Boletines de seguridad

Todos los boletines de seguridad de los siguientes productos se describen en esta página:

  • Google Kubernetes Engine (GKE)
  • GKE en VMware
  • GKE en AWS
  • GKE en Azure
  • GKE en Bare Metal

Las vulnerabilidades se suelen mantener en secreto y no se las puede divulgar hasta que las partes afectadas hayan tenido la oportunidad de tratar el tema. En estos casos, las notas de la versión de GKE tratan sobre “actualizaciones de seguridad” hasta que se apruebe la divulgación. En ese momento, las notas se actualizarán para reflejar la vulnerabilidad tratada en el parche.

Cuando GKE emite un boletín de seguridad que se correlaciona directamente con la configuración o la versión de tu clúster, es posible que te envíes una notificación de clúster SecurityBulletinEvent que proporcione información sobre la vulnerabilidad y las acciones que puedes realizar, si aplicables. Para obtener información sobre cómo configurar las notificaciones de clústeres, consulta Notificaciones de clústeres.

Para obtener más información sobre cómo Google administra las vulnerabilidades y los parches de seguridad para GKE y GKE Enterprise, consulta Parches de seguridad.

Las plataformas de GKE y GKE Enterprise no usan componentes como ingress-nginx y el entorno de ejecución del contenedor de CRI-O, y las vulnerabilidades de esos componentes no se ven afectadas. Si instalas componentes de otras fuentes, consulta las actualizaciones de seguridad y los consejos sobre cómo aplicar parches a esos componentes en la fuente.

Usa este feed XML para suscribirte a los boletines de seguridad de esta página. Suscribirse

GCP-2024-018

Fecha de publicación: 12/03/2024
Referencia: CVE-2024-1085

GKE

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

  • CVE-2024-1085

Los clústeres de GKE Standard se ven afectados. Los clústeres de GKE Autopilot en la configuración predeterminada no se ven afectados, pero pueden ser vulnerables si estableces explícitamente el perfil Unconfined de seccomp o permites CAP_NET_ADMIN.

Los clústeres que usan GKE Sandbox no se ven afectados.

¿Qué debo hacer?

Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones de parche o posterior:

  • 1.25.16-gke.1518000
  • 1.26.13-gke.1219000
  • 1.27.10-gke.1240000
  • 1.28.6-gke.1433000
  • 1.29.1-gke.1716000

Puedes aplicar versiones de parche desde canales de versiones más recientes si tu clúster ejecuta la misma versión secundaria en su propio canal de versiones. Esta función te permite proteger tus nodos hasta que la versión del parche se convierta en la predeterminada en tu canal de versiones. Para obtener más detalles, consulta Cómo ejecutar versiones de parche desde un canal más reciente.

Alta

GKE en VMware

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

  • CVE-2024-1085

¿Qué debo hacer?

Pendiente

GKE en AWS

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

  • CVE-2024-1085

¿Qué debo hacer?

Pendiente

GKE en Azure

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

  • CVE-2024-1085

¿Qué debo hacer?

Pendiente

GKE en Bare Metal

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

  • CVE-2024-1085

¿Qué debo hacer?

No es necesario que realices ninguna acción. GKE en Bare Metal no se ve afectado, ya que no agrupa un sistema operativo en su distribución.

Ninguna

GCP-2024-017

Fecha de publicación: 6/03/2024
Referencia: CVE-2023-3611

GKE

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

  • CVE-2023-3611

Los clústeres de GKE Standard se ven afectados. Los clústeres de GKE Autopilot en la configuración predeterminada no se ven afectados, pero pueden ser vulnerables si estableces explícitamente el perfil Unconfined de seccomp o permites CAP_NET_ADMIN.

Los clústeres que usan GKE Sandbox no se ven afectados.

¿Qué debo hacer?

Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones de parche o posterior:

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1021001
  • 1.27.3-gke.1001002

Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Ubuntu a una de las siguientes versiones de parche o versiones posteriores:

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1021001
  • 1.27.3-gke.1001002

Puedes aplicar versiones de parche desde canales de versiones más recientes si tu clúster ejecuta la misma versión secundaria en su propio canal de versiones. Esta función te permite proteger tus nodos hasta que la versión del parche se convierta en la predeterminada en tu canal de versiones. Para obtener más detalles, consulta Cómo ejecutar versiones de parche desde un canal más reciente.

Alta

GKE en VMware

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

  • CVE-2023-3611

¿Qué debo hacer?

Pendiente

GKE en AWS

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

  • CVE-2023-3611

¿Qué debo hacer?

Pendiente

GKE en Azure

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

  • CVE-2023-3611

¿Qué debo hacer?

Pendiente

GKE en Bare Metal

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

  • CVE-2023-3611

¿Qué debo hacer?

No es necesario que realices ninguna acción. GKE en Bare Metal no se ve afectado, ya que no agrupa un sistema operativo en su distribución.

Ninguna

GCP-2024-014

Fecha de publicación: 26/02/2024
Referencia: CVE-2023-3776

GKE

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

  • CVE-2023-3776

Los clústeres de GKE Standard se ven afectados. Los clústeres de GKE Autopilot en la configuración predeterminada no se ven afectados, pero pueden ser vulnerables si estableces explícitamente el perfil Unconfined de seccomp o permites CAP_NET_ADMIN.

Los clústeres que usan GKE Sandbox no se ven afectados.

¿Qué debo hacer?

Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones de parche o posterior:

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1014001
  • 1.27.3-gke.1001002
  • 1.28.0-gke.100

Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Ubuntu a una de las siguientes versiones de parche o versiones posteriores:

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1021001
  • 1.27.3-gke.1001002

Puedes aplicar versiones de parche desde canales de versiones más recientes si tu clúster ejecuta la misma versión secundaria en su propio canal de versiones. Esta función te permite proteger tus nodos hasta que la versión del parche se convierta en la predeterminada en tu canal de versiones. Para obtener más detalles, consulta Cómo ejecutar versiones de parche desde un canal más reciente.

Alta

GKE en VMware

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

  • CVE-2023-3776

¿Qué debo hacer?

Pendiente

GKE en AWS

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

  • CVE-2023-3776

¿Qué debo hacer?

Pendiente

GKE en Azure

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

  • CVE-2023-3776

¿Qué debo hacer?

Pendiente

GKE en Bare Metal

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

  • CVE-2023-3776

¿Qué debo hacer?

No es necesario que realices ninguna acción. GKE en Bare Metal no se ve afectado, ya que no agrupa un sistema operativo en su distribución.

Ninguna

GCP-2024-013

Fecha de publicación: 23/02/2024
Referencia: CVE-2023-3610

GKE

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

  • CVE-2023-3610

Los clústeres de GKE Standard se ven afectados. Los clústeres de GKE Autopilot en la configuración predeterminada no se ven afectados, pero pueden ser vulnerables si estableces explícitamente el perfil Unconfined de seccomp o permites CAP_NET_ADMIN.

Los clústeres que usan GKE Sandbox no se ven afectados.

¿Qué debo hacer?

Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones de parche o posterior:

  • 1.27.3-gke.1001002
  • 1.28.0-gke.100

Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Ubuntu a una de las siguientes versiones de parche o versiones posteriores:

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1021001
  • 1.27.3-gke.1001002

Puedes aplicar versiones de parche desde canales de versiones más recientes si tu clúster ejecuta la misma versión secundaria en su propio canal de versiones. Esta función te permite proteger tus nodos hasta que la versión del parche se convierta en la predeterminada en tu canal de versiones. Para obtener más detalles, consulta Cómo ejecutar versiones de parche desde un canal más reciente.

Alta

GKE en VMware

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

  • CVE-2023-3610

¿Qué debo hacer?

Pendiente

GKE en AWS

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

  • CVE-2023-3610

¿Qué debo hacer?

Pendiente

GKE en Azure

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

  • CVE-2023-3610

¿Qué debo hacer?

Pendiente

GKE en Bare Metal

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

  • CVE-2023-3610

¿Qué debo hacer?

No es necesario que realices ninguna acción. GKE en Bare Metal no se ve afectado, ya que no agrupa un sistema operativo en su distribución.

Ninguna

GCP-2024-012

Fecha de publicación: 20/02/2024
Referencia: CVE-2024-0193

GKE

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

  • CVE-2024-0193

Los clústeres de GKE Standard se ven afectados. Los clústeres de GKE Autopilot en la configuración predeterminada no se ven afectados, pero pueden ser vulnerables si estableces explícitamente el perfil Unconfined de seccomp o permites CAP_NET_ADMIN.

Los clústeres que usan GKE Sandbox no se ven afectados.

¿Qué debo hacer?

Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones de parche o posterior:

  • 1.27.10-gke.1149000
  • 1.28.6-gke.1274000
  • 1.29.1-gke.1388000

Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Ubuntu a una de las siguientes versiones de parche o versiones posteriores:

  • 1.25.16-gke.1412001
  • 1.26.6-gke.1017002
  • 1.27.10-gke.1055001
  • 1.28.6-gke.1276000
  • 1.29.1-gke.1392000

Puedes aplicar versiones de parche desde canales de versiones más recientes si tu clúster ejecuta la misma versión secundaria en su propio canal de versiones. Esta función te permite proteger tus nodos hasta que la versión del parche se convierta en la predeterminada en tu canal de versiones. Para obtener más detalles, consulta Cómo ejecutar versiones de parche desde un canal más reciente.

Alta

GKE en VMware

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

  • CVE-2024-0193

¿Qué debo hacer?

Pendiente

GKE en AWS

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

  • CVE-2024-0193

¿Qué debo hacer?

Pendiente

GKE en Azure

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

  • CVE-2024-0193

¿Qué debo hacer?

Pendiente

GKE en Bare Metal

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

  • CVE-2024-0193

¿Qué debo hacer?

No es necesario que realices ninguna acción. GKE en Bare Metal no se ve afectado, ya que no agrupa un sistema operativo en su distribución.

Ninguna

GCP-2024-011

Fecha de publicación: 15/02/2024
Referencia: CVE-2023-6932

GKE

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

  • CVE-2023-6932

Los clústeres de GKE Standard se ven afectados. Los clústeres de GKE Autopilot en la configuración predeterminada no se ven afectados, pero pueden ser vulnerables si estableces explícitamente el perfil Unconfined de seccomp o permites CAP_NET_ADMIN

Los clústeres que usan GKE Sandbox no se ven afectados.

¿Qué debo hacer?

Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones de parche o posterior:

  • 1.24.17-gke.2364001
  • 1.25.16-gke.1229000
  • 1.26.6-gke.1017002
  • 1.27.3-gke.1001003
  • 1.28.5-gke.1194000
  • 1.29.0-gke.1340000

Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Ubuntu a una de las siguientes versiones de parche o versiones posteriores:

  • 1.25.16-gke.1412001
  • 1.26.6-gke.1017002
  • 1.27.10-gke.1055001
  • 1.28.6-gke.1276000
  • 1.29.1-gke.1221000

Puedes aplicar versiones de parche desde canales de versiones más recientes si tu clúster ejecuta la misma versión secundaria en su propio canal de versiones. Esta función te permite proteger tus nodos hasta que la versión del parche se convierta en la predeterminada en tu canal de versiones. Para obtener más detalles, consulta Cómo ejecutar versiones de parche desde un canal más reciente.

Alta

GKE en VMware

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

  • CVE-2023-6932

¿Qué debo hacer?

Pendiente

GKE en AWS

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

  • CVE-2023-6932

¿Qué debo hacer?

Pendiente

GKE en Azure

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

  • CVE-2023-6932

¿Qué debo hacer?

Pendiente

GKE en Bare Metal

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

  • CVE-2023-6932

¿Qué debo hacer?

No es necesario que realices ninguna acción. GKE en Bare Metal no se ve afectado, ya que no agrupa un sistema operativo en su distribución.

Ninguna

GCP-2024-010

Fecha de publicación: 14/02/2024
Referencia: CVE-2023-6931

GKE

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-6931

Los clústeres de GKE Standard se ven afectados. Los clústeres de GKE Autopilot en la configuración predeterminada no se ven afectados, pero pueden ser vulnerables si estableces explícitamente el perfil Unconfined de seccomp o permites CAP_NET_ADMIN.

Los clústeres que usan GKE Sandbox no se ven afectados.

¿Qué debo hacer?

Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones de parche o posterior:

  • 1.24.17-gke.2364001
  • 1.25.16-gke.1229000
  • 1.26.6-gke.1017002
  • 1.27.3-gke.1001003
  • 1.28.5-gke.1194000
  • 1.29.0-gke.1340000

Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Ubuntu a una de las siguientes versiones de parche o versiones posteriores:

  • 1.25.16-gke.1412001
  • 1.26.6-gke.1017002
  • 1.27.10-gke.1055001
  • 1.28.6-gke.1276000
  • 1.29.1-gke.1221000

Puedes aplicar versiones de parche desde canales de versiones más recientes si tu clúster ejecuta la misma versión secundaria en su propio canal de versiones. Esta función te permite proteger tus nodos hasta que la versión del parche se convierta en la predeterminada en tu canal de versiones. Para obtener más detalles, consulta Cómo ejecutar versiones de parche desde un canal más reciente.

Alta

GKE en VMware

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-6931

¿Qué debo hacer?

Pendiente

GKE en AWS

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-6931

¿Qué debo hacer?

Pendiente

GKE en Azure

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-6931

¿Qué debo hacer?

Pendiente

GKE en Bare Metal

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-6931

¿Qué debo hacer?

No es necesario que realices ninguna acción. GKE en Bare Metal no se ve afectado, ya que no agrupa un sistema operativo en su distribución.

Ninguna

GCP-2024-008

Fecha de publicación: 2024-02-12
Referencia: CVE-2023-5528

GKE

Descripción Gravedad

CVE-2023-5528 permite que un atacante cree Pods y volúmenes persistentes en los nodos de Windows de una manera que permita la elevación de privilegios de administrador en esos nodos.

Los clústeres de GKE Standard que ejecutan nodos de Windows Server y el uso de un complemento de almacenamiento en árbol podrían verse afectados.

Los clústeres de GKE Autopilot y los grupos de nodos de GKE que usan GKE Sandbox no se ven afectados porque no son compatibles con los nodos de Windows Server.

¿Qué debo hacer?

Determina si tienes nodos de Windows Server en uso en tus clústeres:


kubectl get nodes -l kubernetes.io/os=windows

Revisar los registros de auditoría en busca de evidencia de explotación. Los registros de auditoría de Kubernetes se pueden auditar para determinar si se está aprovechando esta vulnerabilidad. Los eventos de creación de PersistentVolumes con campos de ruta locales que contienen caracteres especiales son un claro indicador de explotación.

Actualiza el clúster de GKE y los grupos de nodos a una versión con parche. Las siguientes versiones de GKE se actualizaron para corregir esta vulnerabilidad. Incluso si tienes habilitada la actualización automática de nodos, te recomendamos que actualices de forma manual tu clúster y los grupos de nodos de Windows Server a una de las siguientes versiones de GKE o a una posterior:

  • 1.24.17-gke.6100
  • 1.25.15-gke.2000
  • 1.26.10-gke.2000
  • 1.27.7-gke.2000
  • 1.28.3-gke.1600

Puedes aplicar versiones de parche desde canales de versiones más recientes si tu clúster ejecuta la misma versión secundaria en su propio canal de versiones. Esta función te permite proteger tus nodos hasta que la versión del parche se convierta en la predeterminada en tu canal de versiones. Para obtener más detalles, consulta Cómo ejecutar versiones de parche desde un canal más reciente.

¿Qué vulnerabilidades trata este parche?

CVE-2023-5528 permite que un atacante cree Pods y volúmenes persistentes en los nodos de Windows de una manera que permita la elevación de privilegios de administrador en esos nodos.

Alta

GKE en VMware

Descripción Gravedad

CVE-2023-5528 permite que un atacante cree Pods y volúmenes persistentes en los nodos de Windows de una manera que permita la elevación de privilegios de administrador en esos nodos.

Es posible que los clústeres de GKE en VMware que ejecutan nodos de Windows Server y usen un complemento de almacenamiento en árbol pueden verse afectados.

¿Qué debo hacer?

Determina si tienes nodos de Windows Server en uso en tus clústeres:


kubectl get nodes -l kubernetes.io/os=windows

Revisar los registros de auditoría en busca de evidencia de explotación. Los registros de auditoría de Kubernetes se pueden auditar para determinar si se está aprovechando esta vulnerabilidad. Los eventos de creación de PersistentVolumes con campos de ruta locales que contienen caracteres especiales son un claro indicador de explotación.

Actualiza el clúster y los grupos de nodos de GKE on VMware a una versión con parche. Las siguientes versiones de GKE en VMware se actualizaron para solucionar esta vulnerabilidad. Incluso si tienes habilitada la actualización automática de nodos, te recomendamos que actualices de forma manual tu clúster y los grupos de nodos de Windows Server a una de las siguientes versiones de GKE on VMware o versiones posteriores:

  • 1.28.100-gke.131
  • 1.16.5-gke.28
  • 1.15.8-gke.41

¿Qué vulnerabilidades trata este parche?

CVE-2023-5528 permite que un atacante cree Pods y volúmenes persistentes en los nodos de Windows de una manera que permita la elevación de privilegios de administrador en esos nodos.

Alta

GKE en AWS

Descripción Gravedad

CVE-2023-5528 permite que un atacante cree Pods y volúmenes persistentes en los nodos de Windows de una manera que permita la elevación de privilegios de administrador en esos nodos.

Los clústeres de GKE en AWS no se ven afectados.

¿Qué debo hacer?

No es necesario realizar ninguna acción

Ninguna

GKE en Azure

Descripción Gravedad

CVE-2023-5528 permite que un atacante cree Pods y volúmenes persistentes en los nodos de Windows de una manera que permita la elevación de privilegios de administrador en esos nodos.

Los clústeres de GKE en Azure no se ven afectados.

¿Qué debo hacer?

No es necesario realizar ninguna acción

Ninguna

GKE en Bare Metal

Descripción Gravedad

CVE-2023-5528 permite que un atacante cree Pods y volúmenes persistentes en los nodos de Windows de una manera que permita la elevación de privilegios de administrador en esos nodos.

Los clústeres de GKE en Bare Metal no se ven afectados.

¿Qué debo hacer?

No es necesario realizar ninguna acción

Ninguna

GCP-2024-005

Fecha de publicación: 31/01/2024
Última actualización: 6/3/2024
Referencia: CVE-2024-21626

Actualización del 6/3/2024: Se agregaron versiones de parche para GKE en VMware
Actualización del 28/02/2024: Se agregaron versiones de parche para Ubuntu
Actualización del 15/02/2024: Se aclaró que las versiones de parche de Ubuntu 1.25 y 1.26 de la actualización del 14/2024 podrían causar nodos en mal estado.
Actualización del 14/02/2024: Se agregaron versiones de parche para Ubuntu
Actualización del 6/2/2024: Se agregaron versiones de parches para Container-Optimized OS.

GKE

Última actualización: 6/3/2024

Descripción Gravedad

Se detectó una vulnerabilidad de seguridad, CVE-2024-21626, en runc, en la que un usuario con permiso para crear Pods en los nodos de Container-Optimized OS y Ubuntu podría obtener acceso completo al nodo sistema de archivos.

Los clústeres de GKE Standard y Autopilot se ven afectados.

Los clústeres que usan GKE Sandbox no se ven afectados.

¿Qué debo hacer?

Actualización del 28/02/2024: Las siguientes versiones de GKE se actualizaron con código para corregir esta vulnerabilidad en Ubuntu. Actualiza tus grupos de nodos de Ubuntu a una de las siguientes versiones de parche o a una posterior:

  • 1.25.16-gke.1537000
  • 1.26.14-gke.1006000

Actualización del 15/02/2024: Debido a un problema, las siguientes versiones de parche de Ubuntu de la actualización del 14/02/2024 pueden hacer que tus nodos entren en mal estado. No actualices a las siguientes versiones de parche. Actualizaremos este boletín cuando haya versiones de parche más recientes de Ubuntu disponibles para 1.25 y 1.26.

  • 1.25.16-gke.1497000
  • 1.26.13-gke.1189000

Si ya actualizaste a una de estas versiones del parche, cambia manualmente a una versión inferior del grupo de nodos en el canal de versiones.


Actualización del 14/02/2024: Las siguientes versiones de GKE se actualizaron con código para corregir esta vulnerabilidad en Ubuntu. Actualiza tus grupos de nodos de Ubuntu a una de las siguientes versiones de parche o a una posterior:

  • 1.25.16-gke.1497000
  • 1.26.13-gke.1189000
  • 1.27.10-gke.1207000
  • 1.28.6-gke.1369000
  • 1.29.1-gke.1575000

Actualización del 06/02/2024: Las siguientes versiones de GKE se actualizaron con código para corregir esta vulnerabilidad en Container-Optimized OS. Por motivos de seguridad, incluso si tienes habilitada la actualización automática de nodos, te recomendamos que actualices de forma manual tu clúster y los grupos de nodos de Container-Optimized OS a una de las siguientes versiones de GKE o posteriores:

  • 1.25.16-gke.1460000
  • 1.26.13-gke.1144000
  • 1.27.10-gke.1152000
  • 1.28.6-gke.1289000
  • 1.29.1-gke.1425000

Puedes aplicar versiones de parche desde canales de versiones más recientes si tu clúster ejecuta la misma versión secundaria en su propio canal de versiones. Esta función te permite proteger tus nodos hasta que la versión del parche se convierta en la predeterminada en tu canal de versiones. Para obtener más detalles, consulta Cómo ejecutar versiones de parche desde un canal más reciente.


Actualizaremos GKE con código para corregir esta vulnerabilidad. Actualizaremos este boletín cuando las versiones de parche estén disponibles.

¿Qué vulnerabilidades trata este parche?

runc es una herramienta de bajo nivel para generar y ejecutar contenedores de Linux que se usan en los Pods de Kubernetes. En las versiones runc anteriores a los parches publicados en este boletín de seguridad, varios descriptores de archivos se filtraron de forma involuntaria en el proceso runc init que se ejecuta dentro de un contenedor. runc tampoco verificó que el directorio de trabajo final de un contenedor estuviera dentro del espacio de nombres de activación del contenedor. Una imagen de contenedor maliciosa o un usuario con permiso para ejecutar pods arbitrarios podrían usar una combinación de los descriptores de archivos filtrados y la falta de validación de directorio de trabajo para obtener acceso al espacio de nombres de activación de host de un nodo, y acceder a todo el host y reemplazar los objetos binarios arbitrarios en el nodo.

Alta

GKE en VMware

Descripción Gravedad

Se detectó una vulnerabilidad de seguridad, CVE-2024-21626, en runc, en la que un usuario con permiso para crear Pods en los nodos de Container-Optimized OS y Ubuntu podría obtener acceso completo al nodo sistema de archivos.

¿Qué debo hacer?

Actualización del 6/3/2024: Las siguientes versiones de GKE en VMware se actualizaron con código para corregir esta vulnerabilidad. Actualiza los clústeres a las siguientes versiones o versiones posteriores:

  • 1.28.200
  • 1.16.6
  • 1.15.9

Las versiones de parche y una evaluación de gravedad para GKE en VMware están en curso. Actualizaremos este boletín con esa información cuando esté disponible.

¿Qué vulnerabilidades trata este parche?

runc es una herramienta de bajo nivel para generar y ejecutar contenedores de Linux que se usan en los Pods de Kubernetes. En las versiones runc anteriores a los parches publicados en este boletín de seguridad, varios descriptores de archivos se filtraron de forma involuntaria en el proceso runc init que se ejecuta dentro de un contenedor. runc tampoco verificó que el directorio de trabajo final de un contenedor estuviera dentro del espacio de nombres de activación del contenedor. Una imagen de contenedor maliciosa o un usuario con permiso para ejecutar pods arbitrarios podrían usar una combinación de los descriptores de archivos filtrados y la falta de validación de directorio de trabajo para obtener acceso al espacio de nombres de activación de host de un nodo, y acceder a todo el host y reemplazar los objetos binarios arbitrarios en el nodo.

Alta

GKE en AWS

Descripción Gravedad

Se detectó una vulnerabilidad de seguridad, CVE-2024-21626, en runc, en la que un usuario con permiso para crear Pods en los nodos de Container-Optimized OS y Ubuntu podría obtener acceso completo al nodo sistema de archivos.

¿Qué debo hacer?

Las versiones de parche y una evaluación de gravedad para GKE en AWS están en curso. Actualizaremos este boletín con esa información cuando esté disponible.

¿Qué vulnerabilidades trata este parche?

runc es una herramienta de bajo nivel para generar y ejecutar contenedores de Linux que se usan en los Pods de Kubernetes. En las versiones runc anteriores a los parches publicados en este boletín de seguridad, varios descriptores de archivos se filtraron de forma involuntaria en el proceso runc init que se ejecuta dentro de un contenedor. runc tampoco verificó que el directorio de trabajo final de un contenedor estuviera dentro del espacio de nombres de activación del contenedor. Una imagen de contenedor maliciosa o un usuario con permiso para ejecutar pods arbitrarios podrían usar una combinación de los descriptores de archivos filtrados y la falta de validación de directorio de trabajo para obtener acceso al espacio de nombres de activación de host de un nodo, y acceder a todo el host y reemplazar los objetos binarios arbitrarios en el nodo.

Alta

GKE en Azure

Descripción Gravedad

Se detectó una vulnerabilidad de seguridad, CVE-2024-21626, en runc, en la que un usuario con permiso para crear Pods en los nodos de Container-Optimized OS y Ubuntu podría obtener acceso completo al nodo sistema de archivos.

¿Qué debo hacer?

Las versiones de parche y una evaluación de gravedad para GKE en Azure están en curso. Actualizaremos este boletín con esa información cuando esté disponible.

¿Qué vulnerabilidades trata este parche?

runc es una herramienta de bajo nivel para generar y ejecutar contenedores de Linux que se usan en los Pods de Kubernetes. En las versiones runc anteriores a los parches publicados en este boletín de seguridad, varios descriptores de archivos se filtraron de forma involuntaria en el proceso runc init que se ejecuta dentro de un contenedor. runc tampoco verificó que el directorio de trabajo final de un contenedor estuviera dentro del espacio de nombres de activación del contenedor. Una imagen de contenedor maliciosa o un usuario con permiso para ejecutar pods arbitrarios podrían usar una combinación de los descriptores de archivos filtrados y la falta de validación de directorio de trabajo para obtener acceso al espacio de nombres de activación de host de un nodo, y acceder a todo el host y reemplazar los objetos binarios arbitrarios en el nodo.

Alta

GKE en Bare Metal

Descripción Gravedad

Se descubrió una vulnerabilidad de seguridad, CVE-2024-21626 en runc, en la que un usuario con permiso para crear Pods podría obtener acceso completo al sistema de archivos del nodo.

¿Qué debo hacer?

Las versiones de parche y una evaluación de gravedad para GKE en Bare Metal están en curso. Actualizaremos este boletín con esa información cuando esté disponible.

¿Qué vulnerabilidades trata este parche?

runc es una herramienta de bajo nivel para generar y ejecutar contenedores de Linux que se usan en los Pods de Kubernetes. En las versiones runc anteriores a los parches publicados en este boletín de seguridad, varios descriptores de archivos se filtraron de forma involuntaria en el proceso runc init que se ejecuta dentro de un contenedor. runc tampoco verificó que el directorio de trabajo final de un contenedor estuviera dentro del espacio de nombres de activación del contenedor. Una imagen de contenedor maliciosa o un usuario con permiso para ejecutar pods arbitrarios podrían usar una combinación de los descriptores de archivos filtrados y la falta de validación de directorio de trabajo para obtener acceso al espacio de nombres de activación de host de un nodo, y acceder a todo el host y reemplazar los objetos binarios arbitrarios en el nodo.

Alta

GCP-2024-004

Fecha de publicación: 24/01/2024
Última actualización: 7/2/2024
Referencia: CVE-2023-6817

Actualización del 07/02/2024: Se agregaron versiones de parche para Ubuntu.

GKE

Última actualización: 07/02/2024

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-6817

Los clústeres de GKE Standard se ven afectados. Los clústeres de GKE Autopilot en la configuración predeterminada no se ven afectados, pero pueden ser vulnerables si estableces explícitamente el perfil Unconfined de seccomp o permites CAP_NET_ADMIN

Los clústeres que usan GKE Sandbox no se ven afectados.

¿Qué debo hacer?

Actualización del 07/02/2024: Se ven afectadas las siguientes versiones secundarias. Actualiza tus grupos de nodos de Ubuntu a una de las siguientes versiones de parche o versiones posteriores:

  • 1.25.16-gke.1458000
  • 1.26.13-gke.1143000
  • 1.27.10-gke.1152000
  • 1.28.6-gke.1276000
  • 1.29.1-gke.1221000

Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones de parche o posterior:

  • 1.25.16-gke.1229000
  • 1.26.12-gke.1087000
  • 1.27.3-gke.1001003
  • 1.28.5-gke.1194000
  • 1.29.0-gke.1340000

Puedes aplicar versiones de parche desde canales de versiones más recientes si tu clúster ejecuta la misma versión secundaria en su propio canal de versiones. Esta función te permite proteger tus nodos hasta que la versión del parche se convierta en la predeterminada en tu canal de versiones. Para obtener más detalles, consulta Cómo ejecutar versiones de parche desde un canal más reciente.

Alta

GKE en VMware

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-6817

¿Qué debo hacer?

Pendiente

GKE en AWS

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-6817

¿Qué debo hacer?

Pendiente

GKE en Azure

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-6817

¿Qué debo hacer?

Pendiente

GKE en Bare Metal

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-6817

¿Qué debo hacer?

No es necesario que realices ninguna acción. GKE en Bare Metal no se ve afectado, ya que no agrupa un sistema operativo en su distribución.

Ninguna

GCP-2024-003

Fecha de publicación: 19/01/2024
Última actualización: 26/01/2024
Actualización del 26/01/2024: Se aclaró la cantidad de clústeres afectados y las medidas que tomamos para mitigar el impacto.

GKE

Última actualización: 26/01/2024

Descripción Gravedad

Actualización del 26/01/2024: Se publicó la investigación de seguridad en la que se encontró una pequeña cantidad de clústeres de GKE con una configuración incorrecta creada por el cliente que involucra al grupo system:authenticated. La entrada de blog del investigador hace referencia a 1,300 clústeres con algunas vinculaciones mal configuradas y 108 con privilegios altos. Trabajamos estrechamente con los clientes afectados para notificarlos y ayudarlos a quitar las vinculaciones mal configuradas.


Identificamos varios clústeres en los que los usuarios otorgaron privilegios de Kubernetes al grupo system:authenticated, lo que incluye a todos los usuarios con una Cuenta de Google. Estos tipos de vinculaciones no se recomiendan debido a que infringen el principio de privilegio mínimo y otorgan acceso a grupos muy grandes de usuarios. Consulta la guía en "¿Qué debo hacer?" si necesitas instrucciones para encontrar estos tipos de vinculaciones.

Hace poco, un investigador de seguridad informó de resultados de clústeres con parámetros de configuración incorrectos de RBAC a través de nuestro programa de informe de vulnerabilidades.

El enfoque de Google para la autenticación es hacer que la autenticación en Google Cloud y GKE sea lo más simple y segura posible sin agregar pasos de configuración complejos. La autenticación solo nos indica quién es el usuario, mientras que la autorización es la etapa en la que se determina el acceso. Por lo tanto, el grupo system:authenticated en GKE que contiene a todos los usuarios autenticados a través del proveedor de identidad de Google funciona según lo previsto y funciona de la misma manera que el identificador allAuthenticatedUsers de IAM.

Con esto en mente, tomamos varias medidas para reducir el riesgo de que los usuarios hagan errores de autorización con los usuarios y grupos integrados de Kubernetes, incluidos system:anonymous, system:authenticated y system:unauthenticated. Todos estos usuarios y grupos representan un riesgo para el clúster si se les otorgan permisos. Analizamos algunas de las actividades de los atacantes que tienen como objetivo los parámetros de configuración incorrectos y las defensas disponibles de RBAC en Kubecon en noviembre de 2023.

Para proteger a los usuarios de errores accidentales de autorización con estos usuarios y grupos del sistema, tomamos las siguientes medidas:

  • De forma predeterminada, se bloquearon nuevas vinculaciones del ClusterRole con muchos privilegioscluster-admin al usuariosystem:anonymous, Grupo system:authenticated o Grupo system:unauthenticated en la versión 1.28 de GKE.
  • Creamos reglas de detección en Event Threat Detection (GKE_CONTROL_PLANE_CREATE_SENSITIVE_BINDING) como parte del Security Command Center.
  • En Policy Controller, creamos con K8sRestrictRoleBindings reglas de prevención que se pueden configurar.
  • Se enviaron notificaciones por correo electrónico a todos los usuarios de GKE con vinculaciones a estos usuarios o grupos para pedirles que revisaran su configuración.
  • Como primera capa de defensa, creamos funciones de autorización de redes y también hicimos recomendaciones para restringirles a los clústeres el acceso a la red.
  • Se generó conciencia sobre este problema a través de una charla en Kubecon en noviembre de 2023.

Los clústeres que aplican restricciones de redes autorizadas tienen una primera capa de defensa: no se los puede atacar directamente desde Internet. Sin embargo, recomendamos quitar estas vinculaciones para una defensa en profundidad y para protegerte contra errores en los controles de red.
Ten en cuenta que existen varios casos en que las vinculaciones a usuarios o grupos del sistema de Kubernetes se usan de manera intencional, p. ej., kubeadm bootstrapping, el panel Rancher y los secretos sellados de Bitnami. Confirmamos con esos proveedores de software que aquellas vinculaciones están funcionando correctamente.

Estamos investigando formas de proteger aún más contra la configuración incorrecta de RBAC de los usuarios con estos grupos y usuarios del sistema a través de la prevención y la detección.

¿Qué debo hacer?

Para evitar cualquier vinculación nueva de cluster-admin al usuario system:anonymous, grupo system:authenticated o grupo system:unauthenticated, los usuarios pueden actualizar a GKE v1.28 o posteriores (notas de la versión), en las que se bloquea la creación de esas vinculaciones.

Las vinculaciones existentes se deben revisar siguiendo esta guía.

Media

GKE en VMware

No hay actualizaciones por el momento.

GKE en AWS

No hay actualizaciones por el momento.

GKE en Azure

No hay actualizaciones por el momento.

GKE en Bare Metal

No hay actualizaciones por el momento.

GCP-2024-002

Fecha de publicación: 17/01/2024
Última actualización: 20/02/2024
Referencia: CVE-2023-6111

Actualización del 20/02/2024: Se agregaron versiones de parches para GKE en VMware.

GKE

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS.

  • CVE-2023-6111

Los clústeres de GKE Standard se ven afectados. Los clústeres de GKE Autopilot en la configuración predeterminada no se ven afectados, pero pueden ser vulnerables si estableces explícitamente el perfil Unconfined de seccomp o permites CAP_NET_ADMIN

Los clústeres que usan GKE Sandbox no se ven afectados.

¿Qué debo hacer?

Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones de parche o posterior:

  • 1.27.7-gke.1063001
  • 1.28.5-gke.1194000
  • 1.29.0-gke.1340000

Puedes aplicar versiones de parche desde canales de versiones más recientes si tu clúster ejecuta la misma versión secundaria en su propio canal de versiones. Esta función te permite proteger tus nodos hasta que la versión del parche se convierta en la predeterminada en tu canal de versiones. Para obtener más detalles, consulta Cómo ejecutar versiones de parche desde un canal más reciente.

Alta

GKE en VMware

Última actualización: 20-02-2024

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS.

  • CVE-2023-6111

¿Qué debo hacer?

Actualización del 20/02/2024: Las siguientes versiones de GKE en VMware se actualizan con código para corregir esta vulnerabilidad. Actualiza los clústeres a las siguientes versiones o más recientes: 1.28.100.


Pendiente

GKE en AWS

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS.

  • CVE-2023-6111

¿Qué debo hacer?

Pendiente

GKE en Azure

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS.

  • CVE-2023-6111

¿Qué debo hacer?

Pendiente

GKE en Bare Metal

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS.

  • CVE-2023-6111

¿Qué debo hacer?

No es necesario que realices ninguna acción. GKE en Bare Metal no se ve afectado, ya que no agrupa un sistema operativo en su distribución.

Ninguna

GCP-2023-051

Fecha de publicación: 28/12/2023
Referencia: CVE-2023-3609

GKE

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-3609

Los clústeres de GKE Standard se ven afectados. Los clústeres de GKE Autopilot en la configuración predeterminada no se ven afectados, pero pueden ser vulnerables si estableces explícitamente el perfil Unconfined de seccomp o permites CAP_NET_ADMIN.

Los clústeres que usan GKE Sandbox no se ven afectados.

¿Qué debo hacer?

Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones de parche o posterior:

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1014001
  • 1.27.3-gke.1001002
  • 1.28.0-gke.100

Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Ubuntu a una de las siguientes versiones de parche o versiones posteriores:

  • 1.24.14-gke.1027001
  • 1.26.5-gke.1021001
  • 1.27.3-gke.1001002

Puedes aplicar versiones de parche desde canales de versiones más recientes si tu clúster ejecuta la misma versión secundaria en su propio canal de versiones. Esta función te permite proteger tus nodos hasta que la versión del parche se convierta en la predeterminada en tu canal de versiones. Para obtener más detalles, consulta Cómo ejecutar versiones de parche desde un canal más reciente.

Alta

GKE en VMware

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-3609

¿Qué debo hacer?

Pendiente

GKE en AWS

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-3609

¿Qué debo hacer?

Pendiente

GKE en Azure

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-3609

¿Qué debo hacer?

Pendiente

GKE en Bare Metal

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-3609

¿Qué debo hacer?

No es necesario que realices ninguna acción. GKE en Bare Metal no se ve afectado, ya que no agrupa un sistema operativo en su distribución.

Ninguna

GCP-2023-050

Fecha de publicación: 27/12/2023
Referencia: CVE-2023-3389

GKE

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-3389

Los clústeres de GKE Standard y Autopilot se ven afectados.

Los clústeres que usan GKE Sandbox no se ven afectados.

¿Qué debo hacer?

Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones de parche o posterior:

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1014001
  • 1.27.3-gke.1001002
  • 1.28.0-gke.100

Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Ubuntu a una de las siguientes versiones de parche o versiones posteriores:

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1014001
  • 1.27.3-gke.1001002
  • 1.28.1-gke.1002003

Puedes aplicar versiones de parche desde canales de versiones más recientes si tu clúster ejecuta la misma versión secundaria en su propio canal de versiones. Esta función te permite proteger tus nodos hasta que la versión del parche se convierta en la predeterminada en tu canal de versiones. Para obtener más detalles, consulta Cómo ejecutar versiones de parche desde un canal más reciente.

Alta

GKE en VMware

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-3389

¿Qué debo hacer?

Pendiente

GKE en AWS

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-3389

¿Qué debo hacer?

Pendiente

GKE en Azure

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-3389

¿Qué debo hacer?

Pendiente

GKE en Bare Metal

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-3389

¿Qué debo hacer?

No es necesario que realices ninguna acción. GKE en Bare Metal no se ve afectado, ya que no agrupa un sistema operativo en su distribución.

Ninguna

GCP-2023-049

Fecha de publicación: 20/12/2023
Referencia: CVE-2023-3090

GKE

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-3090

Los clústeres de GKE Standard se ven afectados. Los clústeres de GKE Autopilot en la configuración predeterminada no se ven afectados, pero pueden ser vulnerables si estableces explícitamente el perfil Unconfined de seccomp o permites CAP_NET_ADMIN.

Los clústeres que usan GKE Sandbox no se ven afectados.

¿Qué debo hacer?

Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones de parche o posterior:

  • 1.24.14-gke.1027001
  • 1.25.12-gke.900
  • 1.26.5-gke.1014001
  • 1.27.4-gke.400
  • 1.28.0-gke.100

Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Ubuntu a una de las siguientes versiones de parche o versiones posteriores:

  • 1.24.14-gke.1027001
  • 1.25.12-gke.900
  • 1.26.5-gke.1014001
  • 1.27.4-gke.900
  • 1.28.1-gke.1050000

Puedes aplicar versiones de parche desde canales de versiones más recientes si tu clúster ejecuta la misma versión secundaria en su propio canal de versiones. Esta función te permite proteger tus nodos hasta que la versión del parche se convierta en la predeterminada en tu canal de versiones. Para obtener más detalles, consulta Cómo ejecutar versiones de parche desde un canal más reciente.

Alta

GKE en VMware

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-3090

¿Qué debo hacer?

Pendiente

GKE en AWS

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-3090

¿Qué debo hacer?

Pendiente

GKE en Azure

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-3090

¿Qué debo hacer?

Pendiente

GKE en Bare Metal

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-3090

¿Qué debo hacer?

No es necesario que realices ninguna acción. GKE en Bare Metal no se ve afectado, ya que no agrupa un sistema operativo en su distribución.

Ninguna

GCP-2023-048

Fecha de publicación: 15/12/2023
Última actualización: 21/12/2023
Referencia: CVE-2023-3390

Actualización del 21/12/2023: Aclara que los clústeres de GKE Autopilot en la configuración predeterminada no se verán afectados.

GKE

Última actualización: 21-12-2023

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-3390

Actualización del 21/12/2023: En el boletín original se indicaba que los clústeres de Autopilot se ven afectados, pero esto es incorrecto. Los clústeres de GKE Autopilot en la configuración predeterminada no se ven afectados, pero pueden ser vulnerables si configuras de forma explícita el perfil Unconfined de seccomp o permites CAP_NET_ADMIN.

Los clústeres de GKE Standard y Autopilot se ven afectados.

Los clústeres que usan GKE Sandbox no se ven afectados.

¿Qué debo hacer?

Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones de parche o posterior:

  • 1.27.4-gke.400
  • 1.28.0-gke.100

Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Ubuntu a una de las siguientes versiones de parche o versiones posteriores:

  • 1.24.14-gke.1027001
  • 1.25.12-gke.900
  • 1.26.5-gke.1014001
  • 1.27.4-gke.900
  • 1.28.1-gke.1050000

Puedes aplicar versiones de parche desde canales de versiones más recientes si tu clúster ejecuta la misma versión secundaria en su propio canal de versiones. Esta función te permite proteger tus nodos hasta que la versión del parche se convierta en la predeterminada en tu canal de versiones. Para obtener más detalles, consulta Cómo ejecutar versiones de parche desde un canal más reciente.

Alta

GKE en VMware

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-3390

¿Qué debo hacer?

Pendiente

GKE en AWS

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-3390

¿Qué debo hacer?

Pendiente

GKE en Azure

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-3390

¿Qué debo hacer?

Pendiente

GKE en Bare Metal

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-3390

¿Qué debo hacer?

No es necesario que realices ninguna acción. GKE en Bare Metal no se ve afectado, ya que no agrupa un sistema operativo en su distribución.

Ninguna

GCP-2023-047

Published: 14-12-2023

GKE

Descripción Gravedad

Un atacante que vulneró el contenedor de registro de Fluent Bit podría combinar ese acceso con los privilegios altos que requiere Anthos Service Mesh (en clústeres que lo habilitaron) para escalar los privilegios del clúster. Se mitigaron los problemas con Fluent Bit y Anthos Service Mesh, y ya hay correcciones disponibles. Estas vulnerabilidades no se pueden aprovechar por sí solas en GKE y requieren un compromiso inicial. No estamos al tanto de ningún caso de explotación de estas vulnerabilidades.

Estos problemas se informaron a través de nuestro Programa de recompensas por detección de vulnerabilidades.

¿Qué debo hacer?

Las siguientes versiones de GKE se actualizaron con código para corregir estas vulnerabilidades en Fluent Bit y para los usuarios de Anthos Service Mesh administrado. Por motivos de seguridad, incluso si tienes habilitada la actualización automática de nodos, te recomendamos que actualices de forma manual tu clúster y tus grupos de nodos a una de las siguientes versiones GKE o posteriores:

  • 1.25.16-gke.1020000
  • 1.26.10-gke.1235000
  • 1.27.7-gke.1293000
  • 1.28.4-gke.1083000

Una característica reciente de los canales de versiones te permite aplicar un parche sin tener que anular la suscripción a un canal. Esto te permite proteger tus nodos hasta que la nueva versión se convierta en la predeterminada para tu canal de versiones específico

Si tu clúster usa Anthos Service Mesh en el clúster, debes actualizar manualmente a una de las siguientes versiones (notas de la versión):

  • 1.17.8-asm.8
  • 1.18.6-asm.2
  • 1.19.5-asm.4

¿Qué vulnerabilidades trata este parche?

Las vulnerabilidades que se abordan en este boletín requieren que un atacante ponga en riesgo el contenedor de registro de Fluent Bit. No conocemos ninguna vulnerabilidad existente en Fluent Bit que pueda llevar a esta condición de requisito previo para la elevación de privilegios. Aplicamos parches a estas vulnerabilidades como medidas para endurecer una posible cadena de ataque completa en el futuro.

GKE usa Fluent Bit para procesar los registros de las cargas de trabajo que se ejecutan en clústeres. Fluent Bit en GKE también se configuró para recopilar registros de cargas de trabajo de Cloud Run. La activación de volumen configurada para recopilar esos registros otorgó acceso Fluent Bit a los tokens de la cuenta de servicio de Kubernetes para otros Pods que se ejecutan en el nodo. El investigador usó este acceso a fin de descubrir un token de cuenta de servicio con muchos privilegios para los clústeres que tienen habilitado Anthos Service Mesh.

Anthos Service Mesh requirió privilegios altos para realizar las modificaciones necesarias en la configuración de un clúster, incluida la capacidad de crear y borrar Pods. El investigador usó el token de cuenta de servicio de Kubernetes con privilegios de Anthos Service Mesh para escalar sus privilegios iniciales vulnerados mediante la creación de un Pod nuevo con privilegios de administrador de clúster.

Quitamos el acceso de Fluent Bit a los tokens de la cuenta de servicio y rediseñamos la funcionalidad de Anthos Service Mesh para quitar los privilegios excesivos.

Media

GKE en VMware

Descripción Gravedad

Solo se ven afectados los clústeres de GKE on VMware que usan Anthos Service Mesh.

¿Qué debo hacer?

Si tu clúster usa Anthos Service Mesh en el clúster, debes actualizar de forma manual a una de las siguientes versiones (notas de la versión):

  • 1.17.8-asm.8
  • 1.18.6-asm.2
  • 1.19.5-asm.4

¿Qué vulnerabilidades trata este parche?

Las vulnerabilidades que se abordan en este boletín requieren que un atacante primero comprometa o salga de un contenedor o tenga raíz en un nodo del clúster. No conocemos las vulnerabilidades existentes que podrían conducir a esta condición de requisito para la elevación de privilegios. Aplicamos parches a estas vulnerabilidades como medidas de endurecimiento para evitar una posible cadena de ataque completa en el futuro.

Anthos Service Mesh requirió privilegios altos para realizar las modificaciones necesarias en la configuración de un clúster, incluida la capacidad de crear y borrar Pods. El investigador usó el token de la cuenta de servicio de Kubernetes con privilegios de Anthos Service Mesh para escalar sus privilegios iniciales comprometidos mediante la creación de un Pod nuevo con privilegios de administrador de clúster.

Rediseñamos la funcionalidad de Anthos Service Mesh para quitar los privilegios excesivos.

Media

GKE en AWS

Descripción Gravedad

Solo se ven afectados los clústeres de GKE en AWS que usan Anthos Service Mesh.

¿Qué debo hacer?

Si tu clúster usa Anthos Service Mesh en el clúster, debes actualizar de forma manual a una de las siguientes versiones (notas de la versión):

  • 1.17.8-asm.8
  • 1.18.6-asm.2
  • 1.19.5-asm.4

¿Qué vulnerabilidades trata este parche?

Las vulnerabilidades que se abordan en este boletín requieren que un atacante primero comprometa o salga de un contenedor o tenga raíz en un nodo del clúster. No conocemos ninguna vulnerabilidad existente que conduzca a esta condición de requisito previo para la elevación de privilegios. Aplicamos parches a estas vulnerabilidades como medidas de endurecimiento para evitar una posible cadena de ataque completa en el futuro.

Anthos Service Mesh requirió privilegios altos para realizar las modificaciones necesarias en la configuración de un clúster, incluida la capacidad de crear y borrar Pods. El investigador usó el token de la cuenta de servicio de Kubernetes con privilegios de Anthos Service Mesh para escalar sus privilegios iniciales comprometidos mediante la creación de un Pod nuevo con privilegios de administrador de clúster.

Rediseñamos la funcionalidad de Anthos Service Mesh para quitar los privilegios excesivos.

Media

GKE en Azure

Descripción Gravedad

Solo se ven afectados los clústeres de GKE en Azure que usan Anthos Service Mesh.

¿Qué debo hacer?

Si tu clúster usa Anthos Service Mesh en el clúster, debes actualizar de forma manual a una de las siguientes versiones (notas de la versión):

  • 1.17.8-asm.8
  • 1.18.6-asm.2
  • 1.19.5-asm.4

¿Qué vulnerabilidades trata este parche?

Las vulnerabilidades que se abordan en este boletín requieren que un atacante primero comprometa o salga de un contenedor o tenga raíz en un nodo del clúster. No conocemos ninguna vulnerabilidad existente que conduzca a esta condición de requisito previo para la elevación de privilegios. Aplicamos parches a estas vulnerabilidades como medidas de refuerzo para evitar una posible cadena de ataque completa en el futuro.

Anthos Service Mesh requirió privilegios altos para realizar las modificaciones necesarias en la configuración de un clúster, incluida la capacidad de crear y borrar Pods. El investigador usó el token de la cuenta de servicio de Kubernetes con privilegios de Anthos Service Mesh para escalar sus privilegios iniciales comprometidos mediante la creación de un Pod nuevo con privilegios de administrador de clúster.

Rediseñamos la funcionalidad de Anthos Service Mesh para quitar los privilegios excesivos.

Media

GKE en Bare Metal

Descripción Gravedad

Solo se ven afectados los clústeres de GKE en Bare Metal que usen Anthos Service Mesh.

¿Qué debo hacer?

Si tu clúster usa Anthos Service Mesh en el clúster, debes actualizar de forma manual a una de las siguientes versiones (notas de la versión):

  • 1.17.8-asm.8
  • 1.18.6-asm.2
  • 1.19.5-asm.4

¿Qué vulnerabilidades trata este parche?

Las vulnerabilidades que se abordan en este boletín requieren que un atacante primero comprometa o salga de un contenedor o tenga raíz en un nodo del clúster. No conocemos ninguna vulnerabilidad existente que conduzca a esta condición de requisito previo para la elevación de privilegios. Aplicamos parches a estas vulnerabilidades como medidas de endurecimiento para evitar una posible cadena de ataque completa en el futuro.

Anthos Service Mesh requirió privilegios altos para realizar las modificaciones necesarias en la configuración de un clúster, incluida la capacidad de crear y borrar Pods. El investigador usó el token de la cuenta de servicio de Kubernetes con privilegios de Anthos Service Mesh para escalar sus privilegios iniciales comprometidos mediante la creación de un Pod nuevo con privilegios de administrador de clúster.

Rediseñamos la funcionalidad de Anthos Service Mesh para quitar los privilegios excesivos.

Media

GCP-2023-046

Fecha de publicación: 22/11/2023
Última actualización: 4/3/2024
Referencia: CVE-2023-5717

Actualización del 04/03/2024: Se agregaron versiones de GKE para GKE en VMware.

Actualización del 22/01/2024: Se agregaron versiones de parche de Ubuntu.

GKE

Updated: 22/01/2024

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-5717

Los clústeres de GKE Standard y Autopilot se ven afectados.

Los clústeres que usan GKE Sandbox no se ven afectados.

¿Qué debo hacer?

Actualización del 22/01/2024: Se ven afectadas las siguientes versiones secundarias. Actualiza tus grupos de nodos de Ubuntu a una de las siguientes versiones de parche o versiones posteriores:

  • 1.24.17-gke.2472000
  • 1.25.16-gke.1268000
  • 1.26.12-gke.1111000
  • 1.27.9-gke.1092000
  • 1.28.5-gke.1217000
  • 1.29.0-gke.138100

Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones de parche o posterior:

  • 1.24.17-gke.2113000
  • 1.25.14-gke.1421000
  • 1.25.15-gke.1083000
  • 1.26.10-gke.1073000
  • 1.27.7-gke.1088000
  • 1.28.3-gke.1203000

Puedes aplicar versiones de parche desde canales de versiones más recientes si tu clúster ejecuta la misma versión secundaria en su propio canal de versiones. Esta función te permite proteger tus nodos hasta que la versión del parche se convierta en la predeterminada en tu canal de versiones. Para obtener más detalles, consulta Cómo ejecutar versiones de parche desde un canal más reciente.

Alta

GKE en VMware

Última actualización: 29/02/2024

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-5717

¿Qué debo hacer?

Actualización del 04/03/2024: Las siguientes versiones de GKE en VMware se actualizan con código para corregir esta vulnerabilidad. Actualiza los clústeres a las siguientes versiones o versiones posteriores:

  • 1.28.200
  • 1.16.5
  • 1.15.8
Alta

GKE en AWS

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-5717

¿Qué debo hacer?

Pendiente

GKE en Azure

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-5717

¿Qué debo hacer?

Pendiente

GKE en Bare Metal

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-5717

¿Qué debo hacer?

No es necesario que realices ninguna acción. GKE en Bare Metal no se ve afectado, ya que no agrupa un sistema operativo en su distribución.

Ninguna

GCP-2023-045

Fecha de publicación: 20/11/2023
Última actualización: 21/12/2023
Referencia: CVE-2023-5197

Actualización del 21/12/2023: Aclara que los clústeres de GKE Autopilot en la configuración predeterminada no se verán afectados.

GKE

Última actualización: 21-12-2023

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-5197

Actualización del 21/12/2023: En el boletín original se indicaba que los clústeres de Autopilot se ven afectados, pero esto es incorrecto. Los clústeres de GKE Autopilot en la configuración predeterminada no se ven afectados, pero pueden ser vulnerables si configuras de forma explícita el perfil Unconfined de seccomp o permites CAP_NET_ADMIN.

Los clústeres de GKE Standard y Autopilot se ven afectados.

Los clústeres que usan GKE Sandbox no se ven afectados.

¿Qué debo hacer?

Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones de parche o posterior:

  • 1.25.13-gke.1002003
  • 1.26.9-gke.1514000
  • 1.27.6-gke.1513000
  • 1.28.2-gke.1164000

Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Ubuntu a una de las siguientes versiones de parche o versiones posteriores:

  • 1.24.16-gke.1005001
  • 1.25.13-gke.1002003
  • 1.26.9-gke.1548000
  • 1.27.7-gke.1039000
  • 1.28.3-gke.1061000

Puedes aplicar versiones de parche desde canales de versiones más recientes si tu clúster ejecuta la misma versión secundaria en su propio canal de versiones. Esta función te permite proteger tus nodos hasta que la versión del parche se convierta en la predeterminada en tu canal de versiones. Para obtener más detalles, consulta Cómo ejecutar versiones de parche desde un canal más reciente.

Alta

GKE en VMware

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-5197

¿Qué debo hacer?

Pendiente

GKE en AWS

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-5197

¿Qué debo hacer?

Pendiente

GKE en Azure

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-5197

¿Qué debo hacer?

Pendiente

GKE en Bare Metal

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-5197

¿Qué debo hacer?

No es necesario que realices ninguna acción. GKE en Bare Metal no se ve afectado, ya que no agrupa un sistema operativo en su distribución.

Ninguna

GCP-2023-042

Fecha de publicación: 13/11/2023
Última actualización: 15/11/2023
Referencia: CVE-2023-4147

Actualización del 15/11/2023: Se aclaró que solo las versiones secundarias indicadas deben actualizarse a una versión con parche correspondiente para GKE.

GKE

Actualizado: 15/11/2023

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-4147

Los clústeres de GKE Standard se ven afectados. Los clústeres de GKE Autopilot no se ven afectados.

Los clústeres que usan GKE Sandbox no se ven afectados.

¿Qué debo hacer?

Actualización del 15/11/2023: Solo necesitas actualizar a una de las versiones con parche que se enumeran en este boletín si usas esa versión secundaria en tus nodos. Por ejemplo, si usas la versión 1.27 de GKE, debes actualizar a la versión de parche correspondiente. Sin embargo, si usas la versión 1.24 de GKE, no es necesario que actualices a una versión con parche.


Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones o una posterior:

  • 1.27.5-gke.200
  • 1.28.2-gke.1157000

Actualiza los grupos de nodos de Ubuntu a una de las siguientes versiones o a una posterior:

  • 1.25.14-gke.1421000
  • 1.26.9-gke.1437000
  • 1.27.6-gke.1248000
  • 1.28.2-gke.1157000

Puedes aplicar versiones de parche desde canales de versiones más recientes si tu clúster ejecuta la misma versión secundaria en su propio canal de versiones. Esta función te permite proteger los nodos hasta que la versión de parche se convierte en la predeterminada en el canal de versiones. Para obtener más detalles, consulta Cómo ejecutar versiones de parche desde un canal más reciente.

Alta

GKE en VMware

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-4147

¿Qué debo hacer?

Pendiente

GKE en AWS

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-4147

¿Qué debo hacer?

Pendiente

GKE en Azure

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-4147

¿Qué debo hacer?

Pendiente

GKE en Bare Metal

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-4147

¿Qué debo hacer?

No es necesario que realices ninguna acción. GKE en Bare Metal no se ve afectado, ya que no agrupa un sistema operativo en su distribución.

Ninguna

GCP-2023-041

Fecha de publicación: 8/11/2023
Última actualización: 21/11/2023, 5/12/2023
Referencia: CVE-2023-4004

Actualización del 21/12/2023: Aclara que los clústeres de GKE Autopilot en la configuración predeterminada no se verán afectados.

Actualización del 05/12/2023: Se agregaron versiones adicionales de GKE para los grupos de nodos de Container-Optimized OS.

Actualización del 21/11/2023: Aclara que solo las versiones secundarias indicadas deben actualizarse a una versión de parche correspondiente para GKE.

GKE

Updated: 21-11-2023, 05-12-2023, 21-12-2023

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-4004

Actualización del 21/12/2023: En el boletín original se indicaba que los clústeres de Autopilot se ven afectados, pero esto es incorrecto. Los clústeres de GKE Autopilot en la configuración predeterminada no se ven afectados, pero pueden ser vulnerables si configuras de forma explícita el perfil Unconfined de seccomp o permites CAP_NET_ADMIN.

Los clústeres de Autopilot se ven afectados.

Los clústeres que usan GKE Sandbox no se ven afectados.

¿Qué debo hacer?

Actualización del 05/12/2023: Antes faltaban algunas versiones de GKE. A continuación, se muestra una lista actualizada de las versiones de GKE a las que puedes actualizar tu Container-Optimized OS:

  • 1.24.17-gke.200 o superior
  • 1.25.13-gke.200 o superior
  • 1.26.8-gke.200 o superior
  • 1.27.4-gke.2300 o superior
  • 1.28.1-gke.1257000 o superior

Actualización del 21/11/2023: Solo deberás actualizar a una de las versiones de parche que se muestran en este boletín si usas esa versión secundaria en tus nodos. Las versiones secundarias que no se incluyen en la lista no se ven afectadas.

Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones o una posterior:

  • 1.27.4-gke.2300
  • 1.28.1-gke.1257000

Actualiza los grupos de nodos de Ubuntu a una de las siguientes versiones o a una posterior:

  • 1.24.14-gke.1027001
  • 1.25.13-gke.700
  • 1.26.8-gke.700
  • 1.27.5-gke.700
  • 1.28.1-gke.1050000
Alta

GKE en VMware

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-4004

¿Qué debo hacer?

Pendiente

GKE en AWS

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-4004

¿Qué debo hacer?

Pendiente

GKE en Azure

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-4004

¿Qué debo hacer?

Pendiente

GKE en Bare Metal

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-4004

¿Qué debo hacer?

No es necesario que realices ninguna acción. GKE en Bare Metal no se ve afectado, ya que no agrupa un sistema operativo en su distribución.

Ninguna

GCP-2023-040

Fecha de publicación: 6/11/2023
Última actualización: 21/11/2023, 21/12/2023
Referencia: CVE-2023-4921

Actualización del 21/12/2023: Aclara que los clústeres de GKE Autopilot en la configuración predeterminada no se verán afectados.

Actualización del 21/11/2023: Aclara que solo las versiones secundarias indicadas deben actualizarse a una versión de parche correspondiente para GKE.

GKE

Última actualización: 21-11-2023, 21-12-2023

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-4921

Actualización del 21/12/2023: En el boletín original se indicaba que los clústeres de Autopilot se ven afectados, pero esto es incorrecto. Los clústeres de GKE Autopilot en la configuración predeterminada no se ven afectados, pero pueden ser vulnerables si configuras de forma explícita el perfil Unconfined de seccomp o permites CAP_NET_ADMIN.

Los clústeres de Autopilot se ven afectados.

Los clústeres que usan GKE Sandbox no se ven afectados.

¿Qué debo hacer?

Actualización del 21/11/2023: Solo deberás actualizar a una de las versiones de parche que se muestran en este boletín si usas esa versión secundaria en tus nodos. Las versiones secundarias que no se incluyen en la lista no se ven afectadas.

Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones o una posterior:

  • 1.24.14-gke.1027001
  • 1.25.14-gke.1351000
  • 1.26.9-gke.1345000
  • 1.27.6-gke.1389000

Actualiza los grupos de nodos de Ubuntu a una de las siguientes versiones o a una posterior:

  • 1.24.17-gke.2186000
  • 1.25.15-gke.1016000
  • 1.26.9-gke.1548000
  • 1.27.6-gke.1551000
  • 1.28.2-gke.1256000
Alta

GKE en VMware

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-4921

¿Qué debo hacer?

Pendiente

GKE en AWS

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-4921

¿Qué debo hacer?

Pendiente

GKE en Azure

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-4921

¿Qué debo hacer?

Pendiente

GKE en Bare Metal

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-4921

¿Qué debo hacer?

No es necesario que realices ninguna acción. GKE en Bare Metal no se ve afectado, ya que no agrupa un sistema operativo en su distribución.

Ninguna

GCP-2023-039

Fecha de publicación: 6/11/2023
Última actualización: 21/11/2023, 16/11/2023
Referencia: CVE-2023-4622

Actualización del 21/11/2023: Aclara que solo las versiones secundarias indicadas deben actualizarse a una versión de parche correspondiente para GKE.

Actualización del 16/11/2023: La vulnerabilidad asociada a este boletín de seguridad es CVE-2023-4622. CVE-2023-4623 se incluyó incorrectamente como vulnerabilidad en una versión anterior del boletín de seguridad.

GKE

Última actualización: 21-11-2023, 16-11-2023

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-4623

Los clústeres de Autopilot se ven afectados.

Los clústeres que usan GKE Sandbox no se ven afectados.

¿Qué debo hacer?

Actualización del 21/11/2023: Solo deberás actualizar a una de las versiones de parche que se muestran en este boletín si usas esa versión secundaria en tus nodos. Las versiones secundarias que no se incluyen en la lista no se ven afectadas.

Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones o una posterior:

  • 1.24.14-gke.1027001
  • 1.25.14-gke.1351000
  • 1.26.9-gke.1345000
  • 1.27.5-gke.1647000

Actualiza los grupos de nodos de Ubuntu a una de las siguientes versiones o a una posterior:

  • 1.24.17-gke.2186000
  • 1.25.15-gke.1016000
  • 1.26.9-gke.1548000
  • 1.27.6-gke.1551000
  • 1.28.2-gke.1256000
Alta

GKE en VMware

Última actualización: 16-11-2023

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-4623

¿Qué debo hacer?

Pendiente

GKE en AWS

Última actualización: 16-11-2023

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-4623

¿Qué debo hacer?

Pendiente

GKE en Azure

Última actualización: 16-11-2023

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-4623

¿Qué debo hacer?

Pendiente

GKE en Bare Metal

Última actualización: 16-11-2023

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-4623

¿Qué debo hacer?

No es necesario que realices ninguna acción. GKE en Bare Metal no se ve afectado, ya que no agrupa un sistema operativo en su distribución.

Ninguna

GCP-2023-038

Fecha de publicación: 6/11/2023
Última actualización: 21/11/2023, 21/12/2023
Referencia: CVE-2023-4623

Actualización del 21/12/2023: Aclara que los clústeres de GKE Autopilot en la configuración predeterminada no se verán afectados.

Actualización del 21/11/2023: Aclara que solo las versiones secundarias indicadas deben actualizarse a una versión de parche correspondiente para GKE.

GKE

Última actualización: 21-11-2023, 21-12-2023

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-4623

Actualización del 21/12/2023: En el boletín original se indicaba que los clústeres de Autopilot se ven afectados, pero esto es incorrecto. Los clústeres de GKE Autopilot en la configuración predeterminada no se ven afectados, pero pueden ser vulnerables si configuras de forma explícita el perfil Unconfined de seccomp o permites CAP_NET_ADMIN.

Los clústeres de Autopilot se ven afectados.

Los clústeres que usan GKE Sandbox no se ven afectados.

¿Qué debo hacer?

Actualización del 21/11/2023: Solo deberás actualizar a una de las versiones de parche que se muestran en este boletín si usas esa versión secundaria en tus nodos. Las versiones secundarias que no se incluyen en la lista no se ven afectadas.

Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones o una posterior:

  • 1.24.14-gke.1027001
  • 1.25.14-gke.1351000
  • 1.26.9-gke.1345000
  • 1.27.6-gke.1389000

Actualiza los grupos de nodos de Ubuntu a una de las siguientes versiones o a una posterior:

  • 1.24.17-gke.2186000
  • 1.25.15-gke.1016000
  • 1.26.9-gke.1548000
  • 1.27.6-gke.1551000
  • 1.28.2-gke.1256000
Alta

GKE en VMware

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-4623

¿Qué debo hacer?

Pendiente

GKE en AWS

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-4623

¿Qué debo hacer?

Pendiente

GKE en Azure

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-4623

¿Qué debo hacer?

Pendiente

GKE en Bare Metal

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-4623

¿Qué debo hacer?

No es necesario que realices ninguna acción. GKE en Bare Metal no se ve afectado, ya que no agrupa un sistema operativo en su distribución.

Ninguna

GCP-2023-037

Fecha de publicación: 6/11/2023
Última actualización: 21/11/2023, 21/12/2023
Referencia: CVE-2023-4015

Actualización del 21/12/2023: Aclara que los clústeres de GKE Autopilot en la configuración predeterminada no se verán afectados.

Actualización del 21/11/2023: Aclara que solo las versiones secundarias indicadas deben actualizarse a una versión de parche correspondiente para GKE.

GKE

Última actualización: 21-11-2023, 21-12-2023

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-4015

Actualización del 21/12/2023: En el boletín original se indicaba que los clústeres de Autopilot se ven afectados, pero esto es incorrecto. Los clústeres de GKE Autopilot en la configuración predeterminada no se ven afectados, pero pueden ser vulnerables si configuras de forma explícita el perfil Unconfined de seccomp o permites CAP_NET_ADMIN.

Los clústeres de Autopilot se ven afectados.

Los clústeres que usan GKE Sandbox no se ven afectados.

¿Qué debo hacer?

Actualización del 21/11/2023: Solo deberás actualizar a una de las versiones de parche que se muestran en este boletín si usas esa versión secundaria en tus nodos. Las versiones secundarias que no se incluyen en la lista no se ven afectadas.

Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones o una posterior:

  • 1.27.5-gke.1647000

Actualiza los grupos de nodos de Ubuntu a una de las siguientes versiones o a una posterior:

  • 1.24.14-gke.1027001
  • 1.25.13-gke.700
  • 1.26.8-gke.700
  • 1.27.5-gke.700
  • 1.28.1-gke.1050000
Alta

GKE en VMware

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-4015

¿Qué debo hacer?

Pendiente

GKE en AWS

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-4015

¿Qué debo hacer?

Pendiente

GKE en Azure

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-4015

¿Qué debo hacer?

Pendiente

GKE en Bare Metal

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-4015

¿Qué debo hacer?

No es necesario que realices ninguna acción. GKE en Bare Metal no se ve afectado, ya que no agrupa un sistema operativo en su distribución.

Ninguna

GCP-2023-035

Publicación: 26/10/2023
Última actualización: 21/11/2023, 21/12/2023
Referencia: CVE-2023-4206, CVE-2023-4207, CVE-2023-4208, CVE-2023-4128

Actualización del 21/12/2023: Aclara que los clústeres de GKE Autopilot en la configuración predeterminada no se verán afectados.

Actualización del 21/11/2023: Aclara que solo las versiones secundarias indicadas deben actualizarse a una versión de parche correspondiente para GKE.

GKE

Última actualización: 21-11-2023, 21-12-2023

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-4206
  • CVE-2023-4207
  • CVE-2023-4208
  • CVE-2023-4128

Actualización del 21/12/2023: En el boletín original se indicaba que los clústeres de Autopilot se ven afectados, pero esto es incorrecto. Los clústeres de GKE Autopilot en la configuración predeterminada no se ven afectados, pero pueden ser vulnerables si configuras de forma explícita el perfil Unconfined de seccomp o permites CAP_NET_ADMIN.

Los clústeres de Autopilot se ven afectados.

Los clústeres que usan GKE Sandbox no se ven afectados.

¿Qué debo hacer?

Actualización del 21/11/2023: Solo deberás actualizar a una de las versiones de parche que se muestran en este boletín si usas esa versión secundaria en tus nodos. Las versiones secundarias que no se incluyen en la lista no se ven afectadas.

Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones o una posterior:

  • 1.24.14-gke.1027001
  • 1.25.13-gke.1008000
  • 1.26.8-gke.1647000
  • 1.27.5-gke.200

Actualiza los grupos de nodos de Ubuntu a una de las siguientes versiones o a una posterior:

  • 1.24.14-gke.1027001
  • 1.25.13-gke.1706000
  • 1.26.8-gke.1647000
  • 1.27.5-gke.1648000
  • 1.28.1-gke.1050000
Alta

GKE en VMware

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-4206
  • CVE-2023-4207
  • CVE-2023-4208
  • CVE-2023-4128

¿Qué debo hacer?

Alta

GKE en AWS

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-4206
  • CVE-2023-4207
  • CVE-2023-4208
  • CVE-2023-4128

¿Qué debo hacer?

Alta

GKE en Azure

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-4206
  • CVE-2023-4207
  • CVE-2023-4208
  • CVE-2023-4128

¿Qué debo hacer?

Alta

GKE en Bare Metal

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-4206
  • CVE-2023-4207
  • CVE-2023-4208
  • CVE-2023-4128

¿Qué debo hacer?

No es necesario que realices ninguna acción. GKE en Bare Metal no se ve afectado, ya que no agrupa un sistema operativo en su distribución.

Alta

GCP-2023-033

Fecha de publicación: 24/10/2023
Última actualización: 21/11/2023, 21/12/2023
Referencia: CVE-2023-3777

Actualización del 21/12/2023: Aclara que los clústeres de GKE Autopilot en la configuración predeterminada no se verán afectados y las cargas de trabajo de GKE Sandbox no se verán afectadas.

Actualización del 21/11/2023: Aclara que solo las versiones secundarias indicadas deben actualizarse a una versión de parche correspondiente para GKE.

GKE

Última actualización: 21-11-2023, 21-12-2023

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-3777

Actualización del 21/12/2023: En el boletín original se indicaba que los clústeres de Autopilot se ven afectados, pero esto es incorrecto. Los clústeres de GKE Autopilot en la configuración predeterminada no se ven afectados, pero pueden ser vulnerables si configuras de forma explícita el perfil Unconfined de seccomp o permites CAP_NET_ADMIN. Las cargas de trabajo de GKE Sandbox tampoco se ven afectadas.

Los clústeres de Autopilot se ven afectados.

Los clústeres que usan GKE Sandbox se ven afectados.

¿Qué debo hacer?

Actualización del 21/11/2023: Solo deberás actualizar a una de las versiones de parche que se muestran en este boletín si usas esa versión secundaria en tus nodos. Las versiones secundarias que no se incluyen en la lista no se ven afectadas.

Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones o una posterior:

  • 1.24.16-gke.2200
  • 1.25.12-gke.2200
  • 1.26.7-gke.2200
  • 1.27.4-gke.2300

Actualiza los grupos de nodos de Ubuntu a una de las siguientes versiones o a una posterior:

  • 1.24.17-gke.700
  • 1.25.13-gke.700
  • 1.26.8-gke.700
  • 1.27.5-gke.700
  • 1.28.0-gke.100
Alta

GKE en VMware

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-3777

¿Qué debo hacer?

GKE en AWS

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-3777

¿Qué debo hacer?

GKE en Azure

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-3777

¿Qué debo hacer?

GKE en Bare Metal

Descripción Gravedad

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-3777

¿Qué debo hacer?

No es necesario que realices ninguna acción. GKE en Bare Metal no se ve afectado, ya que no agrupa un sistema operativo en su distribución.

GCP-2023-030

Publicado: 10-10-203
Actualizado: 14-02-2024
Referencia: CVE-2023-44487CVE-2023-39325

Actualización del 14/02/2024: Se agregaron versiones de parche para GKE en VMware
Actualización del 9/11/2023: Se agregó CVE-2023-39325. Se actualizaron las versiones de GKE con los parches más recientes para CVE-2023-44487 y CVE-2023-39325.

GKE

Última actualización: 09-11-2023

Descripción Gravedad

Recientemente, se descubrió una vulnerabilidad de denegación del servicio (DoS) en varias implementaciones del protocolo HTTP/2 (CVE-2023-44487), incluido el servidor HTTP golang que utiliza Kubernetes. La vulnerabilidad podría provocar un DoS del plano de control de Google Kubernetes Engine (GKE). Los clústeres de GKE con redes autorizadas configuradas se protegen cuando limita el acceso a la red, pero se ven afectados todos los demás clústeres.

¿Qué debo hacer?

Actualización del 9/11/2023: Lanzamos nuevas versiones de GKE que incluyen los parches de seguridad de Go y Kubernetes, con los que puedes actualizar tus clústeres ahora. En las próximas semanas, publicaremos cambios adicionales en el plano de control de GKE para mitigar aún más este problema.

Las siguientes versiones de GKE se actualizaron con parches para CVE-2023-44487 y CVE-2023-39325:

  • 1.24.17-gke.2155000
  • 1.25.14-gke.1474000
  • 1.26.10-gke.1024000
  • 1.27.7-gke.1038000
  • 1.28.3-gke.1090000

Te recomendamos que apliques la siguiente mitigación lo antes posible y que actualices a la versión con parche más reciente cuando esté disponible.

Los parches de Golang se lanzarán el 10 de octubre. Una vez que esté disponible, compilaremos y calificaremos un nuevo servidor de la API de Kubernetes con esos parches y realizaremos una versión con parche de GKE. Una vez que la versión de GKE esté disponible, actualizaremos este boletín con orientación sobre qué versión actualizar el plano de control y también haremos que los parches sean visibles en la postura de seguridad de GKE cuando estén disponibles para el clúster. Si quieres recibir una notificación de Pub/Sub cuando haya un parche disponible para tu canal, habilita las notificaciones del clúster.

Una característica reciente de los canales de versiones te permite aplicar un parche sin tener que anular la suscripción a un canal. Esto te permite proteger tus nodos hasta que la nueva versión se convierta en la predeterminada para tu canal de versiones específico.

Puedes reducir los efectos de este proceso configurando redes autorizadas para el acceso al plano de control:

Puedes agregar redes autorizadas para los clústeres existentes. Si quieres obtener más información, consulta Red autorizada para clústeres existentes.

Además de las redes autorizadas que agregas, existen direcciones IP predeterminadas que pueden acceder al plano de control de GKE. Para obtener más información sobre estas direcciones, consulta Acceso a los extremos del plano de control. Los siguientes elementos resumen el aislamiento del clúster:

  • Los clústeres privados con --master-authorized-networks y los clústeres basados en PSC con --master-authorized-networks y --no-enable-google-cloud configurados son los más aislados.
  • Los clústeres públicos heredados con --master-authorized-networks y clústeres basados en PSC con --master-authorized-networks y --enable-google-cloud (predeterminado) configurados también son accesibles mediante los siguientes servicios:
    • Direcciones IP públicas de todas las VMs de Compute Engine en Google Cloud
    • Direcciones IP de Google Cloud Platform

¿Qué vulnerabilidades trata este parche?

La vulnerabilidad, CVE-2023-44487, permite que un atacante ejecute un ataque de denegación del servicio en los nodos del plano de control de GKE.

Alta

GKE en VMware

Última actualización: 14-02-2024

Descripción Gravedad

Recientemente, se descubrió una vulnerabilidad de denegación del servicio (DoS) en varias implementaciones del protocolo HTTP/2 (CVE-2023-44487), incluido el servidor HTTP golang que utiliza Kubernetes. La vulnerabilidad podría provocar un DoS en el plano de control de Kubernetes. GKE en VMware crea clústeres de Kubernetes a los que no se puede acceder directamente a Internet de forma predeterminada y que están protegidos contra esta vulnerabilidad.

¿Qué debo hacer?

Actualización del 14/02/2024: Las siguientes versiones de GKE en VMware se actualizan con código para corregir esta vulnerabilidad. Actualiza los clústeres a las siguientes versiones de parche o versiones posteriores:

  • 1.28.100
  • 1.16.6
  • 1.15.8

Si configuraste tus clústeres de Kubernetes de GKE en VMware para tener acceso directo a Internet o a otras redes que no son de confianza, te recomendamos trabajar con tu administrador de firewall para bloquear o limitar ese acceso.

Te recomendamos que actualices a la versión más reciente del parche lo antes posible cuando esté disponible.

Los parches de Golang se lanzarán el 10 de octubre. Una vez que esté disponible, compilaremos y calificaremos un nuevo servidor de la API de Kubernetes con esos parches y realizaremos una versión con parche de GKE. Una vez que la versión de GKE esté disponible, actualizaremos este boletín con orientación para saber a qué versión actualizar el plano de control.

¿Qué vulnerabilidades trata este parche?

La vulnerabilidad, CVE-2023-44487, permite que un atacante ejecute un ataque de denegación del servicio en los nodos del plano de control de Kubernetes.

Alta

GKE en AWS

Descripción Gravedad

Recientemente, se descubrió una vulnerabilidad de denegación del servicio (DoS) en varias implementaciones del protocolo HTTP/2 (CVE-2023-44487), incluido el servidor HTTP golang que utiliza Kubernetes. La vulnerabilidad podría provocar un DoS en el plano de control de Kubernetes. GKE en AWS crea clústeres privados de Kubernetes a los que no se puede acceder directamente a través de Internet de forma predeterminada, y están protegidos de esta vulnerabilidad.

¿Qué debo hacer?

Si configuraste GKE en AWS para que tenga acceso directo a Internet o a otras redes no confiables, te recomendamos trabajar con tu administrador de firewall para bloquear o limitar ese acceso.

Te recomendamos que actualices a la versión más reciente del parche lo antes posible cuando esté disponible.

Los parches de Golang se lanzarán el 10 de octubre. Una vez que esté disponible, compilaremos y calificaremos un nuevo servidor de la API de Kubernetes con esos parches y realizaremos una versión con parche de GKE. Una vez que la versión de GKE esté disponible, actualizaremos este boletín con orientación para saber a qué versión actualizar el plano de control.

¿Qué vulnerabilidades trata este parche?

La vulnerabilidad, CVE-2023-44487, permite que un atacante ejecute un ataque de denegación del servicio en los nodos del plano de control de Kubernetes.

Alta

GKE en Azure

Descripción Gravedad

Recientemente, se descubrió una vulnerabilidad de denegación del servicio (DoS) en varias implementaciones del protocolo HTTP/2 (CVE-2023-44487), incluido el servidor HTTP golang que utiliza Kubernetes. La vulnerabilidad podría provocar un DoS en el plano de control de Kubernetes. GKE en Azure crea clústeres privados de Kubernetes a los que no se puede acceder directamente a través de Internet de forma predeterminada, y están protegidos de esta vulnerabilidad.

¿Qué debo hacer?

Si configuraste tus clústeres de GKE en Azure para tener acceso directo a Internet o a otras redes que no son de confianza, te recomendamos trabajar con tu administrador de firewall para bloquear o limitar ese acceso.

Te recomendamos que actualices a la versión más reciente del parche lo antes posible cuando esté disponible.

Los parches de Golang se lanzarán el 10 de octubre. Una vez que esté disponible, compilaremos y calificaremos un nuevo servidor de la API de Kubernetes con esos parches y realizaremos una versión con parche de GKE. Una vez que la versión de GKE esté disponible, actualizaremos este boletín con orientación para saber a qué versión actualizar el plano de control.

¿Qué vulnerabilidades trata este parche?

La vulnerabilidad, CVE-2023-44487, permite que un atacante ejecute un ataque de denegación del servicio en los nodos del plano de control de Kubernetes.

Alta

GKE en Bare Metal

Descripción Gravedad

Recientemente, se descubrió una vulnerabilidad de denegación del servicio (DoS) en varias implementaciones del protocolo HTTP/2 (CVE-2023-44487), incluido el servidor HTTP golang que utiliza Kubernetes. La vulnerabilidad podría provocar un DoS en el plano de control de Kubernetes. Anthos en Bare Metal crea clústeres de Kubernetes a los que no se puede acceder directamente a Internet de forma predeterminada y están protegidos contra esta vulnerabilidad.

¿Qué debo hacer?

Si configuraste tus clústeres de Kubernetes de Anthos alojado en Bare Metal para tener acceso directo a Internet o a otras redes que no sean de confianza, te recomendamos trabajar con tu administrador de firewall para bloquear o limitar ese acceso. Para obtener más información, consulta la Descripción general de seguridad de GKE en Bare Metal.

Te recomendamos que actualices a la versión más reciente del parche lo antes posible cuando esté disponible.

Los parches de Golang se lanzarán el 10 de octubre. Una vez que esté disponible, compilaremos y calificaremos un nuevo servidor de la API de Kubernetes con esos parches y realizaremos una versión con parche de GKE. Una vez que la versión de GKE esté disponible, actualizaremos este boletín con orientación para saber a qué versión actualizar el plano de control.

¿Qué vulnerabilidades trata este parche?

La vulnerabilidad, CVE-2023-44487, permite que un atacante ejecute un ataque de denegación del servicio en los nodos del plano de control de Kubernetes.

Alta

GCP-2023-026

Publicación: 06-09-2023
Referencia: CVE-2023-3676, CVE-2023-3955, CVE-2023-3893

GKE

Descripción Gravedad

Se descubrieron tres vulnerabilidades (CVE-2023-3676, CVE-2023-3955 y CVE-2023-3893) en Kubernetes, en las que un usuario que puede crear Pods en nodos de Windows puede escalar a privilegios de administrador en esos nodos. Estas vulnerabilidades afectan las versiones de Windows de Kubelet y el proxy de CSI de Kubernetes.

Los clústeres de GKE solo se ven afectados si incluyen nodos de Windows.

¿Qué debo hacer?

Las siguientes versiones de GKE se actualizaron con código para corregir esta vulnerabilidad. Por motivos de seguridad, incluso si tienes habilitada la actualización automática de nodos, te recomendamos que actualices de forma manual tus grupos de nodos a una de las siguientes versiones de GKE:

  • 1.24.17-gke.200
  • 1.25.13-gke.200
  • 1.26.8-gke.200
  • 1.27.5-gke.200
  • 1.28.1-gke.200

El plano de control de GKE se actualizará la semana del 4/9/2023 para actualizar el csi-proxy a la versión 1.1.3. Si actualizas los nodos antes de la actualización del plano de control, deberás volver a actualizarlos después de la actualización para aprovechar el proxy nuevo. Puedes volver a actualizar los nodos, incluso sin cambiar su versión, si ejecutas el comando gcloud container clusters upgrade y pasas la marca --cluster-version con la misma versión de GKE que el grupo de nodos ya ejecuta. Para esta solución alternativa, debes usar gcloud CLI. Ten en cuenta que esto provocará una actualización sin importar los períodos de mantenimiento.

Una característica reciente de los canales de versiones te permite aplicar un parche sin tener que anular la suscripción a un canal. Esto te permite proteger tus nodos hasta que la nueva versión se convierta en la predeterminada para tu canal de versiones específico.

¿Qué vulnerabilidades trata este parche?

Con CVE-2023-3676, un actor malicioso podría diseñar una especificación de Pod con cadenas de ruta de acceso del host que contengan comandos de PowerShell. A Kubelet le falta la limpieza de entrada y pasa esta cadena de ruta de acceso creada al ejecutor de comandos como un argumento en el que ejecutaría partes de la cadena como comandos separados. Estos comandos se ejecutarían con los mismos privilegios administrativos que Kubelet.

Con CVE-2023-3955, Kubelet otorga a los usuarios que pueden crear Pods la capacidad de ejecutar un código en el mismo nivel de permiso que el agente de Kubelet, permisos con privilegios.

Con CVE-2023-3893, una falta similar de limpieza de entrada permite que un usuario que puede crear Pods en los nodos de Windows que ejecutan kubernetes-csi-proxy realice la elevación a los privilegios de administrador en esos nodos.

Los registros de auditoría de Kubernetes se pueden usar para detectar si se está aprovechando esta vulnerabilidad. Los eventos de creación de Pods con comandos de PowerShell incorporados son un indicador claro de explotación. Los ConfigMaps y Secrets que contienen comandos de PowerShell incorporados y se activan en Pods también son un indicador claro de explotación.

Alta

GKE en VMware

Descripción Gravedad

Se descubrieron tres vulnerabilidades (CVE-2023-3676, CVE-2023-3955 y CVE-2023-3893) en Kubernetes, en las que un usuario que puede crear Pods en nodos de Windows puede escalar a privilegios de administrador en esos nodos. Estas vulnerabilidades afectan las versiones de Windows de Kubelet y el proxy de CSI de Kubernetes.

Los clústeres solo se ven afectados si incluyen nodos de Windows.

¿Qué debo hacer?

¿Qué vulnerabilidades trata este parche?

Con CVE-2023-3676, un actor malicioso podría diseñar una especificación de Pod con cadenas de ruta de acceso del host que contengan comandos de PowerShell. A Kubelet le falta la limpieza de entrada y pasa esta cadena de ruta de acceso creada al ejecutor de comandos como un argumento en el que ejecutaría partes de la cadena como comandos separados. Estos comandos se ejecutarían con los mismos privilegios administrativos que Kubelet.

Con CVE-2023-3955, Kubelet otorga a los usuarios que pueden crear Pods la capacidad de ejecutar un código en el mismo nivel de permiso que el agente de Kubelet, permisos con privilegios.

Con CVE-2023-3893, una falta similar de limpieza de entrada permite que un usuario que puede crear Pods en los nodos de Windows que ejecutan kubernetes-csi-proxy realice la elevación a los privilegios de administrador en esos nodos.

Los registros de auditoría de Kubernetes se pueden usar para detectar si se está aprovechando esta vulnerabilidad. Los eventos de creación de Pods con comandos de PowerShell incorporados son un indicador claro de explotación. Los ConfigMaps y los secretos que contienen comandos de PowerShell incorporados y que se activan en Pods también son un gran indicador de explotación.

Alta

GKE en AWS

Descripción Gravedad

Se descubrieron tres vulnerabilidades (CVE-2023-3676, CVE-2023-3955 y CVE-2023-3893) en Kubernetes, en las que un usuario que puede crear Pods en nodos de Windows puede escalar a privilegios de administrador en esos nodos. Estas vulnerabilidades afectan las versiones de Windows de Kubelet y el proxy de CSI de Kubernetes.

¿Qué debo hacer?

GKE on AWS no se ve afectado por estas CVE. No es necesario que realices ninguna acción.

Ninguna

GKE en Azure

Descripción Gravedad

Se descubrieron tres vulnerabilidades (CVE-2023-3676, CVE-2023-3955 y CVE-2023-3893) en Kubernetes, en las que un usuario que puede crear Pods en nodos de Windows puede escalar a privilegios de administrador en esos nodos. Estas vulnerabilidades afectan las versiones de Windows de Kubelet y el proxy de CSI de Kubernetes.

¿Qué debo hacer?

GKE en Azure no se ve afectado por estas CVE. No es necesario que realices ninguna acción.

Ninguna

GKE en Bare Metal

Descripción Gravedad

Se descubrieron tres vulnerabilidades (CVE-2023-3676, CVE-2023-3955 y CVE-2023-3893) en Kubernetes, en las que un usuario que puede crear Pods en nodos de Windows puede escalar a privilegios de administrador en esos nodos. Estas vulnerabilidades afectan las versiones de Windows de Kubelet y el proxy de CSI de Kubernetes.

¿Qué debo hacer?

GKE en Bare Metal no se ve afectado por estas CVE. No es necesario que realices ninguna acción.

Ninguna

GCP-2023-018

Publicación: 27-06-2023
Referencia: CVE-2023-2235

GKE

Descripción Gravedad

Se descubrió una nueva vulnerabilidad (CVE-2023-2235) en el kernel de Linux que puede provocar una elevación de privilegios en el nodo. Los clústeres de Autopilot de GKE se ven afectados porque los nodos de Autopilot de GKE siempre usan imágenes de nodo de Container-Optimized OS. Los clústeres de GKE Standard con versiones 1.25 o posteriores que ejecutan imágenes de nodo de Container-Optimized OS se ven afectados.

Los clústeres de GKE no se ven afectados si solo ejecutan imágenes de nodo de Ubuntu, ejecutan versiones anteriores a la 1.25 o usan GKE Sandbox.

¿Qué debo hacer?

Las siguientes versiones de GKE se actualizaron con código para corregir esta vulnerabilidad. Por motivos de seguridad, incluso si tienes habilitada la actualización automática de nodos, te recomendamos que actualices de forma manual tus clústeres y grupos de nodos a una de las siguientes versiones de GKE:

  • 1.25.9-gke.1400
  • 1.26.4-gke.1500
  • 1.27.1-gke.2400

Una característica reciente de los canales de versiones te permite aplicar un parche sin tener que anular la suscripción a un canal. Esto te permite proteger tus nodos hasta que la nueva versión se convierta en la predeterminada para tu canal de versiones específico.

¿Qué vulnerabilidades se abordan?

Con CVE-2023-2235, la función perf_group_detach no verificó el estado de los elementos del mismo nivel del evento antes de llamar a add_event_to_groups(), pero remove_on_exec permitió llamar a list_del_event() antes de desconectarlo de su grupo, lo que permitió usar un puntero colgante que causa una vulnerabilidad de uso después de la liberación.

Alta

GKE en VMware

Descripción Gravedad

Se descubrió una nueva vulnerabilidad (CVE-2023-2235) en el kernel de Linux que puede provocar una elevación de privilegios en el nodo. Los clústeres de GKE en VMware se ven afectados.

¿Qué debo hacer?

¿Qué vulnerabilidades se abordan?

Con CVE-2023-2235, la función perf_group_detach no verificó el estado de los elementos del mismo nivel del evento antes de llamar a add_event_to_groups(), pero remove_on_exec permitió llamar a list_del_event() antes de desconectarlo de su grupo, lo que permitió usar un puntero colgante que causa una vulnerabilidad de uso después de la liberación.

Alta

GKE en AWS

Descripción Gravedad

Se descubrió una nueva vulnerabilidad (CVE-2023-2235) en el kernel de Linux que puede provocar una elevación de privilegios en el nodo. Los clústeres de GKE en AWS se ven afectados.

¿Qué debo hacer?

¿Qué vulnerabilidades trata este parche?

Con CVE-2023-2235, la función perf_group_detach no verificó el estado de los elementos del mismo nivel del evento antes de llamar a add_event_to_groups(), pero remove_on_exec permitió llamar a list_del_event() antes de desconectarlo de su grupo, lo que permitió usar un puntero colgante que causa una vulnerabilidad de uso después de la liberación.

Alta

GKE en Azure

Descripción Gravedad

Se descubrió una nueva vulnerabilidad (CVE-2023-2235) en el kernel de Linux que puede provocar una elevación de privilegios en el nodo. Los clústeres de GKE on Azure se ven afectados.

¿Qué debo hacer?

¿Qué vulnerabilidades trata este parche?

Con CVE-2023-2235, la función perf_group_detach no verificó el estado de los elementos del mismo nivel del evento antes de llamar a add_event_to_groups(), pero remove_on_exec permitió llamar a list_del_event() antes de desconectarlo de su grupo, lo que permitió usar un puntero colgante que causa una vulnerabilidad de uso después de la liberación.

Alta

GKE en Bare Metal

Descripción Gravedad

Se descubrió una nueva vulnerabilidad (CVE-2023-2235) en el kernel de Linux que puede provocar una elevación de privilegios en el nodo.

Esta CVE no afecta a Google Distributed Cloud Virtual for Bare Metal.

¿Qué debo hacer?

No es necesario que realices ninguna acción.

Ninguna

GCP-2023-017

Publicado: 26-06-2023
Actualizado: 11-07-2023
Referencia: CVE-2023-31436

Actualización del 11/07/2023: Se actualizaron las versiones nuevas de GKE para incluir las versiones más recientes de Ubuntu que aplican parches a CVE-2023-31436.

GKE

Última actualización: 11-07-2023

Descripción Gravedad

Se descubrió una nueva vulnerabilidad (CVE-2023-31436) en el kernel de Linux que puede provocar una elevación de privilegios en el nodo. Se ven afectados los clústeres de GKE, incluidos los de Autopilot.

Los clústeres de GKE que usan GKE Sandbox no se ven afectados.

¿Qué debo hacer?

Actualización del 11/07/2023: Hay versiones de parche de Ubuntu disponibles.

Las siguientes versiones de GKE se actualizaron para incluir las versiones más recientes de Ubuntu que aplican parches a CVE-2023-31436:

  • 1.23.17-gke.8200
  • 1.24.14-gke.2600
  • 1.25.10-gke.2700
  • 1.26.5-gke.2700
  • 1.27.2-gke.2700

Las siguientes versiones de GKE se actualizaron con código para corregir esta vulnerabilidad. Por motivos de seguridad, incluso si tienes habilitada la actualización automática de nodos, te recomendamos que actualices de forma manual tus clústeres y grupos de nodos a una de las siguientes versiones de GKE:

  • 1.22.17-gke.11400
  • 1.23.17-gke.6800
  • 1.24.14-gke.1200
  • 1.25.10-gke.1200
  • 1.26.5-gke.1200
  • 1.27.2-gke.1200

Una característica reciente de los canales de versiones te permite aplicar un parche sin tener que anular la suscripción a un canal. Esto te permite proteger tus nodos hasta que la nueva versión se convierta en la predeterminada para tu canal de versiones específico.

¿Qué vulnerabilidades se abordan?

Con CVE-2023-31436, se encontró una falla de acceso a la memoria fuera de los límites en el subsistema de control de tráfico (QoS) del kernel de Linux en la forma en que un usuario activa la función qfq_change_class con un valor de MTU incorrecto del dispositivo de red utilizado como lmax. Esta falla permite que un usuario local falle o tenga la posibilidad de escalar sus privilegios en el sistema.

Alta

GKE en VMware

Descripción Gravedad

Se descubrió una nueva vulnerabilidad (CVE-2023-31436) en el kernel de Linux que puede provocar una elevación de privilegios en el nodo. Los clústeres de GKE en VMware se ven afectados.

¿Qué debo hacer?

¿Qué vulnerabilidades se abordan?

Con CVE-2023-31436, se encontró una falla de acceso a la memoria fuera de los límites en el subsistema de control de tráfico (QoS) del kernel de Linux en la forma en que un usuario activa la función qfq_change_class con un valor de MTU incorrecto del dispositivo de red utilizado como lmax. Esta falla permite que un usuario local falle o tenga la posibilidad de escalar sus privilegios en el sistema.

Alta

GKE en AWS

Descripción Gravedad

Se descubrió una nueva vulnerabilidad (CVE-2023-31436) en el kernel de Linux que puede provocar una elevación de privilegios en el nodo. Los clústeres de GKE en AWS se ven afectados.

¿Qué debo hacer?

¿Qué vulnerabilidades trata este parche?

Con CVE-2023-31436, se encontró una falla de acceso a la memoria fuera de los límites en el subsistema de control de tráfico (QoS) del kernel de Linux en la forma en que un usuario activa la función qfq_change_class con un valor de MTU incorrecto del dispositivo de red utilizado como lmax. Esta falla permite que un usuario local falle o tenga la posibilidad de escalar sus privilegios en el sistema.

Alta

GKE en Azure

Descripción Gravedad

Se descubrió una nueva vulnerabilidad (CVE-2023-31436) en el kernel de Linux que puede provocar una elevación de privilegios en el nodo. Los clústeres de GKE on Azure se ven afectados.

¿Qué debo hacer?

¿Qué vulnerabilidades trata este parche?

Con CVE-2023-31436, se encontró una falla de acceso a la memoria fuera de los límites en el subsistema de control de tráfico (QoS) del kernel de Linux en la forma en que un usuario activa la función qfq_change_class con un valor de MTU incorrecto del dispositivo de red utilizado como lmax. Esta falla permite que un usuario local falle o tenga la posibilidad de escalar sus privilegios en el sistema.

Alta

GKE en Bare Metal

Descripción Gravedad

Se descubrió una nueva vulnerabilidad (CVE-2023-31436) en el kernel de Linux que puede provocar una elevación de privilegios en el nodo.

Esta CVE no afecta a Google Distributed Cloud Virtual for Bare Metal.

¿Qué debo hacer?

No es necesario que realices ninguna acción.

Ninguna

GCP-2023-016

Fecha de publicación: 26-06-2023
Referencia: CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491CVE-2023-27487

GKE

Descripción Gravedad

Se descubrieron una serie de vulnerabilidades en Envoy, que se usa en Anthos Service Mesh (ASM). Se informaron por separado como GCP-2023-002.

GKE no se envía con ASM y no se ve afectado por estas vulnerabilidades.

¿Qué debo hacer?

Si instalaste ASM por separado para tus clústeres de GKE, consulta GCP-2023-002.

Ninguna

GKE en VMware

Descripción Gravedad

Se descubrieron diferentes vulnerabilidades (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487) en Envoy, que se usa en Anthos Service Mesh en GKE en VMware, lo que permite que un atacante malicioso provoque una denegación del servicio o una falla de Envoy. Estos se informaron por separado como GCP-2023-002, pero queremos asegurarnos de que los clientes de GKE Enterprise actualicen sus versiones que incluyan ASM.

¿Qué debo hacer?

Las siguientes versiones de GKE en VMware se actualizaron con código para corregir esta vulnerabilidad. Te recomendamos que actualices los clústeres de administrador y de usuario a una de las siguientes versiones de GKE on VMware:

  • 1.13.8
  • 1.14.5
  • 1.15.1

¿Qué vulnerabilidades trata este parche?

CVE-2023-27496: Si Envoy se ejecuta con el filtro OAuth habilitado expuesto, un actor malicioso podría crear una solicitud que provocaría la denegación del servicio mediante una falla de Envoy.

CVE-2023-27488: Los atacantes pueden usar esta vulnerabilidad para omitir las verificaciones de autenticación cuando se usa ext_authz.

CVE-2023-27493: La configuración de Envoy también debe incluir una opción para agregar encabezados de solicitud que se generaron con entradas de la solicitud, como el SAN del certificado de intercambio de tráfico.

CVE-2023-27492: Los atacantes pueden enviar grandes cuerpos de solicitudes para rutas que tienen el filtro Lua habilitado y activar fallas.

CVE-2023-27491: Los atacantes pueden enviar solicitudes HTTP/2 o HTTP/3 diseñadas específicamente para activar errores de análisis en el servicio upstream de HTTP/1.

CVE-2023-27487: El encabezado x-envoy-original-path debe ser interno, pero Envoy no lo quita de la solicitud al comienzo del procesamiento de la solicitud cuando se envía desde un cliente que no es de confianza.

Alta

GKE en AWS

Descripción Gravedad

Se descubrieron diferentes vulnerabilidades (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487) en Envoy, que se usa en Anthos Service Mesh. Se informaron por separado como GCP-2023-002.

GKE en AWS no se envía con ASM y no se ve afectado.

¿Qué debo hacer?

No es necesario que realices ninguna acción.

Ninguna

GKE en Azure

Descripción Gravedad

Se descubrieron diferentes vulnerabilidades (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487) en Envoy, que se usa en Anthos Service Mesh. Se informaron por separado como GCP-2023-002.

GKE on Azure no se envía con ASM y no se ve afectado.

¿Qué debo hacer?

No es necesario que realices ninguna acción.

Ninguna

GKE en Bare Metal

Descripción Gravedad

Se descubrieron diferentes vulnerabilidades (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487) en Envoy, que se usa en Anthos Service Mesh en GKE en Bare Metal, lo que permite que un atacante malicioso provoque una denegación del servicio o una falla de Envoy. Estos se informaron por separado como GCP-2023-002, pero queremos asegurarnos de que los clientes de GKE Enterprise actualicen sus versiones que incluyan ASM.

¿Qué debo hacer?

Las siguientes versiones de Anthos en Bare Metal se actualizaron con un código para corregir esta vulnerabilidad. Te recomendamos que actualices los clústeres de administrador y de usuario a una de las siguientes versiones de GKE en Bare Metal:

  • 1.13.9
  • 1.14.6
  • 1.15.2

¿Qué vulnerabilidades trata este parche?

CVE-2023-27496: Si Envoy se ejecuta con el filtro OAuth habilitado expuesto, un actor malicioso podría crear una solicitud que provocaría la denegación del servicio mediante una falla de Envoy.

CVE-2023-27488: Los atacantes pueden usar esta vulnerabilidad para omitir las verificaciones de autenticación cuando se usa ext_authz.

CVE-2023-27493: La configuración de Envoy también debe incluir una opción para agregar encabezados de solicitud que se generaron con entradas de la solicitud, como el SAN del certificado de intercambio de tráfico.

CVE-2023-27492: Los atacantes pueden enviar grandes cuerpos de solicitudes para rutas que tienen el filtro Lua habilitado y activar fallas.

CVE-2023-27491: Los atacantes pueden enviar solicitudes HTTP/2 o HTTP/3 diseñadas específicamente para activar errores de análisis en el servicio upstream de HTTP/1.

CVE-2023-27487: El encabezado x-envoy-original-path debe ser interno, pero Envoy no lo quita de la solicitud al comienzo del procesamiento de la solicitud cuando se envía desde un cliente que no es de confianza.

Alta

GCP-2023-015

Publicación: 20-06-2023
Referencia: CVE-2023-0468

GKE

Descripción Gravedad

Se descubrió una nueva vulnerabilidad (CVE-2023-0468) en la versión 5.15 del kernel de Linux que puede provocar una denegación del servicio en el nodo. Se ven afectados los clústeres de GKE, incluidos los de Autopilot.

Los clústeres de GKE que usan GKE Sandbox no se ven afectados.

¿Qué debo hacer?

Las siguientes versiones de GKE se actualizaron con código para corregir esta vulnerabilidad. Por motivos de seguridad, incluso si tienes habilitada la actualización automática de nodos, te recomendamos que actualices de forma manual tus clústeres y grupos de nodos a una de las siguientes versiones de GKE:

  • 1.25.7-gke.1200
  • 1.26.2-gke.1200

Una característica reciente de los canales de versiones te permite aplicar un parche sin tener que anular la suscripción a un canal. Esto te permite proteger tus nodos hasta que la nueva versión se convierta en la predeterminada para tu canal de versiones específico.

¿Qué vulnerabilidades se abordan?

En CVE-2023-0468, se encontró una falla de uso después de la liberación en io_uring/poll.c en io_poll_check_events en el subcomponente io_uring del kernel de Linux. Esta falla puede provocar una eliminación de referencia de puntero NULL y una posible falla del sistema que provoque la denegación del servicio.

Media

GKE en VMware

Descripción Gravedad

Se descubrió una nueva vulnerabilidad (CVE-2023-0468) en la versión 5.15 del kernel de Linux que puede provocar una denegación del servicio en el nodo.

GKE en VMware usa la versión 5.4 del kernel de Linux y no se ve afectado por esta CVE.

¿Qué debo hacer?

  • No se requiere ninguna acción
Ninguna

GKE en AWS

Descripción Gravedad

Se descubrió una nueva vulnerabilidad (CVE-2023-0468) en la versión 5.15 del kernel de Linux que puede provocar una denegación del servicio en el nodo.

GKE on AWS no se ve afectado por esta CVE.

¿Qué debo hacer?

  • No se requiere ninguna acción
Ninguna

GKE en Azure

Descripción Gravedad

Se descubrió una nueva vulnerabilidad (CVE-2023-0468) en la versión 5.15 del kernel de Linux que puede provocar una denegación del servicio en el nodo.

GKE en Azure no se ve afectado por esta CVE.

¿Qué debo hacer?

  • No se requiere ninguna acción
Ninguna

GKE en Bare Metal

Descripción Gravedad

Se descubrió una nueva vulnerabilidad (CVE-2023-0468) en la versión 5.15 del kernel de Linux que puede provocar una denegación del servicio en el nodo.

Esta CVE no afecta a Google Distributed Cloud Virtual for Bare Metal.

¿Qué debo hacer?

  • No se requiere ninguna acción
Ninguna

GCP-2023-014

Publicado: 15-06-2023
Actualizado: 11-08-2023
Referencia: CVE-2023-2727, CVE-2023-2728

Actualización del 11/08/2023: Se agregaron versiones de parche para GKE en VMware, GKE en AWS, GKE en Azure y GKE en Bare Metal.

GKE

Descripción Gravedad

Se descubrieron dos problemas de seguridad nuevos en Kubernetes en los que los usuarios pueden iniciar contenedores que eluden las restricciones de políticas cuando se utilizan contenedores efímeros y ImagePolicyWebhook (CVE-2023-2727) o el complemento de admisión ServiceAccount (CVE-2023-2728).

GKE no usa ImagePolicyWebhook y no se ve afectado por CVE-2023-2727.

Todas las versiones de GKE son potencialmente vulnerables a CVE-2023-2728.

¿Qué debo hacer?

Las siguientes versiones de GKE se actualizaron con código para corregir esta vulnerabilidad. Por motivos de seguridad, incluso si tienes habilitada la actualización automática de nodos, te recomendamos que actualices de forma manual tus clústeres y grupos de nodos a una de las siguientes versiones de GKE:

  • 1.27.2-gke.1200
  • 1.26.5-gke.1200
  • 1.25.10-gke.1200
  • 1.24.14-gke.1200
  • 1.23.17-gke.6800

Una característica reciente de los canales de versiones te permite aplicar un parche sin tener que anular la suscripción a un canal. Esto te permite proteger tus nodos hasta que la nueva versión se convierta en la predeterminada para tu canal de versiones específico.

¿Qué vulnerabilidades se abordan?

Con CVE-2023-2727, los usuarios pueden iniciar contenedores con imágenes restringidas por ImagePolicyWebhook cuando se usan contenedores efímeros. Los clústeres de Kubernetes solo se ven afectados si el complemento de admisión ImagePolicyWebhook se usa junto con contenedores efímeros. Esta CVE también se puede mitigar mediante el uso de webhooks de validación, como Gatekeeper y Kyverno, para aplicar las mismas restricciones.

En CVE-2023-2728, los usuarios pueden iniciar contenedores que eluden la política de secretos activables aplicada por el complemento de admisión ServiceAccount cuando se usan contenedores efímeros. La política garantiza que los Pods que se ejecutan con una cuenta de servicio solo puedan hacer referencia a secretos especificados en el campo de secretos de la cuenta de servicio. Esta vulnerabilidad afecta los clústeres en los siguientes casos:

  • Se usa el complemento de admisión ServiceAccount.
  • Una cuenta de servicio usa la anotación kubernetes.io/enforce-mountable-secrets. Esta anotación no se agrega de forma predeterminada.
  • Los Pods usan contenedores efímeros.
Media

GKE en VMware

Última actualización: 11-08-2023

Descripción Gravedad

Se descubrieron dos problemas de seguridad nuevos en Kubernetes en los que los usuarios podrían iniciar contenedores que omiten las restricciones de políticas cuando se usan contenedores efímeros y ImagePolicyWebhook (CVE-2023-2727) o el complemento de admisión de ServiceAccount (CVE-2023-2728) Anthos en VMware no usa ImagePolicyWebhook y no se ve afectado por CVE-2023-2727.

Todas las versiones de Anthos en VMware son potencialmente vulnerables a la CVE-2023-2728.

¿Qué debo hacer?

Actualización del 11/08/2023: Las siguientes versiones de GKE en VMware se actualizaron con código para corregir esta vulnerabilidad. Actualiza los clústeres de administrador y de usuario a una de las siguientes versiones de GKE on VMware:

  • 1.13.10
  • 1.14.6
  • 1.15.3

¿Qué vulnerabilidades se abordan?

Con CVE-2023-2727, los usuarios pueden iniciar contenedores con imágenes restringidas por ImagePolicyWebhook cuando se usan contenedores efímeros. Los clústeres de Kubernetes solo se ven afectados si el complemento de admisión ImagePolicyWebhook se usa junto con contenedores efímeros. Esta CVE también se puede mitigar mediante el uso de webhooks de validación, como Gatekeeper y Kyverno, para aplicar las mismas restricciones.

En CVE-2023-2728, los usuarios pueden iniciar contenedores que eluden la política de secretos activables aplicada por el complemento de admisión ServiceAccount cuando se usan contenedores efímeros. La política garantiza que los Pods que se ejecutan con una cuenta de servicio solo puedan hacer referencia a secretos especificados en el campo de secretos de la cuenta de servicio. Esta vulnerabilidad afecta los clústeres en los siguientes casos:

  • Se usa el complemento de admisión ServiceAccount.
  • Una cuenta de servicio usa la anotación kubernetes.io/enforce-mountable-secrets. Esta anotación no se agrega de forma predeterminada.
  • Los Pods usan contenedores efímeros.
Media

GKE en AWS

Última actualización: 11-08-2023

Descripción Gravedad

Se descubrieron dos problemas de seguridad nuevos en Kubernetes en los que los usuarios podrían iniciar contenedores que omiten las restricciones de políticas cuando se usan contenedores efímeros y ImagePolicyWebhook (CVE-2023-2727) o el complemento de admisión de ServiceAccount (CVE-2023-2728)
Anthos en AWS no usa ImagePolicyWebhook y no se ve afectado por la CVE-2023-2727.
Todas las versiones de Anthos en AWS son potencialmente vulnerables a la CVE-2023-2728.

¿Qué debo hacer?

Actualización del 11/08/2023: La siguiente versión de GKE en AWS se actualizó con código para corregir esta vulnerabilidad. Actualiza tus nodos a la siguiente versión de GKE en AWS:

  • 1.15.2

¿Qué vulnerabilidades se abordan?

Con CVE-2023-2727, los usuarios pueden iniciar contenedores con imágenes restringidas por ImagePolicyWebhook cuando se usan contenedores efímeros. Los clústeres de Kubernetes solo se ven afectados si el complemento de admisión ImagePolicyWebhook se usa junto con contenedores efímeros. Esta CVE también se puede mitigar mediante el uso de webhooks de validación, como Gatekeeper y Kyverno, para aplicar las mismas restricciones.

En CVE-2023-2728, los usuarios pueden iniciar contenedores que eluden la política de secretos activables aplicada por el complemento de admisión ServiceAccount cuando se usan contenedores efímeros. La política garantiza que los Pods que se ejecutan con una cuenta de servicio solo puedan hacer referencia a secretos especificados en el campo de secretos de la cuenta de servicio. Esta vulnerabilidad afecta los clústeres en los siguientes casos:

  • Se usa el complemento de admisión ServiceAccount.
  • Una cuenta de servicio usa la anotación kubernetes.io/enforce-mountable-secrets. Esta anotación no se agrega de forma predeterminada.
  • Los Pods usan contenedores efímeros.
Media

GKE en Azure

Última actualización: 11-08-2023

Descripción Gravedad

Se descubrieron dos problemas de seguridad nuevos en Kubernetes en los que los usuarios podrían iniciar contenedores que omiten las restricciones de políticas cuando se usan contenedores efímeros y ImagePolicyWebhook (CVE-2023-2727) o el complemento de admisión de ServiceAccount (CVE-2023-2728)
Anthos en Azure no usa ImagePolicyWebhook y no se ve afectado por la CVE-2023-2727.
Todas las versiones de Anthos en Azure pueden ser vulnerables a la CVE-2023-2728.

¿Qué debo hacer?

Actualización del 11/08/2023: La siguiente versión de GKE en Azure se actualizó con código para corregir esta vulnerabilidad. Actualiza tus nodos a la siguiente versión de GKE en Azure:

  • 1.15.2

¿Qué vulnerabilidades se abordan?

Con CVE-2023-2727, los usuarios pueden iniciar contenedores con imágenes restringidas por ImagePolicyWebhook cuando se usan contenedores efímeros. Los clústeres de Kubernetes solo se ven afectados si el complemento de admisión ImagePolicyWebhook se usa junto con contenedores efímeros. Esta CVE también se puede mitigar mediante el uso de webhooks de validación, como Gatekeeper y Kyverno, para aplicar las mismas restricciones.

En CVE-2023-2728, los usuarios pueden iniciar contenedores que eluden la política de secretos activables aplicada por el complemento de admisión ServiceAccount cuando se usan contenedores efímeros. La política garantiza que los Pods que se ejecutan con una cuenta de servicio solo puedan hacer referencia a secretos especificados en el campo de secretos de la cuenta de servicio. Esta vulnerabilidad afecta los clústeres en los siguientes casos:

  • Se usa el complemento de admisión ServiceAccount.
  • Una cuenta de servicio usa la anotación kubernetes.io/enforce-mountable-secrets. Esta anotación no se agrega de forma predeterminada.
  • Los Pods usan contenedores efímeros.
Media

GKE en Bare Metal

Última actualización: 11-08-2023

Descripción Gravedad

Se descubrieron dos problemas de seguridad nuevos en Kubernetes en los que los usuarios podrían iniciar contenedores que omiten las restricciones de políticas cuando se usan contenedores efímeros y ImagePolicyWebhook (CVE-2023-2727) o el complemento de admisión de ServiceAccount (CVE-2023-2728)
Anthos en Bare Metal no usa ImagePolicyWebhook y no se ve afectado por la CVE-2023-2727.
Todas las versiones de Anthos en Bare Metal son potencialmente vulnerables a CVE-2023-2728.

¿Qué debo hacer?

Actualización del 11/08/2023: Las siguientes versiones de Google Distributed Cloud Virtual for Bare Metal se actualizaron con código para corregir esta vulnerabilidad. Actualiza tus nodos a una de las siguientes versiones de Google Distributed Cloud Virtual for Bare Metal:

  • 1.13.9
  • 1.14.7
  • 1.15.3

¿Qué vulnerabilidades se abordan?

Con CVE-2023-2727, los usuarios pueden iniciar contenedores con imágenes restringidas por ImagePolicyWebhook cuando se usan contenedores efímeros. Los clústeres de Kubernetes solo se ven afectados si el complemento de admisión ImagePolicyWebhook se usa junto con contenedores efímeros. Esta CVE también se puede mitigar mediante el uso de webhooks de validación, como Gatekeeper y Kyverno, para aplicar las mismas restricciones.

En CVE-2023-2728, los usuarios pueden iniciar contenedores que eluden la política de secretos activables aplicada por el complemento de admisión ServiceAccount cuando se usan contenedores efímeros. La política garantiza que los Pods que se ejecutan con una cuenta de servicio solo puedan hacer referencia a secretos especificados en el campo de secretos de la cuenta de servicio. Esta vulnerabilidad afecta los clústeres en los siguientes casos:

  • Se usa el complemento de admisión ServiceAccount.
  • Una cuenta de servicio usa la anotación kubernetes.io/enforce-mountable-secrets. Esta anotación no se agrega de forma predeterminada.
  • Los Pods usan contenedores efímeros.
Media

GCP-2023-009

Publicado: 06-06-2023
Referencia: CVE-2023-2878

GKE

Descripción Gravedad

Se descubrió una nueva vulnerabilidad (CVE-2023-2878) en secret-store-csi-driver, en la que un atacante con acceso a los registros del controlador pudo observar tokens de cuentas de servicio. Estos tokens podrían intercambiarse potencialmente con proveedores de servicios en la nube externos para acceder a secretos almacenados en soluciones de Cloud Vault.

Esta CVE no afecta a GKE.

¿Qué debo hacer?

Aunque GKE no se ve afectado, debes actualizar la instalación con una versión con parche si instalaste el componente secrets-store-csi-driver.

¿Qué vulnerabilidades trata este parche?

La vulnerabilidad, CVE-2023-2878, se descubrió en secret-store-csi-driver, donde un atacante con acceso a los registros del controlador podía observar tokens de cuentas de servicio. Estos tokens podrían intercambiarse potencialmente con proveedores de servicios en la nube externos para acceder a secretos almacenados en soluciones de Cloud Vault. Los tokens solo se registran cuando se configura TokenRequests en el objeto CSIDriver y el controlador está configurado para ejecutarse en el nivel de registro 2 o superior mediante la marca -v.

Ninguna

GKE en VMware

Descripción Gravedad

Se descubrió una nueva vulnerabilidad (CVE-2023-2878) en secret-store-csi-driver, en la que un atacante con acceso a los registros del controlador pudo observar tokens de cuentas de servicio. Estos tokens podrían intercambiarse potencialmente con proveedores de servicios en la nube externos para acceder a secretos almacenados en soluciones de Cloud Vault.

GKE en VMware no se ve afectado por esta CVE.

¿Qué debo hacer?

Si bien GKE en VMware no se ve afectado, si instalaste el componente Secrets-store-csi-driver, debes actualizar la instalación con una versión con parche.

¿Qué vulnerabilidades trata este parche?

La vulnerabilidad, CVE-2023-2878, se descubrió en secret-store-csi-driver, donde un atacante con acceso a los registros del controlador podía observar tokens de cuentas de servicio. Estos tokens podrían intercambiarse potencialmente con proveedores de servicios en la nube externos para acceder a secretos almacenados en soluciones de Cloud Vault. Los tokens solo se registran cuando se configura TokenRequests en el objeto CSIDriver y el controlador está configurado para ejecutarse en el nivel de registro 2 o superior mediante la marca -v.

Ninguna

GKE en AWS

Descripción Gravedad

Se descubrió una nueva vulnerabilidad (CVE-2023-2878) en secret-store-csi-driver, en la que un atacante con acceso a los registros del controlador pudo observar tokens de cuentas de servicio. Estos tokens podrían intercambiarse potencialmente con proveedores de servicios en la nube externos para acceder a secretos almacenados en soluciones de Cloud Vault.

GKE on AWS no se ve afectado por esta CVE.

¿Qué debo hacer?

Si bien GKE en AWS no se ve afectado, si instalaste el componente secrets-store-csi-driver, debes actualizar la instalación con una versión con parche.

¿Qué vulnerabilidades trata este parche?

La vulnerabilidad, CVE-2023-2878, se descubrió en secret-store-csi-driver, donde un atacante con acceso a los registros del controlador podía observar tokens de cuentas de servicio. Estos tokens podrían intercambiarse potencialmente con proveedores de servicios en la nube externos para acceder a secretos almacenados en soluciones de Cloud Vault. Los tokens solo se registran cuando se configura TokenRequests en el objeto CSIDriver y el controlador está configurado para ejecutarse en el nivel de registro 2 o superior mediante la marca -v.

Ninguna

GKE en Azure

Descripción Gravedad

Se descubrió una nueva vulnerabilidad (CVE-2023-2878) en secret-store-csi-driver, en la que un atacante con acceso a los registros del controlador pudo observar tokens de cuentas de servicio. Estos tokens podrían intercambiarse potencialmente con proveedores de servicios en la nube externos para acceder a secretos almacenados en soluciones de Cloud Vault.

GKE en Azure no se ve afectado por esta CVE

¿Qué debo hacer?

Si bien GKE en Azure no se ve afectado, si instalaste el componente secrets-store-csi-driver, deberías actualizar la instalación con una versión con parche.

¿Qué vulnerabilidades trata este parche?

La vulnerabilidad, CVE-2023-2878, se descubrió en secret-store-csi-driver, donde un atacante con acceso a los registros del controlador podía observar tokens de cuentas de servicio. Estos tokens podrían intercambiarse potencialmente con proveedores de servicios en la nube externos para acceder a secretos almacenados en soluciones de Cloud Vault. Los tokens solo se registran cuando se configura TokenRequests en el objeto CSIDriver y el controlador está configurado para ejecutarse en el nivel de registro 2 o superior mediante la marca -v.

Ninguna

GKE en Bare Metal

Descripción Gravedad

Se descubrió una nueva vulnerabilidad (CVE-2023-2878) en secret-store-csi-driver, en la que un atacante con acceso a los registros del controlador pudo observar tokens de cuentas de servicio. Estos tokens podrían intercambiarse potencialmente con proveedores de servicios en la nube externos para acceder a secretos almacenados en soluciones de Cloud Vault.

GKE en Bare Metal no se ve afectado por esta CVE.

¿Qué debo hacer?

Aunque GKE en Bare Metal no se ve afectado, si instalaste el componente secrets-store-csi-driver, debes actualizar la instalación con una versión con parche.

¿Qué vulnerabilidades trata este parche?

La vulnerabilidad, CVE-2023-2878, se descubrió en secret-store-csi-driver, donde un atacante con acceso a los registros del controlador podía observar tokens de cuentas de servicio. Estos tokens podrían intercambiarse potencialmente con proveedores de servicios en la nube externos para acceder a secretos almacenados en soluciones de Cloud Vault. Los tokens solo se registran cuando se configura TokenRequests en el objeto CSIDriver y el controlador está configurado para ejecutarse en el nivel de registro 2 o superior mediante la marca -v.

Ninguna

GCP-2023-008

Publicado: 05-06-2023
Referencia: CVE-2023-1872

GKE

Descripción Gravedad

Se descubrió una nueva vulnerabilidad (CVE-2023-1872) en el kernel de Linux que puede conducir a una elevación de privilegios a la raíz en el nodo. Los clústeres de GKE Standard y Autopilot se ven afectados.

Los clústeres que usan GKE Sandbox no se ven afectados.

¿Qué debo hacer?

Las siguientes versiones de GKE se actualizaron con código para corregir esta vulnerabilidad. Por motivos de seguridad, incluso si tienes habilitada la actualización automática de nodos, te recomendamos que actualices de forma manual tus clústeres y grupos de nodos a una de las siguientes versiones de GKE:

  • 1.22.17-gke.11400
  • 1.23.17-gke.5600
  • 1.24.13-gke.2500
  • 1.25.9-gke.2300
  • 1.26.5-gke.1200

Una característica reciente de los canales de versiones te permite aplicar un parche sin tener que anular la suscripción a un canal. Esto te permite proteger tus nodos hasta que la nueva versión se convierta en la predeterminada para tu canal de versiones específico.

¿Qué vulnerabilidades trata este parche?

CVE-2023-1872 es una vulnerabilidad de uso después de la liberación del subsistema io_uring del kernel de Linux que se puede explotar para lograr la elevación de privilegios local. La función io_file_get_fixed carece de la presencia de ctx->uring_lock, lo que puede generar una vulnerabilidad de uso después de la liberación debido a una condición de carrera en la que se anuló el registro de los archivos corregidos.

Alta

GKE en VMware

Descripción Gravedad

Se descubrió una nueva vulnerabilidad (CVE-2023-1872) en el kernel de Linux que puede conducir a una elevación de privilegios a la raíz en el nodo.

¿Qué debo hacer?

¿Qué vulnerabilidades trata este parche?

CVE-2023-1872 es una vulnerabilidad de uso después de la liberación del subsistema io_uring del kernel de Linux que se puede explotar para lograr la elevación de privilegios local. La función io_file_get_fixed carece de la presencia de ctx->uring_lock, lo que puede generar una vulnerabilidad de uso después de la liberación debido a una condición de carrera en la que se anuló el registro de los archivos corregidos.

Alta

GKE en AWS

Descripción Gravedad

Se descubrió una nueva vulnerabilidad (CVE-2023-1872) en el kernel de Linux que puede conducir a una elevación de privilegios a la raíz en el nodo.

¿Qué debo hacer?

Las siguientes versiones de GKE en AWS se actualizaron con un código que corrige estas vulnerabilidades:

  • 1.15.1
  • ¿Qué vulnerabilidades trata este parche?

    CVE-2023-1872 es una vulnerabilidad de uso después de la liberación del subsistema io_uring del kernel de Linux que se puede explotar para lograr la elevación de privilegios local. La función io_file_get_fixed carece de la presencia de ctx->uring_lock, lo que puede generar una vulnerabilidad de uso después de la liberación debido a una condición de carrera en la que se anuló el registro de los archivos corregidos.

    Alta

    GKE en Azure

    Descripción Gravedad

    Se descubrió una nueva vulnerabilidad (CVE-2023-1872) en el kernel de Linux que puede conducir a una elevación de privilegios a la raíz en el nodo.

    ¿Qué debo hacer?

    Las siguientes versiones de GKE en Azure se actualizaron con un código que corrige estas vulnerabilidades:

  • 1.15.1
  • ¿Qué vulnerabilidades trata este parche?

    CVE-2023-1872 es una vulnerabilidad de uso después de la liberación del subsistema io_uring del kernel de Linux que se puede explotar para lograr la elevación de privilegios local. La función io_file_get_fixed carece de la presencia de ctx->uring_lock, lo que puede generar una vulnerabilidad de uso después de la liberación debido a una condición de carrera en la que se anuló el registro de los archivos corregidos.

    Alta

    GKE en Bare Metal

    Descripción Gravedad

    Se descubrió una nueva vulnerabilidad (CVE-2023-1872) en el kernel de Linux que puede conducir a una elevación de privilegios a la raíz en el nodo.

    GKE en Bare Metal no se ve afectado por esta CVE.

    ¿Qué debo hacer?

    No se requiere ninguna acción.

    Ninguna

    GCP-2023-005

    Publicado: 18-05-2023
    Actualizado: 06-06-2023
    Referencia: CVE-2023-1281, CVE-2023-1829

    Actualización del 06/06/2023: Se actualizaron las nuevas versiones de GKE para incluir las versiones más recientes de Ubuntu que aplican parches a CVE-2023-1281 y CVE-2023-1829.

    GKE

    Última actualización: 06-06-2023

    Descripción Gravedad

    Se descubrieron dos nuevas vulnerabilidades (CVE-2023-1281, CVE-2023-1829) en el kernel de Linux que pueden conducir a una elevación de privilegios al nodo raíz. Los clústeres de GKE Standard se ven afectados.

    Los clústeres de GKE Autopilot y los clústeres que usan GKE Sandbox no se ven afectados.

    ¿Qué debo hacer?

    Actualización del 06/06/2023: Hay versiones de parche de Ubuntu disponibles.

    Las siguientes versiones de GKE se actualizaron para incluir las versiones más recientes de Ubuntu que aplican parches a CVE-2023-1281 y CVE-2023-1829:

    • 1.23.17-gke.6800
    • 1.24.14-gke.1200
    • 1.25.10-gke.1200
    • 1.26.5-gke.1200

    Las siguientes versiones de GKE se actualizaron con código para corregir esta vulnerabilidad. Por motivos de seguridad, incluso si tienes habilitada la actualización automática de nodos, te recomendamos que actualices de forma manual tus clústeres y grupos de nodos a una de las siguientes versiones de GKE:

    • 1.22.17-gke.8100
    • 1.23.17-gke.2300
    • 1.24.12-gke.1100
    • 1.25.8-gke.1000
    • 1.26.3-gke.1000

    Una característica reciente de los canales de versiones te permite aplicar un parche sin tener que anular la suscripción a un canal. Esto te permite proteger tus nodos hasta que la nueva versión se convierta en la predeterminada para tu canal de versiones específico.

    ¿Qué vulnerabilidades trata este parche?

    Tanto CVE-2023-1281 como CVE-2023-1829 son vulnerabilidades de uso después de la liberación en el filtro del índice de control de tráfico del kernel de Linux (tcindex) que se puede explotar para lograr la elevación de privilegios local.

    Con CVE-2023-1829, la función tcindex_delete no desactiva correctamente los filtros en ciertos casos, lo que más adelante puede conducir a la doble liberación de una estructura de datos.

    En CVE-2023-1281, el área de hash imperfecta se puede actualizar mientras se recorren los paquetes, lo que provocará un uso después de la liberación cuando se llame a tcf_exts_exec() con el tcf_ext destruido. Un usuario atacante local puede usar esta vulnerabilidad para elevar sus privilegios a la raíz.

    Alta

    GKE en VMware

    Descripción Gravedad

    Se descubrieron dos nuevas vulnerabilidades (CVE-2023-1281, CVE-2023-1829) en el kernel de Linux que pueden conducir a una elevación de privilegios al nodo raíz.

    ¿Qué debo hacer?

    ¿Qué vulnerabilidades trata este parche?

    Tanto CVE-2023-1281 como CVE-2023-1829 son vulnerabilidades de uso después de la liberación en el filtro del índice de control de tráfico del kernel de Linux (tcindex) que se puede explotar para lograr la elevación de privilegios local.

    Con CVE-2023-1829, la función tcindex_delete no desactiva correctamente los filtros en ciertos casos, lo que más adelante puede conducir a la doble liberación de una estructura de datos.

    En CVE-2023-1281, el área de hash imperfecta se puede actualizar mientras se recorren los paquetes, lo que provocará un uso después de la liberación cuando se llame a tcf_exts_exec() con el tcf_ext destruido. Un usuario atacante local puede usar esta vulnerabilidad para elevar sus privilegios a la raíz.

    Alta

    GKE en AWS

    Descripción Gravedad

    Se descubrieron dos nuevas vulnerabilidades (CVE-2023-1281, CVE-2023-1829) en el kernel de Linux que pueden conducir a una elevación de privilegios al nodo raíz.

    ¿Qué debo hacer?

    ¿Qué vulnerabilidades trata este parche?

    Tanto CVE-2023-1281 como CVE-2023-1829 son vulnerabilidades de uso después de la liberación en el filtro del índice de control de tráfico del kernel de Linux (tcindex) que se puede explotar para lograr la elevación de privilegios local.

    Con CVE-2023-1829, la función tcindex_delete no desactiva correctamente los filtros en ciertos casos, lo que más adelante puede conducir a la doble liberación de una estructura de datos.

    En CVE-2023-1281, el área de hash imperfecta se puede actualizar mientras se recorren los paquetes, lo que provocará un uso después de la liberación cuando se llame a tcf_exts_exec() con el tcf_ext destruido. Un usuario atacante local puede usar esta vulnerabilidad para elevar sus privilegios a la raíz.

    Alta

    GKE en Azure

    Descripción Gravedad

    Se descubrieron dos nuevas vulnerabilidades (CVE-2023-1281, CVE-2023-1829) en el kernel de Linux que pueden conducir a una elevación de privilegios al nodo raíz.

    ¿Qué debo hacer?

    ¿Qué vulnerabilidades trata este parche?

    Tanto CVE-2023-1281 como CVE-2023-1829 son vulnerabilidades de uso después de la liberación en el filtro del índice de control de tráfico del kernel de Linux (tcindex) que se puede explotar para lograr la elevación de privilegios local.

    Con CVE-2023-1829, la función tcindex_delete no desactiva correctamente los filtros en ciertos casos, lo que más adelante puede conducir a la doble liberación de una estructura de datos.

    En CVE-2023-1281, el área de hash imperfecta se puede actualizar mientras se recorren los paquetes, lo que provocará un uso después de la liberación cuando se llame a tcf_exts_exec() con el tcf_ext destruido. Un usuario atacante local puede usar esta vulnerabilidad para elevar sus privilegios a la raíz.

    Alta

    GKE en Bare Metal

    Descripción Gravedad

    Se descubrieron dos nuevas vulnerabilidades (CVE-2023-1281, CVE-2023-1829) en el kernel de Linux que pueden conducir a una elevación de privilegios al nodo raíz.

    GKE en Bare Metal no se ve afectado por esta CVE.

    ¿Qué debo hacer?

    No se requiere ninguna acción.

    Ninguna

    GCP-2023-003

    Publicado: 11-04-2023
    Actualizado: 21-12-2023
    Referencia: CVE-2023-0240, CVE-2023-23586

    Actualización del 21/12/2023: Aclara que los clústeres de GKE Autopilot en la configuración predeterminada no se verán afectados.

    GKE

    Última actualización: 21-12-2023

    Descripción Gravedad

    Actualización del 21/12/2023: En el boletín original se indicaba que los clústeres de Autopilot se ven afectados, pero esto es incorrecto. Los clústeres de GKE Autopilot en la configuración predeterminada no se ven afectados, pero pueden ser vulnerables si configuras de forma explícita el perfil Unconfined de seccomp o permites CAP_NET_ADMIN.

    Se descubrieron dos vulnerabilidades nuevas, CVE-2023-0240 y CVE-2023-23586 en el kernel de Linux, que podrían permitir que un usuario sin privilegios realice la escalación de privilegios. Se ven afectados los clústeres de GKE, incluidos los clústeres de Autopilot, con COS que usan desde la versión 5.10 hasta la 5.10.162 del kernel de Linux. Los clústeres de GKE que usan imágenes de Ubuntu o GKE Sandbox no se ven afectados.

    ¿Qué debo hacer?

    Las siguientes versiones de GKE se actualizaron con código para corregir estas vulnerabilidades. Por motivos de seguridad, incluso si tienes habilitada la actualización automática de nodos, te recomendamos que actualices de forma manual tus grupos de nodos a una de las siguientes versiones de GKE:

    • 1.22.17-gke.4000
    • 1.23.16-gke.1100
    • 1.24.10-gke.1200

    Una característica reciente de los canales de versiones te permite aplicar un parche sin tener que anular la suscripción a un canal. Esto te permite proteger tus nodos hasta que la nueva versión se convierta en la predeterminada para tu canal de versiones específico.

    ¿Qué vulnerabilidades trata este parche?

    Vulnerabilidad 1 (CVE-2023-0240): Una condición de carrera en io_uring puede provocar la división de un contenedor completo en la raíz en el nodo. Las versiones de kernel de Linux 5.10 se ven afectadas hasta la versión 5.10.162.

    Vulnerabilidad 2 (CVE-2023-23586): Un uso después de liberación (UAF) en io_uring/time_ns puede provocar la división de un contenedor completo para tener permisos de administrador en el nodo. Las versiones de kernel de Linux 5.10 se ven afectadas hasta la versión 5.10.162.

    Alta

    GKE en VMware

    Descripción Gravedad

    Se descubrieron dos vulnerabilidades nuevas, CVE-2023-0240 y CVE-2023-23586 en el kernel de Linux, que podrían permitir que un usuario sin privilegios realice la escalación de privilegios. Los clústeres de GKE en VMware con COS que usan la versión de kernel de Linux desde la versión 5.10 hasta la 5.10.162 se ven afectados. Los clústeres de GKE Enterprise que usan imágenes de Ubuntu no se ven afectados.

    ¿Qué debo hacer?

    Las siguientes versiones de GKE en VMware se actualizaron con código para corregir estas vulnerabilidades:

    • 1.12.6
    • 1.13.5

    ¿Qué vulnerabilidades trata este parche?

    Vulnerabilidad 1 (CVE-2023-0240): Una condición de carrera en io_uring puede provocar la división de un contenedor completo en la raíz en el nodo. Las versiones de kernel de Linux 5.10 se ven afectadas hasta la versión 5.10.162.

    Vulnerabilidad 2 (CVE-2023-23586): Un uso después de liberación (UAF) en io_uring/time_ns puede provocar que un contenedor completo se divida en la raíz en el nodo. Las versiones de kernel de Linux 5.10 se ven afectadas hasta la versión 5.10.162.

    Alta

    GKE en AWS

    Descripción Gravedad

    Se descubrieron dos vulnerabilidades nuevas, CVE-2023-0240 y CVE-2023-23586 en el kernel de Linux, que podrían permitir que un usuario sin privilegios realice la escalación de privilegios. GKE on AWS no se ve afectado por estas CVE.

    ¿Qué debo hacer?

    No se requiere ninguna acción.

    Ninguna

    GKE en Azure

    Descripción Gravedad

    Se descubrieron dos vulnerabilidades nuevas, CVE-2023-0240 y CVE-2023-23586 en el kernel de Linux, que podrían permitir que un usuario sin privilegios realice la escalación de privilegios. GKE on Azure no se ve afectado por estas CVE

    ¿Qué debo hacer?

    No se requiere ninguna acción.

    Ninguna

    GKE en Bare Metal

    Descripción Gravedad

    Se descubrieron dos vulnerabilidades nuevas, CVE-2023-0240 y CVE-2023-23586 en el kernel de Linux, que podrían permitir que un usuario sin privilegios realice la escalación de privilegios. GKE en Bare Metal no se ve afectado por estas CVE.

    ¿Qué debo hacer?

    No se requiere ninguna acción.

    Ninguna

    GCP-2023-001

    Publicado: 01-03-2023
    Updated: 21-12-2023
    Reference: CVE-2022-4696

    Actualización del 21/12/2023: Aclara que los clústeres de GKE Autopilot en la configuración predeterminada no se verán afectados.

    GKE

    Descripción Gravedad

    Actualización del 21/12/2023: En el boletín original se indicaba que los clústeres de Autopilot se ven afectados, pero esto es incorrecto. Los clústeres de GKE Autopilot en la configuración predeterminada no se ven afectados, pero pueden ser vulnerables si configuras de forma explícita el perfil Unconfined de seccomp o permites CAP_NET_ADMIN.

    Se descubrió una vulnerabilidad nueva (CVE-2022-4696) en el kernel de Linux que puede provocar una elevación de privilegios en el nodo. Los clústeres de GKE, incluidos los de Autopilot, se ven afectados. Los clústeres de GKE que usan GKE Sandbox no se ven afectados.

    ¿Qué debo hacer?

    Las siguientes versiones de GKE se actualizaron con código para corregir esta vulnerabilidad. Por motivos de seguridad, incluso si tienes habilitada la actualización automática de nodos, te recomendamos que actualices de forma manual tus clústeres o grupos de nodos a una de las siguientes versiones de GKE:

    • 1.22.17-gke.3100
    • 1.23.16-gke.200
    • 1.24.9-gke.3200

    Una característica reciente de los canales de versiones te permite aplicar un parche sin tener que anular la suscripción a un canal. Esto te permite proteger tus nodos hasta que la nueva versión se convierta en la predeterminada para tu canal de versiones específico.

    ¿Qué vulnerabilidades trata este parche?

    Con CVE-2022-4696, se encontró una falla de uso después de la liberación en io_uring y ioring_op_splice en el kernel de Linux. Esta falla le permite a un usuario local crear una elevación de privilegios local.

    Alta

    GKE en VMware

    Descripción Gravedad

    Se descubrió una vulnerabilidad nueva (CVE-2022-4696) en el kernel de Linux que puede provocar una elevación de privilegios en el nodo. GKE en VMware que ejecuta v1.12 y v1.13 se ve afectado. GKE en VMware que ejecuta v1.14 o una versión posterior no se ve afectado.

    ¿Qué debo hacer?

    Las siguientes versiones de GKE en VMware se actualizaron con código para corregir esta vulnerabilidad. Te recomendamos que actualices los clústeres de administrador y de usuario a una de las siguientes versiones de GKE on VMware:

    • 1.12.5
    • 1.13.5

    ¿Qué vulnerabilidades trata este parche?

    Con CVE-2022-4696, se encontró una falla de uso después de la liberación en io_uring y ioring_op_splice en el kernel de Linux. Esta falla le permite a un usuario local crear una elevación de privilegios local.

    Alta

    GKE en AWS

    Descripción Gravedad

    Se descubrió una vulnerabilidad nueva (CVE-2022-4696) en el kernel de Linux que puede provocar una elevación de privilegios en el nodo. GKE en AWS no se ve afectado por esta vulnerabilidad.

    ¿Qué debo hacer?

    No es necesario que realices ninguna acción.

    Ninguna

    GKE en Azure

    Descripción Gravedad

    Se descubrió una vulnerabilidad nueva (CVE-2022-4696) en el kernel de Linux que puede provocar una elevación de privilegios en el nodo. GKE en Azure no se ve afectado por esta vulnerabilidad.

    ¿Qué debo hacer?

    No es necesario que realices ninguna acción.

    Ninguna

    GKE en Bare Metal

    Descripción Gravedad

    Se descubrió una vulnerabilidad nueva (CVE-2022-4696) en el kernel de Linux que puede provocar una elevación de privilegios en el nodo. GKE en Bare Metal no se ve afectado por esta vulnerabilidad.

    ¿Qué debo hacer?

    No es necesario que realices ninguna acción.

    Ninguna

    GCP-2022-026

    Publicado: 11-01-2023
    Referencia: CVE-2022-3786, CVE-2022-3602

    GKE

    Descripción Gravedad

    Se descubrieron dos vulnerabilidades nuevas (CVE-2022-3786 y CVE-2022-3602) en OpenSSL v3.0.6 que pueden causar fallas. Si bien esto tiene una calificación de Alta en la base de datos de NVD, los extremos de GKE usan boringSSL o una versión anterior de OpenSSL que no se ve afectada, por lo que se redujo a un nivel medio para GKE.

    ¿Qué debo hacer?

    Las siguientes versiones de GKE se actualizaron con código para corregir esta vulnerabilidad:

    • 1.25.4-gke.1600
    • 1.24.8-gke.401
    • 1.23.14-gke.401
    • 1.22.16-gke.1300
    • 1.21.14-gke.14100

    Una característica reciente de los canales de versiones te permite aplicar un parche sin tener que anular la suscripción a un canal. Esto te permite proteger tus nodos hasta que la nueva versión se convierta en la predeterminada para tu canal de versiones específico.

    ¿Qué vulnerabilidades trata este parche?

    Con CVE-2022-3786 y CVE-2022-3602, se puede activar un exceso de búfer en la verificación del certificado X.509 que puede causar una falla que provocará una denegación del servicio. Para aprovecharse, esta vulnerabilidad requiere que una AC haya firmado un certificado malicioso o que una aplicación continúe con la verificación del certificado a pesar de no construir una ruta hacia una entidad emisora de confianza.

    Media

    GKE en VMware

    Descripción Gravedad

    Se descubrieron dos vulnerabilidades nuevas (CVE-2022-3786 y CVE-2022-3602) en OpenSSL 3.0.6 que pueden causar fallas.

    ¿Qué debo hacer?

    GKE en VMware no se ve afectado por esta CVE, ya que no usa una versión afectada de OpenSSL.

    ¿Qué vulnerabilidades trata este parche?

    No se requiere ninguna acción.

    Ninguna

    GKE en AWS

    Descripción Gravedad

    Se descubrieron dos vulnerabilidades nuevas (CVE-2022-3786 y CVE-2022-3602) en OpenSSL 3.0.6 que pueden causar fallas.

    ¿Qué debo hacer?

    GKE on AWS no se ve afectado por esta CVE, ya que no usa una versión afectada de OpenSSL.

    ¿Qué vulnerabilidades trata este parche?

    No se requiere ninguna acción.

    Ninguna

    GKE en Azure

    Descripción Gravedad

    Se descubrieron dos vulnerabilidades nuevas (CVE-2022-3786 y CVE-2022-3602) en OpenSSL 3.0.6 que pueden causar fallas.

    ¿Qué debo hacer?

    GKE en Azure no se ve afectado por esta CVE, ya que no usa una versión afectada de OpenSSL.

    ¿Qué vulnerabilidades trata este parche?

    No se requiere ninguna acción.

    Ninguna

    GKE en Bare Metal

    Descripción Gravedad

    Se descubrieron dos vulnerabilidades nuevas (CVE-2022-3786 y CVE-2022-3602) en OpenSSL 3.0.6 que pueden causar fallas.

    ¿Qué debo hacer?

    GKE en Bare Metal no se ve afectado por esta CVE, ya que no usa una versión afectada de OpenSSL.

    ¿Qué vulnerabilidades trata este parche?

    No se requiere ninguna acción.

    Ninguna

    GCP-2022-025

    Publicado: 21-12-2022
    Actualizado: 19-01-2023, 21-12-2023
    Referencia: CVE-2022-2602

    Actualización del 21/12/2023: Aclara que los clústeres de GKE Autopilot en la configuración predeterminada no se verán afectados.

    Actualización del 19/01/2023: La versión 1.21.14-gke.14100 de GKE está disponible.

    GKE

    Última actualización: 19/01/2023

    Descripción Gravedad

    Actualización del 21/12/2023: En el boletín original se indicaba que los clústeres de Autopilot se ven afectados, pero esto es incorrecto. Los clústeres de GKE Autopilot en la configuración predeterminada no se ven afectados, pero pueden ser vulnerables si configuras de forma explícita el perfil Unconfined de seccomp o permites CAP_NET_ADMIN.

    Se descubrió una vulnerabilidad nueva (CVE-2022-2602) en el subsistema io_uring del kernel de Linux que puede permitir que un atacante ejecute potencialmente código arbitrario. Los clústeres de GKE, incluidos los de Autopilot, se ven afectados.

    Los clústeres de GKE que usan GKE Sandbox no se ven afectados.

    ¿Qué debo hacer?

    Actualización del 19/01/2023: La versión 1.21.14-gke.14100 está disponible. Actualiza tus grupos de nodos a esta versión o a una posterior.


    Las siguientes versiones de GKE se actualizaron con código para corregir esta vulnerabilidad en una próxima actualización. Por motivos de seguridad, incluso si tienes habilitada la actualización automática de nodos, te recomendamos que actualices de forma manual tus grupos de nodos a una de las siguientes versiones de GKE:

    • Container-Optimized OS:
      • 1.22.16-gke.1300 y versiones posteriores
      • 1.23.14-gke.401 y versiones posteriores
      • 1.24.7-gke.900 y versiones posteriores
      • 1.25.4-gke.1600 y versiones posteriores
    • Ubuntu:
      • 1.22.15-gke.2500 y versiones posteriores
      • 1.23.13-gke.900 y versiones posteriores
      • 1.24.7-gke.900 y versiones posteriores
      • 1.25.3-gke.800 y versiones posteriores

    Una característica reciente de los canales de versiones te permite aplicar un parche sin tener que anular la suscripción a un canal. Esto te permite proteger tus nodos hasta que la nueva versión se convierta en la predeterminada para tu canal de versiones específico.

    ¿Qué vulnerabilidades trata este parche?

    Con CVE-2022-2602, una condición de carrera entre el procesamiento de solicitudes io_uring y la recolección de elementos no utilizados de sockets Unix puede causar una vulnerabilidad de uso después de la liberación. Un atacante local podría usarla para activar una denegación del servicio o, posiblemente, ejecutar un código arbitrario.

    Alta

    GKE en VMware

    Descripción Gravedad

    Se descubrió una vulnerabilidad nueva (CVE-2022-2602) en el subsistema io_uring del kernel de Linux que puede permitir que un atacante ejecute potencialmente código arbitrario.

    Se ven afectadas las versiones 1.11, 1.12 y 1.13 de GKE en VMware.

    ¿Qué debo hacer?

    Actualiza el clúster a una versión con parche. Las siguientes versiones de GKE en VMware contienen código que corrige esta vulnerabilidad:

    • 1.13.2
    • 1.12.4
    • 1.11.5

    ¿Qué vulnerabilidades trata este parche?

    Con CVE-2022-2602, una condición de carrera entre el procesamiento de solicitudes io_uring y la recolección de elementos no utilizados de sockets Unix puede causar una vulnerabilidad de uso después de la liberación. Un atacante local podría usarla para activar una denegación del servicio o, posiblemente, ejecutar un código arbitrario.

    Alta

    GKE en AWS

    Descripción Gravedad

    Se descubrió una vulnerabilidad nueva (CVE-2022-2602) en el subsistema io_uring del kernel de Linux que puede permitir que un atacante ejecute potencialmente código arbitrario.

    ¿Qué debo hacer?

    Las siguientes versiones de generación actuales y anteriores de GKE en AWS se actualizaron con código para corregir esta vulnerabilidad. Te recomendamos actualizar los nodos a una de las siguientes versiones de GKE en AWS:

    • Generación actual:
      • 1.22.15-gke.100
      • 1.23.11-gke.300
      • 1.24.5-gke.200
    • Generación anterior:
      • 1.22.15-gke.1400
      • 1.23.12-gke.1400
      • 1.24.6-gke.1300

    ¿Qué vulnerabilidades trata este parche?

    Con CVE-2022-2602, una condición de carrera entre el procesamiento de solicitudes io_uring y la recolección de elementos no utilizados de sockets Unix puede causar una vulnerabilidad de uso después de la liberación. Un atacante local podría usarla para activar una denegación del servicio o, posiblemente, ejecutar un código arbitrario.

    Alta

    GKE en Azure

    Descripción Gravedad

    Se descubrió una vulnerabilidad nueva (CVE-2022-2602) en el subsistema io_uring del kernel de Linux que puede permitir que un atacante ejecute potencialmente código arbitrario.

    ¿Qué debo hacer?

    Las siguientes versiones de Anthos en Azure se actualizaron con un código para corregir esta vulnerabilidad. Te recomendamos actualizar los nodos a una de las siguientes versiones de Anthos en Azure:

    • 1.22.15-gke.100
    • 1.23.11-gke.300
    • 1.24.5-gke.200

    ¿Qué vulnerabilidades trata este parche?

    Con CVE-2022-2602, una condición de carrera entre el procesamiento de solicitudes io_uring y la recolección de elementos no utilizados de sockets Unix puede causar una vulnerabilidad de uso después de la liberación. Un atacante local podría usarla para activar una denegación del servicio o, posiblemente, ejecutar un código arbitrario.

    Alta

    GKE en Bare Metal

    Descripción Gravedad

    Se descubrió una vulnerabilidad nueva (CVE-2022-2602) en el subsistema io_uring del kernel de Linux que puede permitir que un atacante ejecute potencialmente código arbitrario.

    GKE on Bare Metal no se ve afectado por esta CVE, ya que no agrupa un sistema operativo en su distribución.

    ¿Qué debo hacer?

    No se requiere ninguna acción.

    Ninguna

    GCP-2022-024

    Publicado: 19-11-2022
    Actualizado: 19-01-2023
    Referencia: CVE-2022-2585, CVE-2022-2588

    Actualización del 19/01/2023: La versión 1.21.14-gke.14100 de GKE está disponible.
    Actualización del 16/12/2022: Se agregaron versiones de parches revisadas para GKE y GKE en VMware.

    GKE

    Última actualización: 19/01/2023

    Descripción Gravedad

    Se descubrieron dos vulnerabilidades nuevas (CVE-2022-2585 y CVE-2022-2588) en el kernel de Linux que pueden provocar la ruptura de un contenedor completo hacia la raíz en el nodo. Los clústeres de GKE, incluidos los de Autopilot, se ven afectados.

    Los clústeres de GKE que usan GKE Sandbox no se ven afectados.

    ¿Qué debo hacer?

    Actualización del 19/01/2023: La versión 1.21.14-gke.14100 está disponible. Actualiza tus grupos de nodos a esta versión o a una posterior.

    Actualización del 16/12/2022: Se revisó una versión anterior del boletín debido a una regresión de lanzamiento. Actualiza tus grupos de nodos de forma manual a una de las siguientes versiones de GKE:

    • 1.22.16-gke.1300 y versiones posteriores
    • 1.23.14-gke.401 y versiones posteriores
    • 1.24.7-gke.900 y versiones posteriores
    • 1.25.4-gke.1600 y versiones posteriores

    Las siguientes versiones de GKE se actualizaron con código para corregir esta vulnerabilidad. Por motivos de seguridad, incluso si tienes habilitada la actualización automática de nodos, te recomendamos que actualices de forma manual tus grupos de nodos a una de las siguientes versiones de GKE:

    • 1.21.14-gke.9500
    • 1.24.7-gke.900

    Pronto estarán disponibles las actualizaciones de GKE 1.22, 1.23 y 1.25. Este boletín de seguridad se actualizará cuando esté disponible.

    Una característica reciente de los canales de versiones te permite aplicar un parche sin tener que anular la suscripción a un canal. Esto te permite proteger tus nodos hasta que la nueva versión se convierta en la predeterminada para tu canal de versiones específico.

    ¿Qué vulnerabilidades trata este parche?

    • Con CVE-2022-2585, la limpieza inadecuada de los cronómetros en el temporizador de CPU posix permite un exploit de uso después de liberación en función de cómo se crean y borran los cronómetros.
    • Con CVE-2022-2588, se encontró una falla de uso después de la liberación en route4_change en el kernel de Linux. Esta falla permite que un usuario local falle en el sistema y posiblemente genere una elevación de privilegios local.
    Alta

    GKE en VMware

    Última actualización: 16-12-2022

    Descripción Gravedad

    Se descubrieron dos vulnerabilidades nuevas (CVE-2022-2585 y CVE-2022-2588) en el kernel de Linux que pueden provocar la ruptura de un contenedor completo hacia la raíz en el nodo.

    Se ven afectadas las versiones 1.13, 1.12 y 1.11 de GKE en VMware.

    ¿Qué debo hacer?

    Actualización del 16/12/2022: Las siguientes versiones de GKE en VMware se actualizaron con código para corregir esta vulnerabilidad. Te recomendamos que actualices los clústeres de administrador y de usuario a una de las siguientes versiones de GKE on VMware:

    • 1.13.2
    • 1.12.4
    • 1.11.6

    • Nota: Pronto se lanzarán versiones de GKE en VMware que contienen parches de Container-Optimized OS. Este boletín de seguridad se actualizará cuando las versiones de GKE en VMware estén disponibles para descargar.

    ¿Qué vulnerabilidades trata este parche?

    • Con CVE-2022-2585, la limpieza inadecuada de los cronómetros en el temporizador de CPU posix permite un exploit de uso después de liberación en función de cómo se crean y borran los cronómetros.
    • Con CVE-2022-2588, se encontró una falla de uso después de la liberación en route4_change en el kernel de Linux. Esta falla permite que un usuario local falle en el sistema y posiblemente genere una elevación de privilegios local.
    Alta

    GKE en AWS

    Descripción Gravedad

    Se descubrieron dos vulnerabilidades nuevas (CVE-2022-2585 y CVE-2022-2588) en el kernel de Linux que pueden provocar la ruptura de un contenedor completo hacia la raíz en el nodo.

    Es posible que se vean afectadas las siguientes versiones de Kubernetes en AWS:

    • 1.23: Versiones anteriores a 1.23.9-gke.800 Las versiones secundarias más recientes no se ven afectadas
    • 1.22: Versiones anteriores a 1.22.12-gke.1100 Las versiones secundarias más recientes no se ven afectadas

    Kubernetes V1.24 no se ve afectado.

    ¿Qué debo hacer?

    Te recomendamos que actualices tus clústeres a una de las siguientes versiones de Kubernetes de AWS:

    • 1.23: una versión posterior a la v1.23.9-gke.800
    • 1.22: una versión posterior a 1.22.12-gke-1100

    ¿Qué vulnerabilidades se abordan?

    Con CVE-2022-2585, la limpieza inadecuada de los cronómetros en el temporizador de CPU posix permite un exploit de uso después de liberación en función de cómo se crean y borran los cronómetros.

    Con CVE-2022-2588, se encontró una falla de uso después de la liberación en route4_change en el kernel de Linux. Esta falla permite que un usuario local falle en el sistema y posiblemente genere una elevación de privilegios local.

    Alta

    GKE en Azure

    Descripción Gravedad

    Se descubrieron dos vulnerabilidades nuevas (CVE-2022-2585 y CVE-2022-2588) en el kernel de Linux que pueden provocar la ruptura de un contenedor completo hacia la raíz en el nodo.

    Es posible que se vean afectadas las siguientes versiones de Kubernetes en Azure:

    • 1.23: Versiones anteriores a 1.23.9-gke.800 Las versiones secundarias más recientes no se ven afectadas.
    • 1.22: Versiones anteriores a 1.22.12-gke.1100 Las versiones secundarias más recientes no se ven afectadas.

    Kubernetes V1.24 no se ve afectado.

    ¿Qué debo hacer?

    Te recomendamos actualizar los clústeres a una de las siguientes versiones de Azure Kubernetes:

    • 1.23: una versión posterior a la v1.23.9-gke.800
    • 1.22: una versión posterior a 1.22.12-gke-1100

    ¿Qué vulnerabilidades se abordan?

    Con CVE-2022-2585, la limpieza inadecuada de los cronómetros en el temporizador de CPU posix permite un exploit de uso después de liberación en función de cómo se crean y borran los cronómetros.

    Con CVE-2022-2588, se encontró una falla de uso después de la liberación en route4_change en el kernel de Linux. Esta falla permite que un usuario local falle en el sistema y posiblemente genere una elevación de privilegios local.

    Alta

    GKE en Bare Metal

    Descripción Gravedad

    Se descubrieron dos vulnerabilidades nuevas (CVE-2022-2585 y CVE-2022-2588) en el kernel de Linux que pueden provocar la ruptura de un contenedor completo hacia la raíz en el nodo.

    GKE en Bare Meta no se ve afectado por esta CVE, ya que no agrupa un sistema operativo en su distribución.

    ¿Qué debo hacer?

    No se requiere ninguna acción.

    Ninguna

    GCP-2022-023

    Publicado: 04-11-2022
    Referencia: CVE-2022-39278

    GKE

    Descripción Gravedad

    Se descubrió una vulnerabilidad de seguridad, CVE-2022-39278, en Istio, que se usa en Anthos Service Mesh, y que permite que un atacante malicioso falle en el plano de control.

    ¿Qué debo hacer?

    Google Kubernetes Engine (GKE) no se envía con Istio y no se ve afectado por esta vulnerabilidad. Sin embargo, si instalaste Anthos Service Mesh o Istio por separado en tu clúster de GKE, consulta GCP-2022-020, el boletín de seguridad de Anthos Service Mesh sobre esta CVE, para obtener más información.

    Ninguna

    GKE en VMware

    Descripción Gravedad

    Se detectó una vulnerabilidad de seguridad, CVE-2022-39278, en Istio, que se usa en Anthos Service Mesh en GKE en VMware, que permite que un atacante malicioso falle el plano de control de Istio.

    ¿Qué debo hacer?

    Las siguientes versiones de GKE en VMware se actualizaron con código para corregir esta vulnerabilidad. Te recomendamos que actualices los clústeres de administrador y de usuario a una de las siguientes versiones de GKE on VMware:

    • 1.11.4
    • 1.12.3
    • 1.13.1

    ¿Qué vulnerabilidades trata este parche?

    Con la vulnerabilidad CVE-2022-39278, el plano de control de Istio, istiod, es vulnerable a un error de procesamiento de solicitudes, lo que permite que un atacante malicioso envíe un mensaje especialmente diseñado, lo que hace que falle el plano de control cuando el webhook de validación de un clúster se expone públicamente. Este extremo se entrega a través del puerto TLS 15017, pero no requiere ninguna autenticación por parte del atacante.

    Alta

    GKE en AWS

    Descripción Gravedad

    Se descubrió una vulnerabilidad de seguridad, CVE-2022-39278, en Istio, que se usa en Anthos Service Mesh, y permite que un atacante malicioso falle en el plano de control.

    ¿Qué debo hacer?

    GKE en AWS no se ve afectado por esta vulnerabilidad y no es necesario que realices ninguna acción.

    Ninguna

    GKE en Azure

    Descripción Gravedad

    Se descubrió una vulnerabilidad de seguridad, CVE-2022-39278, en Istio, que se usa en Anthos Service Mesh, y permite que un atacante malicioso falle en el plano de control.

    ¿Qué debo hacer?

    GKE en Azure no se ve afectado por esta vulnerabilidad y no es necesario que realices ninguna acción.

    Ninguna

    GKE en Bare Metal

    Descripción Gravedad

    Se descubrió una vulnerabilidad de seguridad, CVE-2022-39278, en Istio, que se usa en Anthos Service Mesh en GKE en Bare Metal, que permite que un atacante malicioso falle el plano de control de Istio.

    ¿Qué debo hacer?

    Las siguientes versiones de Anthos en Bare Metal se actualizaron con un código para corregir esta vulnerabilidad. Te recomendamos que actualices los clústeres a una de las siguientes versiones de GKE en Bare Metal:

    • 1.11.7
    • 1.12.4
    • 1.13.1

    ¿Qué vulnerabilidades trata este parche?

    Con la vulnerabilidad CVE-2022-39278, el plano de control de Istio, istiod, es vulnerable a un error de procesamiento de solicitudes, lo que permite que un atacante malicioso envíe un mensaje especialmente diseñado, lo que hace que falle el plano de control cuando el webhook de validación de un clúster se expone públicamente. Este extremo se entrega a través del puerto TLS 15017, pero no requiere ninguna autenticación por parte del atacante.

    Alta

    GCP-2022-022-updated

    Publicado: 18-12-2022
    Referencia: CVE-2022-20409

    GKE

    Última actualización: 14-12-2022

    Descripción Gravedad

    Se descubrió una nueva vulnerabilidad, CVE-2022-20409, en el kernel de Linux que puede conducir a la elevación de privilegios local. Los clústeres de Google Kubernetes Engine (GKE) v1.22, v1.23 y v1.24, incluidos los clústeres de Autopilot, que usan las versiones 93 y 97 de Container-Optimized OS, se ven afectados. Las versiones de GKE compatibles no se ven afectadas. Los clústeres de GKE que usan GKE Sandbox no se ven afectados.

    ¿Qué debo hacer?

    Actualización del 14/12/2022: Se revisó una versión anterior del boletín debido a una regresión de lanzamiento. Actualiza tus grupos de nodos de forma manual a una de las siguientes versiones de GKE:

    • 1.22.15-gke.2500 y versiones posteriores
    • 1.23.13-gke.900 y versiones posteriores
    • 1.24.7-gke.900 y versiones posteriores

    Las siguientes versiones de GKE que usan Container-Optimized OS 93 y 97 se actualizaron con código para corregir esta vulnerabilidad en una próxima versión. Por motivos de seguridad, incluso si tienes habilitada la actualización automática de nodos, te recomendamos que actualices de forma manual tus grupos de nodos a una de las siguientes versiones de GKE:

    • 1.22.15-gke.2300 y versiones posteriores
    • 1.23.13-gke.700 y versiones posteriores
    • 1.24.7-gke.700 y versiones posteriores

    Una función reciente de los canales de versiones te permite aplicar un parche sin tener que anular la suscripción a un canal. Esta función te permite proteger tus nodos hasta que la nueva versión se convierta en la predeterminada para tu canal específico de versiones.

    ¿Qué vulnerabilidades trata este parche?

    Con CVE-2022-20409, el kernel de Linux tiene una vulnerabilidad en io_identity_cow del subsistema io_uring. Es posible que se dañe la memoria debido a la vulnerabilidad de "Use-After-Free" (UAF). Un atacante local podría usar esta corrupción de la memoria para la denegación del servicio (falla del sistema) o tal vez para ejecutar código arbitrario.

    Alta

    GKE en VMware

    Última actualización: 14-12-2022

    Descripción Gravedad

    Se descubrió una nueva vulnerabilidad, CVE-2022-20409, en el kernel de Linux que puede conducir a la elevación de privilegios local.

    ¿Qué debo hacer?

    Actualización del 14/12/2022: Las siguientes versiones de GKE en VMware para Ubuntu se actualizaron con código a fin de corregir esta vulnerabilidad. Te recomendamos que actualices tus nodos a una de las siguientes versiones de GKE on VMware:

    • 1.13.1 y versiones posteriores
    • 1.12.3 y versiones posteriores
    • 1.11.4 y versiones posteriores

    ¿Qué vulnerabilidades trata este parche?

    Con CVE-2022-20409, el kernel de Linux tiene una vulnerabilidad en io_identity_cow del subsistema io_uring. Es posible que se dañe la memoria debido a la vulnerabilidad de "Use-After-Free" (UAF). Un atacante local podría usar esta corrupción de la memoria para la denegación del servicio (falla del sistema) o tal vez para ejecutar código arbitrario.

    Alta

    GKE en AWS

    Descripción Gravedad

    Se descubrió una nueva vulnerabilidad, CVE-2022-20409, en el kernel de Linux que podría permitir que un usuario sin privilegios realice la escalación al privilegio de ejecución del sistema.

    ¿Qué debo hacer?

    No es necesario que realices ninguna acción. GKE en AWS no usa las versiones afectadas del kernel de Linux.

    ¿Qué vulnerabilidades trata este parche?

    Con CVE-2022-20409, el kernel de Linux tiene una vulnerabilidad en io_identity_cow del subsistema io_uring. Es posible que se dañe la memoria debido a la vulnerabilidad de "Use-After-Free" (UAF). Un atacante local podría usar esta corrupción de la memoria para la denegación del servicio (falla del sistema) o tal vez para ejecutar código arbitrario.

    Ninguna

    GKE en Azure

    Descripción Gravedad

    Se descubrió una nueva vulnerabilidad, CVE-2022-20409, en el kernel de Linux que podría permitir que un usuario sin privilegios realice la escalación al privilegio de ejecución del sistema.

    ¿Qué debo hacer?

    No es necesario que realices ninguna acción. GKE on Azure no usa las versiones afectadas del kernel de Linux.

    ¿Qué vulnerabilidades trata este parche?

    Con CVE-2022-20409, el kernel de Linux tiene una vulnerabilidad en io_identity_cow del subsistema io_uring. Es posible que se dañe la memoria debido a la vulnerabilidad de "Use-After-Free" (UAF). Un atacante local podría usar esta corrupción de la memoria para la denegación del servicio (falla del sistema) o tal vez para ejecutar código arbitrario.

    Ninguna

    GKE en Bare Metal

    Descripción Gravedad

    Se descubrió una nueva vulnerabilidad, CVE-2022-20409, en el kernel de Linux que puede conducir a la elevación de privilegios local.

    ¿Qué debo hacer?

    • No es necesario que realices ninguna acción. GKE en Bare Metal no se ve afectado por esta CVE, ya que no agrupa un sistema operativo en su distribución.
    Ninguna

    GCP-2022-021

    Publicado: 27-10-2022
    Actualizado: 19-01-2023, 21-12-2023
    Referencia: CVE-2022-3176

    Actualización del 21/12/2023: Aclara que los clústeres de GKE Autopilot en la configuración predeterminada no se verán afectados.

    Actualización del 19/01/2023: La versión 1.21.14-gke.14100 de GKE está disponible.
    Actualización del 15/12/2022: Información actualizada que la versión 1.21.14-gke.9400 de Google Kubernetes Engine está pendiente de lanzamiento y puede sustituirse por un número de versión posterior.
    Actualización del 21/11/2022: Se agregaron versiones de parche para GKE en VMware, GKE en AWS y GKE en Azure.

    GKE

    Última actualización: 19-01-2023, 21-12-2023

    Descripción Gravedad

    Se descubrió una nueva vulnerabilidad, CVE-2022-3176, en el kernel de Linux, que puede conducir a la elevación de privilegios local. Esta vulnerabilidad permite que un usuario sin privilegios logre un desglose completo de contenedores para tener permisos de administrador en el nodo.

    Actualización del 21/12/2023: En el boletín original se indicaba que los clústeres de Autopilot se ven afectados, pero esto es incorrecto. Los clústeres de GKE Autopilot en la configuración predeterminada no se ven afectados, pero pueden ser vulnerables si configuras de forma explícita el perfil Unconfined de seccomp o permites CAP_NET_ADMIN.

    Los clústeres de Google Kubernetes Engine (GKE) v1.21, incluidos los clústeres de Autopilot, que usan la versión 89 de Container-Optimized OS, se ven afectados. Las versiones posteriores de GKE no se ven afectadas. Afecta a todos los clústeres de Linux con Ubuntu. Los clústeres de GKE que usan GKE Sandbox no se ven afectados.

    ¿Qué debo hacer?

    Actualización del 19/01/2023: La versión 1.21.14-gke.14100 está disponible. Actualiza tus grupos de nodos a esta versión o a una posterior.

    Actualización del 15/12/2022: La versión 1.21.14-gke.9400 está pendiente de lanzamiento y puede reemplazarse por un número de versión más alto. Actualizaremos este documento cuando esa nueva versión esté disponible.


    Las siguientes versiones de GKE se actualizaron con código para corregir esta vulnerabilidad en una próxima actualización. Por motivos de seguridad, incluso si tienes habilitada la actualización automática de nodos, te recomendamos que actualices de forma manual tus grupos de nodos a una de las siguientes versiones de GKE:

    • Container-Optimized OS:
      • 1.21.14-gke.7100 y versiones posteriores
    • Ubuntu:
      • 1.21.14-gke.9400 y versiones posteriores
      • 1.22.15-gke.2400 y versiones posteriores
      • 1.23.13-gke.800 y versiones posteriores
      • 1.24.7-gke.800 y versiones posteriores
      • 1.25.3-gke.700 y versiones posteriores

    Una función reciente de los canales de versiones te permite aplicar un parche sin tener que anular la suscripción a un canal. Esta función te permite proteger tus nodos hasta que la nueva versión se convierta en la predeterminada para tu canal específico de versiones.

    ¿Qué vulnerabilidades trata este parche?

    Con CVE-2022-3176, el kernel de Linux tiene una vulnerabilidad en el subsistema io_uring. La falta del control de POLLFREE puede generar vulnerabilidades de Use-After-Free (UAF) que se pueden utilizar para la elevación de privilegios.

    Alta

    GKE en VMware

    Última actualización: 21-11-2022

    Descripción Gravedad

    Se descubrió una nueva vulnerabilidad, CVE-2022-3176, en el kernel de Linux, que puede conducir a la elevación de privilegios local. Esta vulnerabilidad permite que un usuario sin privilegios logre un desglose completo de contenedores para tener permisos de administrador en el nodo.

    ¿Qué debo hacer?

    • Las versiones de GKE en VMware con Container-Optimized OS no se ven afectadas.

    Actualización del 21/11/2022: Las siguientes versiones de GKE en VMware para Ubuntu se actualizaron con código a fin de corregir esta vulnerabilidad. Te recomendamos que actualices tus nodos a una de las siguientes versiones de GKE on VMware:

    • 1.12.3 y versiones posteriores
    • 1.13.1 y versiones posteriores
    • 1.11.5 y versiones posteriores

    Pronto se lanzarán versiones de GKE en VMware que contienen parches de Ubuntu. Este boletín de seguridad se actualizará cuando las versiones de GKE en VMware estén disponibles para descargar.

    ¿Qué vulnerabilidades trata este parche?

    Con CVE-2022-3176, el kernel de Linux tiene una vulnerabilidad en el subsistema io_uring. La falta del control de POLLFREE puede generar vulnerabilidades de Use-After-Free (UAF) que se pueden utilizar para la elevación de privilegios.

    Alta

    GKE en AWS

    Última actualización: 21-11-2022

    Descripción Gravedad

    Se descubrió una nueva vulnerabilidad, CVE-2022-3176, en el kernel de Linux, que puede conducir a la elevación de privilegios local. Esta vulnerabilidad permite que un usuario sin privilegios logre un desglose completo del contenedor para tener permisos de administrador en el nodo.

    ¿Qué debo hacer?

    Actualización del 21/11/2022: Las siguientes versiones de generación actuales y anteriores de GKE en AWS se actualizaron con código para corregir esta vulnerabilidad. Te recomendamos actualizar los nodos a una de las siguientes versiones de GKE en AWS:

    Generación actual
    • 1.21.14-gke.7100
    • 1.22.15-gke.100
    • 1.23.11-gke.300
    • 1.24.5-gke.200
    Generación anterior
    • 1.22.15-gke.1400
    • 1.23.12-gke.1400
    • 1.24.6-gke.1300

    Pronto se lanzarán versiones de GKE en AWS que contienen parches de Ubuntu. Este boletín de seguridad se actualizará cuando las versiones de GKE en AWS estén disponibles para su descarga.

    ¿Qué vulnerabilidades trata este parche?

    Con CVE-2022-3176, el kernel de Linux tiene una vulnerabilidad en el subsistema io_uring. La falta del control de POLLFREE puede generar vulnerabilidades de Use-After-Free (UAF) que se pueden utilizar para la elevación de privilegios.

    Alta

    GKE en Azure

    Última actualización: 21-11-2022

    Descripción Gravedad

    Se descubrió una nueva vulnerabilidad, CVE-2022-3176, en el kernel de Linux, que puede conducir a la elevación de privilegios local. Esta vulnerabilidad permite que un usuario sin privilegios logre un desglose completo del contenedor para tener permisos de administrador en el nodo.

    ¿Qué debo hacer?

    Actualización del 21/11/2022: Las siguientes versiones de GKE en Azure se actualizaron con código para corregir esta vulnerabilidad. Te recomendamos actualizar los nodos a una de las siguientes versiones de Anthos en Azure:

    • 1.21.14-gke.7100
    • 1.22.15-gke.100
    • 1.23.11-gke.300
    • 1.24.5-gke.200

    Pronto se lanzarán versiones de GKE en Azure que contienen parches de Ubuntu. Este boletín de seguridad se actualizará cuando las versiones de Anthos en Azure estén disponibles para su descarga.

    ¿Qué vulnerabilidades trata este parche?

    Con CVE-2022-3176, el kernel de Linux tiene una vulnerabilidad en el subsistema io_uring. La falta del control de POLLFREE puede generar vulnerabilidades de Use-After-Free (UAF) que se pueden utilizar para la elevación de privilegios.

    Alta

    GKE en Bare Metal

    Descripción Gravedad

    Se descubrió una nueva vulnerabilidad, CVE-2022-3176, en el kernel de Linux, que puede conducir a la elevación de privilegios local. Esta vulnerabilidad permite que un usuario sin privilegios logre un desglose completo de contenedores para tener permisos de administrador en el nodo.

    ¿Qué debo hacer?

    No se requiere ninguna acción. GKE en Bare Metal no se ve afectado por esta CVE, ya que no empaqueta un sistema operativo en su distribución.

    Ninguna

    GCP-2022-018

    Publicado: 01-08-2022
    Actualizado: 14-09-2022, 2023-12-21
    Referencia: CVE-2022-2327

    Actualización del 21/12/2023: Aclara que los clústeres de GKE Autopilot en la configuración predeterminada no se verán afectados.

    Actualización del 14/9/2022: Se agregaron versiones de parches para GKE en VMware, GKE en AWS y GKE en Azure.

    GKE

    Última actualización: 21-12-2023

    Descripción Gravedad

    Se descubrió una vulnerabilidad nueva (CVE-2022-2327) en el kernel de Linux que puede provocar la elevación de privilegios local. Esta vulnerabilidad permite que un usuario sin privilegios logre un desglose completo de contenedores para tener permisos de administrador en el nodo.

    Detalles técnicos

    Actualización del 21/12/2023: En el boletín original se indicaba que los clústeres de Autopilot se ven afectados, pero esto es incorrecto. Los clústeres de GKE Autopilot en la configuración predeterminada no se ven afectados, pero pueden ser vulnerables si configuras de forma explícita el perfil Unconfined de seccomp o permites CAP_NET_ADMIN.

    Los clústeres de GKE, incluidos los de Autopilot, con Container-Optimized OS (COS) que usan la versión 5.10 del kernel de Linux. Los clústeres de GKE que usan imágenes de Ubuntu o que usan GKE Sandbox no se ven afectados.

    ¿Qué debo hacer?

    Actualiza los clústeres de GKE a una versión que incluya la solución. Las imágenes de nodo de Linux para COS se actualizaron junto con las versiones de GKE que usan esas versiones de COS.

    Por motivos de seguridad, incluso si tienes habilitada la actualización automática de nodos, te recomendamos queactualices de forma manual tus grupos de nodos a una de las siguientes versiones de GKE:

    versiones de COS

    • 1.22.12-gke.300
    • 1.23.8-gke.1900
    • 1.24.2-gke.1900


    Una característica reciente de los canales de versiones te permite aplicar un parche sin tener que anular la suscripción a un canal. Esto te permite actualizar tus nodos a la versión con parche antes de que esa versión se convierta en la predeterminada en el canal de versiones seleccionado.

    ¿Qué vulnerabilidades trata este parche?

    Con CVE-2022-2327, el kernel de Linux en la versión 5.10 tiene una vulnerabilidad en el subsistema io_uring, en el que a varias solicitudes les faltan tipos de elementos (marcas). El uso de estas solicitudes sin los tipos de elementos especificados adecuados puede provocar la elevación de privilegios a la raíz.
    Alta

    GKE en VMware

    Última actualización: 14-09-2022

    Descripción Gravedad

    Se descubrió una vulnerabilidad nueva (CVE-2022-2327) en el kernel de Linux que puede conducir a la elevación de privilegios local. Esta vulnerabilidad permite que un usuario sin privilegios logre un desglose completo de contenedores para tener permisos de administrador en el nodo.

    Los clústeres con una imagen de Container Optimized OS (COS) que usan las versiones 1.10, 1.11 y 1.12 de GKE en VMware se ven afectados.

    ¿Qué debo hacer?

    Actualización del 14/09/2022: Las siguientes versiones de GKE en VMware contienen código que corrige esta vulnerabilidad.

    • 1.10.6 o una versión posterior
    • 1.11.3 o una versión posterior
    • 1.12.1 o una versión posterior

    Pronto se lanzarán versiones de GKE en VMware que contienen parches. Este boletín de seguridad se actualizará cuando las versiones de GKE en VMware estén disponibles para descargar.

    ¿Qué vulnerabilidades trata este parche?

    Con CVE-2022-2327, el kernel de Linux en la versión 5.10 tiene una vulnerabilidad en el subsistema io_uring, en el que a varias solicitudes les faltan tipos de elementos (marcas). El uso de estas solicitudes sin los tipos de elementos especificados correctos puede provocar la elevación de privilegios a la raíz.

    Alta

    GKE en AWS

    Última actualización: 14-09-2022

    Descripción Gravedad
    .

    Se descubrió una vulnerabilidad nueva (CVE-2022-2327) en el kernel de Linux que puede conducir a la elevación de privilegios local. Esta vulnerabilidad permite que un usuario sin privilegios logre un desglose completo de contenedores para tener permisos de administrador en el nodo.

    ¿Qué debo hacer?

    Actualización del 14/09/2022: Las siguientes versiones de generación actuales y anteriores de GKE en AWS se actualizaron con código para corregir esta vulnerabilidad. Te recomendamos actualizar los nodos a una de las siguientes versiones de GKE en AWS:

    Generación actual

    • 1.23.8-gke.1700
    • 1.22.12-gke.200
    • 1.21.14-gke.2100

    Generación anterior

    • 1.23.8-gke.2000
    • 1.22.12-gke.300
    • 1.21.14-gke.2100

    Pronto se lanzarán versiones de GKE en AWS que contienen parches. Este boletín de seguridad se actualizará cuando las versiones de GKE en AWS estén disponibles para su descarga.

    ¿Qué vulnerabilidades trata este parche?

    Con CVE-2022-2327, el kernel de Linux en la versión 5.10 tiene una vulnerabilidad en el subsistema io_uring, en el que a varias solicitudes les faltan tipos de elementos (marcas). El uso de estas solicitudes sin los tipos de elementos especificados correctos puede provocar la elevación de privilegios a la raíz.

    Alta

    GKE en Azure

    Última actualización: 14-09-2022

    Descripción Gravedad

    Se descubrió una vulnerabilidad nueva (CVE-2022-2327) en el kernel de Linux que puede conducir a la elevación de privilegios local. Esta vulnerabilidad permite que un usuario sin privilegios logre un desglose completo de contenedores para tener permisos de administrador en el nodo.

    ¿Qué debo hacer?

    Actualización del 14/09/2022: Las siguientes versiones de GKE en Azure se actualizaron con código para corregir esta vulnerabilidad. Te recomendamos actualizar los nodos a una de las siguientes versiones de Anthos en Azure:

    • 1.23.8-gke.1700
    • 1.22.12-gke.200
    • 1.21.14-gke.2100

    Pronto se lanzarán versiones de Anthos en Azure que contienen parches. Este boletín de seguridad se actualizará cuando las versiones de Anthos en Azure estén disponibles para su descarga.

    ¿Qué vulnerabilidades trata este parche?

    Con CVE-2022-2327, el kernel de Linux en la versión 5.10 tiene una vulnerabilidad en el subsistema io_uring, en el que a varias solicitudes les faltan tipos de elementos (marcas). El uso de estas solicitudes sin los tipos de elementos especificados correctos puede provocar la elevación de privilegios a la raíz.

    Alta

    Google Distributed Cloud Virtual para Bare Metal

    Descripción Gravedad

    Se descubrió una vulnerabilidad nueva (CVE-2022-2327) en el kernel de Linux que puede conducir a la elevación de privilegios local. Esta vulnerabilidad permite que un usuario sin privilegios logre un desglose completo de contenedores para tener permisos de administrador en el nodo.

    ¿Qué debo hacer?

    No es necesario que realices ninguna acción. Esta CVE no afecta Google Distributed Cloud Virtual for Bare Metal, ya que no empaqueta un sistema operativo en su distribución.

    Ninguna

    GCP-2022-017

    Publicado: 29-06-2022
    Actualizado: 22-11-2022
    Referencia: CVE-2022-1786
    Actualizado el 22-11-2022: Se actualizó la información sobre las cargas de trabajo con GKE Sandbox.
    Actualización del 21-07-2022: Se actualizó la información que afecta a las imágenes de COS de GKE on VMware.

    GKE

    Última actualización: 22-11-2022

    Descripción Gravedad

    Actualización del 22/11/2022: Estas vulnerabilidades no afectan a las cargas de trabajo que usan GKE Sandbox.


    Se descubrió una vulnerabilidad nueva (CVE-2022-1786) en las versiones 5.10 y 5.11 del kernel de Linux. Esta vulnerabilidad permite que un usuario sin privilegios con acceso local al clúster logre un desglose completo de los contenedores hasta la raíz en el nodo. Solo los clústeres que ejecutan Container-Optimized OS se ven afectados. Las versiones de GKE Ubuntu usan la versión 5.4 o 5.15 del kernel y no se ven afectadas.

    ¿Qué debo hacer?

    Las versiones de las imágenes de nodo de Linux para Container-Optimized OS para las siguientes versiones de GKE se actualizaron con código a fin de corregir esta vulnerabilidad. Por motivos de seguridad, incluso si tienes habilitada la actualización automática de nodos, te recomendamos que actualices de forma manual tus grupos de nodos a una de las próximas versiones de GKE que se indican a continuación:

    • 1.22.10-gke.600
    • 1.23.7-gke.1400
    • 1.24.1-gke.1400

    Una función reciente de canales de versiones te permite aplicar un parche sin tener que anular la suscripción a un canal. Esto te permite actualizar tus nodos a la versión con parche antes de que esa versión se convierta en la predeterminada en el canal de versiones seleccionado.

    ¿Qué vulnerabilidades trata este parche?

    Con CVE-2022-1786, se encontró una falla de uso después de la liberación en el subsistema io_uring del kernel de Linux. Si un usuario configura un anillo con IORING_SETUP_IOPOLL con más de una tarea que completa los envíos del anillo, un usuario local puede causar una falla o escalar sus privilegios en el sistema.

    Alta

    GKE en VMware

    Última actualización: 14-07-2022

    Descripción Gravedad

    Se descubrió una vulnerabilidad nueva (CVE-2022-1786) en las versiones 5.10 y 5.11 del kernel de Linux. Esta vulnerabilidad permite que un usuario sin privilegios con acceso local al clúster logre un desglose completo de los contenedores hasta la raíz en el nodo.

    ¿Qué debo hacer?

    Actualización del 21/07/2022: Las siguientes versiones de GKE en VMware contienen código que corrige esta vulnerabilidad.

    COS
    • 1.10.5 o una versión posterior
    • 1.11.2 o una versión posterior
    • 1.12.0 o una versión posterior

    Ubuntu

    No es necesario que realices ninguna acción. GKE en VMware no usa las versiones afectadas del kernel de Linux.

    Ninguna

    GKE en AWS

    Descripción Gravedad

    Se descubrió una vulnerabilidad nueva (CVE-2022-1786) en las versiones 5.10 y 5.11 del kernel de Linux. Esta vulnerabilidad permite que un usuario sin privilegios con acceso local al clúster logre un desglose completo de los contenedores hasta la raíz en el nodo.

    ¿Qué debo hacer?

    No es necesario que realices ninguna acción. GKE en AWS no usa las versiones afectadas del kernel de Linux.

    Ninguna

    GKE en Azure

    Descripción Gravedad

    Se descubrió una vulnerabilidad nueva (CVE-2022-1786) en las versiones 5.10 y 5.11 del kernel de Linux. Esta vulnerabilidad permite que un usuario sin privilegios con acceso local al clúster logre un desglose completo de los contenedores hasta la raíz en el nodo.

    ¿Qué debo hacer?

    No es necesario que realices ninguna acción. GKE en Azure no usa las versiones afectadas del kernel de Linux.

    Ninguna

    Google Distributed Cloud Virtual para Bare Metal

    Descripción Gravedad

    Se descubrió una vulnerabilidad nueva (CVE-2022-1786) en las versiones 5.10 y 5.11 del kernel de Linux. Esta vulnerabilidad permite que un usuario sin privilegios con acceso local al clúster logre un desglose completo de los contenedores hasta la raíz en el nodo.

    ¿Qué debo hacer?

    No es necesario que realices ninguna acción. Esta CVE no afecta a Google Distributed Cloud Virtual for Bare Metal, ya que no agrupa un sistema operativo en su distribución.

    Ninguna

    GCP-2022-016

    Fecha de publicación: 23/06/2022
    Última actualización: 22/11/2022
    Referencia: CVE-2022-29581, CVE-2022-29582, CVE-2022-1116
    Actualización sobre los clústeres en ejecución de Autopilot-2022-11-22: Se agregó información sobre las cargas de trabajo de Autopilot.
    Actualización del 29/07/2022: Versiones actualizadas de GKE en VMware, GKE en AWS y GKE en Azure.

    GKE

    Última actualización: 22-11-2022

    Descripción Gravedad

    Actualización del 22/11/2022: Los clústeres de Autopilot no se ven afectados por CVE-2022-29581, pero son vulnerables a CVE-2022-29582 y CVE-2022-1116.


    Actualización del 29/07/2022: Los Pods que usan GKE Sandbox no son vulnerables a estas vulnerabilidades.


    Se descubrieron tres vulnerabilidades nuevas de corrupción de memoria (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) en el kernel de Linux. Estas vulnerabilidades permiten que un usuario sin privilegios con acceso local al clúster logre un desglose completo de los contenedores hasta la raíz en el nodo. Afecta a todos los clústeres de Linux (Container-Optimized OS y Ubuntu).

    ¿Qué debo hacer?

    Las versiones de las imágenes de nodo de Linux para Container-Optimized OS y Ubuntu para las siguientes versiones de GKE se actualizaron con código a fin de corregir esta vulnerabilidad. Por motivos de seguridad, incluso si tienes habilitada la actualización automática de nodos, te recomendamos que actualices de forma manual tus grupos de nodos a una de las siguientes versiones de GKE:

    • Container-Optimized OS:
      • 1.19.16-gke.13800
      • 1.20.15-gke.8000
      • 1.21.12-gke.1500
      • 1.22.9-gke.1300
      • 1.23.6-gke.1500
      • 1.24.1-gke.1400
    • Ubuntu:
      • 1.20.15-gke.9600
      • 1.21.13-gke.900
      • 1.22.10-gke.600
      • 1.23.7-gke.1400
      • 1.24.1-gke.1400

    Una característica reciente de los canales de versiones te permite aplicar un parche sin tener que anular la suscripción a un canal. Esto te permite actualizar tus nodos a la versión con parche antes de que esa versión se convierta en la predeterminada en el canal de versiones seleccionado.

    ¿Qué vulnerabilidades trata este parche?

    Con CVE-2022-29582, el kernel de Linux en versiones anteriores a la 5.17.3 tiene un uso después de la liberación debido a una condición de carrera en tiempos de espera io_uring.

    CVE-2022-29581 y CVE-2022-1116 son vulnerabilidades en las que un atacante local puede causar daños en la memoria en io_uring o net/sched en el kernel de Linux para escalar privilegios hasta la raíz.

    Alta

    GKE en VMware

    Última actualización: 29-07-2022

    Descripción Gravedad

    Actualización del 29/07/2022: Las siguientes versiones de GKE en VMware contienen código que corrige estas vulnerabilidades.

    • 1.9.7 o una versión posterior
    • 1.10.5 o una versión posterior
    • 1.11.2 o una versión posterior
    • 1.12.0 o una versión posterior


    Se descubrieron tres vulnerabilidades nuevas de corrupción de memoria (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) en el kernel de Linux. Estas vulnerabilidades permiten que un usuario sin privilegios con acceso local al clúster logre un desglose completo de los contenedores hasta la raíz en el nodo. Estas vulnerabilidades afectan a GKE en WMware v1.9 y versiones posteriores para las imágenes de Container-Optimized OS y Ubuntu.

    ¿Qué debo hacer?

    Pronto se lanzarán versiones de GKE en VMware que contienen parches. Este boletín de seguridad se actualizará cuando las versiones de GKE en VMware estén disponibles para descargar.

    ¿Qué vulnerabilidades trata este parche?

    Con CVE-2022-29582, el kernel de Linux en versiones anteriores a la 5.17.3 tiene un uso después de la liberación debido a una condición de carrera en tiempos de espera io_uring.

    CVE-2022-29581 y CVE-2022-1116 son vulnerabilidades en las que un atacante local puede causar daños en la memoria en io_uring o net/sched en el kernel de Linux para escalar privilegios hasta la raíz.

    Alta

    GKE en AWS

    Última actualización: 29-07-2022

    Descripción Gravedad

    Actualización del 29/07/2022: Actualización: Las siguientes versiones de generación actuales y anteriores de GKE en AWS se actualizaron con código para corregir estas vulnerabilidades. Te recomendamos actualizar los nodos a una de las siguientes versiones de GKE en AWS:

    Generación actual:

    • 1.23.7-gke.1300
    • 1.22.10-gke.1500
    • 1.21.11-gke.1900
    Generación anterior:
    • 1.23.7-gke.1500
    • 1.22.10-gke.1500
    • 1.21.13-gke.1600

    Se descubrieron tres vulnerabilidades nuevas de corrupción de memoria (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) en el kernel de Linux. Estas vulnerabilidades permiten que un usuario sin privilegios con acceso local al clúster logre un desglose completo de los contenedores hasta la raíz en el nodo. Estas vulnerabilidades afectan a todas las versiones de GKE en AWS.

    ¿Qué debo hacer?

    Pronto se lanzarán versiones de GKE en AWS que contienen parches. Este boletín de seguridad se actualizará cuando las versiones de GKE en AWS estén disponibles para su descarga.

    ¿Qué vulnerabilidades trata este parche?

    Con CVE-2022-29582, el kernel de Linux en versiones anteriores a la 5.17.3 tiene un uso después de la liberación debido a una condición de carrera en tiempos de espera io_uring.

    CVE-2022-29581 y CVE-2022-1116 son vulnerabilidades en las que un atacante local puede causar daños en la memoria en io_uring o net/sched en el kernel de Linux para escalar privilegios hasta la raíz.

    Alta

    GKE en Azure

    Descripción Gravedad

    Actualización del 29/07/2022: Actualización: Las siguientes versiones de GKE en Azure se actualizaron con un código para corregir estas vulnerabilidades. Te recomendamos actualizar los nodos a una de las siguientes versiones de GKE en Azure:

    • 1.23.7-gke.1300
    • 1.22.10-gke.1500
    • 1.21.11-gke.1900


    Se descubrieron tres vulnerabilidades nuevas de corrupción de memoria (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) en el kernel de Linux. Estas vulnerabilidades permiten que un usuario sin privilegios con acceso local al clúster logre un desglose completo de los contenedores hasta la raíz en el nodo. Estas vulnerabilidades afectan a todas las versiones de GKE en Azure.

    ¿Qué debo hacer?

    Pronto se lanzarán versiones de Anthos en Azure que contienen parches. Este boletín de seguridad se actualizará cuando las versiones de GKE en Azure estén disponibles para su descarga.

    ¿Qué vulnerabilidades trata este parche?

    Con CVE-2022-29582, el kernel de Linux en versiones anteriores a la 5.17.3 tiene un uso después de la liberación debido a una condición de carrera en tiempos de espera io_uring.

    CVE-2022-29581 y CVE-2022-1116 son vulnerabilidades en las que un atacante local puede causar daños en la memoria en io_uring o net/sched en el kernel de Linux para escalar privilegios hasta la raíz.

    Alta

    Google Distributed Cloud Virtual para Bare Metal

    Descripción Gravedad

    Se descubrieron tres vulnerabilidades nuevas de corrupción de memoria (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) en el kernel de Linux. Estas vulnerabilidades permiten que un usuario sin privilegios con acceso local al clúster logre un desglose completo de los contenedores hasta la raíz en el nodo.

    ¿Qué debo hacer?

    No es necesario que realices ninguna acción. Esta vulnerabilidad no afecta a Google Distributed Cloud Virtual for Bare Metal, ya que no agrupa un sistema operativo en su distribución.

    Ninguna

    GCP-2022-014

    Fecha de publicación: 26/04/2022
    Última actualización: 22/11/2022
    Actualización 22/11/2022: Se agregó información sobre las cargas de trabajo que se ejecutan en clústeres de Autopilot.
    Actualización del 12/05/2022: Versiones de parche actualizadas para GKE en AWS y GKE en Azure.
    Referencia: CVE-2022-1055, CVE-2022-27666

    GKE

    Última actualización: 22-11-2022

    Descripción Gravedad

    Actualización del 22/11/2022: Las cargas de trabajo y los clústeres de GKE Autopilot que se ejecutan en GKE Sandbox no se ven afectados por estas vulnerabilidades.


    Dos vulnerabilidades de seguridad: CVE-2022-1055 y CVE-2022-27666 se descubrieron en el kernel de Linux. Cada uno puede provocar que un atacante local pueda realizar un desglose de contenedores, elevación de privilegios en el host o ambos. Estas vulnerabilidades afectan a todos los sistemas operativos de los nodos de GKE (Container-Optimized OS y Ubuntu).

    Detalles técnicos

    En CVE-2022-1055, un atacante puede aprovechar el uso después de liberación en tc_new_tfilter(), que permite que un atacante local del contenedor aumente los privilegios al usuario raíz en el nodo.

    En CVE-2022-27666, el desbordamiento del búfer en esp/esp6_output_head permite que un atacante local en el contenedor eleve los privilegios a la raíz del nodo.

    ¿Qué debo hacer?

    Las versiones de las imágenes de nodo de Linux para las siguientes versiones de GKE se actualizaron con un código que corrige estas vulnerabilidades. Actualiza tus clústeres a una de las siguientes versiones de GKE:

    • 1.19.16-gke.11000 y versiones posteriores
    • 1.20.15-gke.5200 y versiones posteriores
    • 1.21.11-gke.1100 y versiones posteriores
    • 1.22.8-gke.200 y versiones posteriores
    • 1.23.5-gke.1500 y versiones posteriores

    ¿Qué vulnerabilidades trata este parche?

    Alta

    GKE en VMware

    Descripción Gravedad

    Dos vulnerabilidades de seguridad: CVE-2022-1055 y CVE-2022-27666 se descubrieron en el kernel de Linux. Cada uno puede provocar que un atacante local pueda realizar un desglose de contenedores, elevación de privilegios en el host o ambos. Estas vulnerabilidades afectan a todos los sistemas operativos de los nodos de GKE (Container-Optimized OS y Ubuntu).

    Detalles técnicos

    En CVE-2022-1055, un atacante puede aprovechar el uso después de liberación en tc_new_tfilter(), que permite que un atacante local del contenedor aumente los privilegios al usuario raíz en el nodo.

    En CVE-2022-27666, el desbordamiento del búfer en esp/esp6_output_head permite que un atacante local en el contenedor eleve los privilegios a la raíz del nodo.

    ¿Qué debo hacer?

    Actualiza el clúster a una versión con parche. En las siguientes versiones o en otras más recientes de GKE en VMware , se incluye la solución para esta vulnerabilidad:

    • 1.9.6 (futura)
    • 1.10.3
    • 1.11.0 (futura)

    ¿Qué vulnerabilidades trata este parche?

    Alta

    GKE en AWS

    Actualización: 12-05-2022

    Descripción Gravedad

    Dos vulnerabilidades de seguridad: CVE-2022-1055 y CVE-2022-27666 se descubrieron en el kernel de Linux. Cada uno puede provocar que un atacante local pueda realizar un desglose de contenedores, elevación de privilegios en el host o ambos. Estas vulnerabilidades afectan a todos los sistemas operativos de los nodos de GKE (Container-Optimized OS y Ubuntu).

    Detalles técnicos

    En CVE-2022-1055, un atacante puede aprovechar el uso después de liberación en tc_new_tfilter(), que permite que un atacante local del contenedor aumente los privilegios al usuario raíz en el nodo.

    En CVE-2022-27666, el desbordamiento del búfer en esp/esp6_output_head permite que un atacante local en el contenedor eleve los privilegios a la raíz del nodo.

    ¿Qué debo hacer?

    Actualización del 12/05/2022: Las siguientes versiones de generación actuales y anteriores de los clústeres de GKE en AWS se actualizaron con código para corregir estas vulnerabilidades. Te recomendamos actualizar los nodos a una de las siguientes versiones de GKE en AWS:

    Generación actual
    • 1.21.11-gke.1100
    • 1.22.8-gke.1300
    Generación anterior
    • 1.20.15-gke.5200
    • 1.21.11-gke.1100
    • 1.22.8-gke.1300

    Actualiza el clúster a una versión con parche. Los parches estarán disponibles en una próxima actualización. Este boletín se actualizará cuando estén disponibles.

    ¿Qué vulnerabilidades trata este parche?

    Alta

    GKE en Azure

    Actualización: 12-05-2022

    Descripción Gravedad

    Dos vulnerabilidades de seguridad: CVE-2022-1055 y CVE-2022-27666 se descubrieron en el kernel de Linux. Cada uno puede provocar que un atacante local pueda realizar un desglose de contenedores, elevación de privilegios en el host o ambos. Estas vulnerabilidades afectan a todos los sistemas operativos de los nodos de GKE (Container-Optimized OS y Ubuntu).

    Detalles técnicos

    En CVE-2022-1055, un atacante puede aprovechar el uso después de liberación en tc_new_tfilter(), que permite que un atacante local del contenedor aumente los privilegios al usuario raíz en el nodo.

    En CVE-2022-27666, el desbordamiento del búfer en esp/esp6_output_head permite que un atacante local en el contenedor eleve los privilegios a la raíz del nodo.

    ¿Qué debo hacer?

    Actualización del 12/05/2022: Las siguientes versiones de Anthos en Azure se actualizaron con un código para corregir estas vulnerabilidades. Te recomendamos actualizar los nodos a una de las siguientes versiones de Anthos en Azure:

    • 1.21.11-gke.1100
    • 1.22.8-gke.1300

    Actualiza el clúster a una versión con parche. Los parches estarán disponibles en una próxima actualización. Este boletín se actualizará cuando estén disponibles.

    ¿Qué vulnerabilidades trata este parche?

    Alta

    Google Distributed Cloud Virtual para Bare Metal

    Descripción Gravedad

    Dos vulnerabilidades de seguridad: CVE-2022-1055 y CVE-2022-27666 se descubrieron en el kernel de Linux. Cada uno puede provocar que un atacante local pueda realizar un desglose de contenedores, elevación de privilegios en el host o ambos. Estas vulnerabilidades afectan a todos los sistemas operativos de los nodos de GKE (Container-Optimized OS y Ubuntu).

    Detalles técnicos

    En CVE-2022-1055, un atacante puede aprovechar el uso después de liberación en tc_new_tfilter(), que permite que un atacante local del contenedor aumente los privilegios al usuario raíz en el nodo.

    En CVE-2022-27666, el desbordamiento del búfer en esp/esp6_output_head permite que un atacante local en el contenedor eleve los privilegios a la raíz del nodo.

    ¿Qué debo hacer?

    No es necesario que realices ninguna acción. Esta CVE no afecta a Google Distributed Cloud Virtual for Bare Metal, ya que no incluye Linux como parte de su paquete. Debes asegurarte de que las imágenes de nodo que uses se actualicen a versiones que contengan la corrección para CVE-2022-1055 y CVE-2022-27666.

    ¿Qué vulnerabilidades trata este parche?

    Alta

    GCP-2022-013

    Fecha de publicación: 11/04/2022
    Última actualización: 20/04/2022
    Referencia: CVE-2022-23648
    Actualización 22-04-2022: Se actualizaron las versiones del parche para Google Distributed Cloud Virtual for Bare Metal y GKE en VMware.

    GKE

    Descripción Gravedad

    Se descubrió una vulnerabilidad de seguridad, CVE-2022-23648, en el control de containerd del recorrido de ruta en la especificación del volumen de imágenes de OCI. Los contenedores que se lanzan mediante la implementación de CRI de containerd con una configuración de imagen creada especialmente podrían obtener acceso completo de lectura a directorios y archivos arbitrarios en el host.

    Esta vulnerabilidad puede omitir cualquier aplicación basada en políticas en la configuración de contenedores (incluida una política de seguridad de Pods de Kubernetes). Esta vulnerabilidad afecta a todos los sistemas operativos de los nodos de GKE (Container-Optimized OS y Ubuntu) que usan containerd de forma predeterminada. Todos los nodos de GKE, Autopilot y GKE Sandbox se ven afectados.

    ¿Qué debo hacer?

    Las versiones de las imágenes de nodo de Linux para las siguientes versiones de GKE se actualizaron con código que corrige esta vulnerabilidad. Por motivos de seguridad, incluso si tienes habilitada la actualización automática de nodos, te recomendamos que actualices de forma manual tus nodos a una de las siguientes versiones de GKE:

    • 1.19.16-gke.9400
    • 1.20.15-gke.3600
    • 1.21.10-gke.1500
    • 1.22.7-gke.1500
    • 1.23.4-gke.1500

    Una característica reciente de los canales de versiones te permite aplicar un parche sin tener que anular la suscripción a un canal. Esto te permite proteger tus nodos hasta que la nueva versión se convierta en la predeterminada para tu canal de versiones específico.

    Media

    GKE en VMware

    Actualización: 22/04/2022

    Descripción Gravedad

    Se descubrió una vulnerabilidad de seguridad, CVE-2022-23648, en el control de containerd del recorrido de ruta en la especificación del volumen de imágenes de OCI. Los contenedores que se lanzan mediante la implementación de CRI de containerd con una configuración de imagen creada especialmente podrían obtener acceso completo de lectura a directorios y archivos arbitrarios en el host.

    Esta vulnerabilidad puede omitir cualquier aplicación basada en políticas en la configuración de contenedores (incluida una política de seguridad de Pods de Kubernetes). Esta vulnerabilidad afecta a todos los GKE en VMware con Stackdriver habilitado, que usa containerd. Las versiones 1.8, 1.9 y 1.10 de GKE en VMware se ven afectadas

    ¿Qué debo hacer?

    Actualización del 22/04/2022: Las siguientes versiones de GKE en VMware contienen código que corrige esta vulnerabilidad.

    • 1.9.5 o una versión posterior
    • 1.10.3 o una versión posterior
    • 1.11.0 o una versión posterior

    Las siguientes versiones de GKE en VMware se actualizaron con código para corregir esta vulnerabilidad. Te recomendamos que actualices tus nodos a una de las siguientes versiones de GKE on VMware:

    • 1.8.8 o una versión posterior
    • 1.9.5 o una versión posterior
    • 1.10.2 o una versión posterior

    Esta CVE se puede mitigar si configuras IgnoreImageDefinedVolumes como verdadero.

    Media

    GKE en AWS

    Descripción Gravedad

    Se descubrió una vulnerabilidad de seguridad, CVE-2022-23648, en el control de containerd del recorrido de ruta en la especificación del volumen de imágenes de OCI. Los contenedores que se lanzan mediante la implementación de CRI de containerd con una configuración de imagen creada especialmente podrían obtener acceso completo de lectura a directorios y archivos arbitrarios en el host.

    Esta vulnerabilidad puede omitir cualquier aplicación basada en políticas en la configuración de contenedores (incluida una política de seguridad de Pods de Kubernetes). Todos los nodos de GKE en AWS se ven afectados.

    ¿Qué debo hacer?

    Las siguientes versiones de GKE en AWS se actualizaron con un código que corrige esta vulnerabilidad. Te recomendamos actualizar los nodos a una de las siguientes versiones de GKE en AWS.

    GKE en AWS (generación actual)
    • Versión 1.22: 1.22.8-gke.200
    • Versión 1.21: 1.21.11-gke.100
    GKE en AWS (generación anterior)
    • Versión 1.22: 1.22.8-gke.300
    • Versión 1.21: 1.21.11-gke.100
    • Versión 1.20: 1.20.15-gke.2200

    Esta CVE se puede mitigar si configuras IgnoreImageDefinedVolumes como verdadero.

    Media

    GKE en Azure

    Descripción Gravedad

    Se descubrió una vulnerabilidad de seguridad, CVE-2022-23648, en el control de containerd del recorrido de ruta en la especificación del volumen de imágenes de OCI. Los contenedores que se lanzan mediante la implementación de CRI de containerd con una configuración de imagen creada especialmente podrían obtener acceso completo de lectura a directorios y archivos arbitrarios en el host.

    Esta vulnerabilidad puede omitir cualquier aplicación basada en políticas en la configuración de contenedores (incluida una política de seguridad de Pods de Kubernetes). Todas las versiones de Anthos en Azure se ven afectadas.

    ¿Qué debo hacer?

    Las siguientes versiones de Anthos en Azure se actualizaron con un código para corregir esta vulnerabilidad. Te recomendamos actualizar los nodos de la siguiente manera:

    • Versión 1.22: 1.22.8-gke.200
    • Versión 1.21: 1.21.11-gke.100

    Esta CVE se puede mitigar si configuras IgnoreImageDefinedVolumes como verdadero.

    Media

    Google Distributed Cloud Virtual para Bare Metal

    Actualización: 22/04/2022

    Descripción Gravedad

    Se descubrió una vulnerabilidad de seguridad, CVE-2022-23648, en el control de containerd del recorrido de ruta en la especificación del volumen de imágenes de OCI. Los contenedores que se lanzan mediante la implementación de CRI de containerd con una configuración de imagen creada especialmente podrían obtener acceso completo de lectura a directorios y archivos arbitrarios en el host.

    Esta vulnerabilidad puede omitir cualquier aplicación basada en políticas en la configuración de contenedores (incluida una política de seguridad de Pods de Kubernetes). Esta vulnerabilidad afecta a todos los Google Distributed Cloud Virtual for Bare Metal que usen containerd. Se ven afectadas las versiones 1.8, 1.9 y 1.10 de Google Distributed Cloud Virtual para Bare Metal

    ¿Qué debo hacer?

    Actualización del 22/04/2022: Las siguientes versiones de Google Distributed Cloud Virtual for Bare Metal contienen código que corrige esta vulnerabilidad.

    • 1.8.9 o una versión posterior
    • 1.9.6 o una versión posterior
    • 1.10.3 o una versión posterior
    • 1.11.0 o una versión posterior

    Las siguientes versiones de Google Distributed Cloud Virtual para Bare Metal se actualizaron con código a fin de corregir esta vulnerabilidad. Te recomendamos que actualices tus nodos a una de las siguientes versiones de Google Distributed Cloud Virtual for Bare Metal:

    • 1.8.8 o una versión posterior
    • 1.9.5 o una versión posterior
    • 1.10.2 o una versión posterior

    Esta CVE se puede mitigar si configuras IgnoreImageDefinedVolumes como verdadero.

    Media

    GCP-2022-012

    Fecha de publicación: 7/4/2022
    Última actualización: 22/11/2022
    Referencia: CVE-2022-0847
    Actualización 22/11/2022: Información actualizada sobre cargas de trabajo con GKE Sandbox.

    GKE

    Última actualización: 22-11-2022

    Descripción Gravedad

    Actualización del 22/11/2022: Estas vulnerabilidades no afectan a las cargas de trabajo que usan GKE Sandbox.


    Se descubrió una vulnerabilidad de seguridad, CVE-2022-0847, en la versión de kernel 5.8 de Linux y versiones posteriores que pueden aumentar los privilegios del contenedor a raíz. Esta vulnerabilidad afecta a las versiones del grupo de nodos de GKE v1.22 y posteriores que usen imágenes de Container-Optimized OS (Container-Optimized OS 93 y versiones posteriores). Los grupos de nodos de GKE que usan el SO de Ubuntu no se ven afectados.

    ¿Qué debo hacer?

    Las versiones de las imágenes de nodo de Linux para las siguientes versiones de GKE se actualizaron con código que corrige esta vulnerabilidad. Por motivos de seguridad, incluso si tienes habilitada la actualización automática de nodos, te recomendamos que actualices de forma manual tus grupos de nodos a una de las siguientes versiones de GKE:

    • 1.22.7-gke.1500 y versiones posteriores
    • 1.23.4-gke.1600 y versiones posteriores

    Una función reciente de los canales de versiones te permite aplicar una versión de parche de otros canales de versiones sin tener que anular la suscripción a un canal. Esto te permite proteger tus nodos hasta que la nueva versión se convierta en la predeterminada para tu canal de versiones específico.

    ¿Qué vulnerabilidades trata este parche?

    CVE-2022-0847 se relaciona con la marca PIPE_BUF_FLAG_CAN_MERGE que se introdujo en la versión 5.8 del kernel de Linux. En esta vulnerabilidad, el miembro “marcas” de la estructura del búfer de canalización nuevo no tenía la inicialización adecuada en el kernel de Linux. Un atacante local sin privilegios puede usar esta vulnerabilidad para escribir en las páginas de la caché de páginas respaldada por archivos de solo lectura y aumentar sus privilegios.

    Se integraron nuevas versiones de Container-Optimized OS que solucionan este en las versiones actualizadas de grupos de nodos de GKE.

    Alta

    GKE en VMware

    Descripción Gravedad

    Se descubrió una vulnerabilidad de seguridad, CVE-2022-0847, en la versión de kernel 5.8 de Linux y versiones posteriores que pueden aumentar los privilegios a raíz. Esta vulnerabilidad afecta a GKE en WMware v1.10 para imágenes de Container-Optimized OS. Actualmente, los clústeres de GKE en VMware con Ubuntu se encuentran en la versión de kernel 5.4 y no son vulnerables a este ataque.

    ¿Qué debo hacer?

    Las versiones de las imágenes de nodo de Linux para las siguientes versiones de GKE en VMware se actualizaron con un código que corrige esta vulnerabilidad. Te recomendamos que actualices los clústeres de administrador y de usuario a la siguiente versión de GKE on VMware:

    • 1.10.3

    ¿Qué vulnerabilidades trata este parche?

    CVE-2022-0847 se relaciona con la marca PIPE_BUF_FLAG_CAN_MERGE que se introdujo en la versión 5.8 del kernel de Linux. En esta vulnerabilidad, el miembro “marcas” de la estructura del búfer de canalización nuevo no tenía la inicialización adecuada en el kernel de Linux. Un atacante local sin privilegios puede usar esta vulnerabilidad para escribir en las páginas de la caché de páginas respaldada por archivos de solo lectura y aumentar sus privilegios.

    Se integraron nuevas versiones de Container-Optimized OS que solucionan este en las versiones actualizadas de los clústeres de GKE en VMware.

    Alta

    GKE en AWS

    Descripción Gravedad

    Se descubrió una vulnerabilidad de seguridad, CVE-2022-0847, en la versión de kernel 5.8 de Linux y versiones posteriores que pueden aumentar los privilegios a raíz.

    Esta vulnerabilidad afecta a los clústeres administrados de GKE en AWS v1.21 y a los clústeres que se ejecutan en GKE en AWS (generación anterior) v1.19, v1.20 y v1.21, que usan Ubuntu.

    ¿Qué debo hacer?

    Las versiones de las imágenes de nodo de Linux para las siguientes versiones de Anthos en Azure se actualizaron con un código que corrige esta vulnerabilidad.

    Para los clústeres administrados de GKE en AWS, te recomendamos actualizar tus clústeres de usuario y grupo de nodos a una de las siguientes versiones:

    • 1.21.11-gke.100

    Para los clústeres de GKE k-lite en AWS, te recomendamos actualizar tus objetos AWSManagementService, AWSCluster y AWSNodePool a la siguiente versión:

    • 1.21.11-gke.100
    • 1.20.15-gke.2200

    ¿Qué vulnerabilidades trata este parche?

    CVE-2022-0847 se relaciona con la marca PIPE_BUF_FLAG_CAN_MERGE que se introdujo en la versión 5.8 del kernel de Linux. En esta vulnerabilidad, el miembro “marcas” de la estructura del búfer de canalización nuevo no tenía la inicialización adecuada en el kernel de Linux. Un atacante local sin privilegios puede usar esta vulnerabilidad para escribir en las páginas de la caché de páginas respaldada por archivos de solo lectura y aumentar sus privilegios.

    Alta

    GKE en Azure

    Descripción Gravedad

    Se descubrió una vulnerabilidad de seguridad, CVE-2022-0847, en la versión de kernel 5.8 de Linux y versiones posteriores que pueden aumentar los privilegios a raíz. Esta vulnerabilidad afecta a los clústeres administrados de Anthos en Azure v1.21 que usan Ubuntu.

    ¿Qué debo hacer?

    Las versiones de las imágenes de nodo de Linux para las siguientes versiones de GKE en Azure se actualizaron con un código que corrige esta vulnerabilidad. Te recomendamos actualizar los clústeres de usuario y el grupo de nodos a la siguiente versión:

    • 1.21.11-gke.100

    ¿Qué vulnerabilidades trata este parche?

    CVE-2022-0847 se relaciona con la marca PIPE_BUF_FLAG_CAN_MERGE que se introdujo en la versión 5.8 del kernel de Linux. En esta vulnerabilidad, el miembro “marcas” de la estructura del búfer de canalización nuevo no tenía la inicialización adecuada en el kernel de Linux. Un atacante local sin privilegios puede usar esta vulnerabilidad para escribir en las páginas de la caché de páginas respaldada por archivos de solo lectura y aumentar sus privilegios.

    Alta

    Google Distributed Cloud Virtual para Bare Metal

    Descripción Gravedad

    Se descubrió una vulnerabilidad de seguridad, CVE-2022-0847, en la versión de kernel 5.8 de Linux y versiones posteriores que pueden aumentar los privilegios a raíz.

    ¿Qué debo hacer?

    No es necesario que realices ninguna acción. Esta CVE no afecta a Google Distributed Cloud Virtual for Bare Metal, ya que no incluye Linux como parte de su paquete. Debes asegurarte de que las imágenes de nodo que uses se actualicen a versiones que contengan la corrección para CVE-2022-0847.

    Alta

    GCP-2022-011

    Publicado: 22-03-2022
    Actualizado: 11-08-2022

    Actualización del 11-08-2022: Se agregaron más detalles sobre los efectos de la configuración incorrecta de SMT.

    GKE

    Descripción Gravedad

    Actualización del 11/08/2022: Se agregó más información sobre la configuración de subprocesos múltiples simultáneos (SMT). SMT estaba destinado a inhabilitarse, pero se habilitó en las versiones enumeradas.

    Si habilitaste de forma manual SMT para un grupo de nodos de zona de pruebas, SMT permanecerá habilitado de forma manual a pesar de este problema.


    Hay una configuración incorrecta con los multisubprocesos simultáneos (SMT) simultáneos, también conocido como hipersubprocesos, en imágenes de GKE Sandbox. La configuración incorrecta deja a los nodos potencialmente expuestos a ataques de canal lateral, como el muestreo de datos de microarquitectura (MDS) (para obtener más contexto, consulta la documentación de GKE Sandbox). No recomendamos usar las siguientes versiones afectadas:

    • 1.22.4-gke.1501
    • 1.22.6-gke.300
    • 1.23.2-gke.300
    • 1.23.3-gke.600

    Si habilitaste los SMT para un grupo de nodos de forma manual, este problema no afectará a tus nodos en zona de pruebas.

    ¿Qué debo hacer?

    Actualiza tus nodos a una de las siguientes versiones:

    • 1.22.6-gke.1500 y versiones posteriores
    • 1.23.3-gke.1100 y versiones posteriores

    ¿Qué vulnerabilidad trata este parche?

    Los nodos de GKE Sandbox tienen los SMT inhabilitados de forma predeterminada, lo que mitiga los ataques de canal lateral.

    Media

    GCP-2022-009

    Fecha de publicación: 01/03/2022
    Última actualización: 15/03/2022

    GKE

    Descripción Gravedad

    Actualización del 15/03/2022: Se agregaron guías de endurecimiento para GKE en AWS y GKE en Azure. Se agregó una sección sobre la persistencia mediante webhooks.


    Algunas rutas inesperadas para acceder a la VM del nodo en los clústeres de GKE Autopilot podrían haberse usado a fin de escalar privilegios en el clúster. Estos problemas se solucionaron y no se requiere ninguna otra acción. Las correcciones abordan problemas informados a través de nuestro Programa de recompensas por detección de vulnerabilidades.

    De manera opcional, los usuarios de clústeres de GKE Standard y clústeres de GKE pueden aplicar una política de endurecimiento similar, como se describe a continuación.

    Detalles técnicos

    Acceso al host mediante exenciones de políticas de terceros

    Para permitir que Google Cloud ofrezca la administración completa de nodos, y un ANS a nivel de Pod, GKE Autopilot restringe algunas primitivas de Kubernetes con una gran cantidad de privilegios para evitar que las cargas de trabajo tengan acceso de bajo nivel a la VM del nodo. Para configurar esto en contexto, GKE Standard presenta acceso completo al procesamiento subyacente, Autopilot presenta acceso limitado y Cloud Run no presenta acceso.

    Autopilot flexibiliza algunas de esas restricciones para una lista predefinida de herramientas de terceros a fin de permitir que los clientes ejecuten esas herramientas en Autopilot sin modificaciones. Mediante el uso de privilegios para crear Pods con activaciones en la ruta del host, el investigador pudo ejecutar un contenedor con privilegios en un Pod que se veía como una de estas herramientas de terceros incluidas en la lista de entidades permitidas, a fin de obtener acceso al host.

    La capacidad de programar los Pods de esta manera se espera en GKE Standard, pero no en GKE Autopilot, ya que omitió las restricciones de acceso al host que se usaron para habilitar el ANS descrito antes.

    Este problema se solucionó cuando se ajustó la especificación del Pod sobre las lista de entidades permitidas de terceros.

    Elevación de privilegios de raíz en nodo

    Además del acceso al host, los Pods stackdriver-metadata-agent-cluster-level y metrics-server se identificaron como con demasiados privilegios. Después de obtener acceso de nivel de raíz al nodo, estos servicios podrían usarse para obtener más control sobre el clúster.

    stackdriver-metadata-agent ha dejado de estar disponible y se ha eliminado para GKE Standard y Autopilot. Este componente aún se usa en GKE en VMware y Google Distributed Cloud Virtual for Bare Metal.

    Como medida de endurecimiento del sistema para evitar este tipo de ataque en el futuro, aplicaremos una restricción de Autopilot a una versión próxima que evite las actualizaciones de la cuenta de servicio de varios objetos en el espacio de nombres kube-system. Desarrollamos una política de Gatekeeper para que apliques una protección similar a los clústeres de GKE Standard y a los clústeres de GKE a fin de evitar la modificación automática de cargas de trabajo con privilegios. Esta política se aplica automáticamente a los clústeres de Autopilot. Para obtener instrucciones, consulta las siguientes guías de endurecimiento:


    Agregación 15/03/2022: Persistencia mediante webhooks de mutación

    Se usaron webhooks de mutación en el informe para establecer una huella privilegiada en el clúster después de la vulneración. Estas son partes estándar de la API de Kubernetes que crean los administradores de clústeres y se hicieron visibles para los administradores cuando Autopilot agregó compatibilidad con webhooks definidos por el cliente.


    Cuentas de servicio con privilegios en el espacio de nombres predeterminado

    Los ejecutores de políticas de Autopilot antes permitían dos cuentas de servicio en el espacio de nombres predeterminado: csi-attacher y otelsvc para otorgar a las cuentas de servicio privilegios especiales. Un atacante con privilegios altos, incluidos los permisos para crear objetos ClusterRoleBinding y con acceso para crear Pods en el espacio de nombres predeterminado, podría usar estos nombres de cuenta de servicio a fin de acceder a esos privilegios adicionales. Estos servicios se movieron bajo el espacio de nombres kube-system para obtener la protección de la política existente de Autopilot. Los clústeres de GKE Standard y los de GKE no se ven afectados.

    ¿Qué debo hacer?

    Se actualizaron las políticas de todos los clústeres de GKE Autopilot para quitar el acceso al host no deseado y no se requieren más acciones.

    Se aplicará un mayor endurecimiento de políticas a Autopilot en las próximas semanas como protección secundaria. No es necesario que realices ninguna acción.

    Los clústeres de GKE Standard y los de GKE no se ven afectados, ya que los usuarios ya tienen acceso al host. Como medida de endurecimiento del sistema, los usuarios de clústeres de GKE Standard y de GKE pueden aplicar una protección similar con una política de Gatekeeper que evita la automodificación de cargas de trabajo privilegiadas. Para obtener instrucciones, consulta las siguientes guías de endurecimiento:

    Baja

    GCP-2022-008

    Publicación: 23-02-2022
    Updated: 28-04-2022
    Referencia: CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-21654, CVE-2022-21657, CVE-2022-21656

    GKE

    Descripción Gravedad
    Hace poco, el proyecto de Envoy descubrió un conjunto de vulnerabilidades, CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-21654, CVE-2022-21657 y CVE-2022-21656, que pueden afectar los clústeres de GKE mediante Anthos Service Mesh, Istio-on-GKE o implementaciones personalizadas de Istio.
    Todos los problemas que se mencionan a continuación se corrigen en la versión 1.21.1 de Envoy.
    Información técnica
    Puedes encontrar detalles adicionales sobre estas vulnerabilidades aquí.

    ¿Qué debo hacer?

    Los clústeres de GKE que ejecutan Anthos Service Mesh deben actualizarse a una versión compatible con la corrección de las vulnerabilidades anteriores
    • Si usas Anthos Service Mesh 1.12, actualiza a v1.12.4-asm.0.
    • Si usas Anthos Service Mesh 1.11, actualiza a v1.11.7-asm.1.
    • Si usas Anthos Service Mesh 1.10, actualiza a v1.10.6-asm.1.
    Si usas Anthos Service Mesh v1.9 o una versión anterior, tu versión llegó al final del ciclo de vida y ya no es compatible. Estas correcciones de CVE no se portaron a versiones anteriores. Debes actualizar a ASM 1.10 o superior.

    Los clústeres de GKE que ejecutan Istio-on-GKE deben actualizarse a una versión compatible con corrección de las vulnerabilidades anteriores
    • Si usas Istio-on-GKE 1.6, actualiza a v1.6.14-gke.8.
    • Si usas Istio-on-GKE 1.4.11, actualiza a v1.4.11-gke.4.
    • Si usas Istio-on-GKE 1.4.10, actualiza a v1.4.10-gke.23.
    • Si usas GKE 1.22 o una versión posterior, usa Istio GKE 1.4.10. De lo contrario, usa Istio-on-GKE 1.4.11.

    ¿Qué vulnerabilidades trata este parche?

    CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-21654, CVE-2022-21657, y CVE-2022-21656
    Alta

    GKE en VMware

    Actualización: 28-04-2022

    Descripción Gravedad
    Recientemente, Envoy lanzó varias correcciones de vulnerabilidades de seguridad. GKE en VMware se ve afectado porque Envoy se usa con el servidor de métricas. Las CVE de Envoy que corregiremos se enumeran a continuación. Actualizaremos este boletín con versiones específicas cuando estén disponibles:
    • CVE-2021-43824 (puntuación 6.5 de CVSS, media): desreferencia del puntero nulo posible cuando se usa la coincidencia de safe_regex de filtro de JWT.
      Nota: Aunque ASM/Istio-on-GKE no admiten filtros de Envoy, podrías verte afectado si usas regex de filtro de JWT..
    • CVE-2021-43825 (puntuación de CVSS 6.1, Media): Uso después de la liberación cuando los filtros de respuesta aumentan los datos de respuesta y el aumento de los datos supera los límites de búfer descendentes.
      Nota: Aunque ASM/Istio-on-GKE no son compatibles con los filtros de Envoy, es posible que te veas afectado si usas un filtro de descompresión.
    • CVE-2021-43826 (puntuación de CVSS 6.1, Media): Uso después de la liberación cuando se canaliza TCP a través de HTTP, si hay desconexión descendente durante el establecimiento de la conexión ascendente.
      Nota: Aunque ASM/Istio-on-GKE no admiten filtros de Envoy, podrías verte afectado si usas un filtro de túnel.
    • CVE-2022-21654 (puntuación de CVSS 7.3, Alta): El control de configuración incorrecto permite volver a usar la sesión de mTLS sin revalidación después de cambiar la configuración de validación.
      Nota: Todos los servicios de ASM/Istio-on-GKE que usan mTLS se ven afectados por esta CVE.
    • CVE-2022-21655 (puntuación de CVSS 7.5, Alta): Control incorrecto de redireccionamientos internos a rutas con una entrada de respuesta directa.
      Nota: Aunque ASM/Istio-on-GKE no son compatibles con los filtros de Envoy, podrías verte afectado si usas un filtro de respuesta directa.
    • CVE-2022-23606 (puntuación de CVSS 4.4, Media): Agotamiento de la pila cuando se borra un clúster mediante el servicio de descubrimiento de clústeres
      Nota: Esta CVE afecta a ASM 1.11+. ASM 1.10 y todas las versiones de Istio-on-GKE no se ven afectadas por esta CVE.
    • CVE-2022-21657 (Puntuación CVSS 3.1, baja): Envoy a través de 1.20.1 contiene una vulnerabilidad que se puede aprovechar de forma remota debido a la omisión del uso extendido de la clave y los propósitos de confianza de X.509.
    • CVE-2022-21656 (Puntuación CVSS 3.1, baja): Envoy a través de 1.20.1 contiene una vulnerabilidad que se puede aprovechar de forma remota debido a la omisión de subjectAltName (y nameConstraints) de X.509.

    Hace poco tiempo, Istio lanzó una corrección de vulnerabilidad de seguridad. Anthos en VMware se ve afectado porque Istio se usa para la entrada. Las CVE de Istio que corregiremos se enumeran a continuación. Actualizaremos este boletín con versiones específicas cuando estén disponibles.

    CVE-2022-23635 (puntuación de CVSS 7.5, Alta): Istiod falla cuando recibe solicitudes con un encabezado de "autorización" creado especialmente.


    Para ver las descripciones y los impactos completos de las CVE anteriores, consulta los boletines de seguridad.

    Agregación del 28-04-2022: ¿Qué debo hacer?

    Las siguientes versiones de GKE en VMware corrigen estas vulnerabilidades:

    • 1.9.5
    • 1.10.3
    • 1.11.0

    ¿Qué vulnerabilidades trata este parche?

    CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-21654, CVE-2022-21657, y CVE-2022-21656
    Alta

    Google Distributed Cloud Virtual para Bare Metal

    Descripción Gravedad
    Recientemente, Envoy lanzó varias correcciones de vulnerabilidades de seguridad. Anthos en Bare Metal se ve afectado porque Envoy se usa para el servidor de métricas. Las CVE de Envoy que corregiremos en la versión 1.10.3, 1.9.6 y 1.8.9 se enumeran a continuación:
    • CVE-2021-43824 (puntuación 6.5 de CVSS, media): desreferencia del puntero nulo posible cuando se usa la coincidencia de safe_regex de filtro de JWT.
      Nota: Aunque ASM/Istio-on-GKE no son compatibles con los filtros de Envoy, podrías verte afectado si usas la regex del filtro de JWT.
    • CVE-2021-43825 (puntuación de CVSS 6.1, Media): Uso después de la liberación cuando los filtros de respuesta aumentan los datos de respuesta y el aumento de los datos supera los límites de búfer descendente.
      Nota: Aunque ASM/Istio-on-GKE no son compatibles con los filtros de Envoy, esto podría afectarte si usas un filtro de descompresión.
    • CVE-2021-43826 (puntuación de CVSS 6.1, Media): Uso después de la liberación cuando se canaliza TCP a través de HTTP, si hay desconexión descendente durante el establecimiento de la conexión ascendente.
      Nota: Aunque ASM/Istio-on-GKE no admiten filtros de Envoy, podrías verte afectado si usas un filtro de túnel.
    • CVE-2022-21654 (puntuación de CVSS 7.3, Alta): El control de configuración incorrecto permite volver a usar la sesión de mTLS sin revalidación después de cambiar la configuración de validación.
      Nota: Todos los servicios de ASM/Istio-on-GKE que usan mTLS se ven afectados por esta CVE.
    • CVE-2022-21655 (puntuación de CVSS 7.5, Alta): Control incorrecto de redireccionamientos internos a rutas con una entrada de respuesta directa.
      Nota: Aunque ASM/Istio-on-GKE no son compatibles con los filtros de Envoy, podrías verte afectado si usas un filtro de respuesta directa.
    • CVE-2022-23606 (puntuación de CVSS 4.4, Media): Agotamiento de la pila cuando se borra un clúster mediante el servicio de descubrimiento de clústeres
      Nota: Esta CVE afecta a ASM 1.11+. ASM 1.10 y todas las versiones de Istio-on-GKE no se ven afectadas por esta CVE.
    • CVE-2022-21657 (Puntuación CVSS 3.1, baja): Envoy a través de 1.20.1 contiene una vulnerabilidad que se puede aprovechar de forma remota debido a la omisión del uso extendido de la clave y los propósitos de confianza de X.509.
    • CVE-2022-21656 (Puntuación CVSS 3.1, baja): Envoy a través de 1.20.1 contiene una vulnerabilidad que se puede aprovechar de forma remota debido a la omisión de subjectAltName (y nameConstraints) de X.509.
    Hace poco tiempo, Istio lanzó una corrección de vulnerabilidad de seguridad. Anthos en Bare Metal se ve afectado porque Istio se usa para la entrada. A continuación, se muestra la CVE de Istio que corregiremos en las versiones 1.10.3, 1.9.6 y 1.8.9:

    • CVE-2022-23635 (puntuación de CVSS 7.5, Alta): Istiod falla cuando recibe solicitudes con un encabezado de "autorización" creado especialmente.
      Nota: Todas las ASM/Istio-on-GKE se ven afectadas por esta CVE.

    Para obtener las descripciones y el impacto completos de las CVE anteriores, consulta los boletines de seguridad.

    ¿Qué vulnerabilidades trata este parche?

    CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-21654, CVE-2022-21657, y CVE-2022-21656
    Alta

    GCP-2022-006

    Fecha de publicación: 14/02/2022
    Actualización: 16/05/2022
    Actualización del 16/05/2022: Se agregó la versión 1.19.16-gke.7800 o posterior de GKE a la lista de versiones que tienen código para corregir esta vulnerabilidad.
    Actualización del 12/05/2022: Versiones actualizadas de los parches para GKE, Google Distributed Cloud Virtual para Bare Metal, GKE en VMware y GKE en AWS. Se solucionó un problema en el cual el boletín de seguridad de los clústeres de GKE en AWS no se mostró cuando se agregó el 23/02/2022.

    GKE

    Descripción Gravedad

    Se detectó una vulnerabilidad de seguridad, CVE-2022-0492, en la función cgroup_release_agent_write del kernel de Linux. El ataque usa espacios de nombres de usuarios sin privilegios y, en determinadas circunstancias, se puede aprovechar esta vulnerabilidad para la interrupción del contenedor.

    ¿Qué debo hacer?

    Actualización del 16/05/2022: Además de las versiones de GKE mencionadas en la actualización del 12/05/2022, la versión 1.19.16-gke.7800 o posterior de GKE también contiene código que corrige esta vulnerabilidad.


    Actualización del 12/05/2022: Las siguientes versiones de GKE contienen código que corrige esta vulnerabilidad:

    • 1.20.15-gke.5600 o posterior
    • 1.21.11-gke.1500 o posterior
    • 1.22.8-gke.1800 o posterior
    • 1.23.5-gke.1800 o posterior

    Update 2022-02-15: Se corrigió la declaración de gVisor.

    La vulnerabilidad se encuentra en cgroup_release_agent_write del kernel de Linux en la función kernel/cgroup/cgroup-v1.c y se puede usar como una fuga del contenedor. GKE no se ve afectado debido a la protección del perfil de AppArmor predeterminado en Ubuntu y COS. Sin embargo, algunos clientes aún pueden ser vulnerables si disminuyen las restricciones de seguridad en los Pods mediante la modificación del Pod o el campo securityContext del contenedor, por ejemplo, inhabilitando o cambiando el perfil de AppArmor, lo que no se recomienda. Además del perfil predeterminado de AppArmor, estas funciones también protegen contra la vulnerabilidad:

    • GKE Autopilot no se ve afectado debido al perfil predeterminado seccomp.
    • Actualización del 15/02/2022: gVisor (GKE Sandbox) no se ve afectado, ya que gVisor no permite el acceso a la llamada vulnerable del sistema en el host.

    Los parches estarán disponibles en una próxima actualización. Este boletín se actualizará cuando estén disponibles.

    ¿Qué vulnerabilidad trata este parche?

    CVE-2022-0492

    Baja

    Clústeres de GKE en

    Descripción Gravedad

    Se detectó una vulnerabilidad de seguridad, CVE-2022-0492, en la función cgroup_release_agent_write del kernel de Linux. El ataque usa espacios de nombres de usuarios sin privilegios y, en determinadas circunstancias, se puede aprovechar esta vulnerabilidad para la interrupción del contenedor.

    ¿Qué debo hacer?

    Actualización del 12/05/2022: Las siguientes versiones de GKE en VMware contienen código que corrige esta vulnerabilidad.

    COS
    • 1.8.8 o una versión posterior
    • 1.9.5 o una versión posterior
    • 1.10.2 o una versión posterior
    • 1.11.0 o una versión posterior
    Ubuntu
    • 1.9.6 o una versión posterior
    • 1.10.3 o una versión posterior
    • 1.11.0 o una versión posterior

    La vulnerabilidad se encuentra en cgroup_release_agent_write del kernel de Linux en la función kernel/cgroup/cgroup-v1.c y se puede usar como interrupción en el contenedor. Los clústeres de GKE en VMware no se ven afectados debido a la protección del perfil de AppArmor predeterminado en Ubuntu y COS. Sin embargo, algunos clientes aún pueden ser vulnerables si disminuyen las restricciones de seguridad en los pods mediante la modificación del pod o el securityContext del contenedor, por ejemplo, inhabilitando o cambiando el perfil de AppArmor, lo que no se recomienda.

    Los parches estarán disponibles en una próxima actualización. Este boletín se actualizará cuando estén disponibles.

    ¿Qué vulnerabilidad trata este parche?

    CVE-2022-0492

    Baja

    GKE en AWS

    Descripción Gravedad

    Se detectó una vulnerabilidad de seguridad, CVE-2022-0492, en la función cgroup_release_agent_write del kernel de Linux. El ataque usa espacios de nombres de usuarios sin privilegios y, en determinadas circunstancias, se puede aprovechar esta vulnerabilidad para la interrupción del contenedor.

    ¿Qué debo hacer?

    Actualización del 12/05/2022: Las siguientes versiones de los clústeres de GKE en AWS de generación actual y anterior contienen código que corrige esta vulnerabilidad:

    Generación actual
    • 1.21.11-gke.1100
    • 1.22.8-gke.1300
    Generación anterior
    • 1.22.8-gke.1300
    • 1.21.11-gke.1100
    • 1.20.15-gke.5200

    Actualización del 23/02/2022: Se agregó una nota para GKE en AWS.

    Los clústeres de GKE en AWS de generaciones anteriores y actuales no se ven afectados debido a la protección del perfil de AppArmor predeterminado en Ubuntu. Sin embargo, es posible que algunos clientes aún sean vulnerables si han flexibilizado las restricciones de seguridad en los Pods a través de la modificación del campo securityContext del Pod o del contenedor, p. ej., inhabilitando o cambiando el perfil de AppArmor, lo cual no se recomienda.

    Los parches estarán disponibles en una próxima actualización. Este boletín se actualizará cuando estén disponibles.

    ¿Qué vulnerabilidad trata este parche?

    CVE-2022-0492

    Baja

    GKE Enterprise en

    Descripción Gravedad

    Se detectó una vulnerabilidad de seguridad, CVE-2022-0492, en la función cgroup_release_agent_write del kernel de Linux. El ataque usa espacios de nombres de usuarios sin privilegios y, en determinadas circunstancias, se puede aprovechar esta vulnerabilidad para la interrupción del contenedor.

    ¿Qué debo hacer?

    Actualización del 12/05/2022: Las siguientes versiones de GKE en Azure contienen código que corrige esta vulnerabilidad:

    • 1.21.11-gke.1100
    • 1.22.8-gke.1300

    GKE en Azure no se ve afectado debido a la protección del perfil predeterminado de AppArmor en Ubuntu. Sin embargo, es posible que algunos clientes sigan siendo vulnerables si tienen restricciones de seguridad flexivas en los Pods a través de la modificación del campo securityContext del Pod o del contenedor, p.ej., inhabilitando o cambiando el perfil de AppArmor, lo que no se recomienda.

    Los parches estarán disponibles en una próxima actualización. Este boletín se actualizará cuando estén disponibles.

    ¿Qué vulnerabilidad trata este parche?

    CVE-2022-0492

    Baja

    GCP-2022-005

    Fecha de publicación: 11/02/2022
    Última actualización: 15/02/2022
    Referencia: CVE-2021-43527

    GKE

    Descripción Gravedad
    Actualización del 15/02/2022: Algunas versiones de GKE mencionadas en el boletín original se combinaron con otras correcciones y se aumentaron sus números de versión antes del lanzamiento. Los parches están disponibles en las siguientes versiones de GKE:
    • 1.20.15-gke.300
    • 1.21.9-gke.300
    • 1.22.6-gke.1000

    Se detectó una vulnerabilidad de seguridad, CVE-2021-43527, en cualquier objeto binario que se vincula con las versiones vulnerables de libnss3 que se encuentran en las versiones de NSS (Servicios de Seguridad de Red) anteriores a la versión 3.73 o 3.68.1. Las aplicaciones que usan NSS para validación de certificados u otra función de CRL, OCSP TLS o X.509 pueden verse afectadas, según cómo se use o configure NSS. Las imágenes de GKE COS y Ubuntu tienen una versión vulnerable instalada y se les debe aplicar un parche.

    Es posible que CVE-2021-43527 tenga un gran impacto en las aplicaciones que usan NSS para administrar firmas codificadas en CMS, S/MIME, PKCS#7 o PKCS#12. Además, las aplicaciones que usan NSS para la validación de certificados o cualquier otra función de CRL, OCSP, TLS o X.509 pueden verse afectadas. El impacto depende de cómo se use o configure NSS.

    GKE no usa libnss3 para ninguna API a la que se pueda acceder a través de Internet. El impacto se limita al código en el host que se ejecuta fuera de contenedores, lo que es pequeño debido al diseño mínimo de Chrome SO. El código de GKE que se ejecuta dentro de contenedores mediante la imagen base distroless de golang no se ve afectado.

    ¿Qué debo hacer?

    Las versiones de las imágenes de nodo de Linux para las siguientes versiones de GKE se actualizaron con un código que corrige estas vulnerabilidades. Actualiza tu plano de control y tus nodos a una de las siguientes versiones de GKE:

    • Versión 1.18 que se determinará
    • 1.19.16-gke.6100
    • 1.20.15-gke.200
    • 1.21.9-gke.200
    • 1.22.6-gke.600
    • 1.23.3-gke.500
    ¿Usas una versión de GKE anterior a la 1.18? Estás usando una versión de GKE fuera del ANS y debes considerar actualizar a una de las versiones compatibles.

    ¿Qué vulnerabilidad trata este parche?

    CVE-2021-43527

    Media

    Clústeres de GKE en

    Descripción Gravedad

    Se detectó una vulnerabilidad de seguridad, CVE-2021-43527, en cualquier objeto binario que se vincula con las versiones vulnerables de libnss3 que se encuentran en las versiones de NSS (Servicios de Seguridad de Red) anteriores a la versión 3.73 o 3.68.1. Las aplicaciones que usan NSS para validación de certificados u otra función de CRL, OCSP, TLS o X.509 pueden verse afectadas, según cómo configuren NSS. Las imágenes de GKE en VMware COS y Ubuntu tienen una versión vulnerable y se deben aplicar parches.

    Es posible que CVE-2021-43527 tenga un gran impacto en las aplicaciones que usan NSS para administrar firmas codificadas en CMS, S/MIME, PKCS \#7 o PKCS \#12. Además, las aplicaciones que usan NSS para la validación de certificados o cualquier otra función de CRL, OCSP, TLS o X.509 pueden verse afectadas. El impacto depende de cómo configuren o usen NSS. Anthos en VMware no usa libnss3 para ninguna API de acceso público, por lo que el impacto es limitado y la gravedad de esta CVE para los clústeres de GKE en VMware se califica como Media.

    ¿Qué debo hacer?

    Las versiones de las imágenes de nodo de Linux para las siguientes versiones de Anthos se actualizaron con un código que corrige estas vulnerabilidades. Actualiza tu plano de control y tus nodos a una de las siguientes versiones de Anthos:

    • 1.8.7
    • 1.9.4
    • 1.10.2

    ¿Estás usando una versión de GKE on VMware anterior a la 1.18? Usas una versión de Anthos fuera del ANS y debes considerar actualizar a una de las versiones compatibles.

    ¿Qué vulnerabilidad trata este parche?

    CVE-2021-43527

    Media

    GKE Enterprise en

    Descripción Gravedad

    Se detectó una vulnerabilidad de seguridad, CVE-2021-43527, en cualquier objeto binario que se vincula con las versiones vulnerables de libnss3 que se encuentran en las versiones de NSS (Servicios de Seguridad de Red) anteriores a la versión 3.73 o 3.68.1. Las aplicaciones que usan NSS para validación de certificados u otra función de CRL, OCSP TLS o X.509 pueden verse afectadas, según cómo se use o configure NSS. Los clústeres de Anthos en las imágenes de Azure Ubuntu tienen instalada una versión vulnerable y se deben aplicar parches.

    Es posible que CVE-2021-43527 tenga un gran impacto en las aplicaciones que usan NSS para administrar firmas codificadas en CMS, S/MIME, PKCS#7 o PKCS#12. Además, las aplicaciones que usan NSS para la validación de certificados o cualquier otra función de CRL, OCSP, TLS o X.509 pueden verse afectadas. El impacto depende de cómo configuren o usen NSS. Los clústeres de Anthos alojados en Azure no usan libnss3 para ninguna API de acceso público, por lo que el impacto es limitado y la gravedad de esta CVE para Anthos on VMware se califica como Media.

    ¿Qué debo hacer?

    Las versiones de las imágenes de nodo de Linux para las siguientes versiones de clústeres de GKE en VMware se actualizaron con un código que corrige estas vulnerabilidades. Actualiza tus clústeres a una de las siguientes versiones de Anthos en Azure:

    • v1.21.6-gke.1500

    ¿Qué vulnerabilidad trata este parche?

    CVE-2021-43527

    Media

    GCP-2022-004

    Fecha de publicación: 4 de febrero de 2022
    Referencia: CVE-2021-4034

    GKE

    Descripción Gravedad

    Se detectó una vulnerabilidad de seguridad, CVE-2021-4034, en pkexec, un componente del paquete del kit de políticas de Linux (polkit) que permite que un usuario autenticado realice un ataque de elevación de privilegios. Por lo general, PolicyKit solo se usa en sistemas de escritorio Linux para permitir que los usuarios no raíz realicen acciones, como reiniciar el sistema, instalar paquetes, reiniciar servicios, etc., según lo que estipule una política.

    ¿Qué debo hacer?

    GKE no se ve afectado porque el módulo vulnerable, policykit-1, no está instalado en las imágenes de COS o Ubuntu usadas en GKE. No es necesario que realices ninguna acción.

    Ninguna

    Clústeres de GKE en

    Descripción Gravedad

    Se detectó una vulnerabilidad de seguridad, CVE-2021-4034, en pkexec, un componente del paquete del kit de políticas de Linux (polkit) que permite que un usuario autenticado realice un ataque de elevación de privilegios. Por lo general, PolicyKit solo se usa en sistemas de escritorio Linux para permitir que los usuarios no raíz realicen acciones, como reiniciar el sistema, instalar paquetes, reiniciar servicios, etc., según lo que estipule una política.

    La configuración predeterminada de GKE Enterprise ya les otorga a los usuarios privilegios “sudo” completos, por lo que este exploit no cambia la postura de seguridad existente de GKE Enterprise.

    Detalles técnicos

    Para que se pueda aprovechar este error, un atacante necesita un shell no raíz en el sistema de archivos del nodo y tener instalada la versión vulnerable de pkexec. Si bien GKE en Azure incluyen una versión de policykit-1 en sus imágenes de actualización, la configuración predeterminada de GKE Enterprise permite hacer sudo sin contraseña a cualquier persona que tenga acceso a la shell, por lo que esta vulnerabilidad no le da más a un usuario privilegios que los que ya tiene.

    ¿Qué debo hacer?

    No es necesario que realices ninguna acción. GKE en VMware no se ve afectado.

    Ninguna

    Clústeres de GKE en

    Descripción Gravedad
    GKE en AWS no se ve afectado. El módulo vulnerable, policykit-1, no está instalado en las imágenes de Ubuntu que usan las versiones actuales y anteriores de clústeres de GKE en AWS. Ninguna

    GKE Enterprise en

    Descripción Gravedad

    Se detectó una vulnerabilidad de seguridad, CVE-2021-4034, en pkexec, un componente del paquete del kit de políticas de Linux (polkit) que permite que un usuario autenticado realice un ataque de elevación de privilegios. Por lo general, PolicyKit solo se usa en sistemas de escritorio Linux para permitir que los usuarios no raíz realicen acciones, como reiniciar el sistema, instalar paquetes, reiniciar servicios, etc., según lo que estipule una política.

    La configuración predeterminada de GKE Enterprise ya les otorga a los usuarios privilegios “sudo” completos, por lo que este exploit no cambia la postura de seguridad existente de GKE Enterprise.

    Detalles técnicos

    Para que se pueda aprovechar este error, un atacante necesita un shell no raíz en el sistema de archivos del nodo y tener instalada la versión vulnerable de pkexec. Si bien GKE en Azure incluyen una versión de policykit-1 en sus imágenes de actualización, la configuración predeterminada de GKE Enterprise permite hacer sudo sin contraseña a cualquier persona que tenga acceso a la shell, por lo que esta vulnerabilidad no le da más a un usuario privilegios que los que ya tiene.

    ¿Qué debo hacer?

    No es necesario que realices ninguna acción. GKE en Azure no se ve afectado.

    Ninguna

    Clústeres de GKE en

    Descripción Gravedad
    Google Distributed Cloud Virtual for Bare Metal puede verse afectado según los paquetes que se instalen en el sistema operativo administrado por el cliente. Analiza tus imágenes de SO y aplica parches si es necesario. Ninguna

    GCP-2022-002

    Fecha de publicación: 01-02-2022
    Última actualización: 07-03-2022
    Referencia:
    CVE-2021-4154, CVE-2021-22600, CVE-2022-0185
    Actualización del 04-02-2022: Se agregaron secciones para los clústeres de Anthos alojados en AWS y Anthos en Azure. Se agregaron actualizaciones de lanzamiento para GKE y GKE en VMware.

    GKE

    Actualizado: 07-03-2022

    Descripción Gravedad

    Tres vulnerabilidades de seguridad, CVE-2021-4154, CVE-2021-22600 y CVE-2022-0185, se descubrieron en el kernel de Linux, cada una de las cuales puede generar una fuga del contenedor, la elevación de privilegios en el host o ambas. Estas vulnerabilidades afectan a todos los sistemas operativos de los nodos (COS y Ubuntu) en GKE, GKE en VMware, GKE en AWS (generación actual y anterior) y GKE en Azure.

    Los Pods que usan GKE Sandbox no son vulnerables a estas vulnerabilidades.

    Consulta las notas de la versión de COS para obtener más información.

    Detalles técnicos

    En CVE-2021-4154, un atacante puede aprovechar el parámetro de llamada al sistema fsconfig para activar un error de uso después de la liberación en el kernel de Linux, con lo que obtiene privilegios de administrador. Este es un ataque de elevación de privilegios locales que generará una fuga del contenedor.

    CVE-2021-22600 es un ataque de doble free en package_set_ring que puede llevar a un escape del contenedor en el nodo host.

    Con CVE-2022-0185, un error de desbordamiento de memoria en legacy_parse_param() puede llevar a una escritura fuera de los límites, lo que causará una fuga del contenedor.

    La ruta de explotación para esta vulnerabilidad que depende de la llamada de sistema “unshare” se bloquea en los clústeres de GKE Autopilot de forma predeterminada con el filtrado seccomp.

    Los usuarios que habilitaron de forma manual el perfil de seccomp del entorno de ejecución del contenedor predeterminado en los clústeres de GKE Standard también están protegidos.

    ¿Qué debo hacer?

    Actualización del 07/03/2022: Las versiones de las imágenes de nodos de Linux para las siguientes versiones de GKE se actualizaron con código que corrige todas estas vulnerabilidades de las imágenes de Ubuntu y COS. Actualiza el plano de control y los nodos a una de las siguientes versiones de GKE.

    • 1.18.20-gke.6101
    • 1.19.16-gke.8300
    • 1.20.15-gke.2500
    • 1.21.10-gke.400
    • 1.22.7-gke.900
    • 1.23.3-gke.1100

    Actualización del 25-02-2022: Si usas imágenes de nodo de Ubuntu, 1.22.6-gke.1000 no aborda CVE-2021-22600. Actualizaremos este boletín con las versiones de parche de Ubuntu cuando estén disponibles.


    Actualización del 23-02-2022: Las versiones de las imágenes de nodos de Linux para las siguientes versiones de GKE se actualizaron con código a fin de corregir estas vulnerabilidades. Actualiza tus clústeres a una de las siguientes versiones de GKE.

    • 1.18.20-gke.6101
    • 1.22.6-gke.1000
    • 1.23.3-gke.1100

    Actualización del 04-02-2022: La fecha de inicio del lanzamiento de las versiones de parche de GKE fue el 2 de febrero.


    Las versiones de las imágenes de nodo de Linux para las siguientes versiones de GKE se actualizaron con un código que corrige estas vulnerabilidades. Actualiza tus clústeres a una de las siguientes versiones de GKE.

    • 1.19.16-gke.6100
    • 1.20.15-gke.300
    • 1.21.9-gke.300

    Las versiones 1.22 y 1.23 también están en progreso. Actualizaremos este boletín con versiones específicas cuando estén disponibles.

    ¿Qué vulnerabilidad trata este parche?

    Alta

    Clústeres de GKE en

    Última actualización: 23-02-2022

    Descripción Gravedad

    Tres vulnerabilidades de seguridad, CVE-2021-4154, CVE-2021-22600 y CVE-2022-0185, se descubrieron en el kernel de Linux, cada una de las cuales puede generar una fuga del contenedor, la elevación de privilegios en el host o ambas. Estas vulnerabilidades afectan a todos los sistemas operativos de los nodos (COS y Ubuntu) en GKE, GKE en VMware, GKE en AWS (generación actual y anterior) y GKE en Azure.

    Consulta las notas de la versión de COS para obtener más información.

    Detalles técnicos

    En CVE-2021-4154, un atacante puede aprovechar el parámetro de llamada al sistema fsconfig para activar un error de uso después de la liberación en el kernel de Linux, con lo que obtiene privilegios de administrador. Este es un ataque de elevación de privilegios locales que generará una fuga del contenedor.

    CVE-2021-22600 es un ataque de doble free en package_set_ring que puede llevar a un escape del contenedor en el nodo host.

    Con CVE-2022-0185, un error de desbordamiento de memoria en legacy_parse_param() puede llevar a una escritura fuera de los límites, lo que causará una fuga del contenedor.

    Los usuarios que habilitaron de forma manual el perfil de seccomp del entorno de ejecución del contenedor predeterminado en los clústeres de GKE Standard también están protegidos.

    ¿Qué debo hacer?

    Actualización del 23-02-2022: la versión 1.10.2 (Correcciones CVE-2021-22600, CVE-2021-4154 y CVE-2022-0185) ahora está programada para el 1 de marzo.

    Actualización del 23-02-2022: Se agregaron versiones con parche que abordan la CVE-2021-2260.

    La versión 1.10.1 no aborda la CVE-2021-22600, pero sí aborda las otras vulnerabilidades. Las versiones 1.9.4 y 1.10.2, aún no publicadas, abordarán la CVE-2021-22600. Las versiones de las imágenes de nodo de Linux para las siguientes versiones de GKE en VMware se actualizaron con un código que corrige estas vulnerabilidades. Actualiza tus clústeres a una de las siguientes versiones de GKE en VMware:

    • 1.10.1 (Corrige CVE-2021-4154 y CVE-2022-0185. Publicada el 10 febrero)
    • 1.8.7 (Corrige CVE-2021-22600, CVE-2021-4154 y CVE-2022-0185. Publicada el 17 de febrero)
    • 1.9.4 (Corrige CVE-2021-22600, CVE-2021-4154, y CVE-2022-0185. Publicada el 23 febrero)
    • 1.10.2 (Corrige CVE-2021-22600, CVE-2021-4154, y CVE-2022-0185. programada para el 24 de febrero)

    Actualización del 04-02-2022: Se agregó información sobre las imágenes de Ubuntu que no abordan CVE-2021-22600.

    Las versiones de las imágenes de nodo de Linux para las siguientes versiones de GKE en VMware se actualizaron con un código que corrige estas vulnerabilidades. Actualiza tus clústeres a una de las siguientes versiones de GKE on VMware:

    • 1.10.1 (solo actualización de COS. El parche de Ubuntu estará en la versión 1.10.2 programada para el 23 de febrero)
    • 1.9.4 (programada para el 15 de febrero)
    • 1.8.7 (programada para el 15 de febrero)

    ¿Qué vulnerabilidad trata este parche?

    Alta

    Clústeres de GKE en

    Descripción Gravedad

    Tres vulnerabilidades de seguridad, CVE-2021-4154, CVE-2021-22600 y CVE-2022-0185, se descubrieron en el kernel de Linux, cada una de las cuales puede generar una fuga del contenedor, la elevación de privilegios en el host o ambas. Estas vulnerabilidades afectan a todos los sistemas operativos de los nodos (COS y Ubuntu) en GKE, GKE en VMware, GKE en AWS (generación actual y anterior) y GKE en Azure.

    Consulta las notas de la versión de COS para obtener más información.

    Detalles técnicos

    En CVE-2021-4154, un atacante puede aprovechar el parámetro de llamada al sistema fsconfig para activar un error de uso después de la liberación en el kernel de Linux, con lo que obtiene privilegios de administrador. Este es un ataque de elevación de privilegios locales que generará una fuga del contenedor.

    CVE-2021-22600 es un ataque de doble free en package_set_ring que puede llevar a un escape del contenedor en el nodo host.

    Con CVE-2022-0185, un error de desbordamiento de memoria en legacy_parse_param() puede llevar a una escritura fuera de los límites, lo que causará una fuga del contenedor.

    Los usuarios que habilitaron de forma manual el perfil de seccomp del entorno de ejecución del contenedor predeterminado en los clústeres de GKE Standard también están protegidos.

    ¿Qué debo hacer?

    GKE en AWS

    Las versiones de las imágenes de nodo de Linux para las siguientes versiones de GKE en VMware se actualizaron con un código que corrige estas vulnerabilidades. Actualiza tus clústeres a la siguiente versión de GKE en AWS:

    • 1.21.6-gke.1500 y versiones posteriores (disponible en febrero)

    GKE en AWS (generación anterior)

    Las versiones de las imágenes de nodo de Linux para las siguientes versiones de clústeres de GKE en AWS (generación anterior) se actualizaron con un código que corrige estas vulnerabilidades. Actualiza tus clústeres a una de las siguientes versiones de GKE en AWS (generación anterior):

    • 1.19.16-gke.5300
    • 1.20.14-gke.2000
    • 1.21.8-gke.2000

    ¿Qué vulnerabilidad trata este parche?

    Alta

    GKE Enterprise en

    Descripción Gravedad

    Tres vulnerabilidades de seguridad, CVE-2021-4154, CVE-2021-22600 y CVE-2022-0185, se descubrieron en el kernel de Linux, cada una de las cuales puede generar una fuga del contenedor, la elevación de privilegios en el host o ambas. Estas vulnerabilidades afectan a todos los sistemas operativos de los nodos (COS y Ubuntu) en GKE, GKE en VMware, GKE en AWS (generación actual y anterior) y GKE en Azure.

    Consulta las notas de la versión de COS para obtener más información.

    Detalles técnicos

    En CVE-2021-4154, un atacante puede aprovechar el parámetro de llamada al sistema fsconfig para activar un error de uso después de la liberación en el kernel de Linux, con lo que obtiene privilegios de administrador. Este es un ataque de elevación de privilegios locales que generará una fuga del contenedor.

    CVE-2021-22600 es un ataque de doble free en package_set_ring que puede llevar a un escape del contenedor en el nodo host.

    Con CVE-2022-0185, un error de desbordamiento de memoria en legacy_parse_param() puede llevar a una escritura fuera de los límites, lo que causará una fuga del contenedor.

    Los usuarios que habilitaron de forma manual el perfil de seccomp del entorno de ejecución del contenedor predeterminado en los clústeres de GKE Standard también están protegidos.

    ¿Qué debo hacer?

    Las versiones de las imágenes de nodo de Linux para las siguientes versiones de clústeres de GKE en VMware se actualizaron con un código que corrige estas vulnerabilidades. Actualiza tus clústeres a la siguiente versión de GKE en Azure:

    • 1.21.6-gke.1500 y versiones posteriores (disponible en febrero)

    ¿Qué vulnerabilidad trata este parche?

    Alta

    GCP-2021-024

    Fecha de publicación: 21-10-2021
    Referencia: CVE-2021-25742

    GKE

    Descripción Gravedad

    Se detectó un problema de seguridad en el controlador ingress-nginx de Kubernetes, CVE-2021-25742. Los fragmentos personalizados de Ingress-nginx permiten la recuperación de tokens y secretos de cuentas de servicio de ingress-nginx en todos los espacios de nombres.

    ¿Qué debo hacer?

    Este problema de seguridad no afecta la infraestructura de tu clúster de GKE ni ninguna infraestructura de clústeres de entornos empresariales de GKE. Si usas Ingress-nginx en las implementaciones de tu carga de trabajo, debes tener en cuenta este problema de seguridad. Consulta el problema 7837 de Ingress-nginx para obtener más detalles.

    Ninguna

    Clústeres de GKE en

    Descripción Gravedad

    Se detectó un problema de seguridad en el controlador ingress-nginx de Kubernetes, CVE-2021-25742. Los fragmentos personalizados de Ingress-nginx permiten la recuperación de tokens y secretos de cuentas de servicio de ingress-nginx en todos los espacios de nombres.

    ¿Qué debo hacer?

    Este problema de seguridad no afecta la infraestructura de tu clúster de GKE ni ninguna infraestructura de clústeres de entornos empresariales de GKE. Si usas Ingress-nginx en las implementaciones de tu carga de trabajo, debes tener en cuenta este problema de seguridad. Consulta el problema 7837 de Ingress-nginx para obtener más detalles.

    Ninguna

    Clústeres de GKE en

    Descripción Gravedad

    Se detectó un problema de seguridad en el controlador ingress-nginx de Kubernetes, CVE-2021-25742. Los fragmentos personalizados de Ingress-nginx permiten la recuperación de tokens y secretos de cuentas de servicio de ingress-nginx en todos los espacios de nombres.

    ¿Qué debo hacer?

    Este problema de seguridad no afecta la infraestructura de tu clúster de GKE ni ninguna infraestructura de clústeres de entornos empresariales de GKE. Si usas Ingress-nginx en las implementaciones de tu carga de trabajo, debes tener en cuenta este problema de seguridad. Consulta el problema 7837 de Ingress-nginx para obtener más detalles.

    Ninguna

    Clústeres de GKE en

    Descripción Gravedad

    Se detectó un problema de seguridad en el controlador ingress-nginx de Kubernetes, CVE-2021-25742. Los fragmentos personalizados de Ingress-nginx permiten la recuperación de tokens y secretos de cuentas de servicio de ingress-nginx en todos los espacios de nombres.

    ¿Qué debo hacer?

    Este problema de seguridad no afecta la infraestructura de tu clúster de GKE ni ninguna infraestructura de clústeres de entornos empresariales de GKE. Si usas Ingress-nginx en las implementaciones de tu carga de trabajo, debes tener en cuenta este problema de seguridad. Consulta el problema 7837 de Ingress-nginx para obtener más detalles.

    Ninguna

    GCP-2021-019

    Fecha de publicación: 29/09/2021

    GKE

    Descripción Gravedad

    Existe un problema conocido en el que la actualización de un recurso BackendConfig mediante la API de v1beta1 quita una política de seguridad activa de Google Cloud Armor de su servicio.

    ¿Me afecta esta vulnerabilidad?

    Si tu BackendConfig ya se actualizó con la API de v1beta1, es posible que se haya quitado la política de seguridad de Google Cloud Armor. Para determinar si esto ocurrió, ejecuta el siguiente comando:

    
    kubectl get backendconfigs -A -o json | \
    jq -r '.items[] | select(.spec.securityPolicy == {}) | .metadata | "\(.namespace)/\(.name)"'
    • Si la respuesta muestra un resultado: tu clúster se vio afectado por el problema. El resultado de este comando muestra una lista de recursos BackendConfig (<namespace>/<name>) afectados por el problema.
    • Si el resultado está vacío: Tu BackendConfig no se actualizó con la API de v1beta1 desde que se introdujo el problema. Las actualizaciones futuras de tu BackendConfig solo deben usar v1.

    Este problema afecta a las siguientes versiones de GKE:

    • 1.18.19-gke.1400 to 1.18.20-gke.5100 (exclusivo)
    • 1.19.10-gke.700 to 1.19.14-gke.300 (exclusivo)
    • 1.20.6-gke.700 to 1.20.9-gke.900 (exclusivo)
    • 1.21 to 1.21.1-gke.2700 (exclusivo)

    Si no configuras Google Cloud Armor en tus recursos de Ingress a través de BackendConfig, este problema no afecta a tus clústeres.

    ¿Qué debo hacer?

    Actualiza tu plano de control de GKE a una de las siguientes versiones actualizadas que aplican parches a este problema y permiten que los recursos BackendConfig de v1beta1 se usen de forma segura:

    • 1.21.1-gke.2700 y posteriores
    • 1.20.9-gke.900 y posteriores
    • 1.19.14-gke.300 y posteriores
    • 1.18.20-gke.5100 y posteriores

    Este problema también se puede prevenir si evitas la implementación de los recursos BackendConfig de v1beta1. Si configuras Google Cloud Armor en tus recursos de Ingress a través de BackendConfig y descubres que te afecta los pasos anteriores, vuelve a habilitar Google Cloud Armor mediante el envío de una actualización a tu recurso BackendConfig actual con la versión de la API cloud.google.com/v1.

    Para evitar este problema, solo realiza actualizaciones a tu BackendConfig mediante la API de v1 BackendConfig.

    Dado que v1 BackendConfig admite los mismos campos que v1beta1 y no realiza cambios rotundos, el campo de la API se puede actualizar con transparencia. Para ello, reemplaza el campo apiVersion de cualquier manifiesto activo de BackendConfig con cloud.google.com/v1 y no uses cloud.google.com/v1beta1.

    En el siguiente manifiesto de muestra, se describe un recurso BackendConfig que usa la API v1:

    
    apiVersion: cloud.google.com/v1
    kind: BackendConfig
    metadata:
      name: my-backend-config
    spec:
      securityPolicy:
        name: "ca-how-to-security-policy"
    

    Si tienes herramientas o sistemas de CI/CD que actualizan recursos BackendConfig de forma periódica, asegúrate de usar el grupo de API cloud.google.com/v1 en esos sistemas.

    Baja

    GCP-2021-022

    Fecha de publicación: 23/09/2021

    Clústeres de GKE en

    Descripción Gravedad

    Se descubrió una vulnerabilidad en el módulo LDAP de GKE Enterprise Identity Service (AIS) de las versiones 1.8 y 1.8.1 de GKE en VMware en la que una clave de origen que se usa para generar claves es predecible. Con esta vulnerabilidad, un usuario autenticado podría agregar reclamaciones arbitrarias y escalar privilegios de forma indefinida.

    Detalles técnicos

    Una adición reciente al código AIS crea claves simétricas mediante el módulo math/rand de Golang, que no es adecuado para los códigos con seguridad sensible. El módulo se usa de una manera que generará una clave predecible. Durante la verificación de identidad, se genera una clave de servicio de token seguro (STS) que, luego, se encripta con una clave simétrica fácil de derivar.

    ¿Qué debo hacer?

    Esta vulnerabilidad solo afecta a los clientes que usan AIS en las versiones 1.8 y 1.8.1 de GKE en VMware. Para los usuarios de GKE en VMware 1.8, actualiza los clústeres a la siguiente versión:

    • 1.8.2
    Alta

    GCP-2021-021

    Fecha de publicación: 22-09-2021
    Referencia: CVE-2020-8561

    GKE

    Descripción Gravedad

    Se detectó una vulnerabilidad de seguridad, CVE-2020-8561, en Kubernetes, en la que se pueden realizar determinados webhooks para redireccionar las solicitudes kube-apiserver a las redes privadas de ese servidor de la API.

    Detalles técnicos

    Con esta vulnerabilidad, los actores que controlan las respuestas de las solicitudes MutatingWebhookConfiguration o ValidatingWebhookConfiguration pueden redireccionar las solicitudes kube-apiserver a las redes privadas del servidor de la API. Si ese usuario puede ver los registros kube-apiserver cuando el nivel de registro se establece como 10, puede ver las respuestas y los encabezados redireccionados en los registros.

    Este problema se puede mitigar si cambias ciertos parámetros para el servidor de la API.

    ¿Qué debo hacer?

    No se requiere ninguna acción en este momento.

    Las versiones de GKE y GKE Enterprise disponibles en la actualidad implementaron las siguientes mitigaciones contra este tipo de ataques:

    • La marca --profiling de kube-apiserver se configura como false.
    • El nivel de registro kube-apiserver se establece por debajo de 10.

    ¿Qué vulnerabilidad trata este parche?

    CVE-2020-8561

    Media

    Clústeres de GKE en

    Descripción Gravedad

    Se detectó una vulnerabilidad de seguridad, CVE-2020-8561, en Kubernetes, en la que se pueden realizar determinados webhooks para redireccionar las solicitudes kube-apiserver a las redes privadas de ese servidor de la API.

    Detalles técnicos

    Con esta vulnerabilidad, los actores que controlan las respuestas de las solicitudes MutatingWebhookConfiguration o ValidatingWebhookConfiguration pueden redireccionar las solicitudes kube-apiserver a las redes privadas del servidor de la API. Si ese usuario puede ver los registros kube-apiserver cuando el nivel de registro se establece como 10, puede ver las respuestas y los encabezados redireccionados en los registros.

    Este problema se puede mitigar si cambias ciertos parámetros para el servidor de la API.

    ¿Qué debo hacer?

    No se requiere ninguna acción en este momento.

    Las versiones de GKE y GKE Enterprise disponibles en la actualidad implementaron las siguientes mitigaciones contra este tipo de ataques:

    • La marca --profiling de kube-apiserver se configura como false.
    • El nivel de registro kube-apiserver se establece por debajo de 10.

    ¿Qué vulnerabilidad trata este parche?

    CVE-2020-8561

    Media

    Clústeres de GKE en

    Descripción Gravedad

    Se detectó una vulnerabilidad de seguridad, CVE-2020-8561, en Kubernetes, en la que se pueden realizar determinados webhooks para redireccionar las solicitudes kube-apiserver a las redes privadas de ese servidor de la API.

    Detalles técnicos

    Con esta vulnerabilidad, los actores que controlan las respuestas de las solicitudes MutatingWebhookConfiguration o ValidatingWebhookConfiguration pueden redireccionar las solicitudes kube-apiserver a las redes privadas del servidor de la API. Si ese usuario puede ver los registros kube-apiserver cuando el nivel de registro se establece como 10, puede ver las respuestas y los encabezados redireccionados en los registros.

    Este problema se puede mitigar si cambias ciertos parámetros para el servidor de la API.

    ¿Qué debo hacer?

    No se requiere ninguna acción en este momento.

    Las versiones de GKE y GKE Enterprise disponibles en la actualidad implementaron las siguientes mitigaciones contra este tipo de ataques:

    • La marca --profiling de kube-apiserver se configura como false.
    • El nivel de registro kube-apiserver se establece por debajo de 10.

    ¿Qué vulnerabilidad trata este parche?

    CVE-2020-8561

    Media

    Clústeres de GKE en

    Descripción Gravedad

    Se detectó una vulnerabilidad de seguridad, CVE-2020-8561, en Kubernetes, en la que se pueden realizar determinados webhooks para redireccionar las solicitudes kube-apiserver a las redes privadas de ese servidor de la API.

    Detalles técnicos

    Con esta vulnerabilidad, los actores que controlan las respuestas de las solicitudes MutatingWebhookConfiguration o ValidatingWebhookConfiguration pueden redireccionar las solicitudes kube-apiserver a las redes privadas del servidor de la API. Si ese usuario puede ver los registros kube-apiserver cuando el nivel de registro se establece como 10, puede ver las respuestas y los encabezados redireccionados en los registros.

    Este problema se puede mitigar si cambias ciertos parámetros para el servidor de la API.

    ¿Qué debo hacer?

    No se requiere ninguna acción en este momento.

    Las versiones de GKE y GKE Enterprise disponibles en la actualidad implementaron las siguientes mitigaciones contra este tipo de ataques:

    • La marca --profiling de kube-apiserver se configura como false.
    • El nivel de registro kube-apiserver se establece por debajo de 10.

    ¿Qué vulnerabilidad trata este parche?

    CVE-2020-8561

    Media

    GCP-2021-018

    Fecha de publicación: 15/09/2021
    Última actualización: 24/09/2021
    Referencia: CVE-2021-25741

    Actualización del 24/09/2021: El boletín de GKE en Bare Metal se actualizó con versiones adicionales con parches.

    Actualización del 20/9/2021: Se agregaron boletines para GKE en Bare Metal

    Actualización del 16/09/2021: Se agregaron boletines para GKE on VMware


    GKE

    Descripción Gravedad

    Se descubrió un problema de seguridad en Kubernetes, CVE-2021-25741, en el que el usuario puede crear un contenedor con activaciones de volumen de ruta secundaria para acceder a archivos y directorios fuera del volumen, incluido en el sistema de archivos del host.

    Detalles técnicos:

    En CVE-2021-25741, el atacante puede crear un vínculo simbólico desde un emptyDir activado en el sistema de archivos raíz del nodo ( / ), el kubelet seguirá el symlink y activa la raíz del host en el contenedor.

    ¿Qué debo hacer?

    Te recomendamos actualizar tus grupos de nodos a una de las versiones siguientes o una versión posterior para aprovechar los parches más recientes:

    • 1.21.4-gke.301
    • 1.20.10-gke.301
    • 1.19.14-gke.301
    • 1.18.20-gke.4501

    Las siguientes versiones también contienen la corrección:

    • 1.21.3-gke.2001
    • 1.20.8-gke.2101
    • 1.20.9-gke.701
    • 1.20.9-gke.1001
    • 1.19.12-gke.2101
    • 1.19.13-gke.701
    • 1.18.20-gke.3001
    Alta

    Clústeres de GKE en

    Descripción Gravedad

    Se descubrió un problema de seguridad en Kubernetes, CVE-2021-25741, en el que el usuario puede crear un contenedor con activaciones de volumen de ruta secundaria para acceder a archivos y directorios fuera del volumen, incluido en el sistema de archivos del host.

    Detalles técnicos:

    En CVE-2021-25741, el atacante puede crear un vínculo simbólico desde un emptyDir activado en el sistema de archivos raíz del nodo ( / ), el kubelet seguirá el symlink y activa la raíz del host en el contenedor.

    ¿Qué debo hacer?

    Actualización del 24-9-2021: Ahora las versiones con parche 1.8.3 y 1.7.4 están disponibles.

    Actualizado el 2021-09-17: Se corrigió la lista de versiones disponibles que contienen el parche.


    Las siguientes versiones de GKE en VMware se actualizaron con código para corregir esta vulnerabilidad. Actualiza tus clústeres de administrador y de usuario a una de las siguientes versiones:

    • 1.8.3
    • 1.8.2
    • 1.7.4
    • 1.6.5
    Alta

    Clústeres de GKE en

    Descripción Gravedad

    Se descubrió un problema de seguridad en Kubernetes, CVE-2021-25741, en el que el usuario puede crear un contenedor con activaciones de volumen de ruta secundaria para acceder a archivos y directorios fuera del volumen, incluido en el sistema de archivos del host.

    Detalles técnicos:

    En CVE-2021-25741, el atacante puede crear un vínculo simbólico desde un emptyDir activado en el sistema de archivos raíz del nodo ( / ), el kubelet seguirá el symlink y activa la raíz del host en el contenedor.

    ¿Qué debo hacer?

    Actualización del 2021-9-16: Se agregó una lista de versiones de gke compatibles para los objetos AWSCluster y AWSNodePool.


    Las siguientes versiones de GKE en AWS se actualizaron con un código que corrige esta vulnerabilidad. Te recomendamos que hagas lo siguiente:

    • Actualiza tus objetos AWSManagementService, AWSCluster y AWSNodePool a la siguiente versión:
      • 1.8.2
    • Actualiza la versión de gke de tus objetos AWSCluster y AWSNodePool a una de las versiones compatibles de Kubernetes:
      • 1.17.17-gke.15800
      • 1.18.20-gke.4800
      • 1.19.14-gke.600
      • 1.20.10-gke.600
    Alta

    Clústeres de GKE en

    Descripción Gravedad

    Se descubrió un problema de seguridad en Kubernetes, CVE-2021-25741, en el que el usuario puede crear un contenedor con activaciones de volumen de ruta secundaria para acceder a archivos y directorios fuera del volumen, incluido en el sistema de archivos del host.

    Detalles técnicos:

    En CVE-2021-25741, el atacante puede crear un vínculo simbólico desde un emptyDir activado en el sistema de archivos raíz del nodo ( / ), el kubelet seguirá el symlink y activa la raíz del host en el contenedor.

    ¿Qué debo hacer?

    Las siguientes versiones de GKE on Bare Metal se actualizaron con un código para corregir esta vulnerabilidad. Actualiza tus clústeres de administrador y de usuario a una de las siguientes versiones:

    • 1.8.3
    • 1.7.4
    Alta

    GCP-2021-017

    Fecha de publicación: 1/09/2021
    Última actualización: 23/09/2021
    Referencia: CVE-2021-33909
    CVE-2021-33910

    GKE

    Descripción Gravedad
    Actualización (23-9-2021):

    Los contenedores que se ejecutan dentro de GKE Sandbox no se ven afectados por esta vulnerabilidad para los ataques que se originan en el contenedor.


    Actualización del 15 de septiembre de 2021:

    Las siguientes versiones de GKE abordan las vulnerabilidades:

    • 1.18.20-gke.4100
    • 1.19.13-gke.1900
    • 1.20.9-gke.1500
    • 1.21.3-gke.1400

    Se descubrieron dos vulnerabilidades de seguridad, CVE-2021-33909 y CVE-2021-33910, en el kernel de Linux que pueden provocar una falla del SO o una elevación de un usuario sin privilegios a permisos de administrador. Esta vulnerabilidad afecta a todos los sistemas operativos del nodo de GKE (COS y Ubuntu).

    Detalles técnicos:

    En CVE-2021-33909, la capa del sistema de archivos del kernel de Linux no restringe correctamente las asignaciones de búfer seq, lo que genera un desbordamiento de números enteros, una escritura fuera de los límites y una derivación a la raíz.
    Con CVE-2021-33910, systemd tiene una asignación de memoria con un valor de tamaño excesivo (que involucra strdupa y alloca para un nombre de ruta de acceso controlado por un atacante local) que genera una falla del sistema operativo.

    ¿Qué debo hacer?

    Las versiones de las imágenes de nodo de Linux para las siguientes versiones de GKE se actualizaron con código que corrige esta vulnerabilidad. Actualiza tus clústeres a una de las siguientes versiones:

    • 1.18.20-gke.4100
    • 1.19.13-gke.1900
    • 1.20.9-gke.1500
    • 1.21.3-gke.1400
    Alta

    Clústeres de GKE en

    Descripción Gravedad

    Se descubrieron dos vulnerabilidades de seguridad, CVE-2021-33909 y CVE-2021-33910, en el kernel de Linux que pueden provocar una falla del SO o una elevación de un usuario sin privilegios a permisos de administrador. Esta vulnerabilidad afecta a todos los sistemas operativos del nodo de GKE (COS y Ubuntu).

    Detalles técnicos:

    En CVE-2021-33909, la capa del sistema de archivos del kernel de Linux no restringe correctamente las asignaciones de búfer seq, lo que genera un desbordamiento de números enteros, una escritura fuera de los límites y una derivación a la raíz.
    Con CVE-2021-33910, systemd tiene una asignación de memoria con un valor de tamaño excesivo (que involucra strdupa y alloca para un nombre de ruta de acceso controlado por un atacante local) que genera una falla del sistema operativo.

    ¿Qué debo hacer?

    Las versiones de las imágenes de nodo de Linux para los clústeres de GKE en AWS se actualizaron con código para corregir esta vulnerabilidad. Actualiza tus clústeres a una de las siguientes versiones:

    • 1.20.10-gke.600
    • 1.19.14-gke.600
    • 1.18.20-gke.4800
    • 1.17.17-gke.15800
    Alta

    Clústeres de GKE en

    Descripción Gravedad

    Se descubrieron dos vulnerabilidades de seguridad, CVE-2021-33909 y CVE-2021-33910, en el kernel de Linux que pueden provocar una falla del SO o una elevación de un usuario sin privilegios a permisos de administrador. Esta vulnerabilidad afecta a todos los sistemas operativos del nodo de GKE (COS y Ubuntu).

    Detalles técnicos:

    En CVE-2021-33909, la capa del sistema de archivos del kernel de Linux no restringe correctamente las asignaciones de búfer seq, lo que genera un desbordamiento de números enteros, una escritura fuera de los límites y una derivación a la raíz.
    Con CVE-2021-33910, systemd tiene una asignación de memoria con un valor de tamaño excesivo (que involucra strdupa y alloca para un nombre de ruta de acceso controlado por un atacante local) que genera una falla del sistema operativo.

    ¿Qué debo hacer?

    Las versiones de las imágenes de nodo de Linux y COS para clústeres de GKE en VMware se actualizaron con un código para corregir esta vulnerabilidad. Actualiza tus clústeres a una de las siguientes versiones:

    • 1.9
    • 1.8.2
    • 1.7.3
    • 1.6.4 (solo en Linux)

    Consulta Historial de versiones: versiones de Kubernetes y del kernel del nodo.

    Alta

    GCP-2021-015

    Fecha de publicación: 13/07/2021
    Última actualización: 15/07/2021
    Referencia: CVE-2021-22555

    GKE

    Descripción Gravedad

    Se descubrió una vulnerabilidad de seguridad nueva, CVE-2021-22555, en la que un actor malicioso con privilegios de CAP_NET_ADMIN puede causar una interrupción del contenedor en la raíz del host. Esta vulnerabilidad afecta a todos los clústeres de GKE y a GKE on VMware que ejecuta Linux versión 2.6.19 o posterior.

    Detalles técnicos

    En este ataque, una escritura fuera de los límites en setsockopt en el subsistema netfilter de Linux puede permitir un daño en el montón (y, por lo tanto, la denegación del servicio) y la elevación de privilegios.

    ¿Qué debo hacer?

    Las siguientes versiones de Linux en GKE se actualizaron con un código para corregir esta vulnerabilidad. Actualiza tus clústeres a una de las siguientes versiones:

    • 1.21.1-gke.2200
    • 1.20.7-gke.2200
    • 1.19.11-gke.2100
    • 1.18.20-gke.501

    ¿Qué vulnerabilidad trata este parche?

    CVE-2021-22555

    Alta

    Clústeres de GKE en

    Descripción Gravedad

    Se descubrió una vulnerabilidad de seguridad nueva, CVE-2021-22555, en la que un actor malicioso con privilegios de CAP_NET_ADMIN puede causar una interrupción del contenedor en la raíz del host. Esta vulnerabilidad afecta a todos los clústeres de GKE y a GKE on VMware que ejecuta Linux versión 2.6.19 o posterior.

    Detalles técnicos

    En este ataque, una escritura fuera de los límites en setsockopt en el subsistema netfilter de Linux puede permitir un daño en el montón (y, por lo tanto, la denegación del servicio) y la elevación de privilegios.

    ¿Qué debo hacer?

    Las siguientes versiones de Linux en GKE en VMware se actualizaron con código para corregir esta vulnerabilidad. Actualiza tus clústeres a una de las siguientes versiones:

    • 1.8
    • 1.7.3
    • 1.6.4

    ¿Qué vulnerabilidad trata este parche?

    CVE-2021-22555

    Alta

    GCP-2021-014

    Fecha de publicación: 5 de julio de 2021
    Referencia: CVE-2021-34527

    GKE

    Descripción Gravedad

    Microsoft publicó un boletín de seguridad sobre una vulnerabilidad de ejecución de código remoto (RCE), CVE-2021-34527, que afecta la cola de impresión en los servidores de Windows. El CERT Coordination Center (CERT/CC) publicó una nota de actualización sobre una vulnerabilidad relacionada, denominada "PrintNightmare", que también afecta las colas de impresión de Windows: PrintNightmare, Critical Windows Print Spooler Vulnerability.

    ¿Qué debo hacer?

    No es necesario que realices ninguna acción. Los nodos de Windows para GKE no contienen el servicio de cola la impresión afectado como parte de la imagen base, por lo que las implementaciones de Windows para GKE no son vulnerables a este ataque.

    ¿Qué vulnerabilidades trata este boletín?

    Alta

    GCP-2021-012

    Fecha de publicación: 1/07/2021
    Última actualización: 9/07/2021
    Referencia: CVE-2021-34824

    GKE

    Descripción Gravedad

    ¿Qué debo hacer?

    Hace poco, el proyecto Istio disclosed una vulnerabilidad de seguridad nueva (CVE-2021-34824) que afecta a Istio. Istio contiene una vulnerabilidad que se puede explotar de forma remota, donde se puede acceder a las credenciales especificadas en el campo credentialName de Gateway y DestinationRule desde diferentes espacios de nombres.

    Detalles técnicos:

    La Gateway segura de Istio o las cargas de trabajo que usan DestinationRule pueden cargar claves privadas y certificados TLS desde los secretos de Kubernetes mediante la configuración de credentialName. En Istio 1.8 y versiones posteriores, los secretos se leen desde istiod y se transmiten a las puertas de enlace y las cargas de trabajo a través de XDS.

    Por lo general, una implementación de carga de trabajo o puerta de enlace solo puede acceder a certificados y claves privadas TLS almacenados en el secreto de su espacio de nombres. Sin embargo, un error en istiod permite que un cliente con autorización para acceder a la API de Istio XDS recupere cualquier certificado y clave privada TLS almacenados en caché en istiod.

    ¿Qué debo hacer?

    Los clústeres de GKE no ejecutan Istio de forma predeterminada y, cuando están habilitados, usan la versión 1.6 de Istio, que no es vulnerable a este ataque. Si instalaste o actualizaste Istio en el clúster a Istio 1.8 o una versión posterior, actualiza Istio a la versión compatible más reciente.

    Alta

    Clústeres de GKE en

    Descripción Gravedad

    ¿Qué debo hacer?

    Hace poco, el proyecto Istio disclosed una vulnerabilidad de seguridad nueva (CVE-2021-34824) que afecta a Istio. Istio contiene una vulnerabilidad que se puede explotar de forma remota, donde se puede acceder a las credenciales especificadas en el campo credentialName de Gateway y DestinationRule desde diferentes espacios de nombres.

    Detalles técnicos:

    La Gateway segura de Istio o las cargas de trabajo que usan DestinationRule pueden cargar claves privadas y certificados TLS desde los secretos de Kubernetes mediante la configuración de credentialName. En Istio 1.8 y versiones posteriores, los secretos se leen desde istiod y se transmiten a las puertas de enlace y las cargas de trabajo a través de XDS.

    Por lo general, una implementación de carga de trabajo o puerta de enlace solo puede acceder a certificados y claves privadas TLS almacenados en el secreto de su espacio de nombres. Sin embargo, un error en istiod permite que un cliente con autorización para acceder a la API de Istio XDS recupere cualquier certificado y clave privada TLS almacenados en caché en istiod.

    ¿Qué debo hacer?

    Los clústeres de Anthos alojados en VMware v1.6 y v1.7 no son vulnerables a este ataque. Los clústeres de Anthos alojados en VMware v1.8 son vulnerables.

    Si usas los clústeres de Anthos alojados en VMware v1.8, actualiza a la siguiente versión con parche o posterior:

    • 1.8.0-gke.25
    Alta

    Clústeres de GKE en

    Descripción Gravedad

    ¿Qué debo hacer?

    Hace poco, el proyecto Istio disclosed una vulnerabilidad de seguridad nueva (CVE-2021-34824) que afecta a Istio. Istio contiene una vulnerabilidad que se puede explotar de forma remota, donde se puede acceder a las credenciales especificadas en el campo credentialName de Gateway y DestinationRule desde diferentes espacios de nombres.

    Detalles técnicos:

    La Gateway segura de Istio o las cargas de trabajo que usan DestinationRule pueden cargar claves privadas y certificados TLS desde los secretos de Kubernetes mediante la configuración de credentialName. En Istio 1.8 y versiones posteriores, los secretos se leen desde istiod y se transmiten a las puertas de enlace y las cargas de trabajo a través de XDS.

    Por lo general, una implementación de carga de trabajo o puerta de enlace solo puede acceder a certificados y claves privadas TLS almacenados en el secreto de su espacio de nombres. Sin embargo, un error en istiod permite que un cliente con autorización para acceder a la API de Istio XDS recupere cualquier certificado y clave privada TLS almacenados en caché en istiod. Esta CVE afecta a los clústeres creados o actualizados con clústeres de Anthos en equipos físicos v1.8.0.

    ¿Qué debo hacer?

    Anthos v1.6 y 1.7 no son vulnerables a este ataque. Si tienes clústeres v1.8.0, descarga y, luego, instala la versión 1.8.1 de bmctl y actualiza tus clústeres a la siguiente versión con parche:

    • 1.8.1
    Alta

    GCP-2021-011

    Fecha de publicación: 4/6/2021
    Última actualización: 19/10/2021
    Referencia: CVE-2021-30465

    Actualización del 19/10/2021: Se agregaron boletines para GKE en VMware, GKE en AWS y GKE en Bare Metal.

    GKE

    Descripción Gravedad

    Hace poco, la comunidad de seguridad divulgó una nueva vulnerabilidad de seguridad (CVE-2021-30465) que se encontró en runc y que tiene el potencial de permitir el acceso completo al sistema de archivos de un nodo.

    En el caso de GKE, debido a que aprovechar esta vulnerabilidad requiere la capacidad de crear pods, calificamos la gravedad como MEDIA.

    Detalles técnicos

    El paquete runc es vulnerable a un ataque de intercambio de symlinks cuando se activa un volumen.

    Para este ataque específico, un usuario puede aprovechar una condición de carrera iniciando múltiples pods en un solo nodo de manera simultánea, y todos comparten la misma activación de volumen con un symlink.

    Si el ataque se realiza correctamente, uno de los pods activará el sistema de archivos del nodo con permisos de raíz.

    ¿Qué debo hacer?

    Hay un parche nuevo para runc (1.0.0-rc95) que corrige esta vulnerabilidad.

    Actualiza tu clúster de GKE a una de las siguientes versiones actualizadas:

    • 1.18.19-gke.2100
    • 1.19.9-gke.1400
    • 1.20.6-gke.1400
    • 1.21.2-gke.600

    Media

    Clústeres de GKE en

    Descripción Gravedad

    Hace poco, la comunidad de seguridad divulgó una nueva vulnerabilidad de seguridad (CVE-2021-30465) que se encontró en runc y que tiene el potencial de permitir el acceso completo al sistema de archivos de un nodo.

    En el caso de los clústeres de GKE en VMware, dado que para aprovechar esta vulnerabilidad se requiere la capacidad de crear pods, calificamos la gravedad de esta vulnerabilidad como MEDIA.

    Detalles técnicos

    El paquete runc es vulnerable a un ataque de intercambio de symlinks cuando se activa un volumen.

    Para este ataque específico, un usuario puede aprovechar una condición de carrera iniciando múltiples pods en un solo nodo de manera simultánea, y todos comparten la misma activación de volumen con un symlink.

    Si el ataque se realiza correctamente, uno de los pods activará el sistema de archivos del nodo con permisos de raíz.

    ¿Qué debo hacer?

    Hay un parche nuevo para runc que corrige esta vulnerabilidad. Actualiza GKE en VMware a una de las siguientes versiones:

    • 1.7.3-gke-2
    • 1.8.1-gke.7
    • 1.9.0-gke.8

    Media

    Clústeres de GKE en

    Descripción Gravedad

    Hace poco, la comunidad de seguridad divulgó una nueva vulnerabilidad de seguridad (CVE-2021-30465) que se encontró en runc y que tiene el potencial de permitir el acceso completo al sistema de archivos de un nodo.

    Debido a que se trata de una vulnerabilidad a nivel del SO, GKE en AWS no es vulnerable.

    Detalles técnicos

    El paquete runc es vulnerable a un ataque de intercambio de symlinks cuando se activa un volumen.

    Para este ataque específico, un usuario puede aprovechar una condición de carrera iniciando múltiples pods en un solo nodo de manera simultánea, y todos comparten la misma activación de volumen con un symlink.

    Si el ataque se realiza correctamente, uno de los pods activará el sistema de archivos del nodo con permisos de raíz.

    ¿Qué debo hacer?

    Asegúrate de que la versión del SO en la que ejecutas clústeres de GKE en AWS se actualice a la última versión del SO que tiene un paquete runc actualizado.

    Ninguna

    Clústeres de GKE en

    Descripción Gravedad

    Hace poco, la comunidad de seguridad divulgó una nueva vulnerabilidad de seguridad (CVE-2021-30465) que se encontró en runc y que tiene el potencial de permitir el acceso completo al sistema de archivos de un nodo.

    Debido a que se trata de una vulnerabilidad a nivel del SO, GKE en Bare Metal no es vulnerable.

    Detalles técnicos

    El paquete runc es vulnerable a un ataque de intercambio de symlinks cuando se activa un volumen.

    Para este ataque específico, un usuario puede aprovechar una condición de carrera iniciando múltiples pods en un solo nodo de manera simultánea, y todos comparten la misma activación de volumen con un symlink.

    Si el ataque se realiza correctamente, uno de los pods activará el sistema de archivos del nodo con permisos de raíz.

    ¿Qué debo hacer?

    Asegúrate de que la versión del SO en la que ejecutas Google Distributed Cloud Virtual for Bare Metal esté actualizada a la versión más reciente del SO con un paquete runc actualizado.

    Ninguna

    GCP-2021-006

    Publicado: 2021-05-11
    Referencia: CVE-2021-31920

    GKE

    Descripción Gravedad

    Hace poco, el proyecto Istio disclosed una vulnerabilidad de seguridad nueva (CVE-2021-31920) que afecta a Istio.

    Istio contiene una vulnerabilidad que se puede exponer de forma remota, en la que una solicitud HTTP con varias barras o caracteres de barra de escape puede omitir la política de autorización de Istio cuando se usan reglas de autorización basadas en rutas.

    ¿Qué debo hacer?

    Te recomendamos que actualices y vuelvas a configurar los clústeres de GKE. Ten en cuenta que es importante completar los dos pasos que se indican a continuación para resolver la vulnerabilidad de forma correcta:

    1. Actualiza tus clústeres: Completa las siguientes instrucciones para actualizar tus clústeres a las versiones de parche más recientes lo antes posible:
      • Si usas Istio on GKE 1.6, sigue estos pasos:

        La versión de parche más reciente es la 1.6.14-gke.3. Sigue las instrucciones de actualización para actualizar los clústeres a la versión más reciente.

      • Si usas Istio on GKE 1.4, sigue estos pasos:
      • Las versiones de Istio on GKE 1.4 ya no son compatibles con Istio y no agregamos correcciones de CVE para estas versiones. Sigue las instrucciones de actualización de Istio para actualizar los clústeres a la versión 1.6 y, luego, sigue las instrucciones anteriores a fin de obtener la versión más reciente de Istio en GKE 1.6.

    2. Configura Istio:

      Una vez que los clústeres tengan parches, debes volver a configurar Istio on GKE. Consulta la guía de prácticas recomendadas de seguridad para configurar tu sistema de forma correcta.

    Alta

    GCP-2021-004

    Fecha de publicación: 2021-05-06
    Referencia: CVE-2021-28683, CVE-2021-28682, CVE-2021-29258

    GKE

    Descripción Gravedad

    Recientemente, los proyectos de Istio y Envoy anunciaron varias vulnerabilidades nuevas de seguridad (CVE-2021-28683, CVE-2021-28682 y CVE-2021-29258), que podrían permitir a un atacante bloquear Envoy.

    Los clústeres de GKE no ejecutan Istio de forma predeterminada y no son vulnerables. Si Istio se instaló en un clúster y se configuró para exponer servicios a Internet, esos servicios pueden ser vulnerables a la denegación del servicio.

    ¿Qué debo hacer?

    Para solucionar estas vulnerabilidades, actualiza tu plano de control de GKE a una de las siguientes versiones de parche:

    • 1.16.15-gke.16200
    • 1.17.17-gke.6100
    • 1.18.17-gke.1300
    • 1.19.9-gke.1300
    • 1.20.5-gke.1400
    Media

    Clústeres de GKE en

    Descripción Gravedad

    Recientemente, los proyectos de Istio y Envoy anunciaron varias vulnerabilidades nuevas de seguridad (CVE-2021-28683, CVE-2021-28682 y CVE-2021-29258), que podrían permitir a un atacante bloquear Envoy.

    Los clústeres de GKE en VMware usan Envoy de forma predeterminada para el Ingress, por lo que los servicios de Ingress pueden ser vulnerables a la denegación del servicio.

    ¿Qué debo hacer?

    Para solucionar estas vulnerabilidades, actualiza GKE en VMware a una de las siguientes versiones de parche cuando se lancen:

    • 1.5.4
    • 1.6.3
    • 1.7.1
    Media

    Clústeres de GKE en

    Actualizado: 2021-05-06

    Descripción Gravedad

    Recientemente, los proyectos de Istio y Envoy anunciaron varias vulnerabilidades nuevas de seguridad (CVE-2021-28683, CVE-2021-28682 y CVE-2021-29258), que podrían permitir a un atacante bloquear Envoy.

    Google Distributed Cloud Virtual for Bare Metal usa Envoy de forma predeterminada para Ingress, por lo que los servicios de Ingress pueden ser vulnerables a la denegación del servicio.

    ¿Qué debo hacer?

    Para solucionar estas vulnerabilidades, actualiza tu clúster de Google Distributed Cloud Virtual for Bare Metal a una de las siguientes versiones con parche cuando se lance:

    • 1.6.3
    • 1.7.1
    Media

    GCP-2021-003

    Publicado: 2021-04-19
    Referencia: CVE-2021-25735

    GKE

    Descripción Gravedad

    El proyecto de Kubernetes anunció recientemente una nueva vulnerabilidad de seguridad, CVE-2021-25735, que podría permitir que las actualizaciones del nodo omitan un webhook de admisión y validación.

    En una situación en la que un atacante tiene privilegios suficientes y en la que se implementa un webhook de admisión y validación que usa propiedades del objeto Node antiguas (por ejemplo, campos en Node.NodeSpec), el atacante podría actualizar las propiedades de un nodo que podría provocar el compromiso del clúster. Ninguna de las políticas que aplican los controladores de admisión integrados de GKE y Kubernetes se ve afectada, pero recomendamos que los clientes verifiquen cualquier webhook de admisión adicional que hayan instalado.

    ¿Qué debo hacer?

    Para solucionar esta vulnerabilidad, actualiza tu clúster de GKE a una de las siguientes versiones con parche:

    • 1.18.17-gke.900
    • 1.19.9-gke.900
    • 1.20.5-gke.900
    Media

    Clústeres de GKE en

    Descripción Gravedad

    El proyecto de Kubernetes anunció recientemente una nueva vulnerabilidad de seguridad, CVE-2021-25735, que podría permitir que las actualizaciones del nodo omitan un webhook de admisión y validación.

    En una situación en la que un atacante tiene privilegios suficientes y en la que se implementa un webhook de admisión y validación que usa propiedades del objeto Node antiguas (por ejemplo, campos en Node.NodeSpec), el atacante podría actualizar las propiedades de un nodo que podría provocar el compromiso del clúster. Ninguna de las políticas que aplican los controladores de admisión integrados de GKE y Kubernetes se ve afectada, pero recomendamos que los clientes verifiquen cualquier webhook de admisión adicional que hayan instalado.

    ¿Qué debo hacer?

    En una versión de parche próxima, se incluirá una mitigación para esta vulnerabilidad.

    Media

    Clústeres de GKE en

    Descripción Gravedad

    El proyecto de Kubernetes anunció recientemente una nueva vulnerabilidad de seguridad, CVE-2021-25735, que podría permitir que las actualizaciones del nodo omitan un webhook de admisión y validación.

    En una situación en la que un atacante tiene privilegios suficientes y en la que se implementa un webhook de admisión y validación que usa propiedades del objeto Node antiguas (por ejemplo, campos en Node.NodeSpec), el atacante podría actualizar las propiedades de un nodo que podría provocar el compromiso del clúster. Ninguna de las políticas que aplican los controladores de admisión integrados de GKE y Kubernetes se ve afectada, pero recomendamos que los clientes verifiquen cualquier webhook de admisión adicional que hayan instalado.

    ¿Qué debo hacer?

    En una versión de parche próxima, se incluirá una mitigación para esta vulnerabilidad.

    Media

    Clústeres de GKE en

    Descripción Gravedad

    El proyecto de Kubernetes anunció recientemente una nueva vulnerabilidad de seguridad, CVE-2021-25735, que podría permitir que las actualizaciones del nodo omitan un webhook de admisión y validación.

    En una situación en la que un atacante tiene privilegios suficientes y en la que se implementa un webhook de admisión y validación que usa propiedades del objeto Node antiguas (por ejemplo, campos en Node.NodeSpec), el atacante podría actualizar las propiedades de un nodo que podría provocar el compromiso del clúster. Ninguna de las políticas que aplican los controladores de admisión integrados de GKE y Kubernetes se ve afectada, pero recomendamos que los clientes verifiquen cualquier webhook de admisión adicional que hayan instalado.

    ¿Qué debo hacer?

    En una versión de parche próxima, se incluirá una mitigación para esta vulnerabilidad.

    Media

    GCP-2021-001

    Publicado: 2021-01-28
    Referencia: CVE-2021-3156

    GKE

    Descripción Gravedad

    Recientemente, se descubrió una vulnerabilidad en la utilidad sudo de Linux, descrita en CVE-2021-3156, que puede permitir a un atacante con acceso de shell local sin privilegios en un sistema con sudo instalado escalar sus privilegios a la raíz del sistema.

    Los clústeres de Google Kubernetes Engine (GKE) no se ven afectados por esta vulnerabilidad:

    • Los usuarios que están autorizados a establecer conexiones SSH a nodos de GKE ya se consideran muy privilegiados y pueden usar sudo para obtener privilegios raíz. La vulnerabilidad no produce rutas de elevación de privilegios adicionales en esta situación.
    • La mayoría de los contenedores del sistema de GKE se compilan a partir de imágenes base diferenciadas que no tienen una shell o un sudo instalados. Otras imágenes se compilan a partir de una imagen base de debian que no contiene sudo. Incluso si sudo estaba presente, el acceso a sudo dentro del contenedor no te otorga acceso al host debido al límite del contenedor.

    ¿Qué debo hacer?

    Debido a que los clústeres de GKE no se ven afectados por esta vulnerabilidad, no es necesario que realices ninguna otra acción.

    GKE aplicará el parche para esta vulnerabilidad en una versión próxima con cadencia regular.

    Ninguna

    Clústeres de GKE en

    Descripción Gravedad

    Recientemente, se descubrió una vulnerabilidad en la utilidad sudo de Linux, descrita en CVE-2021-3156, que puede permitir a un atacante con acceso de shell local sin privilegios en un sistema con sudo instalado escalar sus privilegios a la raíz del sistema.

    GKE en VMware no se ve afectado por esta vulnerabilidad:

    • Los usuarios que están autorizados a establecer conexiones SSH a nodos de GKE en VMware ya se consideran muy privilegiados y pueden usar sudo para obtener privilegios raíz. La vulnerabilidad no produce rutas de elevación de privilegios adicionales en esta situación.
    • La mayoría de los contenedores del sistema de clústeres de GKE en VMware se compilan a partir de imágenes base diferenciadas que no tienen una shell o una sudo instalada. Otras imágenes se compilan a partir de una imagen base de debian que no contiene sudo. Incluso si sudo estaba presente, el acceso a sudo dentro del contenedor no te otorga acceso al host debido al límite del contenedor.

    ¿Qué debo hacer?

    Debido a que los clústeres de GKE en VMware no se ven afectados por esta vulnerabilidad, no se requiere ninguna otra acción.

    En GKE en VMware, se aplicará el parche para esta vulnerabilidad en una próxima actualización con una frecuencia regular.

    Ninguna

    Clústeres de GKE en

    Descripción Gravedad

    Recientemente, se descubrió una vulnerabilidad en la utilidad sudo de Linux, descrita en CVE-2021-3156, que puede permitir a un atacante con acceso de shell local sin privilegios en un sistema con sudo instalado escalar sus privilegios a la raíz del sistema.

    GKE on AWS no se ve afectado por esta vulnerabilidad:

    • Los usuarios que están autorizados a establecer conexiones SSH a nodos de GKE en AWS ya se consideran muy privilegiados y pueden usar sudo para obtener privilegios raíz. La vulnerabilidad no produce rutas de elevación de privilegios adicionales en esta situación.
    • La mayoría de los contenedores del sistema de clústeres GKE en AWS se compilan a partir de imágenes base diferenciadas que no tienen una shell o una sudo instalada. Otras imágenes se compilan a partir de una imagen base de debian que no contiene sudo. Incluso si sudo estaba presente, el acceso a sudo dentro del contenedor no te otorga acceso al host debido al límite del contenedor.

    ¿Qué debo hacer?

    Debido a que los clústeres de GKE en AWS no se ven afectados por esta vulnerabilidad, no es necesario que realices ninguna otra acción.

    GKE en AWS aplicará el parche para esta vulnerabilidad en una versión futura con cadencia regular.

    Ninguna

    Clústeres de GKE en

    Descripción Gravedad

    Recientemente, se descubrió una vulnerabilidad en la utilidad sudo de Linux, descrita en CVE-2021-3156, que puede permitir a un atacante con acceso de shell local sin privilegios en un sistema con sudo instalado escalar sus privilegios a la raíz del sistema.

    Los clústeres de Google Distributed Cloud Virtual para Bare Metal no se ven afectados por esta vulnerabilidad:

    • Los usuarios autorizados para establecer una conexión SSH a los nodos de Google Distributed Cloud Virtual para Bare Metal ya se consideran con muchos privilegios y pueden usar sudo para obtener privilegios raíz por diseño. La vulnerabilidad no produce rutas de elevación de privilegios adicionales en esta situación.
    • La mayoría de los contenedores del sistema de Google Distributed Cloud Virtual para Bare Metal se compilan a partir de imágenes base de distribución que no tienen una shell o sudo instalado. Otras imágenes se compilan a partir de una imagen base de debian que no contiene sudo. Incluso si sudo estaba presente, el acceso a sudo dentro del contenedor no te otorga acceso al host debido al límite del contenedor.

    ¿Qué debo hacer?

    Debido a que los clústeres de Google Distributed Cloud Virtual para Bare Metal no se ven afectados por esta vulnerabilidad, no se requiere ninguna otra acción.

    Google Distributed Cloud Virtual for Bare Metal aplicará el parche para esta vulnerabilidad en una próxima versión con una frecuencia regular.

    Ninguna

    GCP-2020-015

    Fecha de publicación: 7/12/2020
    Última actualización: 22/12/2021
    Referencia: CVE-2020-8554

    Actualización del 22/12/2021: Usa gcloud beta en lugar del comando gcloud.

    Actualización del 15/12/2021: Se agregó una mitigación adicional para GKE.

    GKE

    Descripción Gravedad
    Actualizado: 22-12-2021 El comando de GKE en la siguiente sección debe usar gcloud beta en lugar del comando gcloud.
    
    gcloud beta container clusters update –no-enable-service-externalips
    

    Actualizado: 15-12-2021 Para GKE, ahora está disponible la siguiente mitigación:
    1. A partir de la versión 1.21 de GKE, un controlador de admisión DenyServiceExternalIPs que se habilita de forma predeterminada para clústeres nuevos bloquea los servicios con ExternalIP.
    2. Los clientes que actualizan a la versión 1.21 de GKE pueden bloquear servicios con ExternalIP mediante el siguiente comando:
      
      gcloud container clusters update –no-enable-service-externalips
      

    Para obtener más información, consulta Endurece la seguridad del clúster.


    El proyecto de Kubernetes descubrió recientemente una nueva vulnerabilidad de seguridad, CVE-2020-8554, que puede permitir que un atacante que haya obtenido permisos cree un servicio de Kubernetes de tipo LoadBalancer o ClusterIP para interceptar el tráfico de red que se origina desde otros pods del clúster.

    Esta vulnerabilidad por sí sola no le otorga permisos a un atacante para crear un servicio de Kubernetes.

    Todos los clústeres de Google Kubernetes Engine (GKE) se ven afectados por esta vulnerabilidad.

    ¿Qué debo hacer?

    Es posible que Kubernetes deba realizar cambios de diseño incompatibles con versiones anteriores en una versión futura para solucionar la vulnerabilidad.

    Si muchos usuarios comparten el acceso a tu clúster con permisos para crear servicios, como en un clúster multiusuario, considera aplicar una mitigación mientras tanto. Por ahora, el mejor enfoque para la mitigación es restringir el uso de IP externas en un clúster. ExternalIPs no es una función de uso general.

    Restringe el uso de ExternalIPs en un clúster con uno de los siguientes métodos:

    1. Usa el controlador de políticas o el Gatekeeper de GKE Enterprise con esta plantilla de restricciones y aplícala. Por ejemplo:
      
      # Only allow the creation of Services with no
      # ExternalIP or an ExternalIP of 203.0.113.1:
      
      apiVersion: constraints.gatekeeper.sh/v1beta1
      kind: K8sExternalIPs
      metadata:
        name: external-ips
      spec:
        match:
          kinds:
            - apiGroups: [""]
              kinds: ["Service"]
        parameters:
          allowedIPs:
            - "203.0.113.1"
      
    2. O instala un controlador de admisión para evitar el uso de IP externas. El proyecto de Kubernetes proporcionó un controlador de admisión de muestra para esta tarea.

    Como se mencionó en el anuncio de Kubernetes, no se proporciona ninguna mitigación para los servicios de tipo LoadBalancer, ya que, de forma predeterminada, solo se otorga a los usuarios y a los componentes del sistema con privilegios elevados el permiso container.services.updateStatus que se necesita para aprovechar esta vulnerabilidad.

    Media

    Clústeres de GKE en

    Descripción Gravedad
    Actualizado: 22-12-2021 El comando de GKE en la siguiente sección debe usar gcloud beta en lugar del comando gcloud.
    
    gcloud beta container clusters update –no-enable-service-externalips
    

    Actualizado: 15-12-2021 Para GKE, ahora está disponible la siguiente mitigación:
    1. A partir de la versión 1.21 de GKE, un controlador de admisión DenyServiceExternalIPs que se habilita de forma predeterminada para clústeres nuevos bloquea los servicios con ExternalIP.
    2. Los clientes que actualizan a la versión 1.21 de GKE pueden bloquear servicios con ExternalIP mediante el siguiente comando:
      
      gcloud container clusters update –no-enable-service-externalips
      

    Para obtener más información, consulta Endurece la seguridad del clúster.


    El proyecto de Kubernetes descubrió recientemente una nueva vulnerabilidad de seguridad, CVE-2020-8554, que puede permitir que un atacante que haya obtenido permisos cree un servicio de Kubernetes de tipo LoadBalancer o ClusterIP para interceptar el tráfico de red que se origina desde otros pods del clúster.

    Esta vulnerabilidad por sí sola no le otorga permisos a un atacante para crear un servicio de Kubernetes.

    Todo GKE en VMware se ve afectado por esta vulnerabilidad.

    ¿Qué debo hacer?

    Es posible que Kubernetes deba realizar cambios de diseño incompatibles con versiones anteriores en una versión futura para solucionar la vulnerabilidad.

    Si muchos usuarios comparten el acceso a tu clúster con permisos para crear servicios, como en un clúster multiusuario, considera aplicar una mitigación mientras tanto. Por ahora, el mejor enfoque para la mitigación es restringir el uso de IP externas en un clúster. ExternalIPs no es una función de uso general.

    Restringe el uso de ExternalIPs en un clúster con uno de los siguientes métodos:

    1. Usa el controlador de políticas o el Gatekeeper de GKE Enterprise con esta plantilla de restricciones y aplícala. Por ejemplo:
      
      # Only allow the creation of Services with no
      # ExternalIP or an ExternalIP of 203.0.113.1:
      
      apiVersion: constraints.gatekeeper.sh/v1beta1
      kind: K8sExternalIPs
      metadata:
        name: external-ips
      spec:
        match:
          kinds:
            - apiGroups: [""]
              kinds: ["Service"]
        parameters:
          allowedIPs:
            - "203.0.113.1"
      
    2. O instala un controlador de admisión para evitar el uso de IP externas. El proyecto de Kubernetes proporcionó un controlador de admisión de muestra para esta tarea.

    Como se mencionó en el anuncio de Kubernetes, no se proporciona ninguna mitigación para los servicios de tipo LoadBalancer, ya que, de forma predeterminada, solo se otorga a los usuarios y a los componentes del sistema con privilegios elevados el permiso container.services.updateStatus que se necesita para aprovechar esta vulnerabilidad.

    Media

    Clústeres de GKE en

    Descripción Gravedad
    Actualizado: 22-12-2021 El comando de GKE en la siguiente sección debe usar gcloud beta en lugar del comando gcloud.
    
    gcloud beta container clusters update –no-enable-service-externalips
    

    Actualizado: 15-12-2021 Para GKE, ahora está disponible la siguiente mitigación:
    1. A partir de la versión 1.21 de GKE, un controlador de admisión DenyServiceExternalIPs que se habilita de forma predeterminada para clústeres nuevos bloquea los servicios con ExternalIP.
    2. Los clientes que actualizan a la versión 1.21 de GKE pueden bloquear servicios con ExternalIP mediante el siguiente comando:
      
      gcloud container clusters update –no-enable-service-externalips
      

    Para obtener más información, consulta Endurece la seguridad del clúster.


    El proyecto de Kubernetes descubrió recientemente una nueva vulnerabilidad de seguridad, CVE-2020-8554, que puede permitir que un atacante que haya obtenido permisos cree un servicio de Kubernetes de tipo LoadBalancer o ClusterIP para interceptar el tráfico de red que se origina desde otros pods del clúster.

    Esta vulnerabilidad por sí sola no le otorga permisos a un atacante para crear un servicio de Kubernetes.

    Todo GKE en AWS se ve afectado por esta vulnerabilidad.

    ¿Qué debo hacer?

    Es posible que Kubernetes deba realizar cambios de diseño incompatibles con versiones anteriores en una versión futura para solucionar la vulnerabilidad.

    Si muchos usuarios comparten el acceso a tu clúster con permisos para crear servicios, como en un clúster multiusuario, considera aplicar una mitigación mientras tanto. Por ahora, el mejor enfoque para la mitigación es restringir el uso de IP externas en un clúster. ExternalIPs no es una función de uso general.

    Restringe el uso de ExternalIPs en un clúster con uno de los siguientes métodos:

    1. Usa el controlador de políticas o el Gatekeeper de GKE Enterprise con esta plantilla de restricciones y aplícala. Por ejemplo:
      
      # Only allow the creation of Services with no
      # ExternalIP or an ExternalIP of 203.0.113.1:
      
      apiVersion: constraints.gatekeeper.sh/v1beta1
      kind: K8sExternalIPs
      metadata:
        name: external-ips
      spec:
        match:
          kinds:
            - apiGroups: [""]
              kinds: ["Service"]
        parameters:
          allowedIPs:
            - "203.0.113.1"
      
    2. O instala un controlador de admisión para evitar el uso de IP externas. El proyecto de Kubernetes proporcionó un controlador de admisión de muestra para esta tarea.

    Como se mencionó en el anuncio de Kubernetes, no se proporciona ninguna mitigación para los servicios de tipo LoadBalancer, ya que, de forma predeterminada, solo se otorga a los usuarios y a los componentes del sistema con privilegios elevados el permiso container.services.updateStatus que se necesita para aprovechar esta vulnerabilidad.

    Media

    GCP-2020-014

    Publicado: 2020-10-20
    Referencia: CVE-2020-8563, CVE-2020-8564, CVE-2020-8565, CVE-2020-8566

    GKE

    Actualizado: 2020-10-20

    Descripción Gravedad

    Hace poco, el proyecto de Kubernetes descubrió varios problemas que permiten la exposición de datos secretos cuando las opciones de registro detallado están habilitadas. Estos son los problemas:

    • CVE-2020-8563: Hay pérdidas de secretos en registros de kube-controller-manager del proveedor de vSphere.
    • CVE-2020-8564: Los secretos de archivos de configuración de Docker se filtran cuando el archivo es incorrecto y el nivel de registro >= 4.
    • CVE-2020-8565: Una corrección incompleta para CVE-2019-11250 en Kubernetes permite la pérdida de tokens en registros cuando logLevel >= 9. A este error lo encontró la seguridad de GKE.
    • CVE-2020-8566: Los adminSecrets de Ceph RBD se exponen en registros cuando loglevel >= 4.

    GKE no se ve afectado.

    ¿Qué debo hacer?

    No es necesario que realices ninguna otra acción debido a los niveles de registro detallado predeterminados de GKE.

    Ninguna

    Clústeres de GKE en

    Actualizado: 2020-10-10

    Descripción Gravedad

    Hace poco, el proyecto de Kubernetes descubrió varios problemas que permiten la exposición de datos secretos cuando las opciones de registro detallado están habilitadas. Estos son los problemas:

    • CVE-2020-8563: Hay pérdidas de secretos en registros de kube-controller-manager del proveedor de vSphere.
    • CVE-2020-8564: Los secretos de archivos de configuración de Docker se filtran cuando el archivo es incorrecto y el nivel de registro >= 4.
    • CVE-2020-8565: Una corrección incompleta para CVE-2019-11250 en Kubernetes permite la pérdida de tokens en registros cuando logLevel >= 9. A este error lo encontró la seguridad de GKE.
    • CVE-2020-8566: Los adminSecrets de Ceph RBD se exponen en registros cuando loglevel >= 4.

    GKE en VMware no se ve afectado.

    ¿Qué debo hacer?

    No es necesario que realices ninguna otra acción debido a los niveles de registro detallado predeterminados de GKE.

    Ninguna

    Clústeres de GKE en

    Actualizado: 2020-10-20

    Descripción Gravedad

    Hace poco, el proyecto de Kubernetes descubrió varios problemas que permiten la exposición de datos secretos cuando las opciones de registro detallado están habilitadas. Estos son los problemas:

    • CVE-2020-8563: Hay pérdidas de secretos en registros de kube-controller-manager del proveedor de vSphere.
    • CVE-2020-8564: Los secretos de archivos de configuración de Docker se filtran cuando el archivo es incorrecto y el nivel de registro >= 4.
    • CVE-2020-8565: Una corrección incompleta para CVE-2019-11250 en Kubernetes permite la pérdida de tokens en registros cuando logLevel >= 9. A este error lo encontró la seguridad de GKE.
    • CVE-2020-8566: Los adminSecrets de Ceph RBD se exponen en registros cuando loglevel >= 4.

    GKE en AWS no se ve afectado.

    ¿Qué debo hacer?

    No es necesario que realices ninguna otra acción debido a los niveles de registro detallado predeterminados de GKE.

    Ninguna

    GCP-2020-012

    Publicado: 2020-09-14
    Referencia: CVE-2020-14386

    GKE

    Descripción Gravedad

    Hace poco, se descubrió una vulnerabilidad en el kernel de Linux, descrita en CVE-2020-14386, que puede permitir obtener privilegios raíz en el nodo host mediante el escape del contenedor.

    Afecta a todos los nodos de GKE. Los Pods que se ejecutan en GKE Sandbox no pueden aprovechar esta vulnerabilidad.

    ¿Qué debo hacer?

    Para mitigar esta vulnerabilidad, actualiza el plano de control y, luego, los nodos a una de las versiones con el parche que se mencionan a continuación:

    • 1.14.10-gke.50
    • 1.15.12-gke.20
    • 1.16.13-gke.401
    • 1.17.9-gke.1504
    • 1.18.6-gke.3504

    Para aprovechar esta vulnerabilidad, se requiere CAP_NET_RAW, pero muy pocos contenedores suelen requerir CAP_NET_RAW. Esta y otras capacidades potentes deben bloquearse de forma predeterminada a través de PodSecurityPolicy o del controlador de políticas:

    Quita la capacidad CAP_NET_RAW de los contenedores con uno de los siguientes métodos:

    • Aplica el bloqueo de estas capacidades con PodSecurityPolicy, por ejemplo:
      
          # Require dropping CAP_NET_RAW with a PSP
          apiversion: extensions/v1beta1
          kind: PodSecurityPolicy
          metadata:
            name: no-cap-net-raw
          spec:
            requiredDropCapabilities:
              -NET_RAW
               ...
               # Unrelated fields omitted
    • También puedes usar el controlador de políticas o Gatekeeper con esta plantilla de restricciones y aplicarla, por ejemplo:
      
          # Dropping CAP_NET_RAW with Gatekeeper
          # (requires the K8sPSPCapabilities template)
          apiversion: constraints.gatekeeper.sh/v1beta1
          kind:  K8sPSPCapabilities
          metadata:
            name: forbid-cap-net-raw
          spec:
            match:
              kinds:
                - apiGroups: [""]
                kinds: ["Pod"]
              namespaces:
                #List of namespaces to enforce this constraint on
                - default
              # If running gatekeeper >= v3.1.0-beta.5,
              # you can exclude namespaces rather than including them above.
              excludedNamespaces:
                - kube-system
            parameters:
              requiredDropCapabilities:
                - "NET_RAW"
    • O actualiza las especificaciones del pod:
      
          # Dropping CAP_NET_RAW from a Pod:
          apiVersion: v1
          kind: Pod
          metadata:
            name: no-cap-net-raw
          spec:
            containers:
              -name: my-container
               ...
              securityContext:
                capabilities:
                  drop:
                    -NET_RAW

    ¿Qué vulnerabilidad trata este parche?

    Este parche mitiga la siguiente vulnerabilidad:

    La vulnerabilidad CVE-2020-14386, que permite que los contenedores con CAP_NET_RAW escriban entre 1 y 10 bytes de memoria del kernel y posiblemente escapan el contenedor y obtienen privilegios de administrador en el nodo de host. Esta vulnerabilidad de seguridad tiene una calificación de gravedad alta.

    Alta

    Clústeres de GKE en

    Actualizado: 2020-09-17

    Descripción Gravedad

    Hace poco, se descubrió una vulnerabilidad en el kernel de Linux, descrita en CVE-2020-14386, que puede permitir obtener privilegios raíz en el nodo host mediante el escape del contenedor.

    Todos los nodos de GKE en VMware se ven afectados.

    ¿Qué debo hacer?

    Para corregir esta vulnerabilidad, actualiza el clúster a una versión de parche. Las siguientes versiones de {gke_on_prem_name}} contendrán la corrección para esta vulnerabilidad, y este boletín se actualizará cuando estén disponibles:

    • GKE en VMware 1.4.3, ya disponible.
    • GKE en VMware 1.3.4 ya disponible.

    Para aprovechar esta vulnerabilidad, se requiere CAP_NET_RAW, pero muy pocos contenedores suelen requerir CAP_NET_RAW. Esta y otras capacidades potentes deben bloquearse de forma predeterminada a través de PodSecurityPolicy o del controlador de políticas:

    Quita la capacidad CAP_NET_RAW de los contenedores con uno de los siguientes métodos:

    • Aplica el bloqueo de estas capacidades con PodSecurityPolicy, por ejemplo:
      
          # Require dropping CAP_NET_RAW with a PSP
          apiversion: extensions/v1beta1
          kind: PodSecurityPolicy
          metadata:
            name: no-cap-net-raw
          spec:
            requiredDropCapabilities:
              -NET_RAW
               ...
               # Unrelated fields omitted
    • También puedes usar el controlador de políticas o Gatekeeper con esta plantilla de restricciones y aplicarla, por ejemplo:
      
          # Dropping CAP_NET_RAW with Gatekeeper
          # (requires the K8sPSPCapabilities template)
          apiversion: constraints.gatekeeper.sh/v1beta1
          kind:  K8sPSPCapabilities
          metadata:
            name: forbid-cap-net-raw
          spec:
            match:
              kinds:
                - apiGroups: [""]
                kinds: ["Pod"]
              namespaces:
                #List of namespaces to enforce this constraint on
                - default
              # If running gatekeeper >= v3.1.0-beta.5,
              # you can exclude namespaces rather than including them above.
              excludedNamespaces:
                - kube-system
            parameters:
              requiredDropCapabilities:
                - "NET_RAW"
    • O actualiza las especificaciones del pod:
      
          # Dropping CAP_NET_RAW from a Pod:
          apiVersion: v1
          kind: Pod
          metadata:
            name: no-cap-net-raw
          spec:
            containers:
              -name: my-container
               ...
              securityContext:
                capabilities:
                  drop:
                    -NET_RAW

    ¿Qué vulnerabilidad trata este parche?

    Este parche mitiga la siguiente vulnerabilidad:

    La vulnerabilidad CVE-2020-14386, que permite que los contenedores con CAP_NET_RAW escriban entre 1 y 10 bytes de memoria del kernel y posiblemente escapan el contenedor y obtienen privilegios de administrador en el nodo de host. Esta vulnerabilidad de seguridad tiene una calificación de gravedad alta.

    Alta

    Clústeres de GKE en

    Actualizado: 2020-10-13

    Descripción Gravedad

    Hace poco, se descubrió una vulnerabilidad en el kernel de Linux, descrita en CVE-2020-14386, que puede permitir obtener privilegios raíz en el nodo host mediante el escape del contenedor.

    Todos los nodos de GKE on AWS se ven afectados.

    ¿Qué debo hacer?

    Para corregir esta vulnerabilidad, actualiza tu servicio de administración y tus clústeres de usuario a una versión con parche. Las próximas versiones de GKE en AWS o versiones más recientes incluirán la corrección de esta vulnerabilidad, y este boletín se actualizará cuando estén disponibles:

    • 1.5.0-gke.6
    • 1.4.3-gke.7

    Quita la capacidad CAP_NET_RAW de los contenedores con uno de los siguientes métodos:

    • Aplica el bloqueo de estas capacidades con PodSecurityPolicy, por ejemplo:
      
          # Require dropping CAP_NET_RAW with a PSP
          apiversion: extensions/v1beta1
          kind: PodSecurityPolicy
          metadata:
            name: no-cap-net-raw
          spec:
            requiredDropCapabilities:
              -NET_RAW
               ...
               # Unrelated fields omitted
    • También puedes usar el controlador de políticas o Gatekeeper con esta plantilla de restricciones y aplicarla, por ejemplo:
      
          # Dropping CAP_NET_RAW with Gatekeeper
          # (requires the K8sPSPCapabilities template)
          apiversion: constraints.gatekeeper.sh/v1beta1
          kind:  K8sPSPCapabilities
          metadata:
            name: forbid-cap-net-raw
          spec:
            match:
              kinds:
                - apiGroups: [""]
                kinds: ["Pod"]
              namespaces:
                #List of namespaces to enforce this constraint on
                - default
              # If running gatekeeper >= v3.1.0-beta.5,
              # you can exclude namespaces rather than including them above.
              excludedNamespaces:
                - kube-system
            parameters:
              requiredDropCapabilities:
                - "NET_RAW"
    • O actualiza las especificaciones del pod:
      
          # Dropping CAP_NET_RAW from a Pod:
          apiVersion: v1
          kind: Pod
          metadata:
            name: no-cap-net-raw
          spec:
            containers:
              -name: my-container
               ...
              securityContext:
                capabilities:
                  drop:
                    -NET_RAW

    ¿Qué vulnerabilidad trata este parche?

    Este parche mitiga la siguiente vulnerabilidad:

    La vulnerabilidad CVE-2020-14386, que permite que los contenedores con CAP_NET_RAW escriban entre 1 y 10 bytes de memoria del kernel y posiblemente escapan el contenedor y obtienen privilegios de administrador en el nodo de host. Esta vulnerabilidad de seguridad tiene una calificación de gravedad alta.

    Alta

    GCP-2020-011

    Publicado: 2020-07-24
    Referencia: CVE-2020-8558

    GKE

    Descripción Gravedad

    Se detectó hace poco una vulnerabilidad en las herramientas de redes, CVE-2020-8558, en Kubernetes. A veces, los servicios se comunican con otras aplicaciones que se ejecutan dentro del mismo Pod mediante la interfaz de bucle invertido local (127.0.0.1). Esta vulnerabilidad permite que un atacante con acceso a la red del clúster envíe tráfico a la interfaz de bucle invertido de Pods y nodos adyacentes. Podrían aprovecharse los servicios que dependen de que no se pueda acceder a la interfaz de bucle invertido fuera del Pod.

    A fin de aprovechar esta vulnerabilidad en los clústeres de GKE, se requiere que un atacante tenga privilegios de administrador de red en el hosting de Google Cloud que aloja la VPC del clúster. Esta vulnerabilidad por sí sola no otorga privilegios de administrador de red a los atacantes. Por esta razón, a esta vulnerabilidad se le asignó una gravedad baja para GKE.

    ¿Qué debo hacer?

    Para solucionar esta vulnerabilidad, actualiza los grupos de nodos del clúster a las siguientes versiones de GKE (y versiones posteriores):

    • 1.17.7-gke.0
    • 1.16.11-gke.0
    • 1.16.10-gke.11
    • 1.16.9-gke.14

    ¿Qué vulnerabilidad trata este parche?

    Este parche corrige la siguiente vulnerabilidad: CVE-2020-8558.

    Baja

    Clústeres de GKE en

    Descripción Gravedad

    Se detectó hace poco una vulnerabilidad en las herramientas de redes, CVE-2020-8558, en Kubernetes. A veces, los servicios se comunican con otras aplicaciones que se ejecutan dentro del mismo Pod mediante la interfaz de bucle invertido local (127.0.0.1). Esta vulnerabilidad permite que un atacante con acceso a la red del clúster envíe tráfico a la interfaz de bucle invertido de Pods y nodos adyacentes. Podrían aprovecharse los servicios que dependen de que no se pueda acceder a la interfaz de bucle invertido fuera del Pod.

    ¿Qué debo hacer?

    Para corregir esta vulnerabilidad, actualiza el clúster a una versión de parche. En las siguientes versiones o en otras más recientes de GKE en VMware, se incluye la solución para esta vulnerabilidad:

    • GKE en VMware 1.4.1

    ¿Qué vulnerabilidad trata este parche?

    Este parche corrige la siguiente vulnerabilidad: CVE-2020-8558.

    Media

    Clústeres de GKE en

    Descripción Gravedad

    Se detectó hace poco una vulnerabilidad en las herramientas de redes, CVE-2020-8558, en Kubernetes. A veces, los servicios se comunican con otras aplicaciones que se ejecutan dentro del mismo Pod mediante la interfaz de bucle invertido local (127.0.0.1). Esta vulnerabilidad permite que un atacante con acceso a la red del clúster envíe tráfico a la interfaz de bucle invertido de Pods y nodos adyacentes. Podrían aprovecharse los servicios que dependen de que no se pueda acceder a la interfaz de bucle invertido fuera del Pod.

    A fin de aprovechar esta vulnerabilidad en los clústeres de usuario, se requiere que un atacante inhabilite las verificaciones de destino de origen en las instancias de EC2 en el clúster. El atacante debería tener permisos de IAM de AWS para ModifyInstanceAttribute o ModifyNetworkInterfaceAttribute en las instancias de EC2. Por esta razón, a esta vulnerabilidad se le asignó un nivel bajo de gravedad para GKE en AWS.

    ¿Qué debo hacer?

    Para corregir esta vulnerabilidad, actualiza el clúster a una versión de parche. Se espera que las próximas versiones de GKE on AWS o las versiones posteriores incluyan la corrección para esta vulnerabilidad:

    • GKE on AWS 1.4.1-gke.17

    ¿Qué vulnerabilidad trata este parche?

    Este parche corrige la siguiente vulnerabilidad: CVE-2020-8558.

    Baja

    GCP-2020-009

    Publicado: 2020-07-15
    Referencia: CVE-2020-8559

    GKE

    Descripción Gravedad

    En la actualidad, se descubrió una vulnerabilidad de elevación de privilegios, CVE-2020-8559, en Kubernetes. Esta vulnerabilidad permite que un atacante que ya haya comprometido un nodo pueda ejecutar un comando en cualquier Pod del clúster. Por lo tanto, existe la posibilidad de que el atacante use el nodo ya comprometido para comprometer otros nodos y poder leer información o causar acciones destructivas.

    Ten en cuenta que, para que un atacante pueda aprovechar esta vulnerabilidad, un nodo del clúster ya debe estar comprometido. Esta vulnerabilidad, por sí sola, no comprometerá ningún nodo del clúster.

    ¿Qué debo hacer?

    Actualiza el clúster a una versión con parche. Los clústeres se actualizarán de forma automática durante las próximas semanas, y las versiones con parche estarán disponibles a partir del 19 de julio de 2020 para una programación de actualizaciones manuales acelerada. Las siguientes versiones del plano de control de GKE o versiones posteriores contienen la corrección para esta vulnerabilidad:

    • v1.14.10-gke.46
    • v1.15.12-gke.8
    • v1.16.9-gke.11
    • v1.16.10-gke.9
    • v1.16.11-gke.3+
    • v1.17.7-gke.6+

    ¿Qué vulnerabilidad trata este parche?

    Estos parches mitigan la vulnerabilidad CVE-2020-8559. Esta se considera una vulnerabilidad de nivel medio para GKE, ya que requiere que el atacante tenga información de primera mano sobre el clúster, los nodos y las cargas de trabajo para aprovechar este ataque de manera efectiva, además de un nodo existente ya comprometido. Esta vulnerabilidad no le proporcionará un nodo comprometido a un atacante.

    Media

    Clústeres de GKE en

    Descripción Gravedad

    En la actualidad, se descubrió una vulnerabilidad de elevación de privilegios, CVE-2020-8559, en Kubernetes. Esta vulnerabilidad permite que un atacante que ya haya comprometido un nodo pueda ejecutar un comando en cualquier Pod del clúster. Por lo tanto, existe la posibilidad de que el atacante use el nodo ya comprometido para comprometer otros nodos y poder leer información o causar acciones destructivas.

    Ten en cuenta que, para que un atacante pueda aprovechar esta vulnerabilidad, un nodo del clúster ya debe estar comprometido. Esta vulnerabilidad, por sí sola, no comprometerá ningún nodo del clúster.

    ¿Qué debo hacer?

    Actualiza tu clúster a una versión con parche. En las siguientes versiones o en otras más recientes de GKE en VMware, se incluye la solución para esta vulnerabilidad:

    • Anthos 1.3.3
    • Anthos 1.4.1

    ¿Qué vulnerabilidad trata este parche?

    Estos parches mitigan la vulnerabilidad CVE-2020-8559. Esta se considera una vulnerabilidad de nivel medio para GKE, ya que requiere que el atacante tenga información de primera mano sobre el clúster, los nodos y las cargas de trabajo para aprovechar este ataque de manera efectiva, además de un nodo existente ya comprometido. Esta vulnerabilidad no le proporcionará un nodo comprometido a un atacante.

    Media

    Clústeres de GKE en

    Descripción Gravedad

    En la actualidad, se descubrió una vulnerabilidad de elevación de privilegios, CVE-2020-8559, en Kubernetes. Esta vulnerabilidad permite que un atacante que ya haya comprometido un nodo pueda ejecutar un comando en cualquier Pod del clúster. Por lo tanto, existe la posibilidad de que el atacante use el nodo ya comprometido para comprometer otros nodos y poder leer información o causar acciones destructivas.

    Ten en cuenta que, para que un atacante pueda aprovechar esta vulnerabilidad, un nodo del clúster ya debe estar comprometido. Esta vulnerabilidad, por sí sola, no comprometerá ningún nodo del clúster.

    ¿Qué debo hacer?

    La versión de GKE on AWS de disponibilidad general (1.4.1, disponible a fines de julio de 2020), o versiones posteriores, incluye el parche para esta vulnerabilidad. Si usas una versión anterior, descarga una versión nueva de la herramienta de línea de comandos de anthos-gke y vuelve a crear los clústeres de administrador y de usuario.

    ¿Qué vulnerabilidad trata este parche?

    Estos parches mitigan la vulnerabilidad CVE-2020-8559. Esta se considera una vulnerabilidad de nivel medio para GKE, ya que requiere que el atacante tenga información de primera mano sobre el clúster, los nodos y las cargas de trabajo para aprovechar este ataque de manera efectiva, además de un nodo existente ya comprometido. Esta vulnerabilidad no le proporcionará un nodo comprometido a un atacante.

    Media

    GCP-2020-007

    Publicado: 2020-06-01
    Referencia: CVE-2020-8555

    GKE

    Descripción Gravedad

    Recientemente, se descubrió la vulnerabilidad de falsificación de solicitudes del servidor (SSRF) CVE-2020-8555 en Kubernetes, que permitió a ciertos usuarios autorizados filtrar hasta 500 bytes de información sensible desde la red host del plano de control. En el plano de control de Google Kubernetes Engine (GKE), se usan controladores de Kubernetes a los que afecta esta vulnerabilidad. Te recomendamos actualizar el plano de control a la versión más reciente del parche, como se muestra a continuación. No requiere actualizar los nodos.

    ¿Qué debo hacer?

    La mayoría de los clientes no debe realizar ninguna acción adicional. En la gran mayoría de los clústeres ya se está ejecutando la versión con el parche. Las siguientes versiones de GKE o las posteriores a ellas incluyen la corrección para esta vulnerabilidad:
    • 1.14.7-gke.39
    • 1.14.8-gke.32
    • 1.14.9-gke.17
    • 1.14.10-gke.12
    • 1.15.7-gke.17
    • 1.16.4-gke.21
    • 1.17.0-gke.0

    Los clústeres que usan canales de versiones ya están en las versiones del plano de control que tiene la mitigación.

    ¿Qué vulnerabilidad trata este parche?

    Estos parches mitigan la vulnerabilidad CVE-2020-8555. Esta tiene una calificación de vulnerabilidad media para GKE, ya que fue difícil aprovecharla debido a las medidas de endurecimiento del plano de control.

    Un atacante con permisos para crear un Pod con ciertos tipos de volúmenes incluidos (GlusterFS, Quobyte, StorageFS, ScaleIO) o con permisos para crear un StorageClass puede hacer que kube-controller-manager cree solicitudes GET o POST sin un cuerpo de solicitud que controle el atacante desde la red de host de la instancia principal. En GKE rara vez se usan estos tipos de volúmenes, por lo que un uso nuevo de ellos puede ser un indicador de detección útil.

    Combinados con un medio para que el atacante reciba los resultados filtrados del GET/POST (como los registros), puede provocar que se divulgue información sensible. Actualizamos los controladores de almacenamiento en cuestión para evitar la posibilidad de que ocurran tales fugas.

    Media

    Clústeres de GKE en

    Descripción Gravedad

    Recientemente, se descubrió la vulnerabilidad de falsificación de solicitudes del servidor (SSRF) CVE-2020-8555 en Kubernetes, que permitió a ciertos usuarios autorizados filtrar hasta 500 bytes de información sensible desde la red host del plano de control. En el plano de control de Google Kubernetes Engine (GKE), se usan controladores de Kubernetes a los que afecta esta vulnerabilidad. Te recomendamos actualizar el plano de control a la versión más reciente del parche, como se detalla a continuación. No requiere actualizar los nodos.

    ¿Qué debo hacer?

    Las siguientes versiones o versiones posteriores de GKE on VMware contienen la solución para esta vulnerabilidad:

    • Anthos 1.3.0

    Si usas una versión anterior, actualiza el clúster existente a una versión en la que se incluya la solución.

    ¿Qué vulnerabilidad trata este parche?

    Estos parches mitigan la vulnerabilidad CVE-2020-8555. Esta tiene una calificación de vulnerabilidad media para GKE, ya que fue difícil aprovecharla debido a las medidas de endurecimiento del plano de control.

    Un atacante con permisos para crear un Pod con ciertos tipos de volúmenes incluidos (GlusterFS, Quobyte, StorageFS, ScaleIO) o con permisos para crear un StorageClass puede hacer que kube-controller-manager cree solicitudes GET o POST sin un cuerpo de solicitud que controle el atacante desde la red de host de la instancia principal. En GKE rara vez se usan estos tipos de volúmenes, por lo que un uso nuevo de ellos puede ser un indicador de detección útil.

    Combinados con un medio para que el atacante reciba los resultados filtrados del GET/POST (como los registros), puede provocar que se divulgue información sensible. Actualizamos los controladores de almacenamiento en cuestión para evitar la posibilidad de que ocurran tales fugas.

    Media

    Clústeres de GKE en

    Descripción Gravedad

    Recientemente, se descubrió la vulnerabilidad de falsificación de solicitudes del servidor (SSRF) CVE-2020-8555 en Kubernetes, que permitió a ciertos usuarios autorizados filtrar hasta 500 bytes de información sensible desde la red host del plano de control. En el plano de control de Google Kubernetes Engine (GKE), se usan controladores de Kubernetes a los que afecta esta vulnerabilidad. Te recomendamos actualizar el plano de control a la versión más reciente del parche, como se detalla a continuación. No requiere actualizar los nodos.

    ¿Qué debo hacer?

    GKE on AWS v0.2.0 o posterior ya incluye el parche para esta vulnerabilidad. Si usas una versión anterior, descarga una versión nueva de la herramienta de línea de comandos de anthos-gke y vuelve a crear los clústeres de administrador y de usuario.

    ¿Qué vulnerabilidad trata este parche?

    Estos parches mitigan la vulnerabilidad CVE-2020-8555. Esta tiene una calificación de vulnerabilidad media para GKE, ya que fue difícil aprovecharla debido a las medidas de endurecimiento del plano de control.

    Un atacante con permisos para crear un Pod con ciertos tipos de volúmenes incluidos (GlusterFS, Quobyte, StorageFS, ScaleIO) o con permisos para crear un StorageClass puede hacer que kube-controller-manager cree solicitudes GET o POST sin un cuerpo de solicitud que controle el atacante desde la red de host de la instancia principal. En GKE rara vez se usan estos tipos de volúmenes, por lo que un uso nuevo de ellos puede ser un indicador de detección útil.

    Combinados con un medio para que el atacante reciba los resultados filtrados del GET/POST (como los registros), puede provocar que se divulgue información sensible. Actualizamos los controladores de almacenamiento en cuestión para evitar la posibilidad de que ocurran tales fugas.

    Media

    GCP-2020-006

    Publicado: 2020-06-01
    Referencia: Kubernetes issue 91507

    GKE

    Descripción Gravedad

    Kubernetes divulgó una vulnerabilidad que permite que un contenedor con privilegios redireccione el tráfico de nodo a otro contenedor. El ataque no permite leer ni modificar el tráfico mutuo de TLS/SSH, como aquel entre el kubelet y el servidor de la API, o el tráfico desde aplicaciones mediante mTLS. Esta vulnerabilidad afecta a todos los nodos de Google Kubernetes Engine (GKE). Te recomendamos actualizar a la versión más reciente del parche, como se detalla a continuación.

    ¿Qué debo hacer?

    Para mitigar esta vulnerabilidad, actualiza tu plano de control y, luego, tus nodos a una de las versiones con el parche que se mencionan a continuación. Los clústeres en los canales de versiones ya ejecutan una versión con el parche en el plano de control y los nodos:
    • 1.14.10-gke.36
    • 1.15.11-gke.15
    • 1.16.8-gke.15

    Por lo general, muy pocos contenedores requieren CAP_NET_RAW. Esta y otras capacidades potentes se deben bloquear de forma predeterminada mediante PodSecurityPolicy o el controlador de políticas de Anthos:

    Quita la capacidad CAP_NET_RAW de los contenedores con uno de los siguientes métodos:

    • Aplica el bloqueo de estas capacidades con PodSecurityPolicy, por ejemplo:
      
          # Require dropping CAP_NET_RAW with a PSP
          apiversion: extensions/v1beta1
          kind: PodSecurityPolicy
          metadata:
            name: no-cap-net-raw
          spec:
            requiredDropCapabilities:
              -NET_RAW
               ...
               # Unrelated fields omitted
    • También puedes usar el controlador de políticas o Gatekeeper con esta plantilla de restricciones y aplicarla, por ejemplo:
      
          # Dropping CAP_NET_RAW with Gatekeeper
          # (requires the K8sPSPCapabilities template)
          apiversion: constraints.gatekeeper.sh/v1beta1
          kind:  K8sPSPCapabilities
          metadata:
            name: forbid-cap-net-raw
          spec:
            match:
              kinds:
                - apiGroups: [""]
                kinds: ["Pod"]
              namespaces:
                #List of namespaces to enforce this constraint on
                - default
              # If running gatekeeper >= v3.1.0-beta.5,
              # you can exclude namespaces rather than including them above.
              excludedNamespaces:
                - kube-system
            parameters:
              requiredDropCapabilities:
                - "NET_RAW"
    • O actualiza las especificaciones del pod:
      
          # Dropping CAP_NET_RAW from a Pod:
          apiVersion: v1
          kind: Pod
          metadata:
            name: no-cap-net-raw
          spec:
            containers:
              -name: my-container
               ...
              securityContext:
                capabilities:
                  drop:
                    -NET_RAW

    ¿Qué vulnerabilidad trata este parche?

    El parche mitiga la siguiente vulnerabilidad:

    La vulnerabilidad descrita en el problema 91507 de Kubernetes: la capacidad CAP_NET_RAW (que se incluye en el conjunto de capacidades del contenedor predeterminado) por configurar de forma maliciosa la pila de IPv6 en el nodo y redireccionar el tráfico del nodo al contenedor que controla el atacante. Esto permitirá que el atacante intercepte o modifique el tráfico que se origina en el nodo o que se destina a este. El ataque no permite leer ni modificar el tráfico mutuo de TLS/SSH, como entre el kubelet y el servidor de la API, o el tráfico de aplicaciones con mTLS.

    Media

    Clústeres de GKE en

    Descripción Gravedad

    Kubernetes divulgó una vulnerabilidad que permite que un contenedor con privilegios redireccione el tráfico de nodo a otro contenedor. El ataque no permite leer ni modificar el tráfico mutuo de TLS/SSH, como aquel entre el kubelet y el servidor de la API, o el tráfico desde aplicaciones mediante mTLS. Esta vulnerabilidad afecta a todos los nodos de Google Kubernetes Engine (GKE). Te recomendamos actualizar a la versión más reciente del parche, como se detalla a continuación.

    ¿Qué debo hacer?

    Si quieres mitigar esta vulnerabilidad para GKE en VMware, actualiza tus clústeres a la siguiente versión o a una más reciente:
    • Anthos 1.3.2

    Por lo general, muy pocos contenedores requieren CAP_NET_RAW. Esta y otras capacidades potentes se deben bloquear de forma predeterminada mediante el controlador de políticas de Anthos o la actualización de las especificaciones del pod:

    Quita la capacidad CAP_NET_RAW de los contenedores con uno de los siguientes métodos:

    • Aplica el bloqueo de estas capacidades con PodSecurityPolicy, por ejemplo:
      
          # Require dropping CAP_NET_RAW with a PSP
          apiversion: extensions/v1beta1
          kind: PodSecurityPolicy
          metadata:
            name: no-cap-net-raw
          spec:
            requiredDropCapabilities:
              -NET_RAW
               ...
               # Unrelated fields omitted
    • También puedes usar el controlador de políticas o Gatekeeper con esta plantilla de restricciones y aplicarla, por ejemplo:
      
          # Dropping CAP_NET_RAW with Gatekeeper
          # (requires the K8sPSPCapabilities template)
          apiversion: constraints.gatekeeper.sh/v1beta1
          kind:  K8sPSPCapabilities
          metadata:
            name: forbid-cap-net-raw
          spec:
            match:
              kinds:
                - apiGroups: [""]
                kinds: ["Pod"]
              namespaces:
                #List of namespaces to enforce this constraint on
                - default
              # If running gatekeeper >= v3.1.0-beta.5,
              # you can exclude namespaces rather than including them above.
              excludedNamespaces:
                - kube-system
            parameters:
              requiredDropCapabilities:
                - "NET_RAW"
    • O actualiza las especificaciones del pod:
      
          # Dropping CAP_NET_RAW from a Pod:
          apiVersion: v1
          kind: Pod
          metadata:
            name: no-cap-net-raw
          spec:
            containers:
              -name: my-container
               ...
              securityContext:
                capabilities:
                  drop:
                    -NET_RAW

    ¿Qué vulnerabilidad trata este parche?

    El parche mitiga la siguiente vulnerabilidad:

    La vulnerabilidad descrita en el problema 91507 de Kubernetes: la capacidad CAP_NET_RAW (que se incluye en el conjunto de capacidades del contenedor predeterminado) por configurar de forma maliciosa la pila de IPv6 en el nodo y redireccionar el tráfico del nodo al contenedor que controla el atacante. Esto permitirá que el atacante intercepte o modifique el tráfico que se origina en el nodo o que se destina a este. El ataque no permite leer ni modificar el tráfico mutuo de TLS/SSH, como entre el kubelet y el servidor de la API, o el tráfico de aplicaciones con mTLS.

    Media

    Clústeres de GKE en

    Descripción Gravedad

    Kubernetes divulgó una vulnerabilidad que permite que un contenedor con privilegios redireccione el tráfico de nodo a otro contenedor. El ataque no permite leer ni modificar el tráfico mutuo de TLS/SSH, como aquel entre el kubelet y el servidor de la API, o el tráfico desde aplicaciones mediante mTLS. Esta vulnerabilidad afecta a todos los nodos de Google Kubernetes Engine (GKE). Te recomendamos actualizar a la versión más reciente del parche, como se detalla a continuación.

    ¿Qué debo hacer?

    Descarga la herramienta de línea de comandos de anthos-gke con la siguiente versión o una más reciente y vuelve a crear los clústeres de administración y de usuario:

    • aws-0.2.1-gke.7

    Por lo general, muy pocos contenedores requieren CAP_NET_RAW. Esta y otras capacidades potentes se deben bloquear de forma predeterminada mediante el controlador de políticas de Anthos o la actualización de las especificaciones del pod:

    Quita la capacidad CAP_NET_RAW de los contenedores con uno de los siguientes métodos:

    • Aplica el bloqueo de estas capacidades con PodSecurityPolicy, por ejemplo:
      
          # Require dropping CAP_NET_RAW with a PSP
          apiversion: extensions/v1beta1
          kind: PodSecurityPolicy
          metadata:
            name: no-cap-net-raw
          spec:
            requiredDropCapabilities:
              -NET_RAW
               ...
               # Unrelated fields omitted
    • También puedes usar el controlador de políticas o Gatekeeper con esta plantilla de restricciones y aplicarla, por ejemplo:
      
          # Dropping CAP_NET_RAW with Gatekeeper
          # (requires the K8sPSPCapabilities template)
          apiversion: constraints.gatekeeper.sh/v1beta1
          kind:  K8sPSPCapabilities
          metadata:
            name: forbid-cap-net-raw
          spec:
            match:
              kinds:
                - apiGroups: [""]
                kinds: ["Pod"]
              namespaces:
                #List of namespaces to enforce this constraint on
                - default
              # If running gatekeeper >= v3.1.0-beta.5,
              # you can exclude namespaces rather than including them above.
              excludedNamespaces:
                - kube-system
            parameters:
              requiredDropCapabilities:
                - "NET_RAW"
    • O actualiza las especificaciones del pod:
      
          # Dropping CAP_NET_RAW from a Pod:
          apiVersion: v1
          kind: Pod
          metadata:
            name: no-cap-net-raw
          spec:
            containers:
              -name: my-container
               ...
              securityContext:
                capabilities:
                  drop:
                    -NET_RAW

    ¿Qué vulnerabilidad trata este parche?

    El parche mitiga la siguiente vulnerabilidad:

    La vulnerabilidad descrita en el problema 91507 de Kubernetes: la capacidad CAP_NET_RAW (que se incluye en el conjunto de capacidades del contenedor predeterminado) por configurar de forma maliciosa la pila de IPv6 en el nodo y redireccionar el tráfico del nodo al contenedor que controla el atacante. Esto permitirá que el atacante intercepte o modifique el tráfico que se origina en el nodo o que se destina a este. El ataque no permite leer ni modificar el tráfico mutuo de TLS/SSH, como entre el kubelet y el servidor de la API, o el tráfico de aplicaciones con mTLS.

    Media

    GCP-2020-005

    Publicado: 2020-05-07
    Actualizado: 2020-05-07
    Referencia: CVE-2020-8835

    GKE

    Descripción Gravedad

    Hace poco, se descubrió una vulnerabilidad en el kernel de Linux, descrita en CVE-2020-8835, que permite obtener privilegios de administrador en el nodo host mediante un escape de contenedor.

    Esta vulnerabilidad afecta a los nodos de Google Kubernetes Engine (GKE) de Ubuntu que se ejecutan en GKE 1.16 o 1.17, por lo que te recomendamos actualizar a la versión de parche más reciente lo antes posible, como se muestra a continuación.

    Los nodos que ejecutan Container-Optimized OS no se ven afectados. Los nodos que se ejecutan en GKE en VMware tampoco se ven afectados.

    ¿Qué debo hacer?

    La mayoría de los clientes no debe realizar ninguna acción adicional. Solo se ven afectados los nodos que ejecutan Ubuntu en la versión 1.16 o 1.17 de GKE.

    Para poder actualizar los nodos, primero debes actualizar la instancia principal a la versión más reciente. Este parche estará disponible en Kubernetes 1.16.8-gke.12, 1.17.4-gke.10 y en versiones más recientes. Haz un seguimiento de la disponibilidad de estos parches en las notas de la versión.

    ¿Qué vulnerabilidad corrige este parche?

    Este parche mitiga la siguiente vulnerabilidad:

    CVE-2020-8835 es una vulnerabilidad en la versión 5.5.0 y posteriores del kernel de Linux que permite que un contenedor malicioso (con una interacción mínima del usuario mediante un ejecutable) lea y escriba en la memoria del kernel para lograr la ejecución de código con permisos de administrador en el nodo host. Esta vulnerabilidad de seguridad tiene una calificación de gravedad alta.

    Alta

    GCP-2020-004

    Publicado: 2020-05-07
    Actualizado: 2020-05-07
    Referencia: CVE-2019-11254

    Clústeres de GKE en

    Descripción Gravedad

    Hace poco, se descubrió una vulnerabilidad en Kubernetes, descrita en CVE-2019-11254, que permite que cualquier usuario con autorización para realizar solicitudes POST ejecute un ataque de denegación del servicio de forma remota en un servidor de la API de Kubernetes. El Comité de seguridad de productos (PSC) de Kubernetes publicó información adicional sobre esta vulnerabilidad, que puedes encontrar aquí.

    Puedes mitigar esta vulnerabilidad si limitas los clientes que tienen acceso de red a los servidores de la API de Kubernetes.

    ¿Qué debo hacer?

    Te recomendamos que actualices los clústeres a versiones de parches que contengan la solución para esta vulnerabilidad en cuanto estén disponibles.

    Estas son las versiones de parche que incluyen la corrección:

    • Anthos 1.3.0, que ejecuta la versión 1.15.7-gke.32 de Kubernetes

    ¿Qué vulnerabilidades trata este parche?

    El parche corrige la siguiente vulnerabilidad de denegación del servicio (DoS):

    CVE-2019-11254

    Media

    GCP-2020-003

    Publicado: 2020-03-31
    Actualizado: 2020-03-31
    Referencia: CVE-2019-11254

    GKE

    Descripción Gravedad

    Hace poco, se descubrió una vulnerabilidad en Kubernetes, descrita en CVE-2019-11254, que permite que cualquier usuario con autorización para realizar solicitudes POST ejecute un ataque de denegación del servicio de forma remota en un servidor de la API de Kubernetes. El Comité de seguridad de productos (PSC) de Kubernetes publicó información adicional sobre esta vulnerabilidad, que puedes encontrar aquí.

    Los clústeres de GKE que usan redes autorizadas para instancias principales y clústeres privados sin extremo público mitigan esta vulnerabilidad.

    ¿Qué debo hacer?

    Te recomendamos que actualices el clúster a una versión de parche que contenga la corrección para esta vulnerabilidad.

    Estas son las versiones de parche que incluyen la corrección:

    • 1.13.12-gke.29
    • 1.14.9-gke.27
    • 1.14.10-gke.24
    • 1.15.9-gke.20
    • 1.16.6-gke.1

    ¿Qué vulnerabilidades corrige este parche?

    El parche corrige la siguiente vulnerabilidad de denegación del servicio (DoS):

    CVE-2019-11254

    Media

    GCP-2020-002

    Fecha de publicación: 23/03/2020
    Última actualización: 23/03/2020
    Referencia: CVE-2020-8551, CVE-2020-8552

    GKE

    Descripción Gravedad

    Kubernetes divulgó dos vulnerabilidades de denegación del servicio: una que afecta al servidor de la API y otra que afecta a Kubelets. Para conocer más detalles, consulta los problemas de Kubernetes 8937789378.

    ¿Qué debo hacer?

    Todos los usuarios de GKE están protegidos contra la vulnerabilidad CVE‑2020‑8551, excepto en los casos en que se permita que usuarios no confiables puedan enviar solicitudes en la red interna del clúster. El uso de redes autorizadas para instancias principales también brinda protección contra la vulnerabilidad CVE‑2020‑8552.

    ¿Cuándo se aplicarán parches para corregir estas vulnerabilidades?

    Los parches para CVE‑2020‑8551 requieren actualizar los nodos. Estas son las versiones de parche que incluirán la mitigación:

    • 1.15.10-gke.*
    • 1.16.7-gke.*

    Los parches para CVE‑2020‑8552 requieren actualizar las instancias principales. Estas son las versiones de parche que incluirán la mitigación:

    • 1.14.10-gke.32
    • 1.15.10-gke.*
    • 1.16.7-gke.*
    Media

    GCP-january_21_2020

    Publicado: 2020-01-21
    Actualizado: 2020-01-24
    Referencia: CVE-2019-11254

    GKE

    Descripción Gravedad

    Actualización del 24/01/2020: El proceso para que las versiones con parche estén disponibles ya se está llevando a cabo y se completará el 25 de enero de 2020.


    Microsoft divulgó una vulnerabilidad en la API de Windows Crypto y la validación de las firmas de curva elíptica. Si deseas obtener más información, puedes consultar el aviso de Microsoft al respecto.

    ¿Qué debo hacer?

    La mayoría de los clientes no debe realizar ninguna acción adicional. Solo los nodos que se ejecutan en Windows Server se ven afectados.

    Para mitigar la vulnerabilidad, los clientes que usan nodos en Windows Server deben actualizar los nodos y las cargas de trabajo en contenedores que se ejecutan en esos nodos a las versiones con parche.

    Para actualizar los contenedores, sigue estos pasos:

    Vuelve a compilar tus contenedores con las imágenes base de contenedor de Microsoft más actuales. Para ello, debes seleccionar una etiqueta servercore o nanoserver cuya última fecha de actualización sea el 14/01/2020 o posterior.

    Actualización de nodos:

    El proceso para que las versiones de parche estén disponibles ya se está llevando a cabo y se completará el 24 de enero de 2020.

    Puedes esperar hasta ese momento y actualizar el nodo a una versión de GKE con parche o puedes usar Windows Update para implementar el último parche de Windows de forma manual en cualquier momento.

    Estas son las versiones con parche que contendrán la mitigación:

    • 1.14.7-gke.40
    • 1.14.8-gke.33
    • 1.14.9-gke.23
    • 1.14.10-gke.17
    • 1.15.7-gke.23
    • 1.16.4-gke.22

    ¿Qué vulnerabilidades corrige este parche?

    Este parche mitiga las siguientes vulnerabilidades:

    CVE-2020-0601: Esta vulnerabilidad también se conoce como la Windows Crypto API Spoofing Vulnerability (Vulnerabilidad de falsificación de identidad de la API de Windows Crypto) y se puede usar para que los archivos ejecutables maliciosos parezcan confiables o a fin de permitir que el atacante realice ataques de intermediario y desencripte información confidencial sobre las conexiones TLS del software afectado.

    Puntuación base de la NVD: 8.1 (alta)

    Boletines de seguridad archivados

    Para ver boletines de seguridad anteriores a 2020, consulta Archivo de boletines de seguridad.