le vulnerabilità affrontate da questo bollettino richiedono che un utente malintenzionato prima compromettere o altrimenti uscire da un container o avere la radice su un nodo cluster sia root. Non siamo a conoscenza di vulnerabilità esistenti che porterebbero a questa condizione dei prerequisiti per l'escalation dei privilegi. Abbiamo corretto queste vulnerabilità come misure di protezione avanzata per prevenire una potenziale catena di attacchi completa in futuro. Cloud Service Mesh necessitava di privilegi elevati per apportare le modifiche necessarie alla configurazione di un cluster, inclusa la possibilità di creare ed eliminare pod. Il ricercatore ha utilizzato il token dell'account di servizio Kubernetes con privilegi di Cloud Service Mesh per aumentare i privilegi iniziali compromessi creando un nuovo pod con privilegi cluster-admin. Abbiamo riprogettato la funzionalità di Cloud Service Mesh per rimuovere i privilegi eccessivi. |
Medio |
GKE su Azure
Descrizione | Gravità |
---|---|
Sono interessati solo i cluster GKE su Azure che utilizzano Cloud Service Mesh. Che cosa devo fare?Se il cluster utilizza Cloud Service Mesh nel cluster, devi eseguire manualmente l'upgrade a una delle seguenti versioni (note di rilascio):
Quali vulnerabilità vengono affrontate da questa patch?Le vulnerabilità affrontate da questo bollettino richiedono che un utente malintenzionato prima compromettere o altrimenti uscire da un container o avere la radice su un nodo cluster sia root. Non siamo a conoscenza di vulnerabilità esistenti che porterebbero a questa condizione dei prerequisiti per l'escalation dei privilegi. Abbiamo corretto queste vulnerabilità come misure di protezione avanzata per prevenire una potenziale catena di attacchi completa in futuro. Cloud Service Mesh necessitava di privilegi elevati per apportare le modifiche necessarie alla configurazione di un cluster, inclusa la possibilità di creare ed eliminare pod. Il ricercatore ha utilizzato il token dell'account di servizio Kubernetes con privilegi di Cloud Service Mesh per aumentare i privilegi iniziali compromessi creando un nuovo pod con privilegi cluster-admin. Abbiamo riprogettato la funzionalità di Cloud Service Mesh per rimuovere i privilegi eccessivi. |
Medio |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
Sono interessati solo i cluster GKE on Bare Metal che utilizzano Cloud Service Mesh. Che cosa devo fare?Se il cluster utilizza Cloud Service Mesh nel cluster, devi eseguire manualmente l'upgrade a una delle seguenti versioni (note di rilascio):
Quali vulnerabilità vengono affrontate da questa patch?Le vulnerabilità affrontate da questo bollettino richiedono che un utente malintenzionato prima compromettere o altrimenti uscire da un container o avere la radice su un nodo cluster sia root. Non siamo a conoscenza di vulnerabilità esistenti che porterebbero a questa condizione dei prerequisiti per l'escalation dei privilegi. Abbiamo corretto queste vulnerabilità come misure di protezione avanzata per prevenire una potenziale catena di attacchi completa in futuro. Anthos Service Mesh richiedeva privilegi elevati per apportare le modifiche necessarie alla configurazione di un cluster, inclusa la possibilità di creare ed eliminare pod. Il ricercatore ha utilizzato il token dell'account di servizio Kubernetes con privilegi di Cloud Service Mesh per aumentare i privilegi iniziali compromessi creando un nuovo pod con privilegi cluster-admin. Abbiamo riprogettato la funzionalità di Cloud Service Mesh per rimuovere i privilegi eccessivi. |
Medio |
GCP-2023-046
Data di pubblicazione: 22/11/2023
Ultimo aggiornamento: 04/03/2024
Riferimento:
CVE-2023-5717
Aggiornamento 04/03/2024: aggiunte le versioni GKE per GKE su VMware.
Aggiornamento 22/01/2024: aggiunte le versioni patch di Ubuntu.
GKE
Ultimo aggiornamento: 22/01/2024
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Sono interessati i cluster GKE Standard e Autopilot. I cluster che utilizzano GKE Sandbox non sono interessati. Che cosa devo fare?Aggiornamento 22/01/2024: sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni di patch o a versioni successive:
Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi di Container-Optimized OS a una delle seguenti versioni di patch o a una versione successiva:
Puoi applicare versioni patch da canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità consente di proteggere i nodi fino a quando la versione della patch non diventa quella predefinita nel canale di rilascio. Per maggiori dettagli, consulta Eseguire le versioni delle patch da un canale più recente. |
Alta |
GKE su VMware
Ultimo aggiornamento: 29/02/2024
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare?Aggiornamento 04/03/2024: le seguenti versioni di GKE su VMware vengono aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade dei cluster alle versioni seguenti o successive:
|
Alta |
GKE su AWS
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare? |
In attesa |
GKE su Azure
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare? |
In attesa |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare?Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione. |
Nessuna |
GCP-2023-045
Data di pubblicazione: 20/11/2023
Ultimo aggiornamento: 21/12/2023
Riferimento:
CVE-2023-5197
Aggiornamento 21/12/2023: chiarire che i cluster GKE Autopilot nella configurazione predefinita non sono interessati.
GKE
Ultimo aggiornamento: 21/12/2023
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Aggiornamento 21/12/2023: il bollettino originale indicava che i cluster Autopilot sono interessati, ma questo dato non è corretto. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o consenti Sono interessati i cluster GKE Standard e Autopilot. I cluster che utilizzano GKE Sandbox non sono interessati. Che cosa devo fare?Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi di Container-Optimized OS a una delle seguenti versioni di patch o a una versione successiva:
Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni di patch o a versioni successive:
Puoi applicare versioni patch da canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità consente di proteggere i nodi fino a quando la versione della patch non diventa quella predefinita nel canale di rilascio. Per maggiori dettagli, consulta Eseguire le versioni delle patch da un canale più recente. |
Alta |
GKE su VMware
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare? |
In attesa |
GKE su AWS
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare? |
In attesa |
GKE su Azure
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare? |
In attesa |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare?Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione. |
Nessuna |
GCP-2023-042
Data di pubblicazione: 13/11/2023
Ultimo aggiornamento: 15/11/2023
Riferimento:
CVE-2023-4147
Aggiornamento del 15/11/2023: specifica che solo le versioni secondarie elencate devono eseguire l'upgrade a una versione con patch corrispondente per GKE.
GKE
Ultimo aggiornamento: 15/11/2023
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
I cluster GKE Standard ne sono interessati. I cluster GKE Autopilot non sono interessati. I cluster che utilizzano GKE Sandbox non sono interessati. Che cosa devo fare?Aggiornamento del 15/11/2023: devi eseguire l'upgrade a una delle versioni con patch elencate in questo bollettino solo se utilizzi questa versione secondaria nei tuoi nodi. Ad esempio, se utilizzi GKE versione 1.27, devi eseguire l'upgrade alla versione con patch corrispondente. Tuttavia, se utilizzi GKE versione 1.24, non è necessario eseguire l'upgrade a una versione con patch. Esegui l'upgrade dei pool di nodi di Container-Optimized OS a una delle seguenti versioni o a una versione successiva:
Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni o a una versione successiva:
Puoi applicare versioni patch da canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità consente di proteggere i nodi fino a quando la versione con patch diventa quella predefinita nel canale di rilascio. Per maggiori dettagli, consulta Eseguire le versioni delle patch da un canale più recente. |
Alta |
GKE su VMware
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare? |
In attesa |
GKE su AWS
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare? |
In attesa |
GKE su Azure
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare? |
In attesa |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare?Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione. |
Nessuna |
GCP-2023-041
Pubblicato: 08/11/2023
Ultimo aggiornamento: 21/11/2023 05/12/2023 21/12/2023
Riferimento:
CVE-2023-4004
Aggiornamento 21/12/2023: chiarire che i cluster GKE Autopilot nella configurazione predefinita non sono interessati.
Aggiornamento 05/12/2023 : sono state aggiunte ulteriori versioni GKE per i pool di nodi di Container-Optimized OS.
Aggiornamento 21/11/2023: chiarisci che solo le versioni secondarie elencate devono eseguire l'upgrade a una versione patch corrispondente per GKE.
GKE
Ultimo aggiornamento: 21/11/2023, 05/12/2023, 21/12/2023
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Aggiornamento 21/12/2023: il bollettino originale indicava che i cluster Autopilot sono interessati, ma questo dato non è corretto. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o consenti Sono interessati i cluster Autopilot. I cluster che utilizzano GKE Sandbox non sono interessati. Che cosa devo fare?Aggiornamento 5/12/2023: in precedenza mancano alcune versioni di GKE. Di seguito è riportato un elenco aggiornato delle versioni GKE in cui puoi aggiornare Container-Optimized OS:
Aggiornamento 21/11/2023: devi eseguire l'upgrade a una delle versioni di patch elencate in questo bollettino solo se utilizzi quella versione secondaria nei tuoi nodi. Le versioni secondarie non elencate non sono interessate. Esegui l'upgrade dei pool di nodi di Container-Optimized OS a una delle seguenti versioni o a una versione successiva:
Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni o a una versione successiva:
|
Alta |
GKE su VMware
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare? |
In attesa |
GKE su AWS
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare? |
In attesa |
GKE su Azure
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare? |
In attesa |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare?Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione. |
Nessuna |
GCP-2023-040
Data di pubblicazione: 06/11/2023
Ultimo aggiornamento: 21/11/2023/21/12/2023
Riferimento:
CVE-2023-4921
Aggiornamento 21/12/2023: chiarire che i cluster GKE Autopilot nella configurazione predefinita non sono interessati.
Aggiornamento 21/11/2023: chiarisci che solo le versioni secondarie elencate devono eseguire l'upgrade a una versione patch corrispondente per GKE.
GKE
Ultimo aggiornamento: 21/11/2023, 21/12/2023
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Aggiornamento 21/12/2023: il bollettino originale indicava che i cluster Autopilot sono interessati, ma questo dato non è corretto. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o consenti Sono interessati i cluster Autopilot. I cluster che utilizzano GKE Sandbox non sono interessati. Che cosa devo fare?Aggiornamento 21/11/2023: devi eseguire l'upgrade a una delle versioni di patch elencate in questo bollettino solo se utilizzi quella versione secondaria nei tuoi nodi. Le versioni secondarie non elencate non sono interessate. Esegui l'upgrade dei pool di nodi di Container-Optimized OS a una delle seguenti versioni o a una versione successiva:
Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni o a una versione successiva:
|
Alta |
GKE su VMware
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare? |
In attesa |
GKE su AWS
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare? |
In attesa |
GKE su Azure
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare? |
In attesa |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare?Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione. |
Nessuna |
GCP-2023-039
Data di pubblicazione: 06/11/2023
Ultimo aggiornamento: 21/11/2023 16/11/2023
Riferimento:
CVE-2023-4622
Aggiornamento 21/11/2023: chiarisci che solo le versioni secondarie elencate devono eseguire l'upgrade a una versione patch corrispondente per GKE.
Aggiornamento 16-11-2023: la vulnerabilità associata a questo bollettino sulla sicurezza è CVE-2023-4622. La vulnerabilità CVE-2023-4623 è stata erroneamente indicata come vulnerabilità in una versione precedente del bollettino sulla sicurezza.
GKE
Ultimo aggiornamento: 21/11/2023, 16/11/2023
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Sono interessati i cluster Autopilot. I cluster che utilizzano GKE Sandbox non sono interessati. Che cosa devo fare?Aggiornamento 21/11/2023: devi eseguire l'upgrade a una delle versioni di patch elencate in questo bollettino solo se utilizzi quella versione secondaria nei tuoi nodi. Le versioni secondarie non elencate non sono interessate. Esegui l'upgrade dei pool di nodi di Container-Optimized OS a una delle seguenti versioni o a una versione successiva:
Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni o a una versione successiva:
|
Alta |
GKE su VMware
Ultimo aggiornamento: 16/11/2023
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare? |
In attesa |
GKE su AWS
Ultimo aggiornamento: 16/11/2023
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare? |
In attesa |
GKE su Azure
Ultimo aggiornamento: 16/11/2023
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare? |
In attesa |
GKE su Bare Metal
Ultimo aggiornamento: 16/11/2023
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare?Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione. |
Nessuna |
GCP-2023-038
Data di pubblicazione: 06/11/2023
Ultimo aggiornamento: 21/11/2023/21/12/2023
Riferimento:
CVE-2023-4623
Aggiornamento 21/12/2023: chiarire che i cluster GKE Autopilot nella configurazione predefinita non sono interessati.
Aggiornamento 21/11/2023: chiarisci che solo le versioni secondarie elencate devono eseguire l'upgrade a una versione patch corrispondente per GKE.
GKE
Ultimo aggiornamento: 21/11/2023, 21/12/2023
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Aggiornamento 21/12/2023: il bollettino originale indicava che i cluster Autopilot sono interessati, ma questo dato non è corretto. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o consenti Sono interessati i cluster Autopilot. I cluster che utilizzano GKE Sandbox non sono interessati. Che cosa devo fare?Aggiornamento 21/11/2023: devi eseguire l'upgrade a una delle versioni di patch elencate in questo bollettino solo se utilizzi quella versione secondaria nei tuoi nodi. Le versioni secondarie non elencate non sono interessate. Esegui l'upgrade dei pool di nodi di Container-Optimized OS a una delle seguenti versioni o a una versione successiva:
Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni o a una versione successiva:
|
Alta |
GKE su VMware
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare? |
In attesa |
GKE su AWS
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare? |
In attesa |
GKE su Azure
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare? |
In attesa |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare?Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione. |
Nessuna |
GCP-2023-037
Data di pubblicazione: 06/11/2023
Ultimo aggiornamento: 21/11/2023/21/12/2023
Riferimento:
CVE-2023-4015
Aggiornamento 21/12/2023: chiarire che i cluster GKE Autopilot nella configurazione predefinita non sono interessati.
Aggiornamento 21/11/2023: chiarisci che solo le versioni secondarie elencate devono eseguire l'upgrade a una versione patch corrispondente per GKE.
GKE
Ultimo aggiornamento: 21/11/2023, 21/12/2023
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Aggiornamento 21/12/2023: il bollettino originale indicava che i cluster Autopilot sono interessati, ma questo dato non è corretto. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o consenti Sono interessati i cluster Autopilot. I cluster che utilizzano GKE Sandbox non sono interessati. Che cosa devo fare?Aggiornamento 21/11/2023: devi eseguire l'upgrade a una delle versioni di patch elencate in questo bollettino solo se utilizzi quella versione secondaria nei tuoi nodi. Le versioni secondarie non elencate non sono interessate. Esegui l'upgrade dei pool di nodi di Container-Optimized OS a una delle seguenti versioni o a una versione successiva:
Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni o a una versione successiva:
|
Alta |
GKE su VMware
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare? |
In attesa |
GKE su AWS
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare? |
In attesa |
GKE su Azure
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare? |
In attesa |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare?Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione. |
Nessuna |
GCP-2023-035
Data di pubblicazione: 26/10/2023
Ultimo aggiornamento: 21/11/2023/21/12/2023
Riferimento:
CVE-2023-4206, CVE-2023-4207, CVE-2023-4208, CVE-2023-4128
Aggiornamento 21/12/2023: chiarire che i cluster GKE Autopilot nella configurazione predefinita non sono interessati.
Aggiornamento 21/11/2023: chiarisci che solo le versioni secondarie elencate devono eseguire l'upgrade a una versione patch corrispondente per GKE.
GKE
Ultimo aggiornamento: 21/11/2023, 21/12/2023
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Aggiornamento 21/12/2023: il bollettino originale indicava che i cluster Autopilot sono interessati, ma questo dato non è corretto. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o consenti Sono interessati i cluster Autopilot. I cluster che utilizzano GKE Sandbox non sono interessati. Che cosa devo fare?Aggiornamento 21/11/2023: devi eseguire l'upgrade a una delle versioni di patch elencate in questo bollettino solo se utilizzi quella versione secondaria nei tuoi nodi. Le versioni secondarie non elencate non sono interessate. Esegui l'upgrade dei pool di nodi di Container-Optimized OS a una delle seguenti versioni o a una versione successiva:
Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni o a una versione successiva:
|
Alta |
GKE su VMware
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare? |
Alta |
GKE su AWS
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare? |
Alta |
GKE su Azure
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare? |
Alta |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare?Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione. |
Alta |
GCP-2023-033
Data di pubblicazione: 24/10/2023
Ultimo aggiornamento: 21/11/2023/21/12/2023
Riferimento:
CVE-2023-3777
Aggiornamento 21/12/2023: chiarisci che i cluster GKE Autopilot nella configurazione predefinita non sono interessati e non sono interessati i carichi di lavoro di GKE Sandbox.
Aggiornamento 21/11/2023: chiarisci che solo le versioni secondarie elencate devono eseguire l'upgrade a una versione patch corrispondente per GKE.
GKE
Ultimo aggiornamento: 21/11/2023, 21/12/2023
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Aggiornamento 21/12/2023: il bollettino originale indicava che i cluster Autopilot sono interessati, ma questo dato non è corretto. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o consenti Sono interessati i cluster Autopilot. I cluster che utilizzano GKE Sandbox sono interessati. Che cosa devo fare?Aggiornamento 21/11/2023: devi eseguire l'upgrade a una delle versioni di patch elencate in questo bollettino solo se utilizzi quella versione secondaria nei tuoi nodi. Le versioni secondarie non elencate non sono interessate. Esegui l'upgrade dei pool di nodi di Container-Optimized OS a una delle seguenti versioni o a una versione successiva:
Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni o a una versione successiva:
|
Alta |
GKE su VMware
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare? |
GKE su AWS
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare? |
GKE su Azure
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare? |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare?Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione. |
GCP-2023-030
Pubblicato: 10/10/2023
Ultimo aggiornamento: 20/03/2024
Riferimento: CVE-2023-44487CVE-2023-39325
Aggiornamento del 20/03/2024: sono state aggiunte le versioni patch per GKE su AWS e GKE su Azure
Aggiornamento del 14/02/2024: sono state aggiunte le versioni delle patch
per GKE su VMware
Aggiornamento del 09/11/2023: è stato aggiunto CVE-2023-39325. Sono state aggiornate le versioni di GKE con le patch più recenti per CVE-2023-44487 e CVE-2023-39325.
GKE
Ultimo aggiornamento: 09/11/2023
Descrizione | Gravità |
---|---|
Di recente è stata scoperta una vulnerabilità DoS (Denial of Service) in diverse implementazioni del protocollo HTTP/2 (CVE-2023-44487), incluso il server HTTP golang utilizzato da Kubernetes. La vulnerabilità potrebbe causare un DoS del piano di controllo Google Kubernetes Engine (GKE). I cluster GKE con reti autorizzate configurate sono protetti limitando l'accesso alla rete, ma sono interessati tutti gli altri cluster. Che cosa devo fare?Aggiornamento 09/11/2023: abbiamo rilasciato nuove versioni di GKE che includono le patch di sicurezza Go e Kubernetes, che puoi aggiornare ora per i tuoi cluster. Nelle prossime settimane rilasceremo ulteriori modifiche al piano di controllo GKE per mitigare ulteriormente questo problema. Le seguenti versioni di GKE sono state aggiornate con patch per CVE-2023-44487 e CVE-2023-39325:
Ti consigliamo di applicare la seguente mitigazione il prima possibile ed eseguire l'upgrade alla versione con patch più recente, quando disponibile. Le patch di Golang verranno rilasciate il 10 ottobre. Una volta disponibile, creeremo e qualificheremo un nuovo server API Kubernetes con queste patch e creeremo una release GKE con patch. Una volta disponibile la release di GKE, aggiorneremo questo bollettino con indicazioni sulla versione per eseguire l'upgrade del piano di controllo. Inoltre, renderemo visibili le patch all'interno della postura di sicurezza di GKE quando saranno disponibili per il tuo cluster. Per ricevere una notifica Pub/Sub quando è disponibile una patch per il tuo canale, abilita le notifiche del cluster. Una funzionalità recente dei canali di rilascio consente di applicare una patch senza dover annullare l'iscrizione a un canale. In questo modo puoi proteggere i nodi fino a quando la nuova versione non diventerà quella predefinita per il canale specifico di rilascio. Attenuazione mediante la configurazione di reti autorizzate per l'accesso al piano di controllo: Puoi aggiungere reti autorizzate per i cluster esistenti. Per saperne di più, consulta Rete autorizzata per i cluster esistenti. Oltre alle reti autorizzate che aggiungi, esistono indirizzi IP preimpostati che possono accedere al piano di controllo GKE. Per saperne di più su questi indirizzi, vedi Accesso agli endpoint del piano di controllo. I seguenti elementi riepilogano l'isolamento del cluster:
Quali vulnerabilità vengono affrontate da questa patch?La vulnerabilità, CVE-2023-44487, consente a un utente malintenzionato di eseguire un attacco denial-of-service sui nodi del piano di controllo GKE. |
Alta |
GKE su VMware
Ultimo aggiornamento: 14/02/2024
Descrizione | Gravità |
---|---|
Di recente è stata scoperta una vulnerabilità DoS (Denial of Service) in diverse implementazioni del protocollo HTTP/2 (CVE-2023-44487), incluso il server HTTP golang utilizzato da Kubernetes. La vulnerabilità potrebbe causare un DoS del piano di controllo Kubernetes. GKE on VMware crea cluster Kubernetes che non sono direttamente accessibili su internet per impostazione predefinita e sono protetti da questa vulnerabilità. Che cosa devo fare?Aggiornamento 14/02/2024: le seguenti versioni di GKE su VMware vengono aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade dei cluster alle seguenti versioni di patch o a versioni successive:
Se hai configurato i cluster Kubernetes di GKE on VMware in modo da avere accesso diretto a internet o ad altre reti non attendibili, ti consigliamo di collaborare con l'amministratore del firewall per bloccare o limitare l'accesso. Ti consigliamo di eseguire l'upgrade alla versione più recente della patch, se disponibile, il prima possibile. Le patch di Golang verranno rilasciate il 10 ottobre. Una volta disponibile, creeremo e qualificheremo un nuovo server API Kubernetes con queste patch e creeremo una release GKE con patch. Una volta disponibile la release di GKE, aggiorneremo questo bollettino con indicazioni sulla versione a cui eseguire l'upgrade del piano di controllo. Quali vulnerabilità vengono affrontate da questa patch?La vulnerabilità, CVE-2023-44487, consente a un utente malintenzionato di eseguire un attacco denial-of-service sui nodi del piano di controllo Kubernetes. |
Alta |
GKE su AWS
Descrizione | Gravità |
---|---|
Di recente è stata scoperta una vulnerabilità DoS (Denial of Service) in diverse implementazioni del protocollo HTTP/2 (CVE-2023-44487), incluso il server HTTP golang utilizzato da Kubernetes. La vulnerabilità potrebbe causare un DoS del piano di controllo Kubernetes. GKE su AWS crea cluster Kubernetes privati che non sono direttamente accessibili su internet per impostazione predefinita e sono protetti da questa vulnerabilità. Che cosa devo fare?Aggiornamento del 20/03/2024: le seguenti versioni di GKE su AWS sono state aggiornate con le patch per CVE-2023-44487:
Se hai configurato GKE su AWS per avere accesso diretto a internet o ad altre reti non attendibili, ti consigliamo di collaborare con l'amministratore del firewall per bloccare o limitare questo accesso. Ti consigliamo di eseguire l'upgrade alla versione più recente della patch, se disponibile, il prima possibile. Le patch di Golang verranno rilasciate il 10 ottobre. Una volta disponibile, creeremo e qualificheremo un nuovo server API Kubernetes con queste patch e creeremo una release GKE con patch. Una volta disponibile la release di GKE, aggiorneremo questo bollettino con indicazioni sulla versione a cui eseguire l'upgrade del piano di controllo. Quali vulnerabilità vengono affrontate da questa patch?La vulnerabilità, CVE-2023-44487, consente a un utente malintenzionato di eseguire un attacco denial-of-service sui nodi del piano di controllo Kubernetes. |
Alta |
GKE su Azure
Descrizione | Gravità |
---|---|
Di recente è stata scoperta una vulnerabilità DoS (Denial of Service) in diverse implementazioni del protocollo HTTP/2 (CVE-2023-44487), incluso il server HTTP golang utilizzato da Kubernetes. La vulnerabilità potrebbe causare un DoS del piano di controllo Kubernetes. GKE su Azure crea cluster Kubernetes privati che non sono direttamente accessibili su internet per impostazione predefinita e sono protetti da questa vulnerabilità. Che cosa devo fare?Aggiornamento 20/03/2024: le seguenti versioni di GKE su Azure sono state aggiornate con le patch per CVE-2023-44487:
Se hai configurato i cluster GKE su Azure in modo da avere accesso diretto a internet o ad altre reti non attendibili, ti consigliamo di collaborare con l'amministratore del firewall per bloccare o limitare questo accesso. Ti consigliamo di eseguire l'upgrade alla versione più recente della patch, se disponibile, il prima possibile. Le patch di Golang verranno rilasciate il 10 ottobre. Una volta disponibile, creeremo e qualificheremo un nuovo server API Kubernetes con queste patch e creeremo una release GKE con patch. Una volta disponibile la release di GKE, aggiorneremo questo bollettino con indicazioni sulla versione a cui eseguire l'upgrade del piano di controllo.Quali vulnerabilità vengono affrontate da questa patch?La vulnerabilità, CVE-2023-44487, consente a un utente malintenzionato di eseguire un attacco denial-of-service sui nodi del piano di controllo Kubernetes. |
Alta |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
Di recente è stata scoperta una vulnerabilità DoS (Denial of Service) in diverse implementazioni del protocollo HTTP/2 (CVE-2023-44487), incluso il server HTTP golang utilizzato da Kubernetes. La vulnerabilità potrebbe causare un DoS del piano di controllo Kubernetes. Anthos su Bare Metal crea cluster Kubernetes che non sono direttamente accessibili su internet per impostazione predefinita e sono protetti da questa vulnerabilità. Che cosa devo fare?Se hai configurato i cluster Kubernetes Anthos on Bare Metal in modo che abbiano accesso diretto a internet o ad altre reti non attendibili, ti consigliamo di collaborare con l'amministratore del firewall per bloccare o limitare l'accesso. Per saperne di più, consulta la panoramica sulla sicurezza di GKE on Bare Metal. Ti consigliamo di eseguire l'upgrade alla versione più recente della patch, se disponibile, il prima possibile. Le patch di Golang verranno rilasciate il 10 ottobre. Una volta disponibile, creeremo e qualificheremo un nuovo server API Kubernetes con queste patch e creeremo una release GKE con patch. Una volta disponibile la release di GKE, aggiorneremo questo bollettino con indicazioni sulla versione a cui eseguire l'upgrade del piano di controllo. Quali vulnerabilità vengono affrontate da questa patch?La vulnerabilità, CVE-2023-44487, consente a un utente malintenzionato di eseguire un attacco denial-of-service sui nodi del piano di controllo Kubernetes. |
Alta |
GCP-2023-026
Pubblicato: 2023-09-06
Riferimento: CVE-2023-3676,
CVE-2023-3955,
CVE-2023-3893
GKE
Descrizione | Gravità |
---|---|
In Kubernetes sono state scoperte tre vulnerabilità (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) in cui un utente che può creare pod sui nodi Windows potrebbe essere in grado di eseguire l’escalation ai privilegi amministrativi su quei nodi. Queste vulnerabilità interessano le versioni Windows di Kubelet e il proxy CSI di Kubernetes. I cluster GKE sono interessati solo se includono nodi Windows. Che cosa devo fare?Le seguenti versioni di GKE sono state aggiornate con il codice per correggere questa vulnerabilità. Per motivi di sicurezza, anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire manualmente l'upgrade del cluster e dei pool di nodi a una delle seguenti versioni di GKE:
Il piano di controllo GKE verrà aggiornato la settimana del 04/09/2023 per aggiornare csi-proxy alla versione 1.1.3. Se aggiorni i nodi prima dell'aggiornamento del piano di controllo,
dovrai aggiornarli di nuovo dopo l'aggiornamento per sfruttare il nuovo
proxy. Puoi aggiornare nuovamente i nodi, anche senza modificare la versione dei nodi, eseguendo il comando Una funzionalità recente dei canali di rilascio consente di applicare una patch senza dover annullare l'iscrizione a un canale. In questo modo puoi proteggere i nodi fino a quando la nuova versione non diventa quella predefinita per il tuo canale di rilascio specifico. Quali vulnerabilità vengono affrontate da questa patch?Con CVE-2023-3676, un utente malintenzionato potrebbe creare una specifica di pod con stringhe di percorsi host che contengono comandi PowerShell. kubelet non ha la sanitizzazione dell'input e passa questa stringa di percorso creata all'esecutore di comando come argomento in cui eseguire parti della stringa come comandi separati. Questi comandi vengono eseguiti con gli stessi privilegi amministrativi di Kubelet. Con CVE-2023-3955, Kubelet concede agli utenti che possono creare pod la possibilità di eseguire codice allo stesso livello di autorizzazione dell'agente Kubelet, con autorizzazioni con privilegi. Con CVE-2023-3893, una simile mancanza di sanitation degli input consente a un utente in grado di creare pod sui nodi Windows che eseguono kubernetes-csi-proxy di riassegnare ai privilegi amministrativi su quei nodi. Gli audit log di Kubernetes possono essere utilizzati per rilevare se questa vulnerabilità viene sfruttata. Gli eventi di creazione dei pod con comandi PowerShell incorporati sono una forte indicazione dello sfruttamento. Anche i ConfigMap e i Secret che contengono comandi PowerShell incorporati e sono montati nei pod sono una forte indicazione di sfruttamento. |
Alta |
GKE su VMware
Descrizione | Gravità |
---|---|
In Kubernetes sono state scoperte tre vulnerabilità (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) in cui un utente che può creare pod sui nodi Windows potrebbe essere in grado di eseguire l’escalation ai privilegi amministrativi su quei nodi. Queste vulnerabilità interessano le versioni Windows di Kubelet e il proxy CSI di Kubernetes. I cluster sono interessati solo se includono nodi Windows. Che cosa devo fare?Quali vulnerabilità vengono affrontate da questa patch?Con CVE-2023-3676, un utente malintenzionato potrebbe creare una specifica di pod con stringhe di percorsi host che contengono comandi PowerShell. kubelet non ha la sanitizzazione dell'input e passa questa stringa di percorso creata all'esecutore di comando come argomento in cui eseguire parti della stringa come comandi separati. Questi comandi vengono eseguiti con gli stessi privilegi amministrativi di Kubelet. Con CVE-2023-3955, Kubelet concede agli utenti che possono creare pod la possibilità di eseguire codice allo stesso livello di autorizzazione dell'agente Kubelet, con autorizzazioni con privilegi. Con CVE-2023-3893, una simile mancanza di sanitation degli input consente a un utente in grado di creare pod sui nodi Windows che eseguono kubernetes-csi-proxy di riassegnare ai privilegi amministrativi su quei nodi. Gli audit log di Kubernetes possono essere utilizzati per rilevare se questa vulnerabilità viene sfruttata. Gli eventi di creazione dei pod con comandi PowerShell incorporati sono una forte indicazione dello sfruttamento. Anche i ConfigMap e i Secret che contengono comandi PowerShell incorporati e sono montati nei pod sono una forte indicazione di sfruttamento. |
Alta |
GKE su AWS
Descrizione | Gravità |
---|---|
In Kubernetes sono state scoperte tre vulnerabilità (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) in cui un utente che può creare pod sui nodi Windows potrebbe essere in grado di eseguire l’escalation ai privilegi amministrativi su quei nodi. Queste vulnerabilità interessano le versioni Windows di Kubelet e il proxy CSI di Kubernetes. Che cosa devo fare?GKE su AWS non è interessato da queste CVE. Non è richiesto alcun intervento da parte tua. |
Nessuna |
GKE su Azure
Descrizione | Gravità |
---|---|
In Kubernetes sono state scoperte tre vulnerabilità (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) in cui un utente che può creare pod sui nodi Windows potrebbe essere in grado di eseguire l’escalation ai privilegi amministrativi su quei nodi. Queste vulnerabilità interessano le versioni Windows di Kubelet e il proxy CSI di Kubernetes. Che cosa devo fare?GKE su Azure non è interessato da queste CVE. Non è richiesto alcun intervento da parte tua. |
Nessuna |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
In Kubernetes sono state scoperte tre vulnerabilità (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) in cui un utente che può creare pod sui nodi Windows potrebbe essere in grado di eseguire l’escalation ai privilegi amministrativi su quei nodi. Queste vulnerabilità interessano le versioni Windows di Kubelet e il proxy CSI di Kubernetes. Che cosa devo fare?GKE on Bare Metal non è interessato da queste CVE. Non è richiesto alcun intervento da parte tua. |
Nessuna |
GCP-2023-018
Pubblicato: 27-06-2023
Riferimento: CVE-2023-2235
GKE
Descrizione | Gravità |
---|---|
È stata scoperta una nuova vulnerabilità (CVE-2023-2235) nel kernel Linux che può portare a un'escalation dei privilegi sul nodo. I cluster GKE Autopilot sono interessati perché i nodi GKE Autopilot utilizzano sempre le immagini dei nodi di Container-Optimized OS. Sono interessati i cluster GKE Standard con versione 1.25 o successive che eseguono immagini dei nodi Container-Optimized OS. I cluster GKE non sono interessati se eseguono solo immagini dei nodi Ubuntu, eseguono versioni precedenti alla 1.25 o utilizzano GKE Sandbox. Che cosa devo fare?Le seguenti versioni di GKE sono state aggiornate con il codice per correggere questa vulnerabilità. Per motivi di sicurezza, anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire manualmente l'upgrade del cluster e dei pool di nodi a una delle seguenti versioni di GKE:
Una funzionalità recente dei canali di rilascio consente di applicare una patch senza dover annullare l'iscrizione a un canale. In questo modo puoi proteggere i nodi fino a quando la nuova versione non diventerà quella predefinita per il canale specifico di rilascio. Quali vulnerabilità vengono affrontate?Con CVE-2023-2235, la funzione perf_group_Scollega non ha controllato il link attach_state dei fratelli dell'evento prima di chiamare add_event_to_groups(), ma remove_on_exec ha permesso di chiamare list_del_event() prima di scollegarsi dal gruppo, consentendo di utilizzare un puntatore in sospeso che causa una vulnerabilità use-after-free. |
Alta |
GKE su VMware
Descrizione | Gravità |
---|---|
È stata scoperta una nuova vulnerabilità (CVE-2023-2235) nel kernel Linux che può portare a un'escalation dei privilegi sul nodo. I cluster GKE on VMware sono interessati. Che cosa devo fare?Quali vulnerabilità vengono affrontate?Con CVE-2023-2235, la funzione perf_group_Scollega non ha controllato il link attach_state dei fratelli dell'evento prima di chiamare add_event_to_groups(), ma remove_on_exec ha permesso di chiamare list_del_event() prima di scollegarsi dal gruppo, consentendo di utilizzare un puntatore in sospeso che causa una vulnerabilità use-after-free. |
Alta |
GKE su AWS
Descrizione | Gravità |
---|---|
È stata scoperta una nuova vulnerabilità (CVE-2023-2235) nel kernel Linux che può portare a un'escalation dei privilegi sul nodo. La risorsa è interessata da GKE su cluster AWS. Che cosa devo fare?Quali vulnerabilità vengono affrontate da questa patch?Con CVE-2023-2235, la funzione perf_group_Scollega non ha controllato il link attach_state dei fratelli dell'evento prima di chiamare add_event_to_groups(), ma remove_on_exec ha permesso di chiamare list_del_event() prima di scollegarsi dal gruppo, consentendo di utilizzare un puntatore in sospeso che causa una vulnerabilità use-after-free. |
Alta |
GKE su Azure
Descrizione | Gravità |
---|---|
È stata scoperta una nuova vulnerabilità (CVE-2023-2235) nel kernel Linux che può portare a un'escalation dei privilegi sul nodo. I cluster GKE on Azure sono interessati. Che cosa devo fare?Quali vulnerabilità vengono affrontate da questa patch?Con CVE-2023-2235, la funzione perf_group_Scollega non ha controllato il link attach_state dei fratelli dell'evento prima di chiamare add_event_to_groups(), ma remove_on_exec ha permesso di chiamare list_del_event() prima di scollegarsi dal gruppo, consentendo di utilizzare un puntatore in sospeso che causa una vulnerabilità use-after-free. |
Alta |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
È stata scoperta una nuova vulnerabilità (CVE-2023-2235) nel kernel Linux che può portare a un'escalation dei privilegi sul nodo. Google Distributed Cloud Virtual for Bare Metal non è interessato da questo CVE. Che cosa devo fare?Non è richiesto alcun intervento da parte tua. |
Nessuna |
GCP-2023-017
Data di pubblicazione: 26/06/2023
Ultimo aggiornamento: 11/07/2023
Riferimento: CVE-2023-31436
Aggiornamento dell'11/07/2023: le nuove versioni di GKE sono state aggiornate per includere le ultime versioni di Ubuntu che applicano le patch a CVE-2023-31436.
GKE
Ultimo aggiornamento: 11/07/2023
Descrizione | Gravità |
---|---|
È stata scoperta una nuova vulnerabilità (CVE-2023-31436) nel kernel Linux che può portare a un'escalation dei privilegi sul nodo. Sono interessati i cluster GKE, inclusi i cluster Autopilot. I cluster GKE che utilizzano GKE Sandbox non sono interessati. Che cosa devo fare?Aggiornamento 11/07/2023: sono disponibili le versioni patch di Ubuntu. Le seguenti versioni di GKE sono state aggiornate in modo da includere le ultime versioni di Ubuntu che applicano le patch a CVE-2023-31436:
Le seguenti versioni di GKE sono state aggiornate con il codice per correggere questa vulnerabilità. Per motivi di sicurezza, anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire manualmente l'upgrade del cluster e dei pool di nodi a una delle seguenti versioni di GKE:
Una funzionalità recente dei canali di rilascio consente di applicare una patch senza dover annullare l'iscrizione a un canale. In questo modo puoi proteggere i nodi fino a quando la nuova versione non diventerà quella predefinita per il canale specifico di rilascio. Quali vulnerabilità vengono affrontate?Con CVE-2023-31436, è stato rilevato un difetto di accesso alla memoria fuori dai limiti nel sottosistema di controllo del traffico (QoS) del kernel Linux nel modo in cui un utente attiva la funzione qfq_change_class con un valore MTU errato del dispositivo di rete utilizzato come lmax. Questo difetto consente a un utente locale di arrestarsi in modo anomalo o potenzialmente aumentare i propri privilegi sul sistema. |
Alta |
GKE su VMware
Descrizione | Gravità |
---|---|
È stata scoperta una nuova vulnerabilità (CVE-2023-31436) nel kernel Linux che può portare a un'escalation dei privilegi sul nodo. I cluster GKE on VMware sono interessati. Che cosa devo fare?Quali vulnerabilità vengono affrontate?Con CVE-2023-31436, è stato rilevato un difetto di accesso alla memoria fuori dai limiti nel sottosistema di controllo del traffico (QoS) del kernel Linux nel modo in cui un utente attiva la funzione qfq_change_class con un valore MTU errato del dispositivo di rete utilizzato come lmax. Questo difetto consente a un utente locale di arrestarsi in modo anomalo o potenzialmente aumentare i propri privilegi sul sistema. |
Alta |
GKE su AWS
Descrizione | Gravità |
---|---|
È stata scoperta una nuova vulnerabilità (CVE-2023-31436) nel kernel Linux che può portare a un'escalation dei privilegi sul nodo. La risorsa è interessata da GKE su cluster AWS. Che cosa devo fare?Quali vulnerabilità vengono affrontate da questa patch?Con CVE-2023-31436, è stato rilevato un difetto di accesso alla memoria fuori dai limiti nel sottosistema di controllo del traffico (QoS) del kernel Linux nel modo in cui un utente attiva la funzione qfq_change_class con un valore MTU errato del dispositivo di rete utilizzato come lmax. Questo difetto consente a un utente locale di arrestarsi in modo anomalo o potenzialmente aumentare i propri privilegi sul sistema. |
Alta |
GKE su Azure
Descrizione | Gravità |
---|---|
È stata scoperta una nuova vulnerabilità (CVE-2023-31436) nel kernel Linux che può portare a un'escalation dei privilegi sul nodo. I cluster GKE on Azure sono interessati. Che cosa devo fare?Quali vulnerabilità vengono affrontate da questa patch?Con CVE-2023-31436, è stato rilevato un difetto di accesso alla memoria fuori dai limiti nel sottosistema di controllo del traffico (QoS) del kernel Linux nel modo in cui un utente attiva la funzione qfq_change_class con un valore MTU errato del dispositivo di rete utilizzato come lmax. Questo difetto consente a un utente locale di arrestarsi in modo anomalo o potenzialmente aumentare i propri privilegi sul sistema. |
Alta |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
È stata scoperta una nuova vulnerabilità (CVE-2023-31436) nel kernel Linux che può portare a un'escalation dei privilegi sul nodo. Google Distributed Cloud Virtual for Bare Metal non è interessato da questo CVE. Che cosa devo fare?Non è richiesto alcun intervento da parte tua. |
Nessuna |
GCP-2023-016
Pubblicato: 26-06-2023
Riferimento:
CVE-2023-27496,
CVE-2023-27488,
CVE-2023-27493,
CVE-2023-27492,
27-24013
CVE-2023-27491CVE-2023-27487
GKE
Descrizione | Gravità |
---|---|
Sono state scoperte diverse vulnerabilità in Envoy, che viene utilizzato in Cloud Service Mesh (ASM). Questi eventi sono stati segnalati separatamente come GCP-2023-002. GKE non viene fornito con ASM e non è interessato da queste vulnerabilità. Che cosa devo fare?Se hai installato separatamente ASM per i tuoi cluster GKE, consulta GCP-2023-002. |
Nessuna |
GKE su VMware
Descrizione | Gravità |
---|---|
In VMware Service Envoy, è stata scoperta una serie di vulnerabilità (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487), che causano un arresto anomalo Questi eventi sono stati segnalati separatamente come GCP-2023-002, ma vogliamo assicurarci che i clienti di GKE Enterprise aggiornino le proprie versioni che includono ASM. Che cosa devo fare?Le seguenti versioni di GKE on VMware sono state aggiornate con codice per correggere questa vulnerabilità. Ti consigliamo di eseguire l'upgrade dei cluster di amministrazione e utente a una delle seguenti versioni di GKE on VMware:
Quali vulnerabilità vengono affrontate da questa patch?CVE-2023-27496: se Envoy è in esecuzione con il filtro OAuth abilitato e esposto, un utente malintenzionato potrebbe creare una richiesta che causerebbe il denial of service causando l'arresto anomalo di Envoy. CVE-2023-27488: gli aggressori possono utilizzare questa vulnerabilità per bypassare i controlli di autenticazione quando viene utilizzato ext_authz. CVE-2023-27493: la configurazione di Envoy deve includere anche un'opzione per aggiungere intestazioni delle richieste che siano state generate utilizzando gli input della richiesta, ad esempio la SAN del certificato peer. CVE-2023-27492: gli aggressori possono inviare corpi di richieste di grandi dimensioni per le route in cui è abilitato il filtro Lua e che causano arresti anomali. CVE-2023-27491: gli aggressori possono inviare richieste HTTP/2 o HTTP/3 create appositamente per attivare errori di analisi sul servizio upstream HTTP/1.
CVE-2023-27487: l'intestazione |
Alta |
GKE su AWS
Descrizione | Gravità |
---|---|
In Envoy Service sono state scoperte diverse vulnerabilità (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487), che Questi eventi sono stati segnalati separatamente come GCP-2023-002. GKE su AWS non viene fornito con ASM e non è interessato. Che cosa devo fare?Non è richiesto alcun intervento da parte tua. |
Nessuna |
GKE su Azure
Descrizione | Gravità |
---|---|
In Envoy Service sono state scoperte diverse vulnerabilità (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487), che Questi eventi sono stati segnalati separatamente come GCP-2023-002. GKE su Azure non viene fornito con ASM e non è interessato. Che cosa devo fare?Non è richiesto alcun intervento da parte tua. |
Nessuna |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
In Envoyial Service è stata scoperta una serie di vulnerabilità (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487), che causa un arresto anomalo Questi eventi sono stati segnalati separatamente come GCP-2023-002, ma vogliamo assicurarci che i clienti di GKE Enterprise aggiornino le proprie versioni che includono ASM. Che cosa devo fare?Le seguenti versioni di GKE on Bare Metal sono state aggiornate con codice per correggere questa vulnerabilità. Ti consigliamo di eseguire l'upgrade dei cluster di amministrazione e utente a una delle seguenti versioni di GKE on Bare Metal:
Quali vulnerabilità vengono affrontate da questa patch?CVE-2023-27496: se Envoy è in esecuzione con il filtro OAuth abilitato e esposto, un utente malintenzionato potrebbe creare una richiesta che causerebbe il denial of service causando l'arresto anomalo di Envoy. CVE-2023-27488: gli aggressori possono utilizzare questa vulnerabilità per bypassare i controlli di autenticazione quando viene utilizzato ext_authz. CVE-2023-27493: la configurazione di Envoy deve includere anche un'opzione per aggiungere intestazioni delle richieste che siano state generate utilizzando gli input della richiesta, ad esempio la SAN del certificato peer. CVE-2023-27492: gli aggressori possono inviare corpi di richieste di grandi dimensioni per le route in cui è abilitato il filtro Lua e che causano arresti anomali. CVE-2023-27491: gli aggressori possono inviare richieste HTTP/2 o HTTP/3 create appositamente per attivare errori di analisi sul servizio upstream HTTP/1.
CVE-2023-27487: l'intestazione |
Alta |
GCP-2023-015
Pubblicato: 20-06-2023
Riferimento: CVE-2023-0468
GKE
Descrizione | Gravità |
---|---|
Una nuova vulnerabilità (CVE-2023-0468) è stata scoperta nella versione 5.15 del kernel Linux che può portare a un denial of service sul nodo. Sono interessati i cluster GKE, inclusi i cluster Autopilot. I cluster GKE che utilizzano GKE Sandbox non sono interessati. Che cosa devo fare?Le seguenti versioni di GKE sono state aggiornate con il codice per correggere questa vulnerabilità. Per motivi di sicurezza, anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire manualmente l'upgrade del cluster e dei pool di nodi a una delle seguenti versioni di GKE:
Una funzionalità recente dei canali di rilascio consente di applicare una patch senza dover annullare l'iscrizione a un canale. In questo modo puoi proteggere i nodi fino a quando la nuova versione non diventerà quella predefinita per il canale specifico di rilascio. Quali vulnerabilità vengono affrontate?In CVE-2023-0468, è stato trovato un difetto use-after-free in io_uring/poll.c in io_poll_check_events nel sottocomponente io_uring nel kernel Linux. Questo difetto potrebbe causare la dereferenza del puntatore NULL e potenzialmente un arresto anomalo del sistema che porta a un denial of service. |
Medio |
GKE su VMware
Descrizione | Gravità |
---|---|
Una nuova vulnerabilità (CVE-2023-0468) è stata scoperta nella versione 5.15 del kernel Linux che può portare a un denial of service sul nodo. GKE on VMware utilizza la versione 5.4 del kernel Linux e non è interessato da questo CVE. Che cosa devo fare?
|
Nessuna |
GKE su AWS
Descrizione | Gravità |
---|---|
Una nuova vulnerabilità (CVE-2023-0468) è stata scoperta nella versione 5.15 del kernel Linux che può portare a un denial of service sul nodo. GKE su AWS non è interessato da questo CVE. Che cosa devo fare?
|
Nessuna |
GKE su Azure
Descrizione | Gravità |
---|---|
Una nuova vulnerabilità (CVE-2023-0468) è stata scoperta nella versione 5.15 del kernel Linux che può portare a un denial of service sul nodo. GKE su Azure non è interessato da questo CVE. Che cosa devo fare?
|
Nessuna |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
Una nuova vulnerabilità (CVE-2023-0468) è stata scoperta nella versione 5.15 del kernel Linux che può portare a un denial of service sul nodo. Google Distributed Cloud Virtual for Bare Metal non è interessato da questo CVE. Che cosa devo fare?
|
Nessuna |
GCP-2023-014
Pubblicato: 15/06/2023
Ultimo aggiornamento: 11/08/2023
Riferimento: CVE-2023-2727, CVE-2023-2728
Aggiornamento dell'11/08/2023: aggiunte versioni patch per GKE on VMware, GKE on AWS, GKE on Azure e GKE on Bare Metal
GKE
Descrizione | Gravità |
---|---|
In Kubernetes sono stati scoperti due nuovi problemi di sicurezza in cui gli utenti potrebbero essere in grado di avviare container che aggirano le limitazioni dei criteri quando utilizzano container temporanei e ImagePolicyWebhook (CVE-2023-2727) o il plug-in di ammissione ServiceAccount (CVE-2023-2728). GKE non utilizza ImagePolicyWebhook e non è interessato da CVE-2023-2727. Tutte le versioni di GKE sono potenzialmente vulnerabili a CVE-2023-2728.Che cosa devo fare?Le seguenti versioni di GKE sono state aggiornate con il codice per correggere questa vulnerabilità. Per motivi di sicurezza, anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire manualmente l'upgrade del cluster e dei pool di nodi a una delle seguenti versioni di GKE:
Una funzionalità recente dei canali di rilascio consente di applicare una patch senza dover annullare l'iscrizione a un canale. In questo modo puoi proteggere i nodi fino a quando la nuova versione non diventerà quella predefinita per il tuo canale di rilascio specifico. Quali vulnerabilità vengono affrontate?Con CVE-2023-2727, gli utenti potrebbero essere in grado di avviare container utilizzando immagini limitate da ImagePolicyWebhook quando utilizzano contenitori temporanei. I cluster Kubernetes sono interessati solo se il plug-in di ammissione ImagePolicyWebhook viene utilizzato insieme ai container temporanei. Questo CVE può essere mitigato anche utilizzando webhook di convalida, come Gatekeeper e Kyverno, per applicare le stesse restrizioni. In CVE-2023-2728, gli utenti potrebbero essere in grado di avviare container che ignorano il criterio dei secret montabili applicato dal plug-in di ammissione ServiceAccount quando utilizzano i container temporanei. Il criterio garantisce che i pod in esecuzione con un account di servizio possano fare riferimento solo ai secret specificati nel campo dei secret dell'account di servizio. I cluster sono interessati da questa vulnerabilità se:
|
Medio |
GKE su VMware
Ultimo aggiornamento: 11/08/2023
Descrizione | Gravità |
---|---|
Sono stati rilevati due nuovi problemi di sicurezza in Kubernetes in cui gli utenti potrebbero essere in grado di avviare container che aggirano le limitazioni dei criteri quando utilizzano i container temporanei e ImagePolicyWebhook (CVE-2023-2727) o il plug-in di ammissione ServiceAccount (CVE-2023-2728). Anthos on VMware non utilizza ImagePolicyWebhook e non è interessato da CVE-2023-2727. Tutte le versioni di Anthos su VMware sono potenzialmente vulnerabili a CVE-2023-2728. Che cosa devo fare?Aggiornamento dell'11/08/2023: le seguenti versioni di GKE su VMware sono state aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade dei cluster di amministrazione e utente a una delle seguenti versioni di GKE on VMware:
Quali vulnerabilità vengono affrontate?Con CVE-2023-2727, gli utenti potrebbero essere in grado di avviare container utilizzando immagini limitate da ImagePolicyWebhook quando utilizzano contenitori temporanei. I cluster Kubernetes sono interessati solo se il plug-in di ammissione ImagePolicyWebhook viene utilizzato insieme ai container temporanei. Questo CVE può essere mitigato anche utilizzando webhook di convalida, come Gatekeeper e Kyverno, per applicare le stesse restrizioni. In CVE-2023-2728, gli utenti potrebbero essere in grado di avviare container che ignorano il criterio dei secret montabili applicato dal plug-in di ammissione ServiceAccount quando utilizzano i container temporanei. Il criterio garantisce che i pod in esecuzione con un account di servizio possano fare riferimento solo ai secret specificati nel campo dei secret dell'account di servizio. I cluster sono interessati da questa vulnerabilità se:
|
Medio |
GKE su AWS
Ultimo aggiornamento: 11/08/2023
Descrizione | Gravità |
---|---|
In Kubernetes sono stati rilevati due nuovi problemi di sicurezza: gli utenti potrebbero essere in grado di avviare container che aggirano le restrizioni dei criteri quando utilizzano container temporanei e ImagePolicyWebhook (CVE-2023-2727) o il plug-in di ammissione ServiceAccount (CVE-2023-2728) Che cosa devo fare?Aggiornamento dell'11/08/2023: la seguente versione di GKE su AWS è stata aggiornata con il codice per correggere questa vulnerabilità. Esegui l'upgrade dei nodi alla seguente versione GKE su AWS:
Quali vulnerabilità vengono affrontate?Con CVE-2023-2727, gli utenti potrebbero essere in grado di avviare container utilizzando immagini limitate da ImagePolicyWebhook quando utilizzano contenitori temporanei. I cluster Kubernetes sono interessati solo se il plug-in di ammissione ImagePolicyWebhook viene utilizzato insieme ai container temporanei. Questo CVE può essere mitigato anche utilizzando webhook di convalida, come Gatekeeper e Kyverno, per applicare le stesse restrizioni. In CVE-2023-2728, gli utenti potrebbero essere in grado di avviare container che ignorano il criterio dei secret montabili applicato dal plug-in di ammissione ServiceAccount quando utilizzano i container temporanei. Il criterio garantisce che i pod in esecuzione con un account di servizio possano fare riferimento solo ai secret specificati nel campo dei secret dell'account di servizio. I cluster sono interessati da questa vulnerabilità se:
|
Medio |
GKE su Azure
Ultimo aggiornamento: 11/08/2023
Descrizione | Gravità |
---|---|
In Kubernetes sono stati rilevati due nuovi problemi di sicurezza, in cui gli utenti potrebbero essere in grado di avviare container che aggirano le limitazioni dei criteri quando utilizzano i container temporanei e ImagePolicyWebhook (CVE-2023-2727) o il plug-in di ammissione ServiceAccount (CVE-2023-2728) Che cosa devo fare?Aggiornamento dell'11/08/2023: la seguente versione di GKE su Azure è stata aggiornata con il codice per correggere questa vulnerabilità. Esegui l'upgrade dei nodi alla seguente versione di GKE su Azure:
Quali vulnerabilità vengono affrontate?Con CVE-2023-2727, gli utenti potrebbero essere in grado di avviare container utilizzando immagini limitate da ImagePolicyWebhook quando utilizzano contenitori temporanei. I cluster Kubernetes sono interessati solo se il plug-in di ammissione ImagePolicyWebhook viene utilizzato insieme ai container temporanei. Questo CVE può essere mitigato anche utilizzando webhook di convalida, come Gatekeeper e Kyverno, per applicare le stesse restrizioni. In CVE-2023-2728, gli utenti potrebbero essere in grado di avviare container che ignorano il criterio dei secret montabili applicato dal plug-in di ammissione ServiceAccount quando utilizzano i container temporanei. Il criterio garantisce che i pod in esecuzione con un account di servizio possano fare riferimento solo ai secret specificati nel campo dei secret dell'account di servizio. I cluster sono interessati da questa vulnerabilità se:
|
Medio |
GKE su Bare Metal
Ultimo aggiornamento: 11/08/2023
Descrizione | Gravità |
---|---|
In Kubernetes sono stati rilevati due nuovi problemi di sicurezza: gli utenti potrebbero essere in grado di avviare container che ignorano le limitazioni dei criteri quando utilizzano container temporanei e ImagePolicyWebhook (CVE-2023-2727) o il plug-in di ammissione ServiceAccount (CVE-2023-2728) Che cosa devo fare?Aggiornamento dell'11/08/2023: le seguenti versioni di Google Distributed Cloud Virtual for Bare Metal sono state aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade dei nodi a una delle seguenti versioni Google Distributed Cloud Virtual for Bare Metal:
Quali vulnerabilità vengono affrontate?Con CVE-2023-2727, gli utenti potrebbero essere in grado di avviare container utilizzando immagini limitate da ImagePolicyWebhook quando utilizzano contenitori temporanei. I cluster Kubernetes sono interessati solo se il plug-in di ammissione ImagePolicyWebhook viene utilizzato insieme ai container temporanei. Questo CVE può essere mitigato anche utilizzando webhook di convalida, come Gatekeeper e Kyverno, per applicare le stesse restrizioni. In CVE-2023-2728, gli utenti potrebbero essere in grado di avviare container che ignorano il criterio dei secret montabili applicato dal plug-in di ammissione ServiceAccount quando utilizzano i container temporanei. Il criterio garantisce che i pod in esecuzione con un account di servizio possano fare riferimento solo ai secret specificati nel campo dei secret dell'account di servizio. I cluster sono interessati da questa vulnerabilità se:
|
Medio |
GCP-2023-009
Pubblicato: 06-06-2023
Riferimento: CVE-2023-2878
GKE
Descrizione | Gravità |
---|---|
È stata scoperta una nuova vulnerabilità (CVE-2023-2878) in secrets-store-csi-driver dove un utente con accesso ai log del driver potrebbe osservare i token account di servizio. Questi token potrebbero quindi essere potenzialmente scambiati con provider cloud esterni per accedere ai secret archiviati nelle soluzioni di Cloud Vault. GKE non è interessato da questa CVE. Che cosa devo fare?Sebbene GKE non sia interessato, se hai installato il componente secrets-store-csi-driver, devi aggiornare l'installazione con una versione con patch. Quali vulnerabilità vengono affrontate da questa patch?La vulnerabilità, CVE-2023-2878, è stata scoperta in secrets-store-csi-driver, dove un utente con accesso ai log del driver poteva osservare i token degli account di servizio. Questi token potrebbero quindi essere potenzialmente scambiati con provider cloud esterni per accedere ai secret archiviati nelle soluzioni di Cloud Vault. I token vengono registrati solo quando TokenRequests è configurato nell'oggetto CSIDriver e il driver è impostato per essere eseguito a livello di log 2 o superiore tramite il flag -v. |
Nessuna |
GKE su VMware
Descrizione | Gravità |
---|---|
È stata scoperta una nuova vulnerabilità (CVE-2023-2878) in secrets-store-csi-driver dove un utente con accesso ai log del driver potrebbe osservare i token account di servizio. Questi token potrebbero quindi essere potenzialmente scambiati con provider cloud esterni per accedere ai secret archiviati nelle soluzioni di Cloud Vault. GKE on VMware non è interessato da questo CVE. Che cosa devo fare?Sebbene GKE on VMware non sia interessato, se hai installato il componente secrets-store-csi-driver, devi aggiornare l'installazione con una versione con patch. Quali vulnerabilità vengono affrontate da questa patch?La vulnerabilità, CVE-2023-2878, è stata scoperta in secrets-store-csi-driver, dove un utente con accesso ai log del driver poteva osservare i token degli account di servizio. Questi token potrebbero quindi essere potenzialmente scambiati con provider cloud esterni per accedere ai secret archiviati nelle soluzioni di Cloud Vault. I token vengono registrati solo quando TokenRequests è configurato nell'oggetto CSIDriver e il driver è impostato per essere eseguito a livello di log 2 o superiore tramite il flag -v. |
Nessuna |
GKE su AWS
Descrizione | Gravità |
---|---|
È stata scoperta una nuova vulnerabilità (CVE-2023-2878) in secrets-store-csi-driver dove un utente con accesso ai log del driver potrebbe osservare i token account di servizio. Questi token potrebbero quindi essere potenzialmente scambiati con provider cloud esterni per accedere ai secret archiviati nelle soluzioni di Cloud Vault. GKE su AWS non è interessato da questo CVE. Che cosa devo fare?Anche se GKE su AWS non è interessato, se hai installato il componente secrets-store-csi-driver, devi aggiornare l'installazione con una versione con patch. Quali vulnerabilità vengono affrontate da questa patch?La vulnerabilità, CVE-2023-2878, è stata scoperta in secrets-store-csi-driver, dove un utente con accesso ai log del driver poteva osservare i token degli account di servizio. Questi token potrebbero quindi essere potenzialmente scambiati con provider cloud esterni per accedere ai secret archiviati nelle soluzioni di Cloud Vault. I token vengono registrati solo quando TokenRequests è configurato nell'oggetto CSIDriver e il driver è impostato per essere eseguito a livello di log 2 o superiore tramite il flag -v. |
Nessuna |
GKE su Azure
Descrizione | Gravità |
---|---|
È stata scoperta una nuova vulnerabilità (CVE-2023-2878) in secrets-store-csi-driver dove un utente con accesso ai log del driver potrebbe osservare i token account di servizio. Questi token potrebbero quindi essere potenzialmente scambiati con provider cloud esterni per accedere ai secret archiviati nelle soluzioni di Cloud Vault. GKE su Azure non è interessato da questo CVE Che cosa devo fare?Anche se GKE su Azure non è interessato, se hai installato il componente secrets-store-csi-driver, devi aggiornare la tua installazione con una versione con patch. Quali vulnerabilità vengono affrontate da questa patch?La vulnerabilità, CVE-2023-2878, è stata scoperta in secrets-store-csi-driver, dove un utente con accesso ai log del driver poteva osservare i token degli account di servizio. Questi token potrebbero quindi essere potenzialmente scambiati con provider cloud esterni per accedere ai secret archiviati nelle soluzioni di Cloud Vault. I token vengono registrati solo quando TokenRequests è configurato nell'oggetto CSIDriver e il driver è impostato per essere eseguito a livello di log 2 o superiore tramite il flag -v. |
Nessuna |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
È stata scoperta una nuova vulnerabilità (CVE-2023-2878) in secrets-store-csi-driver dove un utente con accesso ai log del driver potrebbe osservare i token account di servizio. Questi token potrebbero quindi essere potenzialmente scambiati con provider cloud esterni per accedere ai secret archiviati nelle soluzioni di Cloud Vault. GKE on Bare Metal non è interessato da questo CVE. Che cosa devo fare?Anche se GKE on Bare Metal non è interessato, se hai installato il componente secrets-store-csi-driver, devi aggiornare l'installazione con una versione con patch Quali vulnerabilità vengono affrontate da questa patch?La vulnerabilità, CVE-2023-2878, è stata scoperta in secrets-store-csi-driver, dove un utente con accesso ai log del driver poteva osservare i token degli account di servizio. Questi token potrebbero quindi essere potenzialmente scambiati con provider cloud esterni per accedere ai secret archiviati nelle soluzioni di Cloud Vault. I token vengono registrati solo quando TokenRequests è configurato nell'oggetto CSIDriver e il driver è impostato per essere eseguito a livello di log 2 o superiore tramite il flag -v. |
Nessuna |
GCP-2023-008
Pubblicato: 05-06-2023
Riferimento: CVE-2023-1872
GKE
Descrizione | Gravità |
---|---|
È stata scoperta una nuova vulnerabilità (CVE-2023-1872) nel kernel Linux che può portare a escalation dei privilegi per root sul nodo. Sono interessati i cluster GKE Standard e Autopilot. I cluster che utilizzano GKE Sandbox non sono interessati. Che cosa devo fare?Le seguenti versioni di GKE sono state aggiornate con il codice per correggere questa vulnerabilità. Per motivi di sicurezza, anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire manualmente l'upgrade del cluster e dei pool di nodi a una delle seguenti versioni di GKE:
Una funzionalità recente dei canali di rilascio consente di applicare una patch senza dover annullare l'iscrizione a un canale. In questo modo puoi proteggere i nodi fino a quando la nuova versione non diventerà quella predefinita per il canale specifico di rilascio. Quali vulnerabilità vengono affrontate da questa patch?CVE-2023-1872 è una vulnerabilità "use-after-free" nel sottosistema io_uring del kernel Linux che può essere sfruttata per ottenere l'escalation dei privilegi locali. Nella funzione |
Alta |
GKE su VMware
Descrizione | Gravità |
---|---|
È stata scoperta una nuova vulnerabilità (CVE-2023-1872) nel kernel Linux che può portare a escalation dei privilegi per root sul nodo. Che cosa devo fare?Quali vulnerabilità vengono affrontate da questa patch?CVE-2023-1872 è una vulnerabilità "use-after-free" nel sottosistema io_uring del kernel Linux che può essere sfruttata per ottenere l'escalation dei privilegi locali. Nella funzione |
Alta |
GKE su AWS
Descrizione | Gravità |
---|---|
È stata scoperta una nuova vulnerabilità (CVE-2023-1872) nel kernel Linux che può portare a escalation dei privilegi per root sul nodo. Che cosa devo fare?Le seguenti versioni di GKE su AWS sono state aggiornate con codice per correggere queste vulnerabilità: Quali vulnerabilità vengono affrontate da questa patch?CVE-2023-1872 è una vulnerabilità "use-after-free" nel sottosistema io_uring del kernel Linux che può essere sfruttata per ottenere l'escalation dei privilegi locali. Nella funzione |
Alta |
GKE su Azure
Descrizione | Gravità |
---|---|
È stata scoperta una nuova vulnerabilità (CVE-2023-1872) nel kernel Linux che può portare a escalation dei privilegi per root sul nodo. Che cosa devo fare?Le seguenti versioni di GKE su Azure sono state aggiornate con il codice per correggere queste vulnerabilità: Quali vulnerabilità vengono affrontate da questa patch?CVE-2023-1872 è una vulnerabilità "use-after-free" nel sottosistema io_uring del kernel Linux che può essere sfruttata per ottenere l'escalation dei privilegi locali. Nella funzione |
Alta |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
È stata scoperta una nuova vulnerabilità (CVE-2023-1872) nel kernel Linux che può portare a escalation dei privilegi per root sul nodo. GKE on Bare Metal non è interessato da questo CVE. Che cosa devo fare?Non occorre alcun intervento. |
Nessuna |
GCP-2023-005
Pubblicato: 18/05/2023
Ultimo aggiornamento: 06/06/2023
Riferimento: CVE-2023-1281, CVE-2023-1829
Aggiornamento 06/06/2023: le nuove versioni di GKE sono state aggiornate per includere le ultime versioni di Ubuntu che applicano le patch a CVE-2023-1281 e CVE-2023-1829.
GKE
Ultimo aggiornamento: 06/06/2023
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state scoperte due nuove vulnerabilità (CVE-2023-1281, CVE-2023-1829) che possono portare a escalation dei privilegi per root sul nodo. I cluster GKE Standard sono interessati. I cluster e i cluster GKE Autopilot che utilizzano GKE Sandbox non sono interessati. Che cosa devo fare?Aggiornamento 06/06/2023: sono disponibili le versioni patch di Ubuntu. Le seguenti versioni di GKE sono state aggiornate in modo da includere le ultime versioni di Ubuntu che applicano le patch a CVE-2023-1281 e CVE-2023-1829:
Le seguenti versioni di GKE sono state aggiornate con il codice per correggere questa vulnerabilità. Per motivi di sicurezza, anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire manualmente l'upgrade del cluster e dei pool di nodi a una delle seguenti versioni di GKE:
Una funzionalità recente dei canali di rilascio consente di applicare una patch senza dover annullare l'iscrizione a un canale. In questo modo puoi proteggere i nodi fino a quando la nuova versione non diventerà quella predefinita per il canale specifico di rilascio. Quali vulnerabilità vengono affrontate da questa patch?Sia CVE-2023-1281 che CVE-2023-1829 sono vulnerabilità "use-after-free" nel filtro dell'indice di controllo del traffico del kernel Linux (tcindex) che possono essere sfruttate per ottenere l'escalation dei privilegi locali. Con CVE-2023-1829, la funzione tcindex_delete non disattiva correttamente i filtri in determinati casi, il che può in seguito portare a una doppia liberazione di una struttura di dati. In CVE-2023-1281, l'area hash imperfetta può essere aggiornata durante l'attraversamento dei pacchetti, il che causerà un uso-after-free quando |
Alta |
GKE su VMware
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state scoperte due nuove vulnerabilità (CVE-2023-1281, CVE-2023-1829) che possono portare a escalation dei privilegi per root sul nodo. Che cosa devo fare?Quali vulnerabilità vengono affrontate da questa patch?Sia CVE-2023-1281 che CVE-2023-1829 sono vulnerabilità "use-after-free" nel filtro dell'indice di controllo del traffico del kernel Linux (tcindex) che possono essere sfruttate per ottenere l'escalation dei privilegi locali. Con CVE-2023-1829, la funzione tcindex_delete non disattiva correttamente i filtri in determinati casi, il che può in seguito portare a una doppia liberazione di una struttura di dati. In CVE-2023-1281, l'area hash imperfetta può essere aggiornata durante l'attraversamento dei pacchetti, il che causerà un uso-after-free quando |
Alta |
GKE su AWS
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state scoperte due nuove vulnerabilità (CVE-2023-1281, CVE-2023-1829) che possono portare a escalation dei privilegi per root sul nodo. Che cosa devo fare?Quali vulnerabilità vengono affrontate da questa patch?Sia CVE-2023-1281 che CVE-2023-1829 sono vulnerabilità "use-after-free" nel filtro dell'indice di controllo del traffico del kernel Linux (tcindex) che possono essere sfruttate per ottenere l'escalation dei privilegi locali. Con CVE-2023-1829, la funzione tcindex_delete non disattiva correttamente i filtri in determinati casi, il che può in seguito portare a una doppia liberazione di una struttura di dati. In CVE-2023-1281, l'area hash imperfetta può essere aggiornata durante l'attraversamento dei pacchetti, il che causerà un uso-after-free quando |
Alta |
GKE su Azure
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state scoperte due nuove vulnerabilità (CVE-2023-1281, CVE-2023-1829) che possono portare a escalation dei privilegi per root sul nodo. Che cosa devo fare?Quali vulnerabilità vengono affrontate da questa patch?Sia CVE-2023-1281 che CVE-2023-1829 sono vulnerabilità "use-after-free" nel filtro dell'indice di controllo del traffico del kernel Linux (tcindex) che possono essere sfruttate per ottenere l'escalation dei privilegi locali. Con CVE-2023-1829, la funzione tcindex_delete non disattiva correttamente i filtri in determinati casi, il che può in seguito portare a una doppia liberazione di una struttura di dati. In CVE-2023-1281, l'area hash imperfetta può essere aggiornata durante l'attraversamento dei pacchetti, il che causerà un uso-after-free quando |
Alta |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state scoperte due nuove vulnerabilità (CVE-2023-1281, CVE-2023-1829) che possono portare a escalation dei privilegi per root sul nodo. GKE on Bare Metal non è interessato da questo CVE. Che cosa devo fare?Non occorre alcun intervento. |
Nessuna |
GCP-2023-003
Pubblicato: 11/04/2023
Ultimo aggiornamento: 21/12/2023
Riferimento: CVE-2023-0240,
CVE-2023-23586
Aggiornamento 21/12/2023: chiarire che i cluster GKE Autopilot nella configurazione predefinita non sono interessati.
GKE
Ultimo aggiornamento: 21/12/2023
Descrizione | Gravità |
---|---|
Aggiornamento 21/12/2023: il bollettino originale indicava che i cluster Autopilot sono interessati, ma questo dato non è corretto. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o consenti Nel kernel di Linux sono state scoperte due nuove vulnerabilità, CVE-2023-0240 e CVE-2023-23586, che potrebbero consentire a un utente senza privilegi di aumentare i privilegi. Sono interessati i cluster GKE, inclusi i cluster Autopilot, con COS che utilizzano la versione 5.10 del kernel Linux fino alla 5.10.162. I cluster GKE che utilizzano immagini Ubuntu o che utilizzano GKE Sandbox non sono interessati. Che cosa devo fare?Le seguenti versioni di GKE sono state aggiornate con codice per correggere queste vulnerabilità. Per motivi di sicurezza, anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire manualmente l'upgrade dei pool di nodi a una delle seguenti versioni di GKE:
Una funzionalità recente dei canali di rilascio consente di applicare una patch senza dover annullare l'iscrizione a un canale. In questo modo puoi proteggere i nodi fino a quando la nuova versione non diventerà quella predefinita per il tuo canale specifico di rilascio. Quali vulnerabilità vengono affrontate da questa patch?Vulnerabilità 1 (CVE-2023-0240): una race condition in Vulnerabilità 2 (CVE-2023-23586): un utilizzo dopo la prova (UAF) in |
Alta |
GKE su VMware
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte due nuove vulnerabilità, CVE-2023-0240 e CVE-2023-23586, che potrebbero consentire a un utente senza privilegi di aumentare i privilegi. Sono interessati i cluster GKE on VMware con COS che utilizzano il kernel Linux versione 5.10 fino alla 5.10.162. I cluster GKE Enterprise che utilizzano immagini Ubuntu non sono interessati. Che cosa devo fare?Le seguenti versioni di GKE on VMware sono state aggiornate con codice per correggere queste vulnerabilità:
Quali vulnerabilità vengono affrontate da questa patch?Vulnerabilità 1 (CVE-2023-0240): una race condition in Vulnerabilità 2 (CVE-2023-23586): un utilizzo dopo la prova (UAF) in |
Alta |
GKE su AWS
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte due nuove vulnerabilità, CVE-2023-0240 e CVE-2023-23586, che potrebbero consentire a un utente senza privilegi di aumentare i privilegi. GKE su AWS non è interessato da queste CVE. Che cosa devo fare?Non occorre alcun intervento. |
Nessuna |
GKE su Azure
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte due nuove vulnerabilità, CVE-2023-0240 e CVE-2023-23586, che potrebbero consentire a un utente senza privilegi di aumentare i privilegi. GKE su Azure non è interessato da queste CVE Che cosa devo fare?Non occorre alcun intervento. |
Nessuna |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte due nuove vulnerabilità, CVE-2023-0240 e CVE-2023-23586, che potrebbero consentire a un utente senza privilegi di aumentare i privilegi. GKE on Bare Metal non è interessato da queste CVE. Che cosa devo fare?Non occorre alcun intervento. |
Nessuna |
GCP-2023-001
Data di pubblicazione: 01/03/2023
Ultimo aggiornamento: 21/12/2023
Riferimento: CVE-2022-4696
Aggiornamento 21/12/2023: chiarire che i cluster GKE Autopilot nella configurazione predefinita non sono interessati.
GKE
Descrizione | Gravità |
---|---|
Aggiornamento 21/12/2023: il bollettino originale indicava che i cluster Autopilot sono interessati, ma questo dato non è corretto. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o consenti Nel kernel Linux è stata scoperta una nuova vulnerabilità (CVE-2022-4696) che può portare a un'escalation dei privilegi sul nodo. Sono interessati i cluster GKE, inclusi i cluster Autopilot. I cluster GKE che utilizzano GKE Sandbox non sono interessati. Che cosa devo fare?Le seguenti versioni di GKE sono state aggiornate con il codice per correggere questa vulnerabilità. Per motivi di sicurezza, anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire manualmente l'upgrade dei cluster e dei pool di nodi a una delle seguenti versioni di GKE:
Una funzionalità recente dei canali di rilascio consente di applicare una patch senza dover annullare l'iscrizione a un canale. In questo modo puoi proteggere i nodi fino a quando la nuova versione non diventerà quella predefinita per il tuo canale specifico di rilascio. Quali vulnerabilità vengono affrontate da questa patch?Con CVE-2022-4696, è stato rilevato un errore "use-after-free" in io_uring e ioring_op_splice nel kernel Linux. Questo difetto consente a un utente locale di creare un'escalation dei privilegi locali. |
Alta |
GKE su VMware
Descrizione | Gravità |
---|---|
Nel kernel Linux è stata scoperta una nuova vulnerabilità (CVE-2022-4696) che può portare a un'escalation dei privilegi sul nodo. Sono interessati GKE on VMware con le versioni 1.12 e 1.13. La modifica non riguarda GKE on VMware con versione 1.14 o successiva. Che cosa devo fare?Le seguenti versioni di GKE on VMware sono state aggiornate con codice per correggere questa vulnerabilità. Ti consigliamo di eseguire l'upgrade dei cluster di amministrazione e utente a una delle seguenti versioni di GKE on VMware:
Quali vulnerabilità vengono affrontate da questa patch?Con CVE-2022-4696, è stato rilevato un errore "use-after-free" in io_uring e ioring_op_splice nel kernel Linux. Questo difetto consente a un utente locale di creare un'escalation dei privilegi locali. |
Alta |
GKE su AWS
Descrizione | Gravità |
---|---|
Nel kernel Linux è stata scoperta una nuova vulnerabilità (CVE-2022-4696) che può portare a un'escalation dei privilegi sul nodo. GKE su AWS non è interessato da questa vulnerabilità. Che cosa devo fare?Non è richiesto alcun intervento da parte tua. |
Nessuna |
GKE su Azure
Descrizione | Gravità |
---|---|
Nel kernel Linux è stata scoperta una nuova vulnerabilità (CVE-2022-4696) che può portare a un'escalation dei privilegi sul nodo. GKE su Azure non è interessato da questa vulnerabilità. Che cosa devo fare?Non è richiesto alcun intervento da parte tua. |
Nessuna |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
Nel kernel Linux è stata scoperta una nuova vulnerabilità (CVE-2022-4696) che può portare a un'escalation dei privilegi sul nodo. GKE on Bare Metal non è interessato da questa vulnerabilità. Che cosa devo fare?Non è richiesto alcun intervento da parte tua. |
Nessuna |
GCP-2022-026
Pubblicato: 11-01-2023
Riferimento: CVE-2022-3786, CVE-2022-3602
GKE
Descrizione | Gravità |
---|---|
In OpenSSL v3.0.6 sono state scoperte due nuove vulnerabilità (CVE-2022-3786 e CVE-2022-3602) che potrebbero causare un arresto anomalo. Anche se è stato classificato come High nel database NVD, gli endpoint GKE utilizzano boringSSL o una versione precedente di OpenSSL che non è interessata, per cui la valutazione è stata ridotta a Medium per GKE. Che cosa devo fare?Le seguenti versioni di GKE sono state aggiornate con il codice per correggere questa vulnerabilità:
Una funzionalità recente dei canali di rilascio consente di applicare una patch senza dover annullare l'iscrizione a un canale. In questo modo puoi proteggere i nodi fino a quando la nuova versione non diventerà quella predefinita per il tuo canale specifico di rilascio. Quali vulnerabilità vengono affrontate da questa patch?Con CVE-2022-3786 e CVE-2022-3602, nella verifica del certificato X.509 può essere attivato un superamento del buffer che può causare un arresto anomalo che comporterà un denial of service. Per essere sfruttata, questa vulnerabilità richiede che una CA abbia firmato un certificato dannoso oppure affinché un'applicazione continui la verifica del certificato nonostante non sia stato creato un percorso verso un emittente attendibile. |
Medio |
GKE su VMware
Descrizione | Gravità |
---|---|
In OpenSSL v3.0.6 sono state scoperte due nuove vulnerabilità (CVE-2022-3786 e CVE-2022-3602) che potrebbero causare un arresto anomalo. Che cosa devo fare?GKE on VMware non è interessato da questo CVE perché non utilizza una versione interessata di OpenSSL. Quali vulnerabilità vengono affrontate da questa patch?Non occorre alcun intervento. |
Nessuna |
GKE su AWS
Descrizione | Gravità |
---|---|
In OpenSSL v3.0.6 sono state scoperte due nuove vulnerabilità (CVE-2022-3786 e CVE-2022-3602) che potrebbero causare un arresto anomalo. Che cosa devo fare?GKE su AWS non è interessato da questo CVE poiché non utilizza una versione interessata di OpenSSL. Quali vulnerabilità vengono affrontate da questa patch?Non occorre alcun intervento. |
Nessuna |
GKE su Azure
Descrizione | Gravità |
---|---|
In OpenSSL v3.0.6 sono state scoperte due nuove vulnerabilità (CVE-2022-3786 e CVE-2022-3602) che potrebbero causare un arresto anomalo. Che cosa devo fare?GKE su Azure non è interessato da questo CVE perché non utilizza una versione interessata di OpenSSL. Quali vulnerabilità vengono affrontate da questa patch?Non occorre alcun intervento. |
Nessuna |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
In OpenSSL v3.0.6 sono state scoperte due nuove vulnerabilità (CVE-2022-3786 e CVE-2022-3602) che potrebbero causare un arresto anomalo. Che cosa devo fare?GKE on Bare Metal non è interessato da questo CVE perché non utilizza una versione interessata di OpenSSL. Quali vulnerabilità vengono affrontate da questa patch?Non occorre alcun intervento. |
Nessuna |
GCP-2022-025
Data di pubblicazione: 21/12/2022
Ultimo aggiornamento: 19/01/2023 21/12/2023
Riferimento: CVE-2022-2602
Aggiornamento 21/12/2023: chiarire che i cluster GKE Autopilot nella configurazione predefinita non sono interessati.
Aggiornamento del 19/01/2023 : è disponibile la versione 1.21.14-gke.14100 di GKE.
GKE
Ultimo aggiornamento: 19/01/2023
Descrizione | Gravità |
---|---|
Aggiornamento 21/12/2023: il bollettino originale indicava che i cluster Autopilot sono interessati, ma questo dato non è corretto. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o consenti È stata scoperta una nuova vulnerabilità (CVE-2022-2602) nel sottosistema io_uring del kernel Linux che può consentire a un utente malintenzionato di eseguire potenzialmente codice arbitrario. Sono interessati i cluster GKE, inclusi i cluster Autopilot. I cluster GKE che utilizzano GKE Sandbox non sono interessati. Che cosa devo fare?Aggiornamento 19/01/2023: è disponibile la versione 1.21.14-gke.14100. Esegui l'upgrade dei pool di nodi a questa versione o a una versione successiva. Le seguenti versioni di GKE sono state aggiornate con codice per correggere questa vulnerabilità in una release futura. Per motivi di sicurezza, anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire manualmente l'upgrade dei pool di nodi a una delle seguenti versioni di GKE:
Una funzionalità recente dei canali di rilascio consente di applicare una patch senza dover annullare l'iscrizione a un canale. In questo modo puoi proteggere i nodi fino a quando la nuova versione non diventerà quella predefinita per il tuo canale specifico di rilascio. Quali vulnerabilità vengono affrontate da questa patch?Con CVE-2022-2602, una race condition tra l'elaborazione delle richieste io_uring e la garbage collection socket Unix può causare una vulnerabilità "use-after-free". Un utente malintenzionato locale potrebbe utilizzare questa opzione per attivare un denial of service o eseguire un codice arbitrario. |
Alta |
GKE su VMware
Descrizione | Gravità |
---|---|
È stata scoperta una nuova vulnerabilità (CVE-2022-2602) nel sottosistema io_uring del kernel Linux che può consentire a un utente malintenzionato di eseguire potenzialmente codice arbitrario. Sono interessate le versioni 1.11, 1.12 e 1.13 di GKE on VMware. Che cosa devo fare?Esegui l'upgrade del cluster a una versione con patch. Le seguenti versioni di GKE on VMware contengono codice che corregge questa vulnerabilità:
Quali vulnerabilità vengono affrontate da questa patch?Con CVE-2022-2602, una race condition tra l'elaborazione delle richieste io_uring e la garbage collection socket Unix può causare una vulnerabilità "use-after-free". Un utente malintenzionato locale potrebbe utilizzare questa opzione per attivare un denial of service o eseguire un codice arbitrario. |
Alta |
GKE su AWS
Descrizione | Gravità |
---|---|
È stata scoperta una nuova vulnerabilità (CVE-2022-2602) nel sottosistema io_uring del kernel Linux che può consentire a un utente malintenzionato di eseguire potenzialmente codice arbitrario. Che cosa devo fare?Le seguenti versioni attuali e precedenti di GKE su AWS sono state aggiornate con il codice per correggere questa vulnerabilità. Ti consigliamo di eseguire l'upgrade dei nodi a una delle seguenti versioni di GKE su AWS:
Quali vulnerabilità vengono affrontate da questa patch?Con CVE-2022-2602, una race condition tra l'elaborazione delle richieste io_uring e la garbage collection socket Unix può causare una vulnerabilità "use-after-free". Un utente malintenzionato locale potrebbe utilizzare questa opzione per attivare un denial of service o eseguire un codice arbitrario. |
Alta |
GKE su Azure
Descrizione | Gravità |
---|---|
È stata scoperta una nuova vulnerabilità (CVE-2022-2602) nel sottosistema io_uring del kernel Linux che può consentire a un utente malintenzionato di eseguire potenzialmente codice arbitrario. Che cosa devo fare?Le seguenti versioni di GKE su Azure sono state aggiornate con il codice per correggere questa vulnerabilità. Ti consigliamo di eseguire l'upgrade dei nodi a una delle seguenti versioni di GKE on Azure:
Quali vulnerabilità vengono affrontate da questa patch?Con CVE-2022-2602, una race condition tra l'elaborazione delle richieste io_uring e la garbage collection socket Unix può causare una vulnerabilità "use-after-free". Un utente malintenzionato locale potrebbe utilizzare questa opzione per attivare un denial of service o eseguire un codice arbitrario. |
Alta |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
È stata scoperta una nuova vulnerabilità (CVE-2022-2602) nel sottosistema io_uring del kernel Linux che può consentire a un utente malintenzionato di eseguire potenzialmente codice arbitrario. GKE on Bare Metal non è interessato da questo CVE, in quanto non raggruppa un sistema operativo nella sua distribuzione. Che cosa devo fare?Non occorre alcun intervento. |
Nessuna |
GCP-2022-024
Pubblicato: 09/11/2022
Ultimo aggiornamento: 19/01/2023
Riferimento: CVE-2022-2585, CVE-2022-2588
Aggiornamento del 19/01/2023 : è disponibile la versione 1.21.14-gke.14100 di GKE.
Aggiornamento del 16/12/2022: sono state aggiunte versioni patch riviste per GKE e
GKE on VMware.
GKE
Ultimo aggiornamento: 19/01/2023
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state scoperte due nuove vulnerabilità (CVE-2022-2585 e CVE-2022-2588) che possono portare alla separazione di un container completo sul nodo. Sono interessati i cluster GKE, inclusi i cluster Autopilot. I cluster GKE che utilizzano GKE Sandbox non sono interessati. Che cosa devo fare?Aggiornamento 19/01/2023: è disponibile la versione 1.21.14-gke.14100. Esegui l'upgrade dei pool di nodi a questa versione o a una versione successiva. Aggiornamento del 16/12/2022: una versione precedente del bollettino è stata rivista a causa di una regressione della release. Esegui manualmente l'upgrade dei pool di nodi a una delle seguenti versioni GKE:
Le seguenti versioni di GKE sono state aggiornate con il codice per correggere questa vulnerabilità. Per motivi di sicurezza, anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire manualmente l'upgrade dei pool di nodi a una delle seguenti versioni di GKE:
A breve saranno disponibili aggiornamenti per GKE v1.22, 1.23 e 1.25. Questo bollettino sulla sicurezza verrà aggiornato non appena sarà disponibile. Una funzionalità recente dei canali di rilascio consente di applicare una patch senza dover annullare l'iscrizione a un canale. In questo modo puoi proteggere i nodi fino a quando la nuova versione non diventerà quella predefinita per il canale specifico di rilascio. Quali vulnerabilità vengono affrontate da questa patch?
|
Alta |
GKE su VMware
Ultimo aggiornamento: 16/12/2022
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state scoperte due nuove vulnerabilità (CVE-2022-2585 e CVE-2022-2588) che possono portare alla separazione di un container completo sul nodo. Sono interessate le versioni 1.13, 1.12 e 1.11 di GKE on VMware. Che cosa devo fare?Aggiornamento del 16/12/2022: le seguenti versioni di GKE on VMware sono state aggiornate con il codice per correggere questa vulnerabilità. Ti consigliamo di eseguire l'upgrade dei cluster di amministrazione e utente a una delle seguenti versioni di GKE on VMware:
Quali vulnerabilità vengono affrontate da questa patch?
|
Alta |
GKE su AWS
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state scoperte due nuove vulnerabilità (CVE-2022-2585 e CVE-2022-2588) che possono portare alla separazione di un container completo sul nodo. Potrebbero essere interessate le seguenti versioni di Kubernetes su AWS:
Kubernetes V1.24 non è interessato. Che cosa devo fare?Ti consigliamo di eseguire l'upgrade dei cluster a una delle seguenti versioni di AWS Kubernetes:
Quali vulnerabilità vengono affrontate?Con CVE-2022-2585, la pulizia non corretta dei timer nel timer della CPU posix consente un exploit use-after-free a seconda di come vengono creati ed eliminati i timer. Con CVE-2022-2588, è stato trovato un difetto use-after-free in route4_change nel kernel Linux. Questo difetto consente a un utente locale di causare l'arresto anomalo del sistema, con la possibile conseguenza di un'escalation dei privilegi locali. |
Alta |
GKE su Azure
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state scoperte due nuove vulnerabilità (CVE-2022-2585 e CVE-2022-2588) che possono portare alla separazione di un container completo sul nodo. Potrebbero essere interessate le seguenti versioni di Kubernetes su Azure:
Kubernetes V1.24 non è interessato. Che cosa devo fare?Ti consigliamo di eseguire l'upgrade dei cluster a una delle seguenti versioni di Azure Kubernetes:
Quali vulnerabilità vengono affrontate?Con CVE-2022-2585, la pulizia non corretta dei timer nel timer della CPU posix consente un exploit use-after-free a seconda di come vengono creati ed eliminati i timer. Con CVE-2022-2588, è stato trovato un difetto use-after-free in route4_change nel kernel Linux. Questo difetto consente a un utente locale di causare l'arresto anomalo del sistema, con la possibile conseguenza di un'escalation dei privilegi locali. |
Alta |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state scoperte due nuove vulnerabilità (CVE-2022-2585 e CVE-2022-2588) che possono portare alla separazione di un container completo sul nodo. GKE on Bare Metal non è interessato da questo CVE, in quanto non raggruppa un sistema operativo nella sua distribuzione. Che cosa devo fare?Non occorre alcun intervento. |
Nessuna |
GCP-2022-023
Data di pubblicazione: 04-11-2022
Riferimento: CVE-2022-39278
GKE
Descrizione | Gravità |
---|---|
In Istio è stata scoperta una vulnerabilità di sicurezza, CVE-2022-39278, utilizzata in Cloud Service Mesh, che consente a un utente malintenzionato malintenzionato di arrestare il piano di controllo. Che cosa devo fare?Google Kubernetes Engine (GKE) non viene fornito con Istio e non è interessato da questa vulnerabilità. Tuttavia, se hai installato separatamente Cloud Service Mesh o Istio sul tuo cluster GKE, per ulteriori informazioni fai riferimento a GCP-2022-020, il bollettino sulla sicurezza di Cloud Service Mesh su questo CVE. |
Nessuna |
GKE su VMware
Descrizione | Gravità |
---|---|
In Istio è stata scoperta una vulnerabilità di sicurezza, CVE-2022-39278, utilizzata in Cloud Service Mesh in GKE on VMware, che consente a un utente malintenzionato malintenzionato di arrestare il piano di controllo Istio. Che cosa devo fare?Le seguenti versioni di GKE on VMware sono state aggiornate con codice per correggere questa vulnerabilità. Ti consigliamo di eseguire l'upgrade dei cluster di amministrazione e utente a una delle seguenti versioni di GKE on VMware:
Quali vulnerabilità vengono affrontate da questa patch?
Con la vulnerabilità CVE-2022-39278, il piano di controllo Istio, |
Alta |
GKE su AWS
Descrizione | Gravità |
---|---|
In Istio è stata scoperta una vulnerabilità di sicurezza, CVE-2022-39278, utilizzata in Cloud Service Mesh, che consente a un utente malintenzionato malintenzionato di arrestare il piano di controllo. Che cosa devo fare?GKE su AWS non è interessato da questa vulnerabilità e non è richiesta alcuna azione da parte tua. |
Nessuna |
GKE su Azure
Descrizione | Gravità |
---|---|
In Istio è stata scoperta una vulnerabilità di sicurezza, CVE-2022-39278, utilizzata in Cloud Service Mesh, che consente a un utente malintenzionato malintenzionato di arrestare il piano di controllo. Che cosa devo fare?GKE su Azure non è interessato da questa vulnerabilità e non è richiesta alcuna azione. |
Nessuna |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
In Istio è stata scoperta una vulnerabilità di sicurezza, CVE-2022-39278, utilizzata in Cloud Service Mesh in GKE on Bare Metal, che consente a un utente malintenzionato di arrestare il piano di controllo Istio. Che cosa devo fare?Le seguenti versioni di GKE on Bare Metal sono state aggiornate con codice per correggere questa vulnerabilità. Ti consigliamo di eseguire l'upgrade dei cluster a una delle seguenti versioni di GKE on Bare Metal:
Quali vulnerabilità vengono affrontate da questa patch?
Con la vulnerabilità CVE-2022-39278, il piano di controllo Istio, |
Alta |
GCP-2022-022-updated
Data di pubblicazione: 08/12/2022
Riferimento: CVE-2022-20409
GKE
Ultimo aggiornamento: 14/12/2022
Descrizione | Gravità |
---|---|
Nel kernel Linux è stata scoperta una nuova vulnerabilità, CVE-2022-20409, che può portare all'escalation dei privilegi locali. Sono interessati i cluster Google Kubernetes Engine (GKE) v1.22, v1.23 e v1.24, inclusi i cluster Autopilot, che utilizzano Container-Optimized OS versione 93 e 97. Le altre versioni di GKE supportate non sono interessate. I cluster GKE che utilizzano GKE Sandbox non sono interessati. Che cosa devo fare?Aggiornamento del 14/12/2022: una versione precedente del bollettino è stata rivista a causa di una regressione della release. Esegui manualmente l'upgrade dei pool di nodi a una delle seguenti versioni GKE:
Le seguenti versioni di GKE che utilizzano Container-Optimized OS 93 e 97 sono state aggiornate con codice per correggere questa vulnerabilità in una release futura. Per motivi di sicurezza, anche se hai abilitato gli upgrade automatici dei nodi, ti consigliamo di eseguire manualmente l'upgrade dei pool di nodi a una delle seguenti versioni di GKE:
Una funzionalità recente dei canali di rilascio ti consente di applicare una patch senza dover annullare l'iscrizione a un canale. Questa funzionalità ti consente di proteggere i nodi fino a quando la nuova versione non diventerà quella predefinita per il tuo canale specifico di release. Quali vulnerabilità vengono affrontate da questa patch?Con CVE-2022-20409, il kernel Linux presenta una vulnerabilità in io_identity_cow del sottosistema io_uring. Esiste un potenziale danneggiamento della memoria a causa di una vulnerabilità UAF (Use-After-Free). Un utente malintenzionato locale potrebbe utilizzare questo danneggiamento della memoria per denial of service (arresto anomalo del sistema) o eseguire codice arbitrario. |
Alta |
GKE su VMware
Ultimo aggiornamento: 14/12/2022
Descrizione | Gravità |
---|---|
Nel kernel Linux è stata scoperta una nuova vulnerabilità, CVE-2022-20409, che può portare all'escalation dei privilegi locali. Che cosa devo fare?Aggiornamento 14/12/2022: le seguenti versioni di GKE su VMware per Ubuntu sono state aggiornate con il codice per correggere questa vulnerabilità. Ti consigliamo di eseguire l'upgrade dei nodi a una delle seguenti versioni di GKE on VMware:
Quali vulnerabilità vengono affrontate da questa patch?Con CVE-2022-20409, il kernel Linux presenta una vulnerabilità in io_identity_cow del sottosistema io_uring. Esiste un potenziale danneggiamento della memoria a causa di una vulnerabilità UAF (Use-After-Free). Un utente malintenzionato locale potrebbe utilizzare questo danneggiamento della memoria per denial of service (arresto anomalo del sistema) o eseguire codice arbitrario. |
Alta |
GKE su AWS
Descrizione | Gravità |
---|---|
Nel kernel Linux è stata scoperta una nuova vulnerabilità, CVE-2022-20409, che potrebbe consentire a un utente senza privilegi di eseguire l'escalation del privilegio di esecuzione del sistema. Che cosa devo fare?Non è richiesta alcuna azione da parte tua. GKE su AWS non utilizza le versioni interessate del kernel Linux. Quali vulnerabilità vengono affrontate da questa patch?Con CVE-2022-20409, il kernel Linux presenta una vulnerabilità in io_identity_cow del sottosistema io_uring. Esiste un potenziale danneggiamento della memoria a causa di una vulnerabilità UAF (Use-After-Free). Un utente malintenzionato locale potrebbe utilizzare questo danneggiamento della memoria per denial of service (arresto anomalo del sistema) o eseguire codice arbitrario. |
Nessuna |
GKE su Azure
Descrizione | Gravità |
---|---|
Nel kernel Linux è stata scoperta una nuova vulnerabilità, CVE-2022-20409, che potrebbe consentire a un utente senza privilegi di eseguire l'escalation del privilegio di esecuzione del sistema. Che cosa devo fare?Non è richiesta alcuna azione da parte tua. GKE su Azure non utilizza le versioni interessate del kernel Linux. Quali vulnerabilità vengono affrontate da questa patch?Con CVE-2022-20409, il kernel Linux presenta una vulnerabilità in io_identity_cow del sottosistema io_uring. Esiste un potenziale danneggiamento della memoria a causa di una vulnerabilità UAF (Use-After-Free). Un utente malintenzionato locale potrebbe utilizzare questo danneggiamento della memoria per denial of service (arresto anomalo del sistema) o eseguire codice arbitrario. |
Nessuna |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
Nel kernel Linux è stata scoperta una nuova vulnerabilità, CVE-2022-20409, che può portare all'escalation dei privilegi locali. Che cosa devo fare?
|
Nessuna |
GCP-2022-021
Data di pubblicazione: 27/10/2022
Ultimo aggiornamento: 19/01/2023 21/12/2023
Riferimento: CVE-2022-3176
Aggiornamento 21/12/2023: chiarire che i cluster GKE Autopilot nella configurazione predefinita non sono interessati.
Aggiornamento del 19/01/2023 : è disponibile la versione 1.21.14-gke.14100 di GKE.
Aggiornamento del 15/12/2022: è stata aggiornata l'informazione che la versione 1.21.14-gke.9400 di Google Kubernetes Engine è in attesa di implementazione e potrebbe essere sostituita da un numero di versione successivo.
Aggiornamento 21/11/2022: sono state aggiunte le versioni patch per GKE on VMware, GKE su AWS e GKE su Azure.
GKE
Ultimo aggiornamento: 19/01/2023, 21/12/2023
Descrizione | Gravità |
---|---|
Nel kernel Linux è stata scoperta una nuova vulnerabilità, CVE-2022-3176, che può portare all'escalation dei privilegi locali. Questa vulnerabilità consente a un utente senza privilegi di ottenere una suddivisione completa dei container per eseguire il rooting sul nodo. Aggiornamento 21/12/2023: il bollettino originale indicava che i cluster Autopilot sono interessati, ma questo dato non è corretto. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o consenti Sono interessati i cluster Google Kubernetes Engine (GKE) v1.21, inclusi i cluster Autopilot, che utilizzano Container-Optimized OS versione 89. Le versioni successive di GKE non sono interessate. Sono interessati tutti i cluster Linux con Ubuntu. I cluster GKE che utilizzano GKE Sandbox non sono interessati. Che cosa devo fare?Aggiornamento 19/01/2023: è disponibile la versione 1.21.14-gke.14100. Esegui l'upgrade dei pool di nodi a questa versione o a una versione successiva. Aggiornamento del 15/12/2022: la versione 1.21.14-gke.9400 è in attesa di implementazione e potrebbe essere sostituita da un numero di versione successivo. Aggiorneremo questo documento quando questa nuova versione sarà disponibile. Le seguenti versioni di GKE sono state aggiornate con codice per correggere questa vulnerabilità in una release futura. Per motivi di sicurezza, anche se hai abilitato gli upgrade automatici dei nodi, ti consigliamo di eseguire manualmente l'upgrade dei pool di nodi a una delle seguenti versioni di GKE:
Una funzionalità recente dei canali di rilascio ti consente di applicare una patch senza dover annullare l'iscrizione a un canale. Questa funzionalità ti consente di proteggere i nodi fino a quando la nuova versione non diventerà quella predefinita per il tuo canale specifico di release. Quali vulnerabilità vengono affrontate da questa patch?Con CVE-2022-3176, il kernel Linux presenta una vulnerabilità nel sottosistema io_uring. La mancanza di una gestione POLLFREE può portare a exploit Use-After-Free (UAF) utilizzabili per l'escalation dei privilegi. |
Alta |
GKE su VMware
Ultimo aggiornamento: 21/11/2022
Descrizione | Gravità |
---|---|
Nel kernel Linux è stata scoperta una nuova vulnerabilità, CVE-2022-3176, che può portare all'escalation dei privilegi locali. Questa vulnerabilità consente a un utente senza privilegi di ottenere una suddivisione completa dei container per eseguire il rooting sul nodo. Che cosa devo fare?
Aggiornamento 21/11/2022: le seguenti versioni di GKE su VMware per Ubuntu sono state aggiornate con il codice per correggere questa vulnerabilità. Ti consigliamo di eseguire l'upgrade dei nodi a una delle seguenti versioni di GKE on VMware:
A breve verranno rilasciate le versioni di GKE on VMware che contengono patch Ubuntu. Questo bollettino sulla sicurezza verrà aggiornato quando le versioni di GKE on VMware saranno disponibili per il download. Quali vulnerabilità vengono affrontate da questa patch?Con CVE-2022-3176, il kernel Linux presenta una vulnerabilità nel sottosistema io_uring. La mancanza di una gestione POLLFREE può portare a exploit Use-After-Free (UAF) utilizzabili per l'escalation dei privilegi. |
Alta |
GKE su AWS
Ultimo aggiornamento: 21/11/2022
Descrizione | Gravità |
---|---|
Nel kernel Linux è stata scoperta una nuova vulnerabilità, CVE-2022-3176, che può portare all'escalation dei privilegi locali. Questa vulnerabilità consente a un utente senza privilegi di ottenere una suddivisione completa dei container per eseguire il rooting sul nodo. Che cosa devo fare?Aggiornamento 21/11/2022: le seguenti versioni attuali e precedenti di GKE su AWS sono state aggiornate con il codice per correggere questa vulnerabilità. Ti consigliamo di eseguire l'upgrade dei nodi a una delle seguenti versioni di GKE su AWS: Generazione attuale
A breve verranno rilasciate le versioni di GKE su AWS che contengono patch Ubuntu. Questo bollettino sulla sicurezza verrà aggiornato quando le versioni di GKE su AWS saranno disponibili per il download. Quali vulnerabilità vengono affrontate da questa patch?Con CVE-2022-3176, il kernel Linux presenta una vulnerabilità nel sottosistema io_uring. La mancanza di una gestione POLLFREE può portare a exploit Use-After-Free (UAF) utilizzabili per l'escalation dei privilegi. |
Alta |
GKE su Azure
Ultimo aggiornamento: 21/11/2022
Descrizione | Gravità |
---|---|
Nel kernel Linux è stata scoperta una nuova vulnerabilità, CVE-2022-3176, che può portare all'escalation dei privilegi locali. Questa vulnerabilità consente a un utente senza privilegi di ottenere una suddivisione completa dei container per eseguire il rooting sul nodo. Che cosa devo fare?Aggiornamento 21/11/2022: le seguenti versioni di GKE su Azure sono state aggiornate con il codice per correggere questa vulnerabilità. Ti consigliamo di eseguire l'upgrade dei nodi a una delle seguenti versioni di GKE on Azure:
A breve verranno rilasciate le versioni di GKE su Azure che contengono patch Ubuntu. Questo bollettino sulla sicurezza verrà aggiornato quando le versioni di GKE su Azure saranno disponibili per il download. Quali vulnerabilità vengono affrontate da questa patch?Con CVE-2022-3176, il kernel Linux presenta una vulnerabilità nel sottosistema io_uring. La mancanza di una gestione POLLFREE può portare a exploit Use-After-Free (UAF) utilizzabili per l'escalation dei privilegi. |
Alta |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
Nel kernel Linux è stata scoperta una nuova vulnerabilità, CVE-2022-3176, che può portare all'escalation dei privilegi locali. Questa vulnerabilità consente a un utente senza privilegi di ottenere una suddivisione completa dei container per eseguire il rooting sul nodo. Che cosa devo fare?Non occorre alcun intervento. GKE on Bare Metal non è interessato da questo CVE, in quanto non include un sistema operativo nella sua distribuzione. |
Nessuna |
GCP-2022-018
Data di pubblicazione: 01/08/2022
Ultimo aggiornamento: 14/09/2022/21/12/2023
Riferimento: CVE-2022-2327
Aggiornamento 21/12/2023: chiarire che i cluster GKE Autopilot nella configurazione predefinita non sono interessati.
Aggiornamento del 14/09/2022: aggiunte versioni patch per GKE on VMware, GKE su AWS e GKE su Azure.
GKE
Ultimo aggiornamento: 21/12/2023
Descrizione | Gravità |
---|---|
È stata scoperta una nuova vulnerabilità (CVE-2022-2327) nel kernel Linux che può portare all'escalation dei privilegi locali. Questa vulnerabilità consente a un utente senza privilegi di ottenere una suddivisione dei container completa per eseguire il rooting sul nodo. Dettagli tecniciAggiornamento 21/12/2023: il bollettino originale indicava che i cluster Autopilot sono interessati, ma questo dato non è corretto. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o consenti Sono interessati i cluster GKE, inclusi i cluster Autopilot, con Container-Optimized OS (COS) che utilizzano il kernel Linux versione 5.10. I cluster GKE che utilizzano immagini Ubuntu o che utilizzano GKE Sandbox non sono interessati. Che cosa devo fare?Esegui l'upgrade dei cluster GKE a una versione che includa la correzione.
Le immagini dei nodi Linux per COS sono state aggiornate insieme alle versioni GKE
che utilizzano queste versioni COS.
Una funzionalità recente dei canali di rilascio consente di applicare una patch senza dover annullare l'iscrizione a un canale. In questo modo puoi eseguire l'upgrade dei nodi alla versione con patch prima che questa versione diventi quella predefinita nel canale di rilascio selezionato. Quali vulnerabilità vengono affrontate da questa patch?Con CVE-2022-2327, il kernel Linux nella versione 5.10 presenta una vulnerabilità nel sottosistema io_uring, in cui mancano tipi di elementi (flag). L'utilizzo di queste richieste senza i tipi di elementi corretti può causare l'escalation dei privilegi a root. |
Alta |
GKE su VMware
Ultimo aggiornamento: 14/09/2022
Descrizione | Gravità |
---|---|
È stata scoperta una nuova vulnerabilità (CVE-2022-2327) nel kernel Linux che può portare all'escalation dei privilegi locali. Questa vulnerabilità consente a un utente senza privilegi di ottenere una suddivisione dei container completa per eseguire il rooting sul nodo. Sono interessati i cluster con un'immagine Container Optimized OS (COS) che utilizza GKE on VMware versioni 1.10, 1.11 e 1.12. Che cosa devo fare?Aggiornamento 14/09/2022: le seguenti versioni di GKE on VMware contengono codice che corregge questa vulnerabilità.
Le versioni di GKE on VMware che contengono patch verranno rilasciate a breve. Questo bollettino sulla sicurezza verrà aggiornato quando le versioni GKE on VMware saranno disponibili per il download. Quali vulnerabilità vengono affrontate da questa patch?Con CVE-2022-2327, il kernel Linux nella versione 5.10 presenta una vulnerabilità nel sottosistema io_uring in cui in varie richieste mancano tipi di elementi (flag). L'utilizzo di queste richieste senza i tipi di elementi appropriati può causare l'escalation dei privilegi a root. |
Alta |
GKE su AWS
Ultimo aggiornamento: 14/09/2022
Descrizione | Gravità |
---|---|
È stata scoperta una nuova vulnerabilità (CVE-2022-2327) nel kernel Linux che può portare all'escalation dei privilegi locali. Questa vulnerabilità consente a un utente senza privilegi di ottenere una suddivisione dei container completa per eseguire il rooting sul nodo. Che cosa devo fare?Aggiornamento del 14/09/2022: le seguenti versioni attuali e precedenti di GKE su AWS sono state aggiornate con il codice per correggere questa vulnerabilità. Ti consigliamo di eseguire l'upgrade dei nodi a una delle seguenti versioni di GKE on AWS: Generazione attuale
Generazione precedente
A breve verranno rilasciate le versioni di GKE su AWS che contengono patch. Questo bollettino sulla sicurezza verrà aggiornato quando le versioni di GKE su AWS saranno disponibili per il download. Quali vulnerabilità vengono affrontate da questa patch?Con CVE-2022-2327, il kernel Linux nella versione 5.10 presenta una vulnerabilità nel sottosistema io_uring in cui in varie richieste mancano tipi di elementi (flag). L'utilizzo di queste richieste senza i tipi di elementi appropriati può causare l'escalation dei privilegi a root. |
Alta |
GKE su Azure
Ultimo aggiornamento: 14/09/2022
Descrizione | Gravità |
---|---|
È stata scoperta una nuova vulnerabilità (CVE-2022-2327) nel kernel Linux che può portare all'escalation dei privilegi locali. Questa vulnerabilità consente a un utente senza privilegi di ottenere una suddivisione dei container completa per eseguire il rooting sul nodo. Che cosa devo fare?Aggiornamento del 14/09/2022: le seguenti versioni di GKE su Azure sono state aggiornate con il codice per correggere questa vulnerabilità. Ti consigliamo di eseguire l'upgrade dei nodi a una delle seguenti versioni di GKE on Azure:
A breve verranno rilasciate le versioni di GKE su Azure che contengono patch. Questo bollettino sulla sicurezza verrà aggiornato quando le versioni di GKE su Azure saranno disponibili per il download. Quali vulnerabilità vengono affrontate da questa patch?Con CVE-2022-2327, il kernel Linux nella versione 5.10 presenta una vulnerabilità nel sottosistema io_uring in cui in varie richieste mancano tipi di elementi (flag). L'utilizzo di queste richieste senza i tipi di elementi appropriati può causare l'escalation dei privilegi a root. |
Alta |
Google Distributed Cloud Virtual for Bare Metal
Descrizione | Gravità |
---|---|
È stata scoperta una nuova vulnerabilità (CVE-2022-2327) nel kernel Linux che può portare all'escalation dei privilegi locali. Questa vulnerabilità consente a un utente senza privilegi di ottenere una suddivisione dei container completa per eseguire il rooting sul nodo. Che cosa devo fare?Non sono necessarie ulteriori azioni. Google Distributed Cloud Virtual for Bare Metal non è interessato da questo CVE, poiché non include un sistema operativo nella sua distribuzione. |
Nessuna |
GCP-2022-017
Data di pubblicazione: 29/06/2022
Aggiornamento: 22/11/2022
Riferimento: CVE-2022-1786
Aggiornamento del 22/11/2022: informazioni aggiornate sui carichi di lavoro che utilizzano GKE Sandbox.
Aggiornamento 21/07/2022: sono state aggiornate le informazioni relative alle immagini COS di GKE on VMware.
GKE
Ultimo aggiornamento: 22/11/2022
Descrizione | Gravità |
---|---|
Aggiornamento 22/11/2022: i carichi di lavoro che utilizzano GKE Sandbox non sono interessati da queste vulnerabilità. È stata scoperta una nuova vulnerabilità (CVE-2022-1786) nelle versioni 5.10 e 5.11 del kernel Linux. Questa vulnerabilità consente a un utente senza privilegi con accesso locale al cluster di ottenere una suddivisione completa dei container per ottenere il root sul nodo. Sono interessati solo i cluster che eseguono Container-Optimized OS. Le versioni GKE Ubuntu utilizzano la versione 5.4 o 5.15 del kernel e non sono interessate. Che cosa devo fare?Le versioni delle immagini dei nodi Linux per Container-Optimized OS per le seguenti versioni di GKE sono state aggiornate con il codice per correggere questa vulnerabilità. Per motivi di sicurezza, anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire l'upgrade manuale dei pool di nodi a una delle seguenti versioni di GKE future:
Una recente funzionalità dei canali di rilascio consente di applicare una patch senza dover annullare l'iscrizione a un canale. In questo modo puoi eseguire l'upgrade dei nodi alla versione con patch prima che questa versione diventi quella predefinita nel canale di rilascio selezionato. Quali vulnerabilità vengono affrontate da questa patch?Con CVE-2022-1786, è stato rilevato un difetto che non richiede l'uso in seguito al sottosistema io_uring del kernel Linux. Se un utente configura un anello con IORING_CONFIGURA_IOPOLL con più di un'attività che completa l'invio sul ring, un utente locale può arrestarsi in modo anomalo o aumentare i propri privilegi sul sistema. |
Alta |
GKE su VMware
Ultimo aggiornamento: 14/07/2022
Descrizione | Gravità |
---|---|
È stata scoperta una nuova vulnerabilità (CVE-2022-1786) nelle versioni 5.10 e 5.11 del kernel Linux. Questa vulnerabilità consente a un utente senza privilegi con accesso locale al cluster di ottenere una suddivisione completa dei container per ottenere il root sul nodo. Che cosa devo fare?Aggiornamento 21/07/2022: le seguenti versioni di GKE on VMware contengono codice che corregge questa vulnerabilità. COS
UbuntuNon sono necessarie ulteriori azioni. GKE on VMware non utilizza le versioni interessate del kernel Linux. |
Nessuna |
GKE su AWS
Descrizione | Gravità |
---|---|
È stata scoperta una nuova vulnerabilità (CVE-2022-1786) nelle versioni 5.10 e 5.11 del kernel Linux. Questa vulnerabilità consente a un utente senza privilegi con accesso locale al cluster di ottenere una suddivisione completa dei container per ottenere il root sul nodo. Che cosa devo fare?Non sono necessarie ulteriori azioni. GKE su AWS non utilizza le versioni interessate del kernel Linux. |
Nessuna |
GKE su Azure
Descrizione | Gravità |
---|---|
È stata scoperta una nuova vulnerabilità (CVE-2022-1786) nelle versioni 5.10 e 5.11 del kernel Linux. Questa vulnerabilità consente a un utente senza privilegi con accesso locale al cluster di ottenere una suddivisione completa dei container per ottenere il root sul nodo. Che cosa devo fare?Non sono necessarie ulteriori azioni. GKE su Azure non utilizza le versioni interessate del kernel Linux. |
Nessuna |
Google Distributed Cloud Virtual for Bare Metal
Descrizione | Gravità |
---|---|
È stata scoperta una nuova vulnerabilità (CVE-2022-1786) nelle versioni 5.10 e 5.11 del kernel Linux. Questa vulnerabilità consente a un utente senza privilegi con accesso locale al cluster di ottenere una suddivisione completa dei container per ottenere il root sul nodo. Che cosa devo fare?Non sono necessarie ulteriori azioni. Google Distributed Cloud Virtual for Bare Metal non è interessato da questo CVE, in quanto non include un sistema operativo nella sua distribuzione. |
Nessuna |
GCP-2022-016
Pubblicato il: 23/06/2022
Ultimo aggiornamento: 22/11/2022
Riferimento: CVE-2022-29581, CVE-2022-29582, CVE-2022-1116
Aggiornamento dei cluster 2022-11-22 in esecuzione:
Aggiornamento 29/07/2022: versioni aggiornate per GKE su VMware, GKE su AWS e GKE su Azure.
GKE
Ultimo aggiornamento: 22/11/2022
Descrizione | Gravità |
---|---|
Aggiornamento del 22/11/2022: i cluster Autopilot non sono interessati da CVE-2022-29581, ma sono vulnerabili a CVE-2022-29582 e CVE-2022-1116. Aggiornamento 29/07/2022: i pod che utilizzano GKE Sandbox non sono vulnerabili a queste vulnerabilità. Nel kernel di Linux sono state scoperte tre nuove vulnerabilità di corruzione della memoria (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116). Queste vulnerabilità consentono a un utente senza privilegi con accesso locale al cluster di ottenere una suddivisione completa del container per ottenere il root sul nodo. Sono interessati tutti i cluster Linux (Container-Optimized OS e Ubuntu). Che cosa devo fare?Le versioni delle immagini dei nodi Linux per Container-Optimized OS e Ubuntu per le seguenti versioni di GKE sono state aggiornate con il codice per correggere questa vulnerabilità. Per motivi di sicurezza, anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire manualmente l'upgrade dei pool di nodi a una delle seguenti versioni di GKE:
Una funzionalità recente dei canali di rilascio consente di applicare una patch senza dover annullare l'iscrizione a un canale. In questo modo puoi eseguire l'upgrade dei nodi alla versione con patch prima che questa versione diventi quella predefinita nel canale di rilascio selezionato. Quali vulnerabilità vengono affrontate da questa patch?Con CVE-2022-29582, il kernel Linux nelle versioni precedenti alla 5.17.3 ha un uso-after-free a causa di una race condition in timeout io_uring. CVE-2022-29581 e CVE-2022-1116 sono vulnerabilità in cui un aggressore locale può causare il danneggiamento della memoria in io_uring o net/sched nel kernel Linux per aumentare i privilegi alla radice. |
Alta |
GKE su VMware
Ultimo aggiornamento: 29/07/2022
Descrizione | Gravità |
---|---|
Aggiornamento 29/07/2022: le seguenti versioni di GKE on VMware contengono codice che corregge queste vulnerabilità.
Nel kernel di Linux sono state scoperte tre nuove vulnerabilità di corruzione della memoria (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116). Queste vulnerabilità consentono a un utente senza privilegi con accesso locale al cluster di ottenere una suddivisione completa del container per ottenere il root sul nodo. Queste vulnerabilità interessano GKE on VMware v1.9 e successive per Container-Optimized OS e immagini Ubuntu. Che cosa devo fare?A breve verranno rilasciate le versioni di GKE on VMware che contengono patch. Questo bollettino sulla sicurezza verrà aggiornato quando le versioni di GKE on VMware saranno disponibili per il download. Quali vulnerabilità vengono affrontate da questa patch?Con CVE-2022-29582, il kernel Linux nelle versioni precedenti alla 5.17.3 ha un uso-after-free a causa di una race condition in timeout io_uring. CVE-2022-29581 e CVE-2022-1116 sono vulnerabilità in cui un aggressore locale può causare il danneggiamento della memoria in io_uring o net/sched nel kernel Linux per aumentare i privilegi alla radice. |
Alta |
GKE su AWS
Ultimo aggiornamento: 29/07/2022
Descrizione | Gravità |
---|---|
Aggiornamento 29-07-2022: Aggiornamento: le seguenti versioni attuali e precedenti di GKE su AWS sono state aggiornate con il codice per correggere queste vulnerabilità. Ti consigliamo di eseguire l'upgrade dei nodi a una delle seguenti versioni di GKE su AWS: Generazione attuale:
Nel kernel di Linux sono state scoperte tre nuove vulnerabilità di corruzione della memoria (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116). Queste vulnerabilità consentono a un utente senza privilegi con accesso locale al cluster di ottenere una suddivisione completa del container per ottenere il root sul nodo. Queste vulnerabilità interessano tutte le versioni di GKE su AWS. Che cosa devo fare?A breve verranno rilasciate le versioni di GKE su AWS che contengono patch. Questo bollettino sulla sicurezza verrà aggiornato quando le versioni di GKE su AWS saranno disponibili per il download. Quali vulnerabilità vengono affrontate da questa patch?Con CVE-2022-29582, il kernel Linux nelle versioni precedenti alla 5.17.3 ha un uso-after-free a causa di una race condition in timeout io_uring. CVE-2022-29581 e CVE-2022-1116 sono vulnerabilità in cui un aggressore locale può causare il danneggiamento della memoria in io_uring o net/sched nel kernel Linux per aumentare i privilegi alla radice. |
Alta |
GKE su Azure
Descrizione | Gravità |
---|---|
Aggiornamento 29-07-2022: Aggiornamento: le seguenti versioni di GKE su Azure sono state aggiornate con il codice per correggere queste vulnerabilità. Ti consigliamo di eseguire l'upgrade dei nodi a una delle seguenti versioni di GKE on Azure:
Nel kernel di Linux sono state scoperte tre nuove vulnerabilità di corruzione della memoria (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116). Queste vulnerabilità consentono a un utente senza privilegi con accesso locale al cluster di ottenere una suddivisione completa del container per ottenere il root sul nodo. Queste vulnerabilità interessano tutte le versioni di GKE su Azure. Che cosa devo fare?A breve verranno rilasciate le versioni di GKE su Azure che contengono patch. Questo bollettino sulla sicurezza verrà aggiornato quando le versioni di GKE su Azure saranno disponibili per il download. Quali vulnerabilità vengono affrontate da questa patch?Con CVE-2022-29582, il kernel Linux nelle versioni precedenti alla 5.17.3 ha un uso-after-free a causa di una race condition in timeout io_uring. CVE-2022-29581 e CVE-2022-1116 sono vulnerabilità in cui un aggressore locale può causare il danneggiamento della memoria in io_uring o net/sched nel kernel Linux per aumentare i privilegi alla radice. |
Alta |
Google Distributed Cloud Virtual for Bare Metal
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte tre nuove vulnerabilità di corruzione della memoria (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116). Queste vulnerabilità consentono a un utente senza privilegi con accesso locale al cluster di ottenere una suddivisione completa del container per ottenere il root sul nodo. Che cosa devo fare?Non sono necessarie ulteriori azioni. Google Distributed Cloud Virtual for Bare Metal non è interessato da questa vulnerabilità, in quanto non include un sistema operativo nella sua distribuzione. |
Nessuna |
GCP-2022-014
Data di pubblicazione: 26/04/2022
Ultimo aggiornamento: 22/11/2022
Aggiornamento del 22/11/2022: sono state aggiunte informazioni sui carichi di lavoro in esecuzione nei cluster Autopilot.
Aggiornamento del 12/05/2022: versioni patch aggiornate per GKE su AWS e
GKE su Azure.
Riferimento: CVE-2022-1055, CVE-2022-27666
GKE
Ultimo aggiornamento: 22/11/2022
Descrizione | Gravità |
---|---|
Aggiornamento 22/11/2022: i cluster e i carichi di lavoro GKE Autopilot in esecuzione in GKE Sandbox non sono interessati da queste vulnerabilità. Nel kernel di Linux sono state scoperte due vulnerabilità di sicurezza, CVE-2022-1055 e CVE-2022-27666. Ognuno di essi può portare un utente malintenzionato locale a eseguire una container breakout, escalation dei privilegi sull’host o entrambi. Queste vulnerabilità interessano tutti i sistemi operativi dei nodi GKE (Container-Optimized OS e Ubuntu). Dettagli tecniciIn CVE-2022-1055, un aggressore può sfruttare "use-after-free" in tc_new_tfilter() che consente a un aggressore locale nel container di aumentare i privilegi per ottenere il root sul nodo. In CVE-2022-27666, l’overflow del buffer in esp/esp6_output_head consente a un aggressore locale nel container di aumentare i privilegi di root sul nodo. Che cosa devo fare?Le versioni delle immagini dei nodi Linux per le seguenti versioni di GKE sono state aggiornate con il codice per correggere queste vulnerabilità. Esegui l'upgrade dei cluster a una delle seguenti versioni di GKE future:
Quali vulnerabilità vengono affrontate da questa patch? |
Alta |
GKE su VMware
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte due vulnerabilità di sicurezza, CVE-2022-1055 e CVE-2022-27666. Ognuno di essi può portare un utente malintenzionato locale a eseguire una container breakout, escalation dei privilegi sull’host o entrambi. Queste vulnerabilità interessano tutti i sistemi operativi dei nodi GKE (Container-Optimized OS e Ubuntu). Dettagli tecniciIn CVE-2022-1055, un aggressore può sfruttare "use-after-free" in tc_new_tfilter() che consente a un aggressore locale nel container di aumentare i privilegi per ottenere il root sul nodo. In CVE-2022-27666, l’overflow del buffer in esp/esp6_output_head consente a un aggressore locale nel container di aumentare i privilegi di root sul nodo. Che cosa devo fare?Esegui l'upgrade del cluster a una versione con patch. Le seguenti versioni di GKE on VMware o più recenti contengono la correzione per questa vulnerabilità:
Quali vulnerabilità vengono affrontate da questa patch? |
Alta |
GKE su AWS
Ultimo aggiornamento: 12/05/2022
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte due vulnerabilità di sicurezza, CVE-2022-1055 e CVE-2022-27666. Ognuno di essi può portare un utente malintenzionato locale a eseguire una container breakout, escalation dei privilegi sull’host o entrambi. Queste vulnerabilità interessano tutti i sistemi operativi dei nodi GKE (Container-Optimized OS e Ubuntu). Dettagli tecniciIn CVE-2022-1055, un aggressore può sfruttare "use-after-free" in tc_new_tfilter() che consente a un aggressore locale nel container di aumentare i privilegi per ottenere il root sul nodo. In CVE-2022-27666, l’overflow del buffer in esp/esp6_output_head consente a un aggressore locale nel container di aumentare i privilegi di root sul nodo. Che cosa devo fare?Aggiornamento del 12/05/2022: le seguenti versioni attuali e precedenti di GKE su AWS sono state aggiornate con il codice per correggere queste vulnerabilità. Ti consigliamo di eseguire l'upgrade dei nodi a una delle seguenti versioni di GKE su AWS: Generazione attuale
Esegui l'upgrade del cluster a una versione con patch. Le patch saranno disponibili in una release futura. Questo bollettino verrà aggiornato non appena sarà disponibile. Quali vulnerabilità vengono affrontate da questa patch? |
Alta |
GKE su Azure
Ultimo aggiornamento: 12/05/2022
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte due vulnerabilità di sicurezza, CVE-2022-1055 e CVE-2022-27666. Ognuno di essi può portare un utente malintenzionato locale a eseguire una container breakout, escalation dei privilegi sull’host o entrambi. Queste vulnerabilità interessano tutti i sistemi operativi dei nodi GKE (Container-Optimized OS e Ubuntu). Dettagli tecniciIn CVE-2022-1055, un aggressore può sfruttare "use-after-free" in tc_new_tfilter() che consente a un aggressore locale nel container di aumentare i privilegi per ottenere il root sul nodo. In CVE-2022-27666, l’overflow del buffer in esp/esp6_output_head consente a un aggressore locale nel container di aumentare i privilegi di root sul nodo. Che cosa devo fare?Aggiornamento del 12/05/2022: le seguenti versioni di GKE su Azure sono state aggiornate con il codice per correggere queste vulnerabilità. Ti consigliamo di eseguire l'upgrade dei nodi a una delle seguenti versioni di GKE on Azure:
Esegui l'upgrade del cluster a una versione con patch. Le patch saranno disponibili in una release futura. Questo bollettino verrà aggiornato non appena sarà disponibile. Quali vulnerabilità vengono affrontate da questa patch? |
Alta |
Google Distributed Cloud Virtual for Bare Metal
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte due vulnerabilità di sicurezza, CVE-2022-1055 e CVE-2022-27666. Ognuno di essi può portare un utente malintenzionato locale a eseguire una container breakout, escalation dei privilegi sull’host o entrambi. Queste vulnerabilità interessano tutti i sistemi operativi dei nodi GKE (Container-Optimized OS e Ubuntu). Dettagli tecniciIn CVE-2022-1055, un aggressore può sfruttare "use-after-free" in tc_new_tfilter() che consente a un aggressore locale nel container di aumentare i privilegi per ottenere il root sul nodo. In CVE-2022-27666, l’overflow del buffer in esp/esp6_output_head consente a un aggressore locale nel container di aumentare i privilegi di root sul nodo. Che cosa devo fare?Non sono necessarie ulteriori azioni. Google Distributed Cloud Virtual for Bare Metal non è interessato da questo CVE, in quanto non include Linux nel suo pacchetto. Devi assicurarti che le immagini dei nodi che utilizzi vengano aggiornate alle versioni contenenti la correzione per CVE-2022-1055 e CVE-2022-27666. Quali vulnerabilità vengono affrontate da questa patch? |
Alta |
GCP-2022-013
Pubblicato: 11/04/2022
Aggiornamento: 20/04/2022
Riferimento: CVE-2022-23648
Aggiornamento del 22/04/2022: versioni patch aggiornate per Google Distributed Cloud Virtual for Bare Metal e GKE on VMware.
GKE
Descrizione | Gravità |
---|---|
È stata scoperta una vulnerabilità di sicurezza, CVE-2022-23648, nella gestione del path traversal da parte di containerd nella specifica del volume di immagini OCI. I container lanciati tramite l'implementazione CRI di containerd con una configurazione di immagine appositamente creata potrebbero ottenere l'accesso completo in lettura a file e directory arbitrari sull'host. Questa vulnerabilità può bypassare qualsiasi applicazione basata su criteri nella configurazione dei container (incluso un criterio di sicurezza dei pod di Kubernetes). Questa vulnerabilità interessa tutti i sistemi operativi dei nodi GKE (Container-Optimized OS e Ubuntu) che utilizzano containerd per impostazione predefinita. Sono interessati tutti i nodi GKE, Autopilot e GKE Sandbox. Che cosa devo fare?Le versioni delle immagini dei nodi Linux per le seguenti versioni di GKE sono state aggiornate con il codice per correggere questa vulnerabilità. Per motivi di sicurezza, anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire manualmente l'upgrade dei nodi a una delle seguenti versioni di GKE:
Una funzionalità recente dei canali di rilascio consente di applicare una patch senza dover annullare l'iscrizione a un canale. In questo modo puoi proteggere i nodi fino a quando la nuova versione non diventerà quella predefinita per il tuo canale di rilascio specifico. |
Medio |
GKE su VMware
Ultimo aggiornamento: 22/04/2022
Descrizione | Gravità |
---|---|
È stata scoperta una vulnerabilità di sicurezza, CVE-2022-23648, nella gestione del path traversal da parte di containerd nella specifica del volume di immagini OCI. I container lanciati tramite l'implementazione CRI di containerd con una configurazione di immagine appositamente creata potrebbero ottenere l'accesso completo in lettura a file e directory arbitrari sull'host. Questa vulnerabilità può bypassare qualsiasi applicazione basata su criteri nella configurazione dei container (incluso un criterio di sicurezza dei pod di Kubernetes). Questa vulnerabilità interessa tutti i servizi GKE on VMware con stackdriver abilitato, che utilizza containerd. Sono interessate le versioni di GKE on VMware 1.8, 1.9 e 1.10 Che cosa devo fare?Aggiornamento 22/04/2022 : le seguenti versioni di GKE on VMware contengono codice che corregge questa vulnerabilità.
Le seguenti versioni di GKE su VMware sono state aggiornate con codice per correggere questa vulnerabilità. Ti consigliamo di eseguire l'upgrade dei nodi a una delle seguenti versioni di GKE on VMware:
Questo CVE può essere mitigato impostando IgnoraImageDefiniscidVolumes su true. |
Medio |
GKE su AWS
Descrizione | Gravità |
---|---|
È stata scoperta una vulnerabilità di sicurezza, CVE-2022-23648, nella gestione del path traversal da parte di containerd nella specifica del volume di immagini OCI. I container lanciati tramite l'implementazione CRI di containerd con una configurazione di immagine appositamente creata potrebbero ottenere l'accesso completo in lettura a file e directory arbitrari sull'host. Questa vulnerabilità può bypassare qualsiasi applicazione basata su criteri nella configurazione dei container (incluso un criterio di sicurezza dei pod di Kubernetes). Sono interessate tutte le versioni di GKE su AWS. Che cosa devo fare?Le seguenti versioni di GKE su AWS sono state aggiornate con il codice per correggere questa vulnerabilità. Ti consigliamo di eseguire l'upgrade dei nodi a una delle seguenti versioni di GKE su AWS. GKE su AWS (generazione attuale)
GKE su AWS (generazione precedente)
Questo CVE può essere mitigato impostando IgnoraImageDefiniscidVolumes su true. |
Medio |
GKE su Azure
Descrizione | Gravità |
---|---|
È stata scoperta una vulnerabilità di sicurezza, CVE-2022-23648, nella gestione del path traversal da parte di containerd nella specifica del volume di immagini OCI. I container lanciati tramite l'implementazione CRI di containerd con una configurazione di immagine appositamente creata potrebbero ottenere l'accesso completo in lettura a file e directory arbitrari sull'host. Questa vulnerabilità può bypassare qualsiasi applicazione basata su criteri nella configurazione dei container (incluso un criterio di sicurezza dei pod di Kubernetes). Sono interessate tutte le versioni di GKE su Azure. Che cosa devo fare?Le seguenti versioni di GKE su Azure sono state aggiornate con il codice per correggere questa vulnerabilità. Ti consigliamo di eseguire l'upgrade dei nodi nel seguente modo:
Questo CVE può essere mitigato impostando IgnoraImageDefiniscidVolumes su true. |
Medio |
Google Distributed Cloud Virtual for Bare Metal
Ultimo aggiornamento: 22/04/2022
Descrizione | Gravità |
---|---|
È stata scoperta una vulnerabilità di sicurezza, CVE-2022-23648, nella gestione del path traversal da parte di containerd nella specifica del volume di immagini OCI. I container lanciati tramite l'implementazione CRI di containerd con una configurazione di immagine appositamente creata potrebbero ottenere l'accesso completo in lettura a file e directory arbitrari sull'host. Questa vulnerabilità può bypassare qualsiasi applicazione basata su criteri nella configurazione dei container (incluso un criterio di sicurezza dei pod di Kubernetes). Questa vulnerabilità interessa tutti i servizi Google Distributed Cloud Virtual for Bare Metal che utilizzano containerd. Sono interessate le versioni 1.8, 1.9 e 1.10 di Google Distributed Cloud Virtual for Bare Metal Che cosa devo fare?Aggiornamento 22/04/2022: le seguenti versioni di Google Distributed Cloud Virtual for Bare Metal contengono codice che corregge questa vulnerabilità.
Le seguenti versioni di Google Distributed Cloud Virtual for Bare Metal sono state aggiornate con il codice per correggere questa vulnerabilità. Ti consigliamo di eseguire l'upgrade dei nodi a una delle seguenti versioni Google Distributed Cloud Virtual for Bare Metal:
Questo CVE può essere mitigato impostando IgnoraImageDefiniscidVolumes su true. |
Medio |
GCP-2022-012
Data di pubblicazione: 07/04/2022
Aggiornamento: 22/11/2022
Riferimento: CVE-2022-0847
Aggiornamento del 22/11/2022: informazioni aggiornate sui carichi di lavoro che utilizzano GKE Sandbox.
GKE
Ultimo aggiornamento: 22/11/2022
Descrizione | Gravità |
---|---|
Aggiornamento 22/11/2022: i carichi di lavoro che utilizzano GKE Sandbox non sono interessati da queste vulnerabilità. Nel kernel Linux versione 5.8 e successive è stata scoperta una vulnerabilità di sicurezza, CVE-2022-0847, che può potenzialmente aumentare i privilegi del container alla radice. Questa vulnerabilità interessa tutte le versioni dei pool di nodi GKE v1.22 e successive che utilizzano immagini di Container-Optimized OS (Container-Optimized OS 93 e versioni successive). I pool di nodi GKE che utilizzano il sistema operativo Ubuntu non sono interessati. Che cosa devo fare?Le versioni delle immagini dei nodi Linux per le seguenti versioni di GKE sono state aggiornate con il codice per correggere questa vulnerabilità. Per motivi di sicurezza, anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire manualmente l'upgrade dei pool di nodi a una delle seguenti versioni di GKE:
Una funzionalità recente dei canali di rilascio consente di applicare una versione patch di altri canali di rilascio senza dover annullare l'iscrizione a un canale. In questo modo puoi proteggere i nodi fino a quando la nuova versione non diventerà quella predefinita per il canale specifico di rilascio. Quali vulnerabilità vengono affrontate da questa patch?CVE-2022-0847 si riferisce al flag PIPE_BUF_FLAG_CAN_MERGE che è stato introdotto nella versione 5.8 del kernel Linux. In questa vulnerabilità, il membro "flags" della nuova struttura del buffer del pipe non era stato inizializzato correttamente nel kernel Linux. Un aggressore locale senza privilegi può usare questo difetto per scrivere pagine nella cache della pagina supportate da file di sola lettura e aumentare i propri privilegi. Le nuove versioni di Container-Optimized OS che risolvono questo problema sono state integrate nelle versioni aggiornate del pool di nodi di GKE. |
Alta |
GKE su VMware
Descrizione | Gravità |
---|---|
Nel kernel Linux versione 5.8 e successive è stata scoperta una vulnerabilità di sicurezza, CVE-2022-0847, che può potenzialmente aumentare i privilegi alla radice. Questa vulnerabilità interessa GKE on VMware v1.10 per le immagini Container-Optimized OS. Attualmente, GKE su VMware con Ubuntu è sulla versione del kernel 5.4 e non è vulnerabile a questo attacco. Che cosa devo fare?Le versioni delle immagini dei nodi Linux per le seguenti versioni di GKE on VMware sono state aggiornate con il codice per correggere questa vulnerabilità. Ti consigliamo di eseguire l'upgrade dei cluster di amministrazione e utente alla seguente versione di GKE on VMware:
Quali vulnerabilità vengono affrontate da questa patch?CVE-2022-0847 si riferisce al flag PIPE_BUF_FLAG_CAN_MERGE che è stato introdotto nella versione 5.8 del kernel Linux. In questa vulnerabilità, il membro "flags" della nuova struttura del buffer del pipe non era stato inizializzato correttamente nel kernel Linux. Un aggressore locale senza privilegi può usare questo difetto per scrivere pagine nella cache della pagina supportate da file di sola lettura e aumentare i propri privilegi. Le nuove versioni di Container-Optimized OS che risolvono questo problema sono state integrate nelle versioni aggiornate di GKE on VMware. |
Alta |
GKE su AWS
Descrizione | Gravità |
---|---|
Nel kernel Linux versione 5.8 e successive è stata scoperta una vulnerabilità di sicurezza, CVE-2022-0847, che può potenzialmente aumentare i privilegi alla radice. Questa vulnerabilità interessa i cluster gestiti di GKE su AWS v1.21 e i cluster in esecuzione su GKE su AWS (generazione precedente) v1.19, v1.20, v1.21, che utilizzano Ubuntu. Che cosa devo fare?Le versioni delle immagini dei nodi Linux per le seguenti versioni di GKE su AWS sono state aggiornate con il codice per correggere questa vulnerabilità. Per GKE gestito su AWS, ti consigliamo di eseguire l'upgrade dei cluster utente e del pool di nodi a una delle seguenti versioni:
Per GKE k-lite su AWS, ti consigliamo di eseguire l'upgrade degli oggetti AWSManagementService, AWSCluster e AWSNodePool alla versione seguente:
Quali vulnerabilità vengono affrontate da questa patch?CVE-2022-0847 si riferisce al flag PIPE_BUF_FLAG_CAN_MERGE che è stato introdotto nella versione 5.8 del kernel Linux. In questa vulnerabilità, il membro "flags" della nuova struttura del buffer del pipe non era stato inizializzato correttamente nel kernel Linux. Un aggressore locale senza privilegi può usare questo difetto per scrivere pagine nella cache della pagina supportate da file di sola lettura e aumentare i propri privilegi. |
Alta |
GKE su Azure
Descrizione | Gravità |
---|---|
Nel kernel Linux versione 5.8 e successive è stata scoperta una vulnerabilità di sicurezza, CVE-2022-0847, che può potenzialmente aumentare i privilegi alla radice. Questa vulnerabilità interessa i cluster gestiti di GKE su Azure v1.21 che utilizzano Ubuntu. Che cosa devo fare?Le versioni delle immagini dei nodi Linux per le seguenti versioni di GKE su Azure sono state aggiornate con il codice per correggere questa vulnerabilità. Ti consigliamo di eseguire l'upgrade dei cluster utente e del pool di nodi alla versione seguente:
Quali vulnerabilità vengono affrontate da questa patch?CVE-2022-0847 si riferisce al flag PIPE_BUF_FLAG_CAN_MERGE che è stato introdotto nella versione 5.8 del kernel Linux. In questa vulnerabilità, il membro "flags" della nuova struttura del buffer del pipe non era stato inizializzato correttamente nel kernel Linux. Un aggressore locale senza privilegi può usare questo difetto per scrivere pagine nella cache della pagina supportate da file di sola lettura e aumentare i propri privilegi. |
Alta |
Google Distributed Cloud Virtual for Bare Metal
Descrizione | Gravità |
---|---|
Nel kernel Linux versione 5.8 e successive è stata scoperta una vulnerabilità di sicurezza, CVE-2022-0847, che può potenzialmente aumentare i privilegi alla radice. Che cosa devo fare?Non è richiesta alcuna azione da parte tua. Google Distributed Cloud Virtual for Bare Metal non è interessato da questo CVE, in quanto non include Linux nel suo pacchetto. Devi assicurarti che le immagini dei nodi che utilizzi vengano aggiornate alle versioni contenenti la correzione per CVE-2022-0847. |
Alta |
GCP-2022-011
Pubblicato il 22/03/2022
Ultimo aggiornamento: 11/08/2022
Aggiornamento dell'11/08/2022 : sono stati aggiunti ulteriori dettagli sugli effetti dell'errata configurazione di SMT.
GKE
Descrizione | Gravità |
---|---|
Aggiornamento 11/08/2022: sono state aggiunte ulteriori informazioni sulla configurazione SMT (Simultaneous Multi-Threading). SMT era destinato a essere disabilitato, ma è stato abilitato nelle versioni elencate. Se hai abilitato manualmente SMT per un pool di nodi con sandbox, SMT rimarrà abilitato manualmente nonostante il problema. Nelle immagini GKE Sandbox è presente un errore di configurazione con il multi-Threading simultaneo (SMT), noto anche come hyperthreading. L'errata configurazione lascia i nodi potenzialmente esposti ad attacchi a canale laterale come Microarchitectural Data Sampling (MDS) (per ulteriori informazioni, consulta la documentazione di GKE Sandbox). Sconsigliamo di utilizzare le seguenti versioni interessate:
Se hai abilitato manualmente SMT per un pool di nodi, questo problema non interessa i nodi sottoposti a sandbox. Che cosa devo fare?Esegui l'upgrade dei nodi a una delle seguenti versioni:
Quale vulnerabilità viene affrontata da questa patch?SMT è disabilitato per impostazione predefinita nei nodi GKE Sandbox, in modo da mitigare gli attacchi a canale laterale. |
Medio |
GCP-2022-009
Pubblicato il 01/03/2022
Ultimo aggiornamento: 15/03/2022
GKE
Descrizione | Gravità |
---|---|
Aggiornamento 15/03/2022: sono state aggiunte guide alla protezione avanzata per GKE su AWS e GKE su Azure. È stata aggiunta una sezione sulla persistenza che utilizza i webhook. Potrebbero essere stati utilizzati alcuni percorsi imprevisti per accedere alla VM nodo nei cluster GKE Autopilot per riassegnare i privilegi nel cluster. Questi problemi sono stati risolti e non sono necessarie ulteriori azioni. Le correzioni risolvono i problemi segnalati tramite il nostro Vulnerability Reward Program. Gli utenti dei cluster GKE Standard e GKE possono facoltativamente applicare un criterio di protezione simile descritto di seguito. Dettagli tecniciAccesso host tramite esenzioni dei criteri di terze partiPer consentire a Google Cloud di offrire la gestione completa dei nodi e uno SLA (accordo sul livello del servizio) a livello di pod, GKE Autopilot limita alcune primitive Kubernetes con privilegi elevati per limitare i carichi di lavoro in modo che non abbiano un accesso di basso livello alla VM del nodo. Per farlo nel contesto: GKE Standard offre accesso completo al computing sottostante, Autopilot presenta un accesso limitato e Cloud Run non offre alcun accesso. Autopilot allenta alcune di queste restrizioni per un elenco predefinito di strumenti di terze parti per consentire ai clienti di eseguire questi strumenti su Autopilot senza apportare modifiche. Utilizzando i privilegi per creare pod con montaggi di percorsi host, il ricercatore è stato in grado di eseguire un container con privilegi in un pod simile a uno di questi strumenti di terze parti consentiti per ottenere l'accesso all'host. La possibilità di pianificare i pod in questo modo è prevista su GKE Standard, ma non su GKE Autopilot, in quanto ha ignorato le restrizioni dell'accesso all'host utilizzate per abilitare lo SLA (accordo sul livello del servizio) descritte in precedenza. Il problema è stato risolto stringendo la specifica dei pod di terze parti per la lista consentita. Escalation dei privilegi da root-on-nodeOltre all'accesso all'host, i pod Abbiamo deprecato e rimosso Come misura di protezione del sistema per prevenire questo tipo di attacco in futuro, applicheremo un vincolo Autopilot in una release futura che impedisce gli aggiornamenti all'account di servizio di vari oggetti nello spazio dei nomi
Addition 15/03/2022: persistenza con webhook mutantiNel report sono stati utilizzati webhook con mutazione per stabilire un punto d'appoggio privilegiato nel cluster dopo la compromissione. Si tratta di parti standard dell'API Kubernetes create dagli amministratori del cluster e sono state rese visibili agli amministratori quando Autopilot ha aggiunto il supporto per i webhook definiti dal cliente. Account di servizio con privilegi nello spazio dei nomi predefinitoI criteri di applicazione forzata di Autopilot hanno inserito in precedenza nella lista consentita due account di servizio nello spazio dei nomi predefinito: Che cosa devo fare?I criteri di tutti i cluster GKE Autopilot sono stati aggiornati in modo da rimuovere l'accesso indesiderato all'host e non sono necessarie ulteriori azioni. Nelle prossime settimane verrà applicato un ulteriore rafforzamento dei criteri ad Autopilot come protezione secondaria. Non è richiesta alcuna azione da parte tua. I cluster GKE Standard e i cluster GKE non sono interessati in quanto gli utenti hanno già accesso all'host. Come misura di protezione del sistema, gli utenti dei cluster GKE Standard e dei cluster GKE possono applicare una protezione simile con un criterio di Gatekeeper che impedisce l'automodifica dei carichi di lavoro con privilegi. Per istruzioni, consulta le seguenti guide di protezione:
|
Basso |
GCP-2022-008
CVE2-23-02-2022
Aggiornamento: 2022-04-28
Riferimento:
CVE-2022-23606,
CVE-2022-21655,
CVE-2021-43826,
CVE-2021-11382
CVE-2021-43824CVE-2022-21654CVE-2022-21657CVE-2022-21656
GKE
Descrizione | Gravità |
---|---|
Il progetto Envoy ha scoperto di recente un insieme di vulnerabilità, CVE-2022-23606,
CVE-2022-21655,
CVE-2021-43826,
CVE-2021-43825,
CVE-2021-43824,
{10-CVE12-16CVE-2022-21654CVE-2022-21657CVE-2022-21656 Tutti i problemi elencati di seguito sono stati risolti nella release 1.21.1 di Envoy. Informazioni tecniche Ulteriori dettagli su queste vulnerabilità sono disponibili qui. Che cosa devo fare?I cluster GKE che eseguono Anthos Service Mesh devono eseguire l'upgrade a una versione supportata con la correzione delle vulnerabilità indicate sopra
I cluster GKE che eseguono Istio-on-GKE devono eseguire l'upgrade a una versione supportata con correzione delle vulnerabilità riportate sopra
Quali vulnerabilità vengono affrontate da questa patch?CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-12}216 51}21.15CVE-2022-21657CVE-2022-21656 |
Alta |
GKE su VMware
Ultimo aggiornamento: 28/04/2022
Descrizione | Gravità |
---|---|
Envoy ha recentemente rilasciato diverse correzioni di vulnerabilità della sicurezza. GKE on VMware è interessato perché Envoy viene utilizzato con Metrics-Server. I
CVE di Envoy che stiamo correggendo sono elencati di seguito. Aggiorneremo questo bollettino con versioni specifiche non appena saranno disponibili:
Istio ha rilasciato di recente una correzione della vulnerabilità di sicurezza. Anthos on VMware è interessato perché viene utilizzato Istio per il traffico in entrata. I CVE Istio che stiamo correggendo sono elencati di seguito. Aggiorneremo questo bollettino con versioni specifiche non appena saranno disponibili: CVE-2022-23635 (CVSS score 7.5, High): Istiod si arresta in modo anomalo dopo aver ricevuto richieste con un'intestazione "Autorizzazione" appositamente creata.Per le descrizioni complete e l'impatto dei CVE precedenti, consulta i bollettini sulla sicurezza. 28/04/2022 Aggiunta: Cosa devo fare?Le seguenti versioni di GKE on VMware risolvono queste vulnerabilità:
Quali vulnerabilità vengono affrontate da questa patch?CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-12}216 51}21.15CVE-2022-21657CVE-2022-21656 |
Alta |
Google Distributed Cloud Virtual for Bare Metal
Descrizione | Gravità |
---|---|
Envoy ha recentemente rilasciato diverse correzioni di vulnerabilità della sicurezza. Anthos
on Bare Metal è influenzato perché viene utilizzato Envoy per il server delle metriche.
Di seguito sono elencati gli CVE di Envoy che stiamo correggendo nelle release 1.10.3, 1.9.6 e 1.8.9:
Per le descrizioni complete e l'impatto delle CVE precedenti, consulta i bollettini sulla sicurezza. Quali vulnerabilità vengono affrontate da questa patch?CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-12}216 51}21.15CVE-2022-21657CVE-2022-21656 |
Alta |
GCP-2022-006
Data di pubblicazione: 14/02/2022
Ultimo aggiornamento: 16/05/2022
Aggiornamento del 16/05/2022: è stata aggiunta la versione 1.19.16-gke.7800 o successive di GKE all'elenco delle versioni con codice per correggere questa vulnerabilità.
Aggiornamento del 12/05/2022: versioni patch aggiornate per GKE,
Google Distributed Cloud Virtual for Bare Metal, GKE on VMware e GKE on AWS.
Risolto un problema per cui il bollettino sulla sicurezza per GKE su AWS non veniva
visualizzato quando è stato aggiunto il 23/02/2022.
GKE
Descrizione | Gravità |
---|---|
È stata scoperta una vulnerabilità di sicurezza, CVE-2022-0492, nella funzione Che cosa devo fare?Aggiornamento del 16/05/2022: oltre alle versioni di GKE menzionate nell'aggiornamento del 12/05/2022, la versione GKE 1.19.16-gke.7800 o successive contiene anche codice che corregge questa vulnerabilità. Aggiornamento 12/05/2022: le seguenti versioni di GKE contengono codice che corregge questa vulnerabilità:
Aggiornamento 15/02/2022: dichiarazione gVisor corretta. La vulnerabilità si trova nella funzione
Le patch saranno disponibili in una release futura. Questo bollettino verrà aggiornato non appena sarà disponibile. Quale vulnerabilità viene affrontata da questa patch?CVE-2022-0492 |
Basso |
dei cluster GKE
Descrizione | Gravità |
---|---|
È stata scoperta una vulnerabilità di sicurezza, CVE-2022-0492, nella funzione Che cosa devo fare?Aggiornamento 12/05/2022: le seguenti versioni di GKE on VMware contengono codice che corregge questa vulnerabilità. COS
La vulnerabilità si trova nella funzione cgroup_release_agent_write del kernel Linux nella funzione kernel/cgroup/cgroup-v1.c e può essere utilizzata come container breakout. GKE on VMware non è interessato a causa della protezione del profilo AppArmor predefinito su Ubuntu e COS. Tuttavia, alcuni clienti potrebbero comunque essere vulnerabili se hanno allentato le limitazioni di sicurezza sui pod tramite la modifica del campo securityContext del pod o container, ad esempio disattivando/modificando il profilo AppArmor, cosa non consigliata. Le patch saranno disponibili in una release futura. Questo bollettino verrà aggiornato non appena sarà disponibile. Quale vulnerabilità viene affrontata da questa patch?CVE-2022-0492 |
Basso |
GKE su AWS
Descrizione | Gravità |
---|---|
È stata scoperta una vulnerabilità di sicurezza, CVE-2022-0492, nella funzione Che cosa devo fare?Aggiornamento 12/05/2022: le seguenti versioni di GKE attuale e precedente su AWS contengono codice che corregge questa vulnerabilità: Generazione attuale
Aggiornamento 23/02/2022: è stata aggiunta una nota per GKE su AWS. Le generazioni precedenti e attuali di GKE su AWS non sono interessate a causa della protezione del profilo AppArmor predefinito su Ubuntu. Tuttavia, alcuni clienti potrebbero comunque essere vulnerabili se hanno allentato le limitazioni di sicurezza sui pod tramite la modifica del campo securityContext del pod o del container, ad esempio disattivando/modificando il profilo AppArmor, opzione sconsigliata. Le patch saranno disponibili in una release futura. Questo bollettino verrà aggiornato non appena sarà disponibile. Quale vulnerabilità viene affrontata da questa patch?CVE-2022-0492 |
Basso |
GKE Enterprise
Descrizione | Gravità |
---|---|
È stata scoperta una vulnerabilità di sicurezza, CVE-2022-0492, nella funzione Che cosa devo fare?Aggiornamento 12/05/2022: le seguenti versioni di GKE su Azure contengono codice che corregge questa vulnerabilità:
GKE su Azure non è interessato a causa della protezione del profilo AppArmor predefinito su Ubuntu. Tuttavia, alcuni clienti potrebbero comunque essere vulnerabili se hanno allentato le limitazioni di sicurezza sui pod tramite la modifica del campo securityContext del pod o del container, ad esempio disattivando/modificando il profilo AppArmor, opzione sconsigliata. Le patch saranno disponibili in una release futura. Questo bollettino verrà aggiornato non appena sarà disponibile. Quale vulnerabilità viene affrontata da questa patch?CVE-2022-0492 |
Basso |
GCP-2022-005
Data di pubblicazione: 11/02/2022Ultimo aggiornamento: 15/02/2022
Riferimento: CVE-2021-43527
GKE
Descrizione | Gravità |
---|---|
Aggiornamento 15/02/2022: alcune versioni di GKE menzionate nel bollettino originale sono state combinate con altre correzioni e i relativi numeri di versione sono stati incrementati prima del rilascio. Le patch sono disponibili nelle seguenti versioni di GKE:
È stata scoperta una vulnerabilità di sicurezza, CVE-2021-43527, in tutti i file binari che rimandano alle versioni vulnerabili di libnss3 presenti nelle versioni NSS (Network Security Services) precedenti alla 3.73 o alla 3.68.1. Potrebbero essere interessate le applicazioni che utilizzano NSS per la convalida dei certificati o altre funzionalità TLS, X.509, OCSP o CRL, a seconda di come viene utilizzato/configurato NSS. Per entrambe le immagini GKE COS e Ubuntu è installata una versione vulnerabile a cui è necessario applicare la patch. Potenzialmente, CVE-2021-43527 può avere un ampio impatto su tutte le applicazioni che utilizzano NSS per la gestione delle firme codificate all'interno di CMS, S/MIME, PKCS#7 o PKCS#12. Potrebbero essere interessate anche le applicazioni che utilizzano NSS per la convalida dei certificati o altre funzionalità TLS, X.509, OCSP o CRL. L'impatto dipende da come viene utilizzato/configurato NSS. GKE non utilizza libnss3 per alcuna API accessibile da internet. L'impatto è limitato al codice sull'host eseguito all'esterno dei container, il che è ridotto a causa della progettazione minima di ChromeOS. Il codice GKE in esecuzione all'interno di container utilizzando l'immagine di base golang distroless non è interessato. Che cosa devo fare?Le versioni delle immagini dei nodi Linux per le seguenti versioni di GKE sono state aggiornate con il codice per correggere queste vulnerabilità. Esegui l'upgrade del piano di controllo e dei nodi a una delle seguenti versioni GKE:
Quale vulnerabilità viene affrontata da questa patch? |
Medio |
dei cluster GKE
Descrizione | Gravità |
---|---|
È stata scoperta una vulnerabilità di sicurezza, CVE-2021-43527, in tutti i file binari che rimandano alle versioni vulnerabili di libnss3 presenti nelle versioni NSS (Network Security Services) precedenti alla 3.73 o alla 3.68.1. Potrebbero essere interessate le applicazioni che utilizzano NSS per la convalida dei certificati o altre funzionalità TLS, X.509, OCSP o CRL, a seconda di come configurano NSS. Sia le immagini GKE on VMware COS che Ubuntu hanno una versione vulnerabile installata a cui è necessario applicare la patch. Potenzialmente, CVE-2021-43527 può avere un ampio impatto sulle applicazioni che utilizzano NSS per la gestione delle firme codificate all'interno di CMS, S/MIME, PKCS \#7 o PKCS \#12. Potrebbero essere interessate anche le applicazioni che utilizzano NSS per la convalida dei certificati o altre funzionalità TLS, X.509, OCSP o CRL. L'impatto dipende dal modo in cui viene configurato/utilizzato NSS. Anthos su VMware non utilizza libnss3 per le API accessibili pubblicamente, pertanto l'impatto è limitato e la gravità di questo CVE per GKE on VMware è classificata come Media. Che cosa devo fare?Le versioni delle immagini dei nodi Linux per le seguenti versioni di Anthos sono state aggiornate con il codice per correggere queste vulnerabilità. Esegui l'upgrade del piano di controllo e dei nodi a una delle seguenti versioni di Anthos:
Stai utilizzando una versione di GKE on VMware precedente alla 1.18? Stai utilizzando una versione di Anthos fuori dallo SLA (accordo sul livello del servizio) e dovresti eseguire l'upgrade a una delle versioni supportate. Quale vulnerabilità viene affrontata da questa patch? |
Medio |
GKE Enterprise
Descrizione | Gravità |
---|---|
È stata scoperta una vulnerabilità di sicurezza, CVE-2021-43527, in tutti i file binari che rimandano alle versioni vulnerabili di libnss3 presenti nelle versioni NSS (Network Security Services) precedenti alla 3.73 o alla 3.68.1. Potrebbero essere interessate le applicazioni che utilizzano NSS per la convalida dei certificati o altre funzionalità TLS, X.509, OCSP o CRL, a seconda di come viene utilizzato/configurato NSS. I cluster Anthos su immagini Azure Ubuntu hanno una versione vulnerabile installata e deve essere applicata la patch. Potenzialmente, CVE-2021-43527 può avere un ampio impatto sulle applicazioni che utilizzano NSS per gestire le firme codificate all'interno di CMS, S/MIME, PKCS#7 o PKCS#12. Potrebbero essere interessate anche le applicazioni che utilizzano NSS per la convalida dei certificati o altre funzionalità TLS, X.509, OCSP o CRL. L'impatto dipende dal modo in cui viene configurato/utilizzato NSS. I cluster Anthos on Azure non utilizzano libnss3 per nessuna delle API accessibili pubblicamente, pertanto l'impatto è limitato e la gravità di questo CVE per Anthos on Azure è valutata come media. Che cosa devo fare?Le versioni delle immagini dei nodi Linux per le seguenti versioni di GKE su Azure sono state aggiornate con il codice per correggere queste vulnerabilità. Esegui l'upgrade dei cluster a una delle seguenti versioni di Anthos on Azure:
Quale vulnerabilità viene affrontata da questa patch? |
Medio |
GCP-2022-004
Data di pubblicazione: 04-02-2022Riferimento: CVE-2021-4034
GKE
Descrizione | Gravità |
---|---|
In pkexec, una parte del pacchetto Linux Policy Kit (polkit), è stata scoperta una vulnerabilità di sicurezza CVE-2021-4034, che consente a un utente autenticato di eseguire un attacco di escalation dei privilegi. PolicyKit viene generalmente utilizzato solo sui sistemi desktop Linux per consentire agli utenti non root di eseguire azioni come riavviare il sistema, installare pacchetti, riavviare servizi e così via, come regolato da un criterio. Che cosa devo fare?GKE non è interessato perché il modulo vulnerabile Policykit-1 non è installato sulle immagini COS o Ubuntu utilizzate in GKE. Non è richiesta alcuna azione da parte tua. |
Nessuna |
dei cluster GKE
Descrizione | Gravità |
---|---|
In pkexec, una parte del pacchetto Linux Policy Kit (polkit), è stata scoperta una vulnerabilità di sicurezza CVE-2021-4034, che consente a un utente autenticato di eseguire un attacco di escalation dei privilegi. PolicyKit viene generalmente utilizzato solo sui sistemi desktop Linux per consentire agli utenti non root di eseguire azioni come riavviare il sistema, installare pacchetti, riavviare servizi e così via, come regolato da un criterio. La configurazione predefinita di GKE Enterprise fornisce già agli utenti privilegi "sudo" completi, quindi questo exploit non modifica la strategia di sicurezza esistente di GKE Enterprise Dettagli tecniciAffinché questo bug sia sfruttabile, un aggressore ha bisogno sia di una shell non root sul file system del nodo sia di una versione vulnerabile di pkexec installata. Sebbene GKE on VMware includa una versione di policykit-1 nelle sue immagini di rilascio, la configurazione predefinita di GKE Enterprise consente sudo senza password a chiunque abbia già accesso alla shell, quindi questa vulnerabilità non concede all'utente ulteriori privilegi di quelli di cui dispone già. Che cosa devo fare?Non è richiesto alcun intervento da parte tua. GKE on VMware non è interessato. |
Nessuna |
dei cluster GKE
Descrizione | Gravità |
---|---|
GKE su AWS non è interessato. Il modulo vulnerabile policykit-1 non è installato sulle immagini Ubuntu utilizzate dalle versioni attuali e precedenti di GKE su AWS. | Nessuna |
GKE Enterprise
Descrizione | Gravità |
---|---|
In pkexec, una parte del pacchetto Linux Policy Kit (polkit), è stata scoperta una vulnerabilità di sicurezza CVE-2021-4034, che consente a un utente autenticato di eseguire un attacco di escalation dei privilegi. PolicyKit viene generalmente utilizzato solo sui sistemi desktop Linux per consentire agli utenti non root di eseguire azioni come riavviare il sistema, installare pacchetti, riavviare servizi e così via, come regolato da un criterio. La configurazione predefinita di GKE Enterprise fornisce già agli utenti privilegi "sudo" completi, quindi questo exploit non modifica la strategia di sicurezza esistente di GKE Enterprise Dettagli tecniciAffinché questo bug sia sfruttabile, un aggressore ha bisogno sia di una shell non root sul file system del nodo sia di una versione vulnerabile di pkexec installata. Sebbene GKE su Azure includa una versione di policykit-1 nelle sue immagini di rilascio, la configurazione predefinita di GKE Enterprise consente sudo senza password a chiunque abbia già accesso alla shell, quindi questa vulnerabilità non concede all'utente ulteriori privilegi di quelli di cui dispone già. Che cosa devo fare?Non è richiesto alcun intervento da parte tua. GKE su Azure non è interessato. |
Nessuna |
dei cluster GKE
Descrizione | Gravità |
---|---|
L'impatto su Google Distributed Cloud Virtual for Bare Metal dipende dai pacchetti installati nel sistema operativo gestito dal cliente. Esegui la scansione delle immagini del sistema operativo e, se necessario, applica le patch. | Nessuna |
GCP-2022-002
Pubblicato il: 01/02/2022Ultimo aggiornamento: 07/03/2022
Riferimento: CVE-2021-4154, CVE-2021-22600, CVE-2022-0185
Aggiornamento 2022-02-04 su GKE: aggiunta delle sezioni di AWS e GKE. Aggiunti aggiornamenti dell'implementazione per GKE e GKE su VMware.
GKE
Ultimo aggiornamento: 07/03/2022
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte tre vulnerabilità di sicurezza, CVE-2021-4154, CVE-2021-22600 e CVE-2022-0185, ognuna delle quali può portare a una container breakout, un'escalation dei privilegi sull'host o entrambe le cose. Queste vulnerabilità interessano tutti i sistemi operativi dei nodi (COS e Ubuntu) su GKE, GKE su VMware, GKE su AWS (generazione attuale e precedente) e GKE su Azure. I pod che utilizzano GKE Sandbox non sono vulnerabili a queste vulnerabilità. Per ulteriori dettagli, consulta le note di rilascio di COS. Dettagli tecniciIn CVE-2021-4154, un utente malintenzionato può sfruttare il parametro di chiamata di sistema CVE-2021-22600 è un doppio exploit gratuito in package_set_ring che può portare a un escape container nel nodo host. Con CVE-2022-0185, un bug di overflow dell'heap in legacy_parse_param() può portare a una scrittura fuori dai limiti che causerà una container breakout. Il percorso di sfruttamento per questa vulnerabilità che si basa sulla chiamata di sistema "unshare" è bloccato sui cluster GKE Autopilot per impostazione predefinita utilizzando il filtro seccomp. Sono protetti anche gli utenti che hanno abilitato manualmente il profilo seccomp di runtime del container predefinito sui cluster GKE Standard. Che cosa devo fare?Aggiornamento 07/03/2022: le versioni delle immagini dei nodi Linux per le seguenti versioni di GKE sono state aggiornate con il codice per correggere tutte queste vulnerabilità sia per le immagini Ubuntu che per quelle COS. Esegui l'upgrade del piano di controllo e dei nodi a una delle seguenti versioni GKE.
Aggiornamento del 25/02/2022: se utilizzi immagini dei nodi Ubuntu, 1.22.6-gke.1000 non gestisce CVE-2021-22600. Aggiorneremo questo bollettino con le versioni delle patch di Ubuntu quando saranno disponibili. Aggiornamento 23/02/2022: le versioni delle immagini dei nodi Linux per le seguenti versioni di GKE sono state aggiornate con il codice per correggere queste vulnerabilità. Esegui l'upgrade dei cluster a una delle seguenti versioni di GKE.
Aggiornamento 04/02/2022: la data di inizio del lancio delle versioni delle patch di GKE era il 2 febbraio. Le versioni delle immagini dei nodi Linux per le seguenti versioni di GKE sono state aggiornate con il codice per correggere queste vulnerabilità. Esegui l'upgrade dei cluster a una delle seguenti versioni di GKE.
Sono in corso anche le versioni 1.22 e 1.23. Aggiorneremo questo bollettino con versioni specifiche non appena saranno disponibili. Quale vulnerabilità viene affrontata da questa patch? |
Alta |
dei cluster GKE
Ultimo aggiornamento: 23/02/2022
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte tre vulnerabilità di sicurezza, CVE-2021-4154, CVE-2021-22600 e CVE-2022-0185, ognuna delle quali può portare a una container breakout, un'escalation dei privilegi sull'host o entrambe le cose. Queste vulnerabilità interessano tutti i sistemi operativi dei nodi (COS e Ubuntu) su GKE, GKE su VMware, GKE su AWS (generazione attuale e precedente) e GKE su Azure. Per ulteriori dettagli, consulta le note di rilascio di COS. Dettagli tecniciIn CVE-2021-4154, un utente malintenzionato può sfruttare il parametro di chiamata di sistema CVE-2021-22600 è un doppio exploit gratuito in package_set_ring che può portare a un escape container nel nodo host. Con CVE-2022-0185, un bug di overflow dell'heap in legacy_parse_param() può portare a una scrittura fuori dai limiti che causerà una container breakout. Sono protetti anche gli utenti che hanno abilitato manualmente il profilo seccomp di runtime del container predefinito sui cluster GKE Standard. Che cosa devo fare?Aggiornamento del 23/02/2022: la versione 1.10.2 (Correzioni CVE-2021-22600, CVE-2021-4154 e CVE-2022-0185) è ora programmata per il 1° marzo. Aggiornamento 23/02/2022: sono state aggiunte versioni con patch che interessano CVE-2021-2260. La versione 1.10.1 non risolve CVE-2021-22600, ma affronta le altre vulnerabilità. Le versioni 1.9.4 e 1.10.2, entrambe non ancora rilasciate, riguarderanno CVE-2021-22600. Le versioni delle immagini dei nodi Linux per le seguenti versioni di GKE on VMware sono state aggiornate con il codice per correggere queste vulnerabilità. Esegui l'upgrade dei cluster a una delle seguenti versioni di GKE on VMware:
Aggiornamento 04/02/2022: sono state aggiunte informazioni sulle immagini Ubuntu che non riguardano CVE-2021-22600. Le versioni delle immagini dei nodi Linux per le seguenti versioni di GKE on VMware sono state aggiornate con il codice per correggere queste vulnerabilità. Esegui l'upgrade dei cluster a una delle seguenti versioni di GKE on VMware:
Quale vulnerabilità viene affrontata da questa patch? |
Alta |
dei cluster GKE
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte tre vulnerabilità di sicurezza, CVE-2021-4154, CVE-2021-22600 e CVE-2022-0185, ognuna delle quali può portare a una container breakout, un'escalation dei privilegi sull'host o entrambe le cose. Queste vulnerabilità interessano tutti i sistemi operativi dei nodi (COS e Ubuntu) su GKE, GKE su VMware, GKE su AWS (generazione attuale e precedente) e GKE su Azure. Per ulteriori dettagli, consulta le note di rilascio di COS. Dettagli tecniciIn CVE-2021-4154, un utente malintenzionato può sfruttare il parametro di chiamata di sistema CVE-2021-22600 è un doppio exploit gratuito in package_set_ring che può portare a un escape container nel nodo host. Con CVE-2022-0185, un bug di overflow dell'heap in legacy_parse_param() può portare a una scrittura fuori dai limiti che causerà una container breakout. Sono protetti anche gli utenti che hanno abilitato manualmente il profilo seccomp di runtime del container predefinito sui cluster GKE Standard. Che cosa devo fare?GKE su AWSLe versioni delle immagini dei nodi Linux per le seguenti versioni di GKE su AWS sono state aggiornate con il codice per correggere queste vulnerabilità. Esegui l'upgrade dei cluster alla seguente versione GKE su AWS:
GKE su AWS (generazione precedente)Le versioni delle immagini dei nodi Linux per le seguenti versioni di GKE su AWS (generazione precedente) sono state aggiornate con codice per correggere queste vulnerabilità. Esegui l'upgrade dei cluster a una delle seguenti versioni di GKE su AWS (generazione precedente):
Quale vulnerabilità viene affrontata da questa patch? |
Alta |
GKE Enterprise
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte tre vulnerabilità di sicurezza, CVE-2021-4154, CVE-2021-22600 e CVE-2022-0185, ognuna delle quali può portare a una container breakout, un'escalation dei privilegi sull'host o entrambe le cose. Queste vulnerabilità interessano tutti i sistemi operativi dei nodi (COS e Ubuntu) su GKE, GKE su VMware, GKE su AWS (generazione attuale e precedente) e GKE su Azure. Per ulteriori dettagli, consulta le note di rilascio di COS. Dettagli tecniciIn CVE-2021-4154, un utente malintenzionato può sfruttare il parametro di chiamata di sistema CVE-2021-22600 è un doppio exploit gratuito in package_set_ring che può portare a un escape container nel nodo host. Con CVE-2022-0185, un bug di overflow dell'heap in legacy_parse_param() può portare a una scrittura fuori dai limiti che causerà una container breakout. Sono protetti anche gli utenti che hanno abilitato manualmente il profilo seccomp di runtime del container predefinito sui cluster GKE Standard. Che cosa devo fare?Le versioni delle immagini dei nodi Linux per le seguenti versioni di GKE su Azure sono state aggiornate con il codice per correggere queste vulnerabilità. Esegui l'upgrade dei cluster alla seguente versione di GKE su Azure:
Quale vulnerabilità viene affrontata da questa patch? |
Alta |
GCP-2021-024
Data di pubblicazione: 21-10-2021Riferimento: CVE-2021-25742
GKE
Descrizione | Gravità |
---|---|
È stato rilevato un problema di sicurezza nel controller ingress-nginx Kubernetes, CVE-2021-25742. Gli snippet personalizzati Ingress-nginx consentono di recuperare i token e i secret degli account di servizio ingress-nginx in tutti gli spazi dei nomi. Che cosa devo fare?Questo problema di sicurezza non interessa l'infrastruttura dei cluster GKE o l'infrastruttura dei cluster di qualsiasi ambiente GKE Enterprise. Se utilizzi ingress-nginx nei deployment dei carichi di lavoro, devi essere a conoscenza di questo problema di sicurezza. Per maggiori dettagli, consulta ingress-nginx numero 7837. |
Nessuna |
dei cluster GKE
Descrizione | Gravità |
---|---|
È stato rilevato un problema di sicurezza nel controller ingress-nginx Kubernetes, CVE-2021-25742. Gli snippet personalizzati Ingress-nginx consentono di recuperare i token e i secret degli account di servizio ingress-nginx in tutti gli spazi dei nomi. Che cosa devo fare?Questo problema di sicurezza non interessa l'infrastruttura dei cluster GKE o l'infrastruttura dei cluster di qualsiasi ambiente GKE Enterprise. Se utilizzi ingress-nginx nei deployment dei carichi di lavoro, devi essere a conoscenza di questo problema di sicurezza. Per maggiori dettagli, consulta ingress-nginx numero 7837. |
Nessuna |
dei cluster GKE
Descrizione | Gravità |
---|---|
È stato rilevato un problema di sicurezza nel controller ingress-nginx Kubernetes, CVE-2021-25742. Gli snippet personalizzati Ingress-nginx consentono di recuperare i token e i secret degli account di servizio ingress-nginx in tutti gli spazi dei nomi. Che cosa devo fare?Questo problema di sicurezza non interessa l'infrastruttura dei cluster GKE o l'infrastruttura dei cluster di qualsiasi ambiente GKE Enterprise. Se utilizzi ingress-nginx nei deployment dei carichi di lavoro, devi essere a conoscenza di questo problema di sicurezza. Per maggiori dettagli, consulta ingress-nginx numero 7837. |
Nessuna |
dei cluster GKE
Descrizione | Gravità |
---|---|
È stato rilevato un problema di sicurezza nel controller ingress-nginx Kubernetes, CVE-2021-25742. Gli snippet personalizzati Ingress-nginx consentono di recuperare i token e i secret degli account di servizio ingress-nginx in tutti gli spazi dei nomi. Che cosa devo fare?Questo problema di sicurezza non interessa l'infrastruttura dei cluster GKE o l'infrastruttura dei cluster di qualsiasi ambiente GKE Enterprise. Se utilizzi ingress-nginx nei deployment dei carichi di lavoro, devi essere a conoscenza di questo problema di sicurezza. Per maggiori dettagli, consulta ingress-nginx numero 7837. |
Nessuna |
GCP-2021-019
Pubblicato il 29/09/2021GKE
Descrizione | Gravità |
---|---|
Si è verificato un problema noto per cui l'aggiornamento di una risorsa Mi riguarda?Se kubectl get backendconfigs -A -o json | \ jq -r '.items[] | select(.spec.securityPolicy == {}) | .metadata | "\(.namespace)/\(.name)"'
Questo problema riguarda le seguenti versioni di GKE:
Se non configuri Google Cloud Armor nelle tue risorse Ingress tramite Che cosa devo fare?Esegui l'upgrade del piano di controllo GKE a una delle seguenti versioni aggiornate che
corregge questo problema e consente l'utilizzo sicuro di
Questo problema può essere evitato anche evitando il deployment di Per evitare questo problema, aggiorna Poiché Il seguente manifest di esempio descrive una risorsa apiVersion: cloud.google.com/v1 kind: BackendConfig metadata: name: my-backend-config spec: securityPolicy: name: "ca-how-to-security-policy" Se disponi di sistemi o strumenti CI/CD che aggiornano regolarmente le risorse |
Basso |
GCP-2021-022
Pubblicato il 23/09/2021dei cluster GKE
Descrizione | Gravità |
---|---|
È stata rilevata una vulnerabilità nel modulo LDAP GKE Enterprise Identity Service (AIS) di GKE on VMware versioni 1.8 e 1.8.1 in cui è prevedibile una chiave seed utilizzata per la generazione delle chiavi. Con questa vulnerabilità, un utente autenticato potrebbe aggiungere dichiarazioni arbitrarie e aumentare i privilegi a tempo indeterminato. Dettagli tecniciUna recente aggiunta al codice AIS crea chiavi simmetriche utilizzando il modulo Math/rand di golang, che non è adatto per codici sensibili alla sicurezza. Il modulo viene utilizzato in modo da generare una chiave prevedibile. Durante la verifica dell'identità, viene generata una chiave STS (Secure Token Service) che viene poi criptata con una chiave simmetrica semplice da ricavare. Che cosa devo fare?Questa vulnerabilità riguarda solo i clienti che utilizzano AIS in GKE on VMware versioni 1.8 e 1.8.1. Per gli utenti di GKE on VMware 1.8, esegui l'upgrade dei cluster alla versione seguente:
|
Alta |
GCP-2021-021
Data di pubblicazione: 22/09/2021Riferimento: CVE-2020-8561
GKE
Descrizione | Gravità |
---|---|
In Kubernetes è stata scoperta una vulnerabilità di sicurezza, CVE-2020-8561, che consente di creare determinati webhook per
reindirizzare le richieste Dettagli tecniciCon questa vulnerabilità, gli aggressori che controllano le risposte delle richieste Questo problema può essere mitigato modificando determinati parametri per il server API. Che cosa devo fare?Al momento non è richiesta alcuna azione. Le versioni attualmente disponibili di GKE e GKE Enterprise hanno implementato le seguenti mitigazioni che proteggono da questo tipo di attacco:
Quale vulnerabilità viene affrontata da questa patch?<pCVE-2020-8561 </p> |
Medio |
dei cluster GKE
Descrizione | Gravità |
---|---|
In Kubernetes è stata scoperta una vulnerabilità di sicurezza, CVE-2020-8561, che consente di creare determinati webhook per
reindirizzare le richieste Dettagli tecniciCon questa vulnerabilità, gli aggressori che controllano le risposte delle richieste Questo problema può essere mitigato modificando determinati parametri per il server API. Che cosa devo fare?Al momento non è richiesta alcuna azione. Le versioni attualmente disponibili di GKE e GKE Enterprise hanno implementato le seguenti mitigazioni che proteggono da questo tipo di attacco:
Quale vulnerabilità viene affrontata da questa patch?<pCVE-2020-8561 </p> |
Medio |
dei cluster GKE
Descrizione | Gravità |
---|---|
In Kubernetes è stata scoperta una vulnerabilità di sicurezza, CVE-2020-8561, che consente di creare determinati webhook per
reindirizzare le richieste Dettagli tecniciCon questa vulnerabilità, gli aggressori che controllano le risposte delle richieste Questo problema può essere mitigato modificando determinati parametri per il server API. Che cosa devo fare?Al momento non è richiesta alcuna azione. Le versioni attualmente disponibili di GKE e GKE Enterprise hanno implementato le seguenti mitigazioni che proteggono da questo tipo di attacco:
Quale vulnerabilità viene affrontata da questa patch?<pCVE-2020-8561 </p> |
Medio |
dei cluster GKE
Descrizione | Gravità |
---|---|
In Kubernetes è stata scoperta una vulnerabilità di sicurezza, CVE-2020-8561, che consente di creare determinati webhook per
reindirizzare le richieste Dettagli tecniciCon questa vulnerabilità, gli aggressori che controllano le risposte delle richieste Questo problema può essere mitigato modificando determinati parametri per il server API. Che cosa devo fare?Al momento non è richiesta alcuna azione. Le versioni attualmente disponibili di GKE e GKE Enterprise hanno implementato le seguenti mitigazioni che proteggono da questo tipo di attacco:
Quale vulnerabilità viene affrontata da questa patch?<pCVE-2020-8561 </p> |
Medio |
GCP-2021-018
Data di pubblicazione: 15/09/2021Ultimo aggiornamento: 24/09/2021
Riferimento: CVE-2021-25741
Aggiornamento 24/09/2021: bollettino GKE on Bare Metal aggiornato con ulteriori versioni con patch.
Aggiornamento 20/09/2021: bollettini aggiunti per GKE su Bare Metal
Aggiornamento del 16/09/2021: bollettini aggiunti per GKE su VMware
GKE
Descrizione | Gravità |
---|---|
È stato rilevato un problema di sicurezza in Kubernetes, CVE-2021-25741, in cui un utente potrebbe essere in grado di creare un container con montaggi di volume di percorsi secondari per accedere a file e directory al di fuori del volume, incluso sul file system host. Dettagli tecnici:In CVE-2021-25741, l'utente malintenzionato può creare un link simbolico da un emptyDir montato al file system radice del nodo ( / ), il kubelet seguirà il collegamento simbolico e monta la radice dell'host nel container.Che cosa devo fare?Ti consigliamo di eseguire l'upgrade dei tuoi pool di nodi a una delle versioni seguenti o successive per sfruttare le patch più recenti:
Anche le seguenti versioni contengono la correzione:
|
Alta |
dei cluster GKE
Descrizione | Gravità |
---|---|
È stato rilevato un problema di sicurezza in Kubernetes, CVE-2021-25741, in cui un utente potrebbe essere in grado di creare un container con montaggi di volume di percorsi secondari per accedere a file e directory al di fuori del volume, incluso sul file system host. Dettagli tecnici:In CVE-2021-25741, l'utente malintenzionato può creare un link simbolico da un emptyDir montato al file system radice del nodo ( / ), il kubelet seguirà il collegamento simbolico e monta la radice dell'host nel container.Che cosa devo fare?Aggiornamento del 24/09/2021: sono ora disponibili le versioni 1.8.3 e 1.7.4 con patch. Aggiornamento del 17/09/2021: è stato corretto l'elenco delle versioni disponibili che contengono la patch. Le seguenti versioni di GKE on VMware sono state aggiornate con codice per correggere questa vulnerabilità. Esegui l'upgrade dei cluster di amministrazione e dei cluster utente a una delle seguenti versioni:
|
Alta |
dei cluster GKE
Descrizione | Gravità |
---|---|
È stato rilevato un problema di sicurezza in Kubernetes, CVE-2021-25741, in cui un utente potrebbe essere in grado di creare un container con montaggi di volume di percorsi secondari per accedere a file e directory al di fuori del volume, incluso sul file system host. Dettagli tecnici:In CVE-2021-25741, l'utente malintenzionato può creare un link simbolico da un emptyDir montato al file system radice del nodo ( / ), il kubelet seguirà il collegamento simbolico e monta la radice dell'host nel container.Che cosa devo fare?Aggiornamento del 16/09/2021: è stato aggiunto un elenco di versioni gke supportate per gli oggetti Le seguenti versioni di GKE su AWS sono state aggiornate con il codice per correggere questa vulnerabilità. Ti consigliamo di:
|
Alta |
dei cluster GKE
Descrizione | Gravità |
---|---|
È stato rilevato un problema di sicurezza in Kubernetes, CVE-2021-25741, in cui un utente potrebbe essere in grado di creare un container con montaggi di volume di percorsi secondari per accedere a file e directory al di fuori del volume, incluso sul file system host. Dettagli tecnici:In CVE-2021-25741, l'utente malintenzionato può creare un link simbolico da un emptyDir montato al file system radice del nodo ( / ), il kubelet seguirà il collegamento simbolico e monta la radice dell'host nel container.Che cosa devo fare?Le seguenti versioni di GKE on Bare Metal sono state aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade dei cluster di amministrazione e dei cluster utente a una delle seguenti versioni:
|
Alta |
GCP-2021-017
Data di pubblicazione: 01/09/2021Ultimo aggiornamento: 23/09/2021
Riferimento: CVE-2021-33909
CVE-2021-33910
GKE
Descrizione | Gravità |
---|---|
aggiornamento 23-09-2021:I container in esecuzione all'interno di GKE Sandbox non sono interessati da questa vulnerabilità per gli attacchi che hanno origine all'interno del container. aggiornamento 2021-09-15:Le seguenti versioni di GKE risolvono le vulnerabilità:
Nel kernel di Linux sono state scoperte due vulnerabilità di sicurezza, CVE-2021-33909 e CVE-2021-33910, che possono causare un arresto anomalo del sistema operativo o un'escalation al rooting da parte di un utente senza privilegi. Questa vulnerabilità interessa tutti i sistemi operativi dei nodi GKE (COS e Ubuntu). Dettagli tecnici:In CVE-2021-33909, il livello di file system del kernel Linux non limita correttamente le allocazioni del buffer seq, causando un overflow di numeri interi, una scrittura fuori dai limiti e l'escalation a root. Che cosa devo fare?Le versioni delle immagini dei nodi Linux per le seguenti versioni di GKE sono state aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade dei cluster a una delle versioni seguenti:
|
Alta |
dei cluster GKE
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte due vulnerabilità di sicurezza, CVE-2021-33909 e CVE-2021-33910, che possono causare un arresto anomalo del sistema operativo o un'escalation al rooting da parte di un utente senza privilegi. Questa vulnerabilità interessa tutti i sistemi operativi dei nodi GKE (COS e Ubuntu). Dettagli tecnici:In CVE-2021-33909, il livello di file system del kernel Linux non limita correttamente le allocazioni del buffer seq, causando un overflow di numeri interi, una scrittura fuori dai limiti e l'escalation a root. Che cosa devo fare?Le versioni delle immagini dei nodi Linux per GKE su AWS sono state aggiornate con codice
per correggere questa vulnerabilità. Esegui l'upgrade dei cluster a una delle versioni seguenti:
|
Alta |
dei cluster GKE
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte due vulnerabilità di sicurezza, CVE-2021-33909 e CVE-2021-33910, che possono causare un arresto anomalo del sistema operativo o un'escalation al rooting da parte di un utente senza privilegi. Questa vulnerabilità interessa tutti i sistemi operativi dei nodi GKE (COS e Ubuntu). Dettagli tecnici:In CVE-2021-33909, il livello di file system del kernel Linux non limita correttamente le allocazioni del buffer seq, causando un overflow di numeri interi, una scrittura fuori dai limiti e l'escalation a root. Che cosa devo fare?Le versioni delle immagini dei nodi Linux e COS per GKE su VMware sono state aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade dei cluster a una delle versioni seguenti:
Vedi Cronologia delle versioni: Kubernetes e versioni del kernel dei nodi. |
Alta |
GCP-2021-015
Data di pubblicazione: 13/07/2021Ultimo aggiornamento: 15/07/2021
Riferimento: CVE-2021-22555
GKE
Descrizione | Gravità |
---|---|
È stata scoperta una nuova vulnerabilità di sicurezza, CVE-2021-22555,
in cui un utente malintenzionato con privilegi di Dettagli tecnici
In questo attacco, una scrittura fuori dai limiti in Che cosa devo fare?Le seguenti versioni di Linux su GKE sono state aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade dei cluster a una delle versioni seguenti:
Quale vulnerabilità viene affrontata da questa patch? |
Alta |
dei cluster GKE
Descrizione | Gravità |
---|---|
È stata scoperta una nuova vulnerabilità di sicurezza, CVE-2021-22555,
in cui un utente malintenzionato con privilegi di Dettagli tecnici
In questo attacco, una scrittura fuori dai limiti in Che cosa devo fare?Le seguenti versioni di Linux su GKE su VMware sono state aggiornate con codice per correggere questa vulnerabilità. Esegui l'upgrade dei cluster a una delle versioni seguenti:
Quale vulnerabilità viene affrontata da questa patch? |
Alta |
GCP-2021-014
Data di pubblicazione: 2021-07-05Riferimento: CVE-2021-34527
GKE
Descrizione | Gravità |
---|---|
Microsoft ha pubblicato un bollettino sulla sicurezza su una vulnerabilità RCE (Remote code Execution ), CVE-2021-34527, che interessa lo spooler di stampa nei server Windows. Il CERT Coordination Center (CERT/CC) ha pubblicato una nota di aggiornamento su una vulnerabilità correlata, denominata "PrintNightmare", che interessa anche gli spool di stampa di Windows - PrintNightmare, Vulnerabilità critica dello spooler di stampa di Windows Che cosa devo fare?Non è richiesto alcun intervento da parte tua. I nodi Windows di GKE non contengono il servizio Spooler interessato come parte dell'immagine di base, quindi i deployment GKE Windows non sono vulnerabili a questo attacco. Quali vulnerabilità vengono affrontate da questo bollettino?
|
Alta |
GCP-2021-012
Data di pubblicazione: 01/07/2021Ultimo aggiornamento: 09/07/2021
Riferimento: CVE-2021-34824
GKE
Descrizione | Gravità |
---|---|
Che cosa devo fare?Il progetto Istio disclosed di recente una nuova vulnerabilità di sicurezza (CVE-2021-34824) che interessa Istio. Istio contiene una vulnerabilità sfruttabile da remoto per cui è possibile accedere alle credenziali specificate nel campo Gateway eDestinationRule credentialsName da diversi spazi dei nomi. Dettagli tecnici:Il Gateway sicuro di Istio o i carichi di lavoro che utilizzano la regola di destinazione possono caricare chiavi private e certificati TLS da secret di Kubernetes tramite la configurazione di credentialName. A partire da Istio 1.8, i secret vengono letti da Istio e trasmessi a gateway e carichi di lavoro tramite XDS. Normalmente, un deployment di gateway o carico di lavoro è in grado di accedere solo ai certificati TLS e alle chiavi private archiviati nel secret all'interno del relativo spazio dei nomi. Tuttavia, un bug in istiod consente a un client autorizzato ad accedere all'API Istio XDS di recuperare qualsiasi certificato TLS e chiavi private memorizzate nella cache in istiod. Che cosa devo fare?I cluster GKE non eseguono Istio per impostazione predefinita e, se abilitato, utilizzano Istio versione 1.6, che non è vulnerabile a questo attacco. Se hai installato o eseguito l'upgrade di Istio sul cluster a Istio 1.8 o versioni successive, esegui l'upgrade di Istio all'ultima versione supportata. |
Alta |
dei cluster GKE
Descrizione | Gravità |
---|---|
Che cosa devo fare?Il progetto Istio disclosed di recente una nuova vulnerabilità di sicurezza (CVE-2021-34824) che interessa Istio. Istio contiene una vulnerabilità sfruttabile da remoto per cui è possibile accedere alle credenziali specificate nel campo Gateway eDestinationRule credentialsName da diversi spazi dei nomi. Dettagli tecnici:Il Gateway sicuro di Istio o i carichi di lavoro che utilizzano la regola di destinazione possono caricare chiavi private e certificati TLS da secret di Kubernetes tramite la configurazione di credentialName. A partire da Istio 1.8, i secret vengono letti da Istio e trasmessi a gateway e carichi di lavoro tramite XDS. Normalmente, un deployment di gateway o carico di lavoro è in grado di accedere solo ai certificati TLS e alle chiavi private archiviati nel secret all'interno del relativo spazio dei nomi. Tuttavia, un bug in istiod consente a un client autorizzato ad accedere all'API Istio XDS di recuperare qualsiasi certificato TLS e chiavi private memorizzate nella cache in istiod. Che cosa devo fare?I cluster Anthos su VMware v1.6 e v1.7 non sono vulnerabili a questo attacco. I cluster Anthos su VMware v1.8 sono vulnerabili. Se utilizzi Cluster Anthos su VMware v1.8, esegui l'upgrade alla seguente versione con patch o successiva:
|
Alta |
dei cluster GKE
Descrizione | Gravità |
---|---|
Che cosa devo fare?Il progetto Istio disclosed di recente una nuova vulnerabilità di sicurezza (CVE-2021-34824) che interessa Istio. Istio contiene una vulnerabilità sfruttabile da remoto per cui è possibile accedere alle credenziali specificate nel campo Gateway eDestinationRule credentialsName da diversi spazi dei nomi. Dettagli tecnici:Il Gateway sicuro di Istio o i carichi di lavoro che utilizzano la regola di destinazione possono caricare chiavi private e certificati TLS da secret di Kubernetes tramite la configurazione di credentialName. A partire da Istio 1.8, i secret vengono letti da Istio e trasmessi a gateway e carichi di lavoro tramite XDS. Normalmente, un deployment di gateway o carico di lavoro è in grado di accedere solo ai certificati TLS e alle chiavi private archiviati nel secret all'interno del relativo spazio dei nomi. Tuttavia, un bug in istiod consente a un client autorizzato ad accedere all'API Istio XDS di recuperare qualsiasi certificato TLS e chiavi private memorizzate nella cache in istiod. I cluster creati o aggiornati con Anthos clusters on bare metal v1.8.0 sono interessati da questo CVE. Che cosa devo fare?Anthos v1.6 e 1.7 non sono vulnerabili a questo attacco. Se disponi di cluster v1.8.0, scarica e installa la versione 1.8.1 di bmctl ed esegui l'upgrade dei cluster alla seguente versione con patch:
|
Alta |
GCP-2021-011
Data di pubblicazione: 04/06/2021Ultimo aggiornamento: 19/10/2021
Riferimento: CVE-2021-30465
Aggiornamento 19/10/2021: aggiunti bollettini per GKE on VMware, GKE on AWS e GKE on Bare Metal.
GKE
Descrizione | Gravità |
---|---|
La community per la sicurezza ha recentemente divulgato una nuova vulnerabilità di sicurezza
(CVE-2021-30465)
rilevata in Per GKE, poiché lo sfruttamento di questa vulnerabilità richiede la capacità di creare pod, abbiamo valutato la gravità di questa vulnerabilità come MEDIO. Dettagli tecnici
Il pacchetto Per questo attacco specifico, un utente può potenzialmente sfruttare una race condition avviando contemporaneamente più pod su un singolo nodo, tutti condividono lo stesso montaggio di volume con un collegamento simbolico. Se l'attacco ha esito positivo, uno dei pod monta il file system del nodo con le autorizzazioni root. Che cosa devo fare?È disponibile una patch di recente rilascio per Esegui l'upgrade del cluster GKE a una delle seguenti versioni aggiornate:
|
Medio |
dei cluster GKE
Descrizione | Gravità |
---|---|
La community per la sicurezza ha recentemente divulgato una nuova vulnerabilità di sicurezza
(CVE-2021-30465)
rilevata in Per GKE su VMware, poiché lo sfruttamento di questa vulnerabilità richiede la capacità di creare pod, abbiamo valutato la gravità di questa vulnerabilità come MEDIO. Dettagli tecnici
Il pacchetto Per questo attacco specifico, un utente può potenzialmente sfruttare una race condition avviando contemporaneamente più pod su un singolo nodo, tutti condividono lo stesso montaggio di volume con un collegamento simbolico. Se l'attacco ha esito positivo, uno dei pod monta il file system del nodo con le autorizzazioni root. Che cosa devo fare?Una patch appena rilasciata per
|
Medio |
dei cluster GKE
Descrizione | Gravità |
---|---|
La community per la sicurezza ha recentemente divulgato una nuova vulnerabilità di sicurezza
(CVE-2021-30465)
rilevata in Poiché questa è una vulnerabilità a livello di sistema operativo, GKE su AWS non è vulnerabile. Dettagli tecnici
Il pacchetto Per questo attacco specifico, un utente può potenzialmente sfruttare una race condition avviando contemporaneamente più pod su un singolo nodo, tutti condividono lo stesso montaggio di volume con un collegamento simbolico. Se l'attacco ha esito positivo, uno dei pod monta il file system del nodo con le autorizzazioni root. Che cosa devo fare?Assicurati di eseguire l'upgrade della versione del sistema operativo su cui esegui GKE su AWS all'ultima versione del sistema operativo con un pacchettorunc aggiornato.
|
Nessuna |
dei cluster GKE
Descrizione | Gravità |
---|---|
La community per la sicurezza ha recentemente divulgato una nuova vulnerabilità di sicurezza
(CVE-2021-30465)
rilevata in Poiché questa è una vulnerabilità a livello di sistema operativo, GKE on Bare Metal non è vulnerabile. Dettagli tecnici
Il pacchetto Per questo attacco specifico, un utente può potenzialmente sfruttare una race condition avviando contemporaneamente più pod su un singolo nodo, tutti condividono lo stesso montaggio di volume con un collegamento simbolico. Se l'attacco ha esito positivo, uno dei pod monta il file system del nodo con le autorizzazioni root. Che cosa devo fare?
Assicurati di eseguire l'upgrade della versione del sistema operativo su cui esegui Google Distributed Cloud Virtual for Bare Metal alla versione più recente del sistema operativo con un pacchetto |
Nessuna |
GCP-2021-006
Data di pubblicazione: 11/05/2021Riferimento: CVE-2021-31920
GKE
Descrizione | Gravità |
---|---|
Il progetto Istio disclosed di recente una nuova vulnerabilità di sicurezza (CVE-2021-31920) che interessa Istio. Istio contiene una vulnerabilità sfruttabile da remoto, per cui una richiesta HTTP con più barre o barre di escape può ignorare il criterio di autorizzazione Istio quando vengono utilizzate regole di autorizzazione basate su percorsi. Che cosa devo fare?Ti consigliamo vivamente di aggiornare e riconfigurare i cluster GKE. Tieni presente che è importante completare entrambi i passaggi riportati di seguito per risolvere correttamente la vulnerabilità:
|
Alta |
GCP-2021-004
Pubblicato: 2021-05-06Riferimento: CVE-2021-28683, CVE-2021-28682, CVE-2021-29258
GKE
Descrizione | Gravità |
---|---|
I progetti Envoy e Istio di recente hanno annunciato diverse nuove vulnerabilità di sicurezza (CVE-2021-28683, CVE-2021-28682 e CVE-2021-29258), che potrebbero consentire a un utente malintenzionato di arrestare Envoy. I cluster GKE non eseguono Istio per impostazione predefinita e non sono vulnerabili. Se Istio è stato installato in un cluster e configurato per esporre i servizi su internet, questi servizi potrebbero essere vulnerabili al denial of service. Che cosa devo fare?Per correggere queste vulnerabilità, esegui l'upgrade del piano di controllo GKE a una delle seguenti versioni con patch:
|
Medio |
dei cluster GKE
Descrizione | Gravità |
---|---|
I progetti Envoy e Istio di recente hanno annunciato diverse nuove vulnerabilità di sicurezza (CVE-2021-28683, CVE-2021-28682 e CVE-2021-29258), che potrebbero consentire a un utente malintenzionato di arrestare Envoy. GKE on VMware utilizza Envoy per impostazione predefinita per Ingress, quindi i servizi Ingress potrebbero essere vulnerabili al denial of service. Che cosa devo fare?Per correggere queste vulnerabilità, esegui l'upgrade di GKE on VMware a una delle seguenti versioni con patch al momento del rilascio:
|
Medio |
dei cluster GKE
Ultimo aggiornamento: 06/05/2021
Descrizione | Gravità |
---|---|
I progetti Envoy e Istio di recente hanno annunciato diverse nuove vulnerabilità di sicurezza (CVE-2021-28683, CVE-2021-28682 e CVE-2021-29258), che potrebbero consentire a un utente malintenzionato di arrestare Envoy. Google Distributed Cloud Virtual for Bare Metal utilizza Envoy per impostazione predefinita per Ingress, quindi i servizi Ingress potrebbero essere vulnerabili al denial of service. Che cosa devo fare?Per correggere queste vulnerabilità, esegui l'upgrade del cluster Google Distributed Cloud Virtual for Bare Metal a una delle seguenti versioni con patch al momento del rilascio:
|
Medio |
GCP-2021-003
Data di pubblicazione: 19-04-2021Riferimento: CVE-2021-25735
GKE
Descrizione | Gravità |
---|---|
Il progetto Kubernetes ha recentemente annunciato una nuova vulnerabilità di sicurezza, CVE-2021-25735, che potrebbe consentire agli aggiornamenti dei nodi di bypassare un webhook di convalida di ammissione. In uno scenario in cui un utente malintenzionato dispone di privilegi sufficienti e viene implementato un webhook di convalida di ammissione che utilizza proprietà dell'oggetto Che cosa devo fare?Per correggere questa vulnerabilità, esegui l'upgrade del cluster GKE a una delle seguenti versioni con patch:
|
Medio |
dei cluster GKE
Descrizione | Gravità |
---|---|
Il progetto Kubernetes ha recentemente annunciato una nuova vulnerabilità di sicurezza, CVE-2021-25735, che potrebbe consentire agli aggiornamenti dei nodi di bypassare un webhook di convalida di ammissione. In uno scenario in cui un utente malintenzionato dispone di privilegi sufficienti e viene implementato un webhook di convalida di ammissione che utilizza proprietà dell'oggetto Che cosa devo fare?Una versione patch imminente includerà una mitigazione per questa vulnerabilità. |
Medio |
dei cluster GKE
Descrizione | Gravità |
---|---|
Il progetto Kubernetes ha recentemente annunciato una nuova vulnerabilità di sicurezza, CVE-2021-25735, che potrebbe consentire agli aggiornamenti dei nodi di bypassare un webhook di convalida di ammissione. In uno scenario in cui un utente malintenzionato dispone di privilegi sufficienti e viene implementato un webhook di convalida di ammissione che utilizza proprietà dell'oggetto Che cosa devo fare?Una versione patch imminente includerà una mitigazione per questa vulnerabilità. |
Medio |
dei cluster GKE
Descrizione | Gravità |
---|---|
Il progetto Kubernetes ha recentemente annunciato una nuova vulnerabilità di sicurezza, CVE-2021-25735, che potrebbe consentire agli aggiornamenti dei nodi di bypassare un webhook di convalida di ammissione. In uno scenario in cui un utente malintenzionato dispone di privilegi sufficienti e viene implementato un webhook di convalida di ammissione che utilizza proprietà dell'oggetto Che cosa devo fare?Una versione patch imminente includerà una mitigazione per questa vulnerabilità. |
Medio |
GCP-2021-001
Data di pubblicazione: 28-01-2021Riferimento: CVE-2021-3156
GKE
Descrizione | Gravità |
---|---|
Di recente è stata scoperta una vulnerabilità nell'utilità Linux I cluster Google Kubernetes Engine (GKE) non sono interessati da questa vulnerabilità:
Che cosa devo fare?Poiché i cluster GKE non sono interessati da questa vulnerabilità, non sono necessarie ulteriori azioni. La patch per questa vulnerabilità verrà applicata a GKE in una prossima release a cadenza regolare. |
Nessuna |
dei cluster GKE
Descrizione | Gravità |
---|---|
Di recente è stata scoperta una vulnerabilità nell'utilità Linux GKE on VMware non è interessato da questa vulnerabilità:
Che cosa devo fare?Poiché i cluster GKE on VMware non sono interessati da questa vulnerabilità, non sono necessarie ulteriori azioni. Per GKE su VMware la patch per questa vulnerabilità verrà applicata in una prossima release a cadenza regolare. |
Nessuna |
dei cluster GKE
Descrizione | Gravità |
---|---|
Di recente è stata scoperta una vulnerabilità nell'utilità Linux GKE su AWS non è interessato da questa vulnerabilità:
Che cosa devo fare?Poiché GKE su cluster AWS non è interessato da questa vulnerabilità, non sono necessarie ulteriori azioni. La patch per questa vulnerabilità verrà applicata a GKE su AWS in una prossima release a cadenza regolare. |
Nessuna |
dei cluster GKE
Descrizione | Gravità |
---|---|
Di recente è stata scoperta una vulnerabilità nell'utilità Linux I cluster Google Distributed Cloud Virtual for Bare Metal non sono interessati da questa vulnerabilità:
Che cosa devo fare?Poiché i cluster Google Distributed Cloud Virtual for Bare Metal non sono interessati da questa vulnerabilità, non sono necessarie ulteriori azioni. La patch per questa vulnerabilità verrà applicata a Google Distributed Cloud Virtual for Bare Metal in una prossima release a cadenza regolare. |
Nessuna |
GCP-2020-015
Data di pubblicazione: 07/12/2020Ultimo aggiornamento: 22/12/2021
Riferimento: CVE-2020-8554
Aggiornamento del 22/12/2021: utilizza gcloud beta
anziché il
comando gcloud
.
Aggiornamento del 15/12/2021: aggiunta ulteriore mitigazione per GKE.
GKE
Descrizione | Gravità |
---|---|
Ultimo aggiornamento: 22/12/2021 Il comando per GKE nella sezione seguente dovrebbe utilizzare gcloud beta anziché il comando gcloud .
gcloud beta container clusters update –no-enable-service-externalips Ultimo aggiornamento: 15/12/2021 Per GKE, è ora disponibile la seguente mitigazione:
Per maggiori informazioni, consulta Rafforzamento della sicurezza del cluster. Il progetto Kubernetes ha recentemente scoperto una nuova vulnerabilità di sicurezza, CVE-2020-8554, che potrebbe consentire a un utente malintenzionato che ha ottenuto le autorizzazioni di creare un servizio Kubernetes di tipo LoadBalancer o ClusterIP di intercettare il traffico di rete proveniente da altri pod nel cluster. Questa vulnerabilità da sola non concede a un utente malintenzionato le autorizzazioni per creare un servizio Kubernetes. Tutti i cluster Google Kubernetes Engine (GKE) sono interessati da questa vulnerabilità. Che cosa devo fare?Per risolvere la vulnerabilità, Kubernetes potrebbe dover apportare modifiche alla progettazione incompatibili con le versioni precedenti in una versione futura. Se molti utenti condividono l'accesso al cluster con autorizzazioni per creare servizi, ad esempio in un cluster multi-tenant, valuta la possibilità di applicare una mitigazione nel frattempo. Per ora, l'approccio migliore per la mitigazione è limitare l'uso di ExternalIP in un cluster. Gli IP esterni non sono una funzionalità di uso comune. Limita l'utilizzo di ExternalIP in un cluster con uno dei seguenti metodi:
Come menzionato nell'annuncio di Kubernetes, non viene fornita alcuna mitigazione per i servizi di tipo LoadBalancer perché, per impostazione predefinita, solo agli utenti e ai componenti di sistema con privilegi elevati viene concessa l'autorizzazione |
Medio |
dei cluster GKE
Descrizione | Gravità |
---|---|
Ultimo aggiornamento: 22/12/2021 Il comando per GKE nella sezione seguente dovrebbe utilizzare gcloud beta anziché il comando gcloud .
gcloud beta container clusters update –no-enable-service-externalips Ultimo aggiornamento: 15/12/2021 Per GKE, è ora disponibile la seguente mitigazione:
Per maggiori informazioni, consulta Rafforzamento della sicurezza del cluster. Il progetto Kubernetes ha recentemente scoperto una nuova vulnerabilità di sicurezza, CVE-2020-8554, che potrebbe consentire a un utente malintenzionato che ha ottenuto le autorizzazioni di creare un servizio Kubernetes di tipo LoadBalancer o ClusterIP di intercettare il traffico di rete proveniente da altri pod nel cluster. Questa vulnerabilità da sola non concede a un utente malintenzionato le autorizzazioni per creare un servizio Kubernetes. Tutti i servizi GKE on VMware sono interessati da questa vulnerabilità. Che cosa devo fare?Per risolvere la vulnerabilità, Kubernetes potrebbe dover apportare modifiche alla progettazione incompatibili con le versioni precedenti in una versione futura. Se molti utenti condividono l'accesso al cluster con autorizzazioni per creare servizi, ad esempio in un cluster multi-tenant, valuta la possibilità di applicare una mitigazione nel frattempo. Per ora, l'approccio migliore per la mitigazione è limitare l'uso di ExternalIP in un cluster. Gli IP esterni non sono una funzionalità di uso comune. Limita l'utilizzo di ExternalIP in un cluster con uno dei seguenti metodi:
Come menzionato nell'annuncio di Kubernetes, non viene fornita alcuna mitigazione per i servizi di tipo LoadBalancer perché, per impostazione predefinita, solo agli utenti e ai componenti di sistema con privilegi elevati viene concessa l'autorizzazione |
Medio |
dei cluster GKE
Descrizione | Gravità |
---|---|
Ultimo aggiornamento: 22/12/2021 Il comando per GKE nella sezione seguente dovrebbe utilizzare gcloud beta anziché il comando gcloud .
gcloud beta container clusters update –no-enable-service-externalips Ultimo aggiornamento: 15/12/2021 Per GKE, è ora disponibile la seguente mitigazione:
Per maggiori informazioni, consulta Rafforzamento della sicurezza del cluster. Il progetto Kubernetes ha recentemente scoperto una nuova vulnerabilità di sicurezza, CVE-2020-8554, che potrebbe consentire a un utente malintenzionato che ha ottenuto le autorizzazioni di creare un servizio Kubernetes di tipo LoadBalancer o ClusterIP di intercettare il traffico di rete proveniente da altri pod nel cluster. Questa vulnerabilità da sola non concede a un utente malintenzionato le autorizzazioni per creare un servizio Kubernetes. Tutti i servizi GKE su AWS sono interessati da questa vulnerabilità. Che cosa devo fare?Per risolvere la vulnerabilità, Kubernetes potrebbe dover apportare modifiche alla progettazione incompatibili con le versioni precedenti in una versione futura. Se molti utenti condividono l'accesso al cluster con autorizzazioni per creare servizi, ad esempio in un cluster multi-tenant, valuta la possibilità di applicare una mitigazione nel frattempo. Per ora, l'approccio migliore per la mitigazione è limitare l'uso di ExternalIP in un cluster. Gli IP esterni non sono una funzionalità di uso comune. Limita l'utilizzo di ExternalIP in un cluster con uno dei seguenti metodi:
Come menzionato nell'annuncio di Kubernetes, non viene fornita alcuna mitigazione per i servizi di tipo LoadBalancer perché, per impostazione predefinita, solo agli utenti e ai componenti di sistema con privilegi elevati viene concessa l'autorizzazione |
Medio |
GCP-2020-014
Pubblicato: 20/10/2020Riferimento: CVE-2020-8563, CVE-2020-8564, CVE-2020-8565, CVE-2020-8566
GKE
Ultimo aggiornamento: 20/10/2020
Descrizione | Gravità |
---|---|
Il progetto Kubernetes ha recentemente rilevato diversi problemi che consentono l'esposizione dei dati secret quando sono abilitate opzioni di logging dettagliato. I problemi sono:
GKE non è interessato. Che cosa devo fare?Non sono necessarie ulteriori azioni a causa dei livelli predefiniti di logging delle informazioni dettagliate di GKE. |
Nessuna |
dei cluster GKE
Ultimo aggiornamento: 10/10/2020
Descrizione | Gravità |
---|---|
Il progetto Kubernetes ha recentemente rilevato diversi problemi che consentono l'esposizione dei dati secret quando sono abilitate opzioni di logging dettagliato. I problemi sono:
GKE on VMware non è interessato. Che cosa devo fare?Non sono necessarie ulteriori azioni a causa dei livelli predefiniti di logging delle informazioni dettagliate di GKE. |
Nessuna |
dei cluster GKE
Ultimo aggiornamento: 20/10/2020
Descrizione | Gravità |
---|---|
Il progetto Kubernetes ha recentemente rilevato diversi problemi che consentono l'esposizione dei dati secret quando sono abilitate opzioni di logging dettagliato. I problemi sono:
GKE su AWS non è interessato. Che cosa devo fare?Non sono necessarie ulteriori azioni a causa dei livelli predefiniti di logging delle informazioni dettagliate di GKE. |
Nessuna |
GCP-2020-012
Pubblicato: 2020-09-14Riferimento: CVE-2020-14386
GKE
Descrizione | Gravità |
---|---|
Di recente è stata scoperta una vulnerabilità nel kernel Linux, descritta in CVE-2020-14386, che potrebbe consentire a container escape di ottenere privilegi root sul nodo host. Sono interessati tutti i nodi GKE. I pod in esecuzione in GKE Sandbox non sono in grado di sfruttare questa vulnerabilità. Che cosa devo fare?Per correggere questa vulnerabilità, esegui l'upgrade del piano di controllo, quindi dei nodi a una delle versioni con patch elencate di seguito:
Lo sfruttamento di questa vulnerabilità richiede Elimina la funzionalità
Quale vulnerabilità viene affrontata da questa patch?La patch attenua la seguente vulnerabilità: La vulnerabilità CVE-2020-14386,
che consente ai container con |
Alta |
dei cluster GKE
Ultimo aggiornamento: 17/09/2020
Descrizione | Gravità |
---|---|
Di recente è stata scoperta una vulnerabilità nel kernel Linux, descritta in CVE-2020-14386, che potrebbe consentire a container escape di ottenere privilegi root sul nodo host. Sono interessati tutti i nodi GKE on VMware. Che cosa devo fare?Per correggere questa vulnerabilità, esegui l'upgrade del cluster a una versione con patch. Le seguenti versioni future di {gke_on_prem_name}} conterranno la correzione per questa vulnerabilità e questo bollettino verrà aggiornato non appena sarà disponibile:
Lo sfruttamento di questa vulnerabilità richiede Elimina la funzionalità
Quale vulnerabilità viene affrontata da questa patch?La patch attenua la seguente vulnerabilità: La vulnerabilità CVE-2020-14386,
che consente ai container con |
Alta |
dei cluster GKE
Ultimo aggiornamento: 13/10/2020
Descrizione | Gravità |
---|---|
Di recente è stata scoperta una vulnerabilità nel kernel Linux, descritta in CVE-2020-14386, che potrebbe consentire a container escape di ottenere privilegi root sul nodo host. Sono interessati tutti i nodi GKE su AWS. Che cosa devo fare?Per correggere questa vulnerabilità, esegui l'upgrade del servizio di gestione e dei cluster utente a una versione con patch. Le seguenti versioni future di GKE su AWS o versioni successive includeranno la correzione per questa vulnerabilità e questo bollettino verrà aggiornato non appena sarà disponibile:
Elimina la funzionalità
Quale vulnerabilità viene affrontata da questa patch?La patch attenua la seguente vulnerabilità: La vulnerabilità CVE-2020-14386,
che consente ai container con |
Alta |
GCP-2020-011
Data di pubblicazione: 24-07-2020Riferimento: CVE-2020-8558
GKE
Descrizione | Gravità |
---|---|
Di recente è stata scoperta una vulnerabilità di rete, CVE-2020-8558 in Kubernetes. A volte i servizi comunicano con altre applicazioni in esecuzione all'interno dello stesso pod utilizzando l'interfaccia di loopback locale (127.0.0.1). Questa vulnerabilità consente a un utente malintenzionato con accesso alla rete del cluster di inviare traffico all'interfaccia di loopback di pod e nodi adiacenti. I servizi che si basano sull'interfaccia di loopback non accessibili all'esterno del pod potrebbero essere sfruttati. Per sfruttare questa vulnerabilità nei cluster GKE, un utente malintenzionato deve disporre dei privilegi di amministratore di rete sul Google Cloud che ospita il VPC del cluster. Questa vulnerabilità da sola non concede privilegi di amministratore di rete a un utente malintenzionato. Per questo motivo, a questa vulnerabilità è stata assegnata un'opzione Bassa gravità per GKE. Che cosa devo fare?Per correggere questa vulnerabilità, esegui l'upgrade dei pool di nodi del cluster alle seguenti versioni di GKE (e successive):
Quale vulnerabilità viene affrontata da questa patch?Questa patch corregge la seguente vulnerabilità: CVE-2020-8558. |
Basso |
dei cluster GKE
Descrizione | Gravità |
---|---|
Di recente è stata scoperta una vulnerabilità di rete, CVE-2020-8558 in Kubernetes. A volte i servizi comunicano con altre applicazioni in esecuzione all'interno dello stesso pod utilizzando l'interfaccia di loopback locale (127.0.0.1). Questa vulnerabilità consente a un utente malintenzionato con accesso alla rete del cluster di inviare traffico all'interfaccia di loopback di pod e nodi adiacenti. I servizi che si basano sull'interfaccia di loopback non accessibili all'esterno del pod potrebbero essere sfruttati. Che cosa devo fare?Per correggere questa vulnerabilità, esegui l'upgrade del cluster a una versione con patch. Le seguenti versioni future di GKE on VMware o più recenti contengono la correzione per questa vulnerabilità:
Quale vulnerabilità viene affrontata da questa patch?Questa patch corregge la seguente vulnerabilità: CVE-2020-8558. |
Medio |
dei cluster GKE
Descrizione | Gravità |
---|---|
Di recente è stata scoperta una vulnerabilità di rete, CVE-2020-8558 in Kubernetes. A volte i servizi comunicano con altre applicazioni in esecuzione all'interno dello stesso pod utilizzando l'interfaccia di loopback locale (127.0.0.1). Questa vulnerabilità consente a un utente malintenzionato con accesso alla rete del cluster di inviare traffico all'interfaccia di loopback di pod e nodi adiacenti. I servizi che si basano sull'interfaccia di loopback non accessibili all'esterno del pod potrebbero essere sfruttati. Per sfruttare questa vulnerabilità nei cluster utente, è necessario che un utente malintenzionato disattivi i controlli della destinazione di origine sulle istanze EC2 nel cluster. Questo richiede che l'utente malintenzionato disponga delle autorizzazioni AWS IAM
per Che cosa devo fare?Per correggere questa vulnerabilità, esegui l'upgrade del cluster a una versione con patch. Le seguenti versioni future di GKE su AWS o versioni successive dovrebbero includere la correzione per questa vulnerabilità:
Quale vulnerabilità viene affrontata da questa patch?Questa patch corregge la seguente vulnerabilità: CVE-2020-8558. |
Basso |
GCP-2020-009
Pubblicato: 2020-07-15Riferimento: CVE-2020-8559
GKE
Descrizione | Gravità |
---|---|
Di recente, in Kubernetes è stata scoperta una vulnerabilità di escalation dei privilegi, CVE-2020-8559. Questa vulnerabilità consente a un utente malintenzionato che ha già compromesso un nodo di eseguire un comando in qualsiasi pod nel cluster. In questo modo, l'utente malintenzionato può utilizzare il nodo già compromesso per compromettere altri nodi e potenzialmente leggere informazioni o causare azioni distruttive. Tieni presente che, affinché un utente malintenzionato possa sfruttare questa vulnerabilità, un nodo nel cluster deve essere già stato compromesso. Questa vulnerabilità, da sola, non comprometterà i nodi nel tuo cluster. Che cosa devo fare?Esegui l'upgrade del cluster a una versione con patch. L'upgrade automatico dei cluster verrà eseguito nelle prossime settimane e le versioni con patch saranno disponibili entro il 19 luglio 2020 per una pianificazione degli upgrade manuale accelerata. Le seguenti versioni del piano di controllo GKE o più recenti contengono la correzione per questa vulnerabilità:
Quale vulnerabilità viene affrontata da questa patch?Queste patch mitigano la vulnerabilità CVE-2020-8559. Questa viene classificata come vulnerabilità di livello medio per GKE, in quanto richiede che l'utente malintenzionato disponga di informazioni di prima mano su cluster, nodi e carichi di lavoro per sfruttare efficacemente l'attacco, oltre a un nodo compromesso esistente. Questa vulnerabilità da sola non fornisce a un utente malintenzionato un nodo compromesso. |
Medio |
dei cluster GKE
Descrizione | Gravità |
---|---|
Di recente, in Kubernetes è stata scoperta una vulnerabilità di escalation dei privilegi, CVE-2020-8559. Questa vulnerabilità consente a un utente malintenzionato che ha già compromesso un nodo di eseguire un comando in qualsiasi pod nel cluster. In questo modo, l'utente malintenzionato può utilizzare il nodo già compromesso per compromettere altri nodi e potenzialmente leggere informazioni o causare azioni distruttive. Tieni presente che, affinché un utente malintenzionato possa sfruttare questa vulnerabilità, un nodo nel cluster deve essere già stato compromesso. Questa vulnerabilità, da sola, non comprometterà i nodi nel tuo cluster. Che cosa devo fare?Esegui l'upgrade del cluster a una versione con patch. Le seguenti versioni future di GKE on VMware o più recenti contengono la correzione per questa vulnerabilità:
Quale vulnerabilità viene affrontata da questa patch?Queste patch mitigano la vulnerabilità CVE-2020-8559. Questa viene classificata come vulnerabilità di livello medio per GKE, in quanto richiede che l'utente malintenzionato disponga di informazioni di prima mano su cluster, nodi e carichi di lavoro per sfruttare efficacemente l'attacco, oltre a un nodo compromesso esistente. Questa vulnerabilità da sola non fornisce a un utente malintenzionato un nodo compromesso. |
Medio |
dei cluster GKE
Descrizione | Gravità |
---|---|
Di recente, in Kubernetes è stata scoperta una vulnerabilità di escalation dei privilegi, CVE-2020-8559. Questa vulnerabilità consente a un utente malintenzionato che ha già compromesso un nodo di eseguire un comando in qualsiasi pod nel cluster. In questo modo, l'utente malintenzionato può utilizzare il nodo già compromesso per compromettere altri nodi e potenzialmente leggere informazioni o causare azioni distruttive. Tieni presente che, affinché un utente malintenzionato possa sfruttare questa vulnerabilità, un nodo nel cluster deve essere già stato compromesso. Questa vulnerabilità, da sola, non comprometterà i nodi nel tuo cluster. Che cosa devo fare?GKE su AWS GA (1.4.1, disponibile a fine luglio 2020) o versioni successive include la patch per questa vulnerabilità. Se utilizzi una versione precedente, scarica una nuova versione dello strumento a riga di comando anthos-gke e ricrea i cluster di gestione e gli utenti. Quale vulnerabilità viene affrontata da questa patch?Queste patch mitigano la vulnerabilità CVE-2020-8559. Questa viene classificata come vulnerabilità di livello medio per GKE, in quanto richiede che l'utente malintenzionato disponga di informazioni di prima mano su cluster, nodi e carichi di lavoro per sfruttare efficacemente l'attacco, oltre a un nodo compromesso esistente. Questa vulnerabilità da sola non fornisce a un utente malintenzionato un nodo compromesso. |
Medio |
GCP-2020-007
Data di pubblicazione: 01-06-2020Riferimento: CVE-2020-8555
GKE
Descrizione | Gravità |
---|---|
Di recente, in Kubernetes è stata scoperta la vulnerabilità Falsificazione richiesta lato server (SSRF), CVE-2020-8555, che consente ad alcuni utenti autorizzati di diffondere fino a 500 byte di informazioni sensibili dalla rete host del piano di controllo. Il piano di controllo Google Kubernetes Engine (GKE) utilizza controller di Kubernetes e, pertanto, è interessato da questa vulnerabilità. Ti consigliamo di eseguire l'upgrade del piano di controllo alla versione più recente della patch, come descritto di seguito. Non è necessario un upgrade del nodo. Che cosa devo fare?Per la maggior parte dei clienti non sono richieste ulteriori azioni. La maggior parte dei cluster esegue già una versione con patch. Le seguenti versioni di GKE o più recenti contengono la correzione per questa vulnerabilità:
I cluster che utilizzano canali di rilascio si trovano già nelle versioni del piano di controllo con la mitigazione. Quale vulnerabilità viene affrontata da questa patch?Queste patch mitigano la vulnerabilità CVE-2020-8555. Questa è classificata come vulnerabilità di livello medio per GKE in quanto era difficile da sfruttare a causa di varie misure di protezione del piano di controllo. Un utente malintenzionato con autorizzazioni per creare un pod con determinati tipi di volumi integrati (GlusterFS, Quobyte, StorageFS, ScaleIO) o autorizzazioni per creare un oggetto StorageClass può indurre In combinazione con un mezzo per far trapelare i risultati di |
Medio |
dei cluster GKE
Descrizione | Gravità |
---|---|
Di recente, in Kubernetes è stata scoperta la vulnerabilità Falsificazione richiesta lato server (SSRF), CVE-2020-8555, che consente ad alcuni utenti autorizzati di diffondere fino a 500 byte di informazioni sensibili dalla rete host del piano di controllo. Il piano di controllo Google Kubernetes Engine (GKE) utilizza controller di Kubernetes e, pertanto, è interessato da questa vulnerabilità. Ti consigliamo di eseguire l'upgrade del piano di controllo alla versione più recente della patch, come descritto di seguito. Non è necessario un upgrade del nodo. Che cosa devo fare?Le seguenti versioni di GKE on VMware o successive contengono la correzione per questa vulnerabilità:
Se utilizzi una versione precedente, esegui l'upgrade del cluster esistente a una versione contenente la correzione. Quale vulnerabilità viene affrontata da questa patch?Queste patch mitigano la vulnerabilità CVE-2020-8555. Questa è classificata come vulnerabilità di livello medio per GKE in quanto era difficile da sfruttare a causa di varie misure di protezione del piano di controllo. Un utente malintenzionato con autorizzazioni per creare un pod con determinati tipi di volumi integrati (GlusterFS, Quobyte, StorageFS, ScaleIO) o autorizzazioni per creare un oggetto StorageClass può indurre In combinazione con un mezzo per far trapelare i risultati di |
Medio |
dei cluster GKE
Descrizione | Gravità |
---|---|
Di recente, in Kubernetes è stata scoperta la vulnerabilità Falsificazione richiesta lato server (SSRF), CVE-2020-8555, che consente ad alcuni utenti autorizzati di diffondere fino a 500 byte di informazioni sensibili dalla rete host del piano di controllo. Il piano di controllo Google Kubernetes Engine (GKE) utilizza controller di Kubernetes e, pertanto, è interessato da questa vulnerabilità. Ti consigliamo di eseguire l'upgrade del piano di controllo alla versione più recente della patch, come descritto di seguito. Non è necessario un upgrade del nodo. Che cosa devo fare?GKE su AWS v0.2.0 o versioni successive include già la patch per questa vulnerabilità. Se utilizzi una versione precedente, scarica una nuova versione dello strumento a riga di comando anthos-gke e ricrea i cluster di gestione e gli utenti. Quale vulnerabilità viene affrontata da questa patch?Queste patch mitigano la vulnerabilità CVE-2020-8555. Questa è classificata come vulnerabilità di livello medio per GKE in quanto era difficile da sfruttare a causa di varie misure di protezione del piano di controllo. Un utente malintenzionato con autorizzazioni per creare un pod con determinati tipi di volumi integrati (GlusterFS, Quobyte, StorageFS, ScaleIO) o autorizzazioni per creare un oggetto StorageClass può indurre In combinazione con un mezzo per far trapelare i risultati di |
Medio |
GCP-2020-006
Data di pubblicazione: 01-06-2020Riferimento: problema 91507 di Kubernetes
GKE
Descrizione | Gravità |
---|---|
Kubernetes ha divulgato una vulnerabilità che consente a un container con privilegi di reindirizzare il traffico dei nodi a un altro container. Questo attacco non consente di leggere o modificare il traffico TLS/SSH reciproco, ad esempio tra kubelet e server API, o il traffico proveniente da applicazioni che utilizzano mTLS. Tutti i nodi di Google Kubernetes Engine (GKE) sono interessati da questa vulnerabilità e ti consigliamo di eseguire l'upgrade alla versione più recente della patch, come descritto di seguito. Che cosa devo fare?Per mitigare questa vulnerabilità, esegui l'upgrade del piano di controllo, quindi dei nodi a una delle versioni con patch elencate di seguito. I cluster sui canali di rilascio stanno già eseguendo una versione con patch sia sul piano di controllo che sui nodi:
In genere sono pochi i container che richiedono Elimina la funzionalità
Quale vulnerabilità viene affrontata da questa patch?La patch mitiga la seguente vulnerabilità: La vulnerabilità descritta nella funzionalità relativa al
problema di Kubernetes 91507
|
Medio |
dei cluster GKE
Descrizione | Gravità |
---|---|
Kubernetes ha divulgato una vulnerabilità che consente a un container con privilegi di reindirizzare il traffico dei nodi a un altro container. Questo attacco non consente di leggere o modificare il traffico TLS/SSH reciproco, ad esempio tra kubelet e server API, o il traffico proveniente da applicazioni che utilizzano mTLS. Tutti i nodi di Google Kubernetes Engine (GKE) sono interessati da questa vulnerabilità e ti consigliamo di eseguire l'upgrade alla versione più recente della patch, come descritto di seguito. Che cosa devo fare?Per mitigare questa vulnerabilità per GKE on VMware, esegui l'upgrade dei cluster alla versione seguente o a una versione più recente:
In genere sono pochi i container che richiedono Elimina la funzionalità
Quale vulnerabilità viene affrontata da questa patch?La patch mitiga la seguente vulnerabilità: La vulnerabilità descritta nella funzionalità relativa al
problema di Kubernetes 91507
|
Medio |
dei cluster GKE
Descrizione | Gravità |
---|---|
Kubernetes ha divulgato una vulnerabilità che consente a un container con privilegi di reindirizzare il traffico dei nodi a un altro container. Questo attacco non consente di leggere o modificare il traffico TLS/SSH reciproco, ad esempio tra kubelet e server API, o il traffico proveniente da applicazioni che utilizzano mTLS. Tutti i nodi di Google Kubernetes Engine (GKE) sono interessati da questa vulnerabilità e ti consigliamo di eseguire l'upgrade alla versione più recente della patch, come descritto di seguito. Che cosa devo fare?Scarica lo strumento a riga di comando anthos-gke con la versione seguente o più recente e ricrea i cluster di gestione e utente:
In genere sono pochi i container che richiedono Elimina la funzionalità
Quale vulnerabilità viene affrontata da questa patch?La patch mitiga la seguente vulnerabilità: La vulnerabilità descritta nella funzionalità relativa al
problema di Kubernetes 91507
|
Medio |
GCP-2020-005
Data di pubblicazione: 07/05/2020Ultimo aggiornamento: 07/05/2020
Riferimento: CVE-2020-8835
GKE
Descrizione | Gravità |
---|---|
Recentemente è stata scoperta una vulnerabilità nel kernel Linux, descritta in CVE-2020-8835, che consente di uscire dai limiti del container per ottenere privilegi di utente root sul nodo host. I nodi di Google Kubernetes Engine (GKE) Ubuntu che eseguono GKE 1.16 o 1.17 sono interessati da questa vulnerabilità e consigliamo di eseguire l'upgrade alla versione più recente della patch il prima possibile, come descritto di seguito. I nodi che eseguono Container-Optimized OS non sono interessati. I nodi in esecuzione su GKE on VMware non sono interessati. Che cosa devo fare?Per la maggior parte dei clienti non sono necessari ulteriori interventi. Solo i nodi che eseguono Ubuntu nelle versioni 1.16 o 1.17 di GKE sono interessati. Per eseguire l'upgrade dei nodi, devi prima eseguire l'upgrade del master alla versione più recente. Questa patch sarà disponibile in Kubernetes 1.16.8-gke.12, 1.17.4-gke.10 e release successive. Traccia la disponibilità di queste patch nelle note di rilascio. Quale vulnerabilità viene affrontata da questa patch?La patch attenua la seguente vulnerabilità: CVE-2020-8835 descrive una vulnerabilità nelle versioni kernel Linux 5.5.0 e successive che permette a un container dannoso di leggere e scrivere (con minima interazione dell'utente sotto forma di file eseguibile) la memoria del kernel, ottenendo così la possibilità di eseguire codice a livello di utente root sul nodo host. Questa è classificata come vulnerabilità di gravità "Alta". |
Alta |
GCP-2020-004
Pubblicato il: 07/05/2020Ultimo aggiornamento: 07/05/2020
Riferimento: CVE-2019-11254
dei cluster GKE
Descrizione | Gravità |
---|---|
Di recente è stata scoperta una vulnerabilità in Kubernetes, descritta in CVE-2019-11254, che consente a qualsiasi utente autorizzato a inviare richieste POST di eseguire un attacco denial of service remoto contro un server API Kubernetes. Il Kubernetes Product Security Committee (PSC) ha pubblicato ulteriori informazioni su questa vulnerabilità, disponibili qui. Puoi mitigare questa vulnerabilità limitando i client che hanno accesso di rete ai server API Kubernetes. Che cosa devo fare?Ti consigliamo di eseguire l'upgrade dei cluster a versioni di patch contenenti la correzione di questa vulnerabilità non appena disponibili. Di seguito sono elencate le versioni della patch che contengono la correzione:
Quali vulnerabilità vengono affrontate da questa patch?La patch corregge la seguente vulnerabilità Denial of Service (DoS): |
Medio |
GCP-2020-003
Data di pubblicazione: 31/03/2020Ultimo aggiornamento: 31/03/2020
Riferimento: CVE-2019-11254
GKE
Descrizione | Gravità |
---|---|
Di recente è stata scoperta una vulnerabilità in Kubernetes, descritta in CVE-2019-11254, che consente a qualsiasi utente autorizzato a inviare richieste POST di eseguire un attacco denial of service remoto contro un server API Kubernetes. Il Kubernetes Product Security Committee (PSC) ha pubblicato ulteriori informazioni su questa vulnerabilità, disponibili qui. I cluster GKE che utilizzano reti autorizzate master e cluster privati senza endpoint pubblico mitigano questa vulnerabilità. Che cosa devo fare?Ti consigliamo di eseguire l'upgrade del cluster a una versione della patch che contenga la correzione per questa vulnerabilità. Di seguito sono elencate le versioni della patch che contengono la correzione:
Quali vulnerabilità vengono affrontate da questa patch?La patch corregge la seguente vulnerabilità Denial of Service (DoS): |
Medio |
GCP-2020-002
Pubblicato il: 23/03/2020Ultimo aggiornamento: 23/03/2020
Riferimento: CVE-2020-8551, CVE-2020-8552
GKE
Descrizione | Gravità |
---|---|
Kubernetes ha divulgato due vulnerabilità denial of service, una con conseguenze sul server API, l'altra sui Kubelet. Per ulteriori dettagli, consulta i problemi di Kubernetes: 89377 e 89378. Che cosa devo fare?Tutti gli utenti di GKE sono protetti da CVE-2020-8551 a meno che gli utenti non attendibili non possano inviare richieste nella rete interna del cluster. L'utilizzo di reti autorizzate master riduce ulteriormente i rischi di CVE-2020-8552. Quando verranno applicate le patch?Le patch per CVE-2020-8551 richiedono un upgrade del nodo. Di seguito sono elencate le versioni di patch che conterranno la mitigazione:
Le patch per CVE-2020-8552 richiedono un upgrade del master. Di seguito sono elencate le versioni di patch che conterranno la mitigazione:
|
Medio |
GCP-january_21_2020
Data di pubblicazione: 21/01/2020Ultimo aggiornamento: 24/01/2020
Riferimento: CVE-2019-11254
GKE
Descrizione | Gravità |
---|---|
Aggiornamento 24-01-2020: la messa a disposizione di versioni con patch è già in corso e sarà completata entro il 25 gennaio 2020. Microsoft ha divulgato una vulnerabilità nell'API Windows Crypto e la sua convalida delle firme a curva ellittica. Per ulteriori informazioni, consulta la divulgazione di Microsoft. Che cosa devo fare? Per la maggior parte dei clienti non sono necessari ulteriori interventi. Sono interessati solo i nodi in esecuzione su Windows Server. Per i clienti che utilizzano i nodi Windows Server, sia questi ultimi che i carichi di lavoro containerizzati eseguiti su tali nodi devono essere aggiornati a versioni con patch per mitigare questa vulnerabilità. Per aggiornare i container: Ricostruisci i tuoi container utilizzando le immagini container di base di Microsoft più recenti, selezionando un tag servercore o nanoserver con un LastUpdated Time pari a 1/14/2020 o successivo. Per aggiornare i nodi: La messa a disposizione di versioni con patch è già in corso e sarà completata entro il 24 gennaio 2020. Puoi attendere fino a quel momento ed eseguire un upgrade del nodo a una versione GKE con patch oppure puoi utilizzare Windows Update per eseguire manualmente il deployment della patch Windows più recente in qualsiasi momento. Di seguito sono elencate le versioni di patch che conterranno la mitigazione:
Quali vulnerabilità vengono affrontate da questa patch? La patch attenua le seguenti vulnerabilità: CVE-2020-0601 - Questa vulnerabilità è anche nota come vulnerabilità spoofing dell'API Windows Crypto e può essere sfruttata per fare apparire come attendibili eseguibili dannosi o permettere a un utente malintenzionato di condurre attacchi man in the middle e decriptare informazioni riservate su connessioni TLS al software interessato. |
Punteggio base NVD: 8,1 (Alta) |
Bollettini sulla sicurezza archiviati
Per i bollettini sulla sicurezza precedenti al 2020, consulta l'archivio dei bollettini sulla sicurezza.