Sicherheitsbulletins

Auf dieser Seite werden alle Sicherheitsbulletins für die folgenden Produkte beschrieben:

  • Google Kubernetes Engine (GKE)
  • Google Distributed Cloud (nur Software) auf VMware
  • GKE on AWS
  • GKE on Azure
  • Google Distributed Cloud (nur Software) auf Bare Metal

Sicherheitslücken werden häufig geheim gehalten, bis die betroffenen Parteien die Möglichkeit hatten, sie zu beheben. In diesen Fällen wird in den Versionshinweisen von "Security Updates" (Sicherheitsupdates) gesprochen, bis die Geheimhaltungsverpflichtung aufgehoben wurde. Sobald dies geschehen ist, werden die Hinweise mit Informationen über die durch den Patch behobene Sicherheitslücke aktualisiert.

Wenn GKE ein Sicherheitsbulletin ausgibt, das sich direkt auf Ihre Clusterkonfiguration oder -version bezieht, senden wir Ihnen möglicherweise eine SecurityBulletinEvent-Clusterbenachrichtigung mit Informationen über die Sicherheitslücke und Maßnahmen, die Sie gegebenenfalls ergreifen können. Informationen zum Einrichten von Clusterbenachrichtigungen finden Sie unter Clusterbenachrichtigungen.

Weitere Informationen dazu, wie Google mit Sicherheitslücken und Patches umgeht für GKE und GKE Enterprise finden Sie unter Sicherheitspatches.

GKE- und GKE Enterprise-Plattformen verwenden keine Komponenten wie ingress-nginx und die CRI-O-Containerlaufzeit, und sind nicht betroffen Sicherheitslücken in diesen Komponenten festgestellt werden. Lesen Sie die Sicherheitsupdates und Patchpatches für diese Komponenten an der Quelle, wenn Sie Komponenten aus anderen Quellen installieren.

Verwenden Sie diesen XML-Feed, um Sicherheitsbulletins für diese Seite zu abonnieren. Abonnieren

GCP-2024-045

Veröffentlicht: 17.07.2024
Referenz: CVE-2024-26925

GKE

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2024-26925

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber angreifbar sein, wenn Sie das Profil „seccomp“ Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihr Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.27.14-gke.1093000
  • 1.28.10-gke.1141000
  • 1.29.5-gke.1192000
  • 1.30.2-gke.1394000

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn Ihr Cluster gleich ausgeführt wird Nebenversion in ihrer eigenen Release-Version. Mit dieser Funktion können Sie Knoten sichern, bis wird die Patchversion zum Standard in Ihrer Release-Version. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen

Hoch

GDC (VMware)

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2024-26925

Wie gehe ich am besten vor?

Ausstehend

GKE on AWS

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2024-26925

Wie gehe ich am besten vor?

Ausstehend

GKE on Azure

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2024-26925

Wie gehe ich am besten vor?

Ausstehend

GDC (Bare Metal)

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2024-26925

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GDC-Software für Bare Metal ist nicht betroffen, da in ihrer Distribution kein Betriebssystem gebündelt ist.

Keine

GCP-2024-044

Veröffentlicht: 16.07.2024
Referenz: CVE-2024-36972

GKE

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2024-36972

GKE Standard- und Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihr Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.27.14-gke.1093000
  • 1.28.10-gke.1141000
  • 1.29.5-gke.1192000
  • 1.30.2-gke.1394000

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn Ihr Cluster gleich ausgeführt wird Nebenversion in ihrer eigenen Release-Version. Mit dieser Funktion können Sie Knoten sichern, bis wird die Patchversion zum Standard in Ihrer Release-Version. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen

Hoch

GDC (VMware)

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2024-36972

Wie gehe ich am besten vor?

Ausstehend

GKE on AWS

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2024-36972

Wie gehe ich am besten vor?

Ausstehend

GKE on Azure

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2024-36972

Wie gehe ich am besten vor?

Ausstehend

GDC (Bare Metal)

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2024-36972

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GDC-Software für Bare Metal ist nicht betroffen, da in ihrer Distribution kein Betriebssystem gebündelt ist.

Keine

GCP-2024-043

Veröffentlicht: 16.07.2024
Referenz: CVE-2024-26921

GKE

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2024-26921

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber angreifbar sein, wenn Sie das Profil „seccomp“ Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihr Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.26.15-gke.1360000
  • 1.27.14-gke.1022000
  • 1.28.9-gke.1209000
  • 1.29.4-gke.1542000
  • 1.30.2-gke.1394000

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn Ihr Cluster gleich ausgeführt wird Nebenversion in ihrer eigenen Release-Version. Mit dieser Funktion können Sie Knoten sichern, bis wird die Patchversion zum Standard in Ihrer Release-Version. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen

Hoch

GDC (VMware)

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2024-26921

Wie gehe ich am besten vor?

Ausstehend

GKE on AWS

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2024-26921

Wie gehe ich am besten vor?

Ausstehend

GKE on Azure

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2024-26921

Wie gehe ich am besten vor?

Ausstehend

GDC (Bare Metal)

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2024-26921

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GDC-Software für Bare Metal ist nicht betroffen, da in ihrer Distribution kein Betriebssystem gebündelt ist.

Keine

GCP-2024-042

Veröffentlicht: 15.07.2024
Aktualisiert: 18.07.2024
Referenz: CVE-2024-26809

Update vom 18.07.2024 : Es wurde klargestellt, dass Autopilot-Cluster standardmäßig verwendet werden. Konfiguration nicht betroffen sind.

GKE

Aktualisiert : 18.07.2024

Beschreibung Schweregrad

Update vom 18.07.2024 : Falsche Version in der Originalversion gaben an, dass Autopilot-Cluster betroffen sind. Autopilot-Cluster in der Standardkonfiguration ist nicht betroffen, ist aber gefährdet, wenn Sie Legen Sie das Profil seccomp Unconfined fest oder lassen Sie die Funktion CAP_NET_ADMIN zu.


Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2024-26809

GKE Standard- und Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihr Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.27.13-gke.1166000
  • 1.28.9-gke.1209000
  • 1.29.4-gke.1542000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihr Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.26.15-gke.1469000
  • 1.27.14-gke.1100000
  • 1.28.10-gke.1148000
  • 1.29.6-gke.1038000

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn Ihr Cluster gleich ausgeführt wird Nebenversion in ihrer eigenen Release-Version. Mit dieser Funktion können Sie Knoten sichern, bis wird die Patchversion zum Standard in Ihrer Release-Version. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen

Hoch

GDC (VMware)

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2024-26809

Wie gehe ich am besten vor?

Ausstehend

GKE on AWS

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2024-26809

Wie gehe ich am besten vor?

Ausstehend

GKE on Azure

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2024-26809

Wie gehe ich am besten vor?

Ausstehend

GDC (Bare Metal)

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2024-26809

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GDC-Software für Bare Metal ist nicht betroffen, da in ihrer Distribution kein Betriebssystem gebündelt ist.

Keine

GCP-2024-041

Veröffentlicht: 08.07.2024
Aktualisiert: 19.07.2024
Referenz: CVE-2023-52654, CVE-2023-52656

Update vom 19.07.2024 : Patchversionen für Ubuntu-Knotenpools in GKE wurden hinzugefügt.

GKE

Aktualisiert : 19.07.2024

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2023-52654
  • CVE-2023-52656

GKE Standard- und Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Update vom 19.07.2024 : Die folgenden Versionen von GKE enthalten um diese Sicherheitslücke auf Ubuntu zu beheben. Aktualisieren Sie Ihr Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.26.15-gke.1469000
  • 1.27.14-gke.1100000
  • 1.28.10-gke.1148000
  • 1.29.6-gke.1038000
  • 1.30.2-gke.1394000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihr Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.26.15-gke.1300000
  • 1.27.13-gke.1166000
  • 1.28.9-gke.1209000
  • 1.29.4-gke.1542000

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn Ihr Cluster gleich ausgeführt wird Nebenversion in ihrer eigenen Release-Version. Mit dieser Funktion können Sie Knoten sichern, bis wird die Patchversion zum Standard in Ihrer Release-Version. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen

Hoch

GDC (VMware)

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2023-52654
  • CVE-2023-52656

Wie gehe ich am besten vor?

Ausstehend

GKE on AWS

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2023-52654
  • CVE-2023-52656

Wie gehe ich am besten vor?

Ausstehend

GKE on Azure

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2023-52654
  • CVE-2023-52656

Wie gehe ich am besten vor?

Ausstehend

GDC (Bare Metal)

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2023-52654
  • CVE-2023-52656

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GDC-Software für Bare Metal ist nicht betroffen, da in ihrer Distribution kein Betriebssystem gebündelt ist.

Keine

GCP-2024-040

Veröffentlicht: 01.07.2024
Aktualisiert: 11.07.2024
Referenz: CVE-2024-6387

Update vom 11.07.2024 : Patchversionen für GDC-Software für VMware wurden hinzugefügt. GKE on AWS und GKE on Azure.

Update vom 03.07.2024 : Patchversionen für GKE wurden hinzugefügt.

Aktualisierungen vom 02.07.2024:

  • Es wurde klargestellt, dass Autopilot-Cluster betroffen sind. Nutzeraktion erforderlich.
  • Folgenabschätzungen und Minderungsschritte für GDC (VMware), GKE on AWS und GKE on Azure.
  • Das GDC-Sicherheitsbulletin (Bare Metal) wurde korrigiert, um zu verdeutlichen, dass GDC (Bare Metal) nicht direkt verfügbar ist. und Kunden sollten sich bezüglich Patches an die Anbieter des Betriebssystems wenden.

GKE

Aktualisiert : 03.07.2024

Beschreibung Schweregrad

Update vom 03.07.2024 : Ein beschleunigter Rollout läuft und wird neue Patchversionen voraussichtlich bis zum 3. Juli 2024, 17:00 Uhr US and Canadian Pacific Daylight Time (UTC-7). Bis erhalten Sie eine Benachrichtigung, sobald ein Patch für Ihren spezifischen Cluster verfügbar ist, verwenden Sie Clusterbenachrichtigungen.


Aktualisierung vom 02.07.2024 : Diese Sicherheitslücke betrifft sowohl den Autopilot-Modus als auch und im Standardmodus. In den folgenden Abschnitten sind die Modi aufgeführt, für den dieser Abschnitt gilt.


Sicherheitslücke bei der Remote-Codeausführung, CVE-2024-6387, wurde kürzlich in OpenSSH entdeckt. Die Sicherheitslücke nutzt eine Race-Bedingung, könnten dazu verwendet werden, sich Zugriff auf eine Remote-Shell zu verschaffen, damit Angreifer Root-Zugriff erhalten. zu GKE-Knoten. Zum Zeitpunkt der Veröffentlichung wurde angenommen, dass die Ausbeutung und dauern mehrere Stunden pro angegriffener Maschine. Wir kennen keine und Ausbeutungsversuche.

Alle unterstützten Versionen von Container-Optimized OS- und Ubuntu-Images in GKE Versionen von OpenSSH ausführen, die anfällig für dieses Problem sind.

GKE-Cluster mit öffentlichen Knoten-IP-Adressen und SSH, die über das Internet zugänglich sind sollte zur Risikominderung mit höchster Priorität behandelt werden.

Die GKE-Steuerungsebene ist für dieses Problem nicht anfällig.

Wie gehe ich am besten vor?

Update vom 03.07.2024: Patchversionen für GKE

Ein beschleunigtes Roll-out läuft und es werden voraussichtlich neue Patchversionen erstellt in allen Zonen bis zum 3. Juli 2024 um 17:00 Uhr US and Canadian Pacific Daylight Time (UTC-7) verfügbar.

Das Upgrade von Clustern und Knoten, für die das automatische Upgrade aktiviert ist, beginnt im Laufe der Woche. Aufgrund des Schweregrads der Sicherheitslücke empfehlen wir jedoch, ein manuelles Upgrade durchzuführen. Gehen Sie dazu so vor: Patches so schnell wie möglich zu erhalten.

Für Autopilot- und Standardcluster Steuerungsebene aktualisieren auf eine Patchversion. Für Cluster im Standardmodus Knotenpools aktualisieren auf eine Patchversion. Autopilot-Cluster beginnen mit dem Upgrade Ihrer Knoten Version der Steuerungsebene so schnell wie möglich.

Für jede unterstützte Version sind Patchversionen von GKE verfügbar, um Änderungen vornehmen, die zum Anwenden des Patches erforderlich sind. Die Versionsnummer jeder neuen Version ist ein wird bei der letzten Ziffer der Versionsnummer einer entsprechenden vorhandenen Version erhöht. Wenn Sie sich beispielsweise auf 1.27.14-gke.1100000 befinden, führen Sie ein Upgrade auf 1.27.14-gke.1100002 aus, um mit der kleinstmöglichen Änderung herausfinden. Die folgende gepatchte GKE Versionen verfügbar:

  • 1.26.15-gke.1090004
  • 1.26.15-gke.1191001
  • 1.26.15-gke.1300001
  • 1.26.15-gke.1320002
  • 1.26.15-gke.1381001
  • 1.26.15-gke.1390001
  • 1.26.15-gke.1404002
  • 1.26.15-gke.1469001
  • 1.27.13-gke.1070002
  • 1.27.13-gke.1166001
  • 1.27.13-gke.1201002
  • 1.27.14-gke.1022001
  • 1.27.14-gke.1042001
  • 1.27.14-gke.1059002
  • 1.27.14-gke.1100002
  • 1.27.15-gke.1012003
  • 1.28.9-gke.1069002
  • 1.28.9-gke.1209001
  • 1.28.9-gke.1289002
  • 1.28.10-gke.1058001
  • 1.28.10-gke.1075001
  • 1.28.10-gke.1089002
  • 1.28.10-gke.1148001
  • 1.28.11-gke.1019001
  • 1.29.4-gke.1043004
  • 1.29.5-gke.1060001
  • 1.29.5-gke.1091002
  • 1.29.6-gke.1038001
  • 1.30.1-gke.1329003
  • 1.30.2-gke.1023004

Führen Sie den folgenden Befehl aus, um zu prüfen, ob in Ihrer Clusterzone oder -region ein Patch verfügbar ist: Befehl:

gcloud container get-server-config --location=LOCATION

Ersetzen Sie LOCATION durch Ihre Zone oder Region.


Aktualisierung vom 02.07.2024 : Sowohl Autopilot-Modus als auch Standardmodus Cluster sollten so schnell wie möglich aktualisiert werden, nachdem Patchversionen verfügbar sind.


Eine GKE-Patchversion, die ein aktualisiertes OpenSSH enthält, wird erstellt so schnell wie möglich verfügbar sind. Dieses Bulletin wird aktualisiert, sobald Patches verfügbar sind. So erhältst du eine Pub/Sub-Benachrichtigung, sobald ein Patch für deinen Kanal verfügbar ist: Clusterbenachrichtigungen aktivieren Wir empfehlen, die folgenden Schritte auszuführen, um die Gefährdung Ihres Clusters zu prüfen. die beschriebenen Abhilfemaßnahmen bei Bedarf anwenden.

Bestimmen, ob Ihre Knoten öffentliche IP-Adressen haben

Aktualisierung vom 02.07.2024 : Dieser Abschnitt gilt sowohl für Autopilot als auch für Standardcluster.


Wenn ein Cluster mit enable-private-nodes erstellt wird, Knoten bleiben privat. Dadurch wird die Sicherheitslücke verringert, indem die Internet. Führen Sie den folgenden Befehl aus, um festzustellen, ob private Knoten für Ihren Cluster aktiviert sind:

gcloud container clusters describe $CLUSTER_NAME \
--format="value(privateClusterConfig.enablePrivateNodes)"

Wenn der Rückgabewert „True“ ist, sind alle Knoten private Knoten für diesen Cluster und den die Sicherheitslücken geschlossen werden. Wenn der Wert leer oder falsch ist, wenden Sie einen der folgenden Werte an: die Abhilfemaßnahmen in den folgenden Abschnitten.

Mit dieser Cloud Asset Inventory-Abfrage können Sie alle Cluster finden, die ursprünglich mit öffentlichen Knoten erstellt wurden. im Projekt oder im Unternehmen:

SELECT
  resource.data.name AS cluster_name,
  resource.parent AS project_name,
  resource.data.privateClusterConfig.enablePrivateNodes
FROM
  `container_googleapis_com_Cluster`
WHERE
  resource.data.privateClusterConfig.enablePrivateNodes is null OR
  resource.data.privateClusterConfig.enablePrivateNodes = false

SSH für die Clusterknoten nicht zulassen

Aktualisierung vom 02.07.2024 : Dieser Abschnitt gilt sowohl für Autopilot als auch für Standardcluster.


Für das Standardnetzwerk ist bereits die Firewallregel default-allow-ssh festgelegt um SSH-Zugriff aus dem öffentlichen Internet zuzulassen. So entfernen Sie diesen Zugriff:

  • Optional: Regeln erstellen um den erforderlichen SSH-Zugriff von vertrauenswürdigen Netzwerken auf GKE-Knoten zu ermöglichen oder andere Compute Engine-VMs im Projekt erstellen.
  • Deaktivieren Sie die Standardfirewallregel mit dem folgenden Befehl:
    gcloud compute firewall-rules update default-allow-ssh --disabled --project=$PROJECT

Wenn Sie weitere Firewallregeln erstellt haben, die SSH über TCP an Port 22 zulassen, oder die Quell-IP-Adressen auf vertrauenswürdige Netzwerke beschränken.

Achten Sie darauf, dass Sie nicht mehr SSH an die Clusterknoten senden können. aus dem Internet. Diese Firewallkonfiguration verringert die Sicherheitslücke.

Öffentliche Knotenpools in private umwandeln

Aktualisierung vom 02.07.2024 : Für Autopilot-Cluster, die ursprünglich erstellt wurden als in öffentlichen Clustern, können Sie Ihre Arbeitslasten auf privaten Knoten platzieren mit nodeSelectors. Autopilot-Knoten, die Systemarbeitslasten in Clustern ausführen, die ursprünglich die als öffentliche Cluster erstellt wurden, sind immer noch öffentliche Knoten und sollten durch die im vorherigen Abschnitt beschriebenen Firewall-Änderungen geschützt werden.


Zum bestmöglichen Schutz von Clustern, die ursprünglich mit öffentlichen Knoten erstellt wurden, empfehlen wir zuerst, die SSH über die Firewall blockiert, wie bereits beschrieben. Wenn das nicht möglich ist SSH über Firewallregeln, Sie können öffentliche Knotenpools in GKE konvertieren Standardclustern auf „Privat“ zu setzen. Folgen Sie dazu dieser Anleitung zum Isolieren von Knotenpools.

SSHD-Konfiguration ändern

Aktualisierung vom 02.07.2024 : Dieser Abschnitt gilt nur für Standard-Apps, Cluster. Autopilot-Arbeitslasten dürfen die Knotenkonfiguration nicht ändern.


Wenn keine dieser Abhilfemaßnahmen angewendet werden kann, haben wir auch ein Daemonset veröffentlicht. Dadurch wird der SSH-Daemon LoginGraceTime auf null gesetzt und der SSH-Daemon neu gestartet. Dieses Daemonset kann auf den Cluster angewendet werden, um den Angriff abzumildern. Beachten Sie, dass diese Konfiguration kann das Risiko von Denial-of-Service-Angriffen erhöhen und Probleme mit legitimen SSH-Zugriff. Dieses Daemonset sollte entfernt werden, nachdem ein Patch angewendet wurde.

Kritisch

GDC (VMware)

Aktualisiert : 11.07.2024

Beschreibung Schweregrad

Update vom 11.07.2024 : die folgenden Versionen der GDC-Software für VMware wurden mit Code zur Behebung dieser Sicherheitslücke aktualisiert. Aktualisieren Sie Ihre Administrator-Workstation, Administratorcluster und Nutzercluster (einschließlich Knotenpools) zu einem der folgenden oder höher. Anweisungen finden Sie unter Cluster oder Knotenpool upgraden

  • 1.16.10-gke.36
  • 1.28.700-gke.151
  • 1.29.200-gke.245

Im Update vom 02.07.2024 zu diesem Bulletin wurde fälschlicherweise angegeben, dass alle unterstützten Versionen Ubuntu-Images in GDC-Software für VMware führen OpenSSH-Versionen aus, die anfällig für dieses Problem sind. Ubuntu-Images in der GDC-Software für VMware-Version 1.16 Cluster führen Versionen von OpenSSH aus, die für dieses Problem nicht anfällig sind. Ubuntu Images in GDC-Software für VMware 1.28 und 1.29 sind anfällig. Container-Optimized OS-Images unter allen unterstützten Versionen von GDC-Software für VMware ist anfällig für dieses Problem.


Update vom 02.07.2024 : Alle unterstützten Versionen von Container-Optimized OS und Ubuntu-Images in GDC-Software für VMware führen anfällige OpenSSH-Versionen aus mit diesem Thema befassen.

GDC-Software für VMware-Cluster mit öffentlichen Knoten-IP-Adressen und SSH, Das Internet sollte zur Entschärfung mit höchster Priorität behandelt werden.


Sicherheitslücke bei der Remote-Codeausführung, CVE-2024-6387, wurde kürzlich in OpenSSH entdeckt. Die Sicherheitslücke nutzt eine Race-Bedingung, könnten dazu verwendet werden, sich Zugriff auf eine Remote-Shell zu verschaffen, damit Angreifer Root-Zugriff erhalten. zu GKE-Knoten. Zum Zeitpunkt der Veröffentlichung wurde angenommen, dass die Ausbeutung und dauern mehrere Stunden pro angegriffener Maschine. Wir kennen keine und Ausbeutungsversuche.

Wie gehe ich am besten vor?

Update vom 02.07.2024 : Gepatchte GDC-Software für die VMware-Version, die enthält einen aktualisierten OpenSSH, der so bald wie möglich zur Verfügung gestellt wird. Dieses Bulletin wird aktualisiert, sobald Patches verfügbar sind. Sie sollten Folgendes anwenden: bei Bedarf Abhilfemaßnahmen einleiten.

SSH für die Clusterknoten nicht zulassen

Sie können die Einrichtung Ihres Infrastrukturnetzwerks so ändern, dass SSH-Verbindungen nicht möglich sind von nicht vertrauenswürdigen Quellen wie dem öffentlichen Internet.

SSHD-Konfiguration ändern

Wenn Sie die oben genannte Risikominderung nicht anwenden können, gibt es hat ein DaemonSet veröffentlicht Dadurch wird der SSH-Daemon LoginGraceTime auf null gesetzt und der SSH-Daemon neu gestartet. Dieses DaemonSet kann auf den Cluster angewendet werden, um den Angriff abzumildern. Beachten Sie, dass dies Konfiguration das Risiko von Denial-of-Service-Angriffen erhöhen und Probleme verursachen mit legitimem SSH-Zugriff. Entfernen Sie dieses DaemonSet, nachdem ein Patch angewendet wurde.


Kritisch

GKE on AWS

Aktualisiert : 11.07.2024

Beschreibung Schweregrad

Aktualisierung vom 11. Juli 2024 : Die folgenden Versionen von GKE on AWS wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben:

  • 1.27.14-gke.1200
  • 1.28.10-gke.1300
  • 1.29.5-gke.1100

Führen Sie ein Upgrade Ihrer GKE on AWS-Steuerungsebene und -Knotenpools auf einen dieser Dienste durch Patchversionen oder höher. Anweisungen finden Sie unter Upgrade der AWS-Clusterversion durchführen und Knotenpool aktualisieren


Update vom 02.07.2024 : Alle unterstützten Versionen von Ubuntu-Images auf GKE on AWS führt Versionen von OpenSSH aus, die anfällig für dieses Problem sind.

GKE on AWS-Cluster mit öffentlichen Knoten-IP-Adressen und SSH, die für den Das Internet sollte zur Entschärfung mit höchster Priorität behandelt werden.


Sicherheitslücke bei der Remote-Codeausführung, CVE-2024-6387, wurde kürzlich in OpenSSH entdeckt. Die Sicherheitslücke nutzt eine Race-Bedingung, könnten dazu verwendet werden, sich Zugriff auf eine Remote-Shell zu verschaffen, damit Angreifer Root-Zugriff erhalten. zu GKE-Knoten. Zum Zeitpunkt der Veröffentlichung wurde angenommen, dass die Ausbeutung und dauern mehrere Stunden pro angegriffener Maschine. Wir kennen keine und Ausbeutungsversuche.

Wie gehe ich am besten vor?

Aktualisierung vom 02.07.2024 : Eine gepatchte GKE on AWS-Version, die enthält einen aktualisierten OpenSSH, der so bald wie möglich zur Verfügung gestellt wird. Dieses Bulletin wird aktualisiert, sobald Patches verfügbar sind. Wir empfehlen Ihnen, die führen Sie die folgenden Schritte aus, um die Gefährdung Ihres Clusters zu prüfen und die beschriebenen Abhilfemaßnahmen anzuwenden. notwendig ist.

Bestimmen, ob Ihre Knoten öffentliche IP-Adressen haben

GKE on AWS stellt keine Maschine mit öffentlichen IP-Adressen bereit oder mit Firewallregeln, die Traffic standardmäßig an Port 22 zulassen. Abhängig von den Ihre Subnetzkonfiguration, Maschinen können während der Bereitstellung automatisch eine öffentliche IP-Adresse erhalten.

So prüfen Sie, ob Knoten öffentliche IP-Adressen bereitgestellt werden: Sehen Sie sich die Konfiguration des Subnetzes an. die mit Ihrer AWS-Knotenpoolressource verknüpft ist.

SSH für die Clusterknoten nicht zulassen

Auch wenn GKE on AWS auf keinem Knoten Traffic an Port 22 zulässt, können Kunden zusätzliche Sicherheitsgruppen an Knotenpools anhängen, um eingehende SSH-Traffic.

Wir empfehlen Ihnen, entfernen oder Umfang herabstufen entsprechende Regeln aus den bereitgestellten Sicherheitsgruppen.

Öffentliche Knotenpools in private umwandeln

Zum bestmöglichen Schutz von Clustern mit öffentlichen Knoten empfehlen wir, zuerst SSH über Ihre Sicherheitsgruppe, wie im vorherigen Abschnitt beschrieben. Wenn Sie SSH nicht ablehnen können Sicherheitsgruppenregeln festlegen, können Sie öffentliche Knotenpools Deaktivierung der Option, Maschinen in einem Subnetz automatisch öffentliche IP-Adressen zuzuweisen und stellen Sie den Knotenpool noch einmal bereit.


Kritisch

GKE on Azure

Aktualisiert : 11.07.2024

Beschreibung Schweregrad

Aktualisierung vom 11. Juli 2024 : die folgenden Versionen von GKE on Azure wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben:

  • 1.27.14-gke.1200
  • 1.28.10-gke.1300
  • 1.29.5-gke.1100

Führen Sie ein Upgrade Ihrer GKE on Azure-Steuerungsebene und Knotenpools auf eine dieser durch Patchversionen oder höher. Anweisungen finden Sie unter Upgrade der Azure-Clusterversion durchführen und Knotenpool aktualisieren


Update vom 02.07.2024 : Alle unterstützten Versionen von Ubuntu-Images auf GKE on Azure führt OpenSSH-Versionen aus, die anfällig für dieses Problem sind.

GKE on Azure-Cluster mit öffentlichen Knoten-IP-Adressen und SSH, die für den Das Internet sollte zur Entschärfung mit höchster Priorität behandelt werden.


Sicherheitslücke bei der Remote-Codeausführung, CVE-2024-6387, wurde kürzlich in OpenSSH entdeckt. Die Sicherheitslücke nutzt eine Race-Bedingung, könnten dazu verwendet werden, sich Zugriff auf eine Remote-Shell zu verschaffen, damit Angreifer Root-Zugriff erhalten. zu GKE-Knoten. Zum Zeitpunkt der Veröffentlichung wurde angenommen, dass die Ausbeutung und dauern mehrere Stunden pro angegriffener Maschine. Wir kennen keine und Ausbeutungsversuche.

Wie gehe ich am besten vor?

Update vom 02.07.2024 : Gepatchte GKE on Azure-Version, die enthält einen aktualisierten OpenSSH, der so bald wie möglich zur Verfügung gestellt wird. Dieses Bulletin wird aktualisiert, sobald Patches verfügbar sind. Wir empfehlen Ihnen, die führen Sie die folgenden Schritte aus, um die Gefährdung Ihres Clusters zu prüfen und die beschriebenen Abhilfemaßnahmen anzuwenden. notwendig ist.

Bestimmen, ob Ihre Knoten öffentliche IP-Adressen haben

GKE on Azure stellt keine Maschine mit Öffentliche IP-Adressen oder mit Firewallregeln, die Traffic standardmäßig an Port 22 zulassen. So überprüfen Sie Ihre Azure-Konfiguration, um zu prüfen, ob öffentliche IP-Adressen konfiguriert sind Ihrem GKE on Azure-Cluster, führen Sie den folgenden Befehl aus:

az network public-ip list -g CLUSTER_RESOURCE_GROUP_NAME -o tsv
SSH für die Clusterknoten nicht zulassen

Auch wenn GKE on Azure keinen Traffic an Port 22 auf können Kunden NetworkSecurityGroup-Regeln auf Knotenpools aktualisieren, um eingehende SSH-Traffic aus dem öffentlichen Internet.

Wir empfehlen Ihnen dringend, die Netzwerksicherheitsgruppen (NSGs) zu prüfen, die mit Ihre Kubernetes-Cluster. Wenn eine NSG-Regel vorhanden ist, die uneingeschränkten eingehenden Traffic zulässt An Port 22 (SSH) führen Sie einen der folgenden Schritte aus:

  • Regel vollständig entfernen: Wenn der SSH-Zugriff auf die Clusterknoten nicht aus dem Internet erforderlich ist, entfernen Sie die Regel, um potenzielle Angriffsvektoren zu eliminieren.
  • Bereich der Regel herunterstufen: Beschränken Sie den eingehenden Zugriff auf Port 22 auf den IP-Adressen oder -Bereichen, für die sie erforderlich ist. Dadurch wird die sichtbare Oberfläche für potenzielle Angriffe.
Öffentliche Knotenpools in private umwandeln

Zum bestmöglichen Schutz von Clustern mit öffentlichen Knoten empfehlen wir, zuerst SSH über Ihre Sicherheitsgruppe, wie im vorherigen Abschnitt beschrieben. Wenn Sie SSH nicht ablehnen können Sicherheitsgruppenregeln festlegen, können Sie öffentliche Knotenpools entfernen Sie die öffentlichen IP-Adressen, die den VMs zugeordnet sind.

Öffentliche IP-Adresse von einer VM entfernen und durch eine private IP-Adresse ersetzen Konfiguration finden Sie unter Trennen Sie eine öffentliche IP-Adresse von einer Azure-VM.

Auswirkungen: Alle bestehenden Verbindungen, die die öffentliche IP-Adresse verwenden, unterbrochen. Stellen Sie sicher, dass Sie alternative Zugriffsmethoden eingerichtet haben, z. B. ein VPN oder Azure-Bastion.


Kritisch

GDC (Bare Metal)

Aktualisiert : 02.07.2024

Beschreibung Schweregrad

Aktualisierung vom 02.07.2024 : Die ursprüngliche Version dieses Bulletins für GDC-Software für Bare Metal gab fälschlicherweise an, dass Patchversionen in Bearbeitung waren. GDC-Software für Bare Metal ist nicht direkt betroffen, da sie den SSH-Daemon oder -Konfiguration des Betriebssystems. Patchversionen sind daher die des Betriebssystemanbieters, wie in den Was soll ich tun?.


Sicherheitslücke bei der Remote-Codeausführung, CVE-2024-6387, wurde kürzlich in OpenSSH entdeckt. Die Sicherheitslücke nutzt eine Race-Bedingung, könnten dazu verwendet werden, sich Zugriff auf eine Remote-Shell zu verschaffen, damit Angreifer Root-Zugriff erhalten. zu GKE-Knoten. Zum Zeitpunkt der Veröffentlichung wurde angenommen, dass die Ausbeutung und dauern mehrere Stunden pro angegriffener Maschine. Wir kennen keine und Ausbeutungsversuche.

Wie gehe ich am besten vor?

Aktualisierung vom 02.07.2024 : Wenden Sie sich an Ihren Betriebssystemanbieter, um einen Patch für die Betriebssysteme, die mit GDC-Software für Bare Metal verwendet werden

Achten Sie darauf, dass öffentlich erreichbare Maschinen erst nach Anwendung des Betriebssystem-Anbieter-Patches SSH-Verbindungen aus dem Internet zulassen. Sollte dies nicht möglich sein, kannst du alternativ Setzen Sie LoginGraceTime auf null und starten Sie den SSHD-Server neu:

grep "^LoginGraceTime" /etc/ssh/sshd_config
            LoginGraceTime 0

Beachten Sie, dass diese Konfigurationsänderung das Risiko von Denial-of-Service-Angriffen erhöhen kann. und kann zu Problemen mit dem legitimen SSH-Zugriff führen.


Ursprünglicher Text vom 01.07.2024 (Korrektur siehe vorherige Aktualisierung vom 02.07.2024):

Kritisch

GCP-2024-039

Veröffentlicht: 28.06.2024
Referenz: CVE-2024-26923

GKE

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2024-26923

GKE Standard- und Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihr Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.26.15-gke.1360000
  • 1.27.14-gke.1022000
  • 1.28.9-gke.1289000
  • 1.29.5-gke.1010000

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn Ihr Cluster gleich ausgeführt wird Nebenversion in ihrer eigenen Release-Version. Mit dieser Funktion können Sie Knoten sichern, bis wird die Patchversion zum Standard in Ihrer Release-Version. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen

Hoch

GDC (VMware)

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2024-26923

Wie gehe ich am besten vor?

Ausstehend

GKE on AWS

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2024-26923

Wie gehe ich am besten vor?

Ausstehend

GKE on Azure

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2024-26923

Wie gehe ich am besten vor?

Ausstehend

GDC (Bare Metal)

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2024-26923

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GDC-Software für Bare Metal ist nicht betroffen, da in ihrer Distribution kein Betriebssystem gebündelt ist.

Keine

GCP-2024-038

Veröffentlicht: 26.06.2024
Referenz: CVE-2024-26924

GKE

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2024-26924

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber angreifbar sein, wenn Sie das Profil „seccomp“ Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihr Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.26.15-gke.1360000
  • 1.27.14-gke.1022000
  • 1.28.9-gke.1289000
  • 1.29.5-gke.1010000

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn Ihr Cluster gleich ausgeführt wird Nebenversion in ihrer eigenen Release-Version. Mit dieser Funktion können Sie Knoten sichern, bis wird die Patchversion zum Standard in Ihrer Release-Version. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen

Hoch

GDC (VMware)

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2024-26924

Wie gehe ich am besten vor?

Ausstehend

GKE on AWS

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2024-26924

Wie gehe ich am besten vor?

Ausstehend

GKE on Azure

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2024-26924

Wie gehe ich am besten vor?

Ausstehend

GDC (Bare Metal)

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2024-26924

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GDC-Software für Bare Metal ist nicht betroffen, da in ihrer Distribution kein Betriebssystem gebündelt ist.

Keine

GCP-2024-036

Veröffentlicht: 18.06.2024
Referenz: CVE-2024-26584

GKE

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS-Knoten:

  • CVE-2024-26584

GKE Standard- und Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihr Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.28.9-gke.1209000
  • 1.29.4-gke.1542000

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn Ihr Cluster gleich ausgeführt wird Nebenversion in ihrer eigenen Release-Version. Mit dieser Funktion können Sie Knoten sichern, bis wird die Patchversion zum Standard in Ihrer Release-Version. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen

Hoch

GKE on VMware

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS-Knoten:

  • CVE-2024-26584

Wie gehe ich am besten vor?

Ausstehend

GKE on AWS

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS-Knoten:

  • CVE-2024-26584

Wie gehe ich am besten vor?

Ausstehend

GKE on Azure

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS-Knoten:

  • CVE-2024-26584

Wie gehe ich am besten vor?

Ausstehend

GKE on Bare Metal

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS-Knoten:

  • CVE-2024-26584

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Keine

GCP-2024-035

Veröffentlicht: 12.06.2024
Aktualisiert: 18.07.2024
Referenz: CVE-2024-26584

Update vom 18.07.2024 : Patchversionen für Ubuntu-Knotenpools in GKE wurden hinzugefügt. und eine Patchversion für Version 1.27 auf Container-Optimized OS-Knotenpools hinzugefügt.

GKE

Aktualisiert : 18.07.2024

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2024-26584

GKE Standard- und Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 18. Juli 2024 : Die folgenden GKE-Versionen sind mit Code aktualisiert, um diese Sicherheitslücke auf Ubuntu zu beheben. Aktualisieren Sie Ihr Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.26.15-gke.1469000
  • 1.27.14-gke.1100000
  • 1.28.10-gke.1148000
  • 1.29.6-gke.1038000
  • 1.30.2-gke.1394000

Die folgende GKE-Version wurde mit Code aktualisiert, um diese Sicherheitslücke zu beheben auf Container-Optimized OS. Aktualisieren Sie Ihr Container-Optimized OS-Knotenpools auf die folgende Patch-Version oder höher:

  • 1.27.15-gke.1125000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihr Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.28.9-gke.1209000
  • 1.29.4-gke.1542000

Die folgenden Nebenversionen sind betroffen, für die jedoch keine Patchversion verfügbar ist. Wir werden Aktualisieren Sie dieses Bulletin, sobald Patchversionen verfügbar sind:

  • 1,26
  • 1,27

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn Ihr Cluster gleich ausgeführt wird Nebenversion in ihrer eigenen Release-Version. Mit dieser Funktion können Sie Knoten sichern, bis wird die Patchversion zum Standard in Ihrer Release-Version. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen

Hoch

GKE on VMware

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2024-26584

Wie gehe ich am besten vor?

Ausstehend

GKE on AWS

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2024-26584

Wie gehe ich am besten vor?

Ausstehend

GKE on Azure

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2024-26584

Wie gehe ich am besten vor?

Ausstehend

GKE on Bare Metal

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2024-26584

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Keine

GCP-2024-034

Veröffentlicht: 11.06.2024
Aktualisiert: 10.07.2024
Referenz: CVE-2024-26583

Update vom 10.07.2024 : Patchversionen für hinzugefügt Container-Optimized OS-Knoten mit Nebenversionen 1.26 und 1.27 und Patchversionen für Ubuntu-Knoten hinzugefügt.

GKE

Aktualisiert : 10.07.2024

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS-Knoten:

  • CVE-2024-26583

GKE Standard- und Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 10. Juli 2024 : Die folgenden Versionen von GKE sind mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Führen Sie ein Upgrade Ihrer Ubuntu-Knotenpools auf einen der folgenden Patchversionen oder höher:

  • 1.26.15-gke.1444000
  • 1.27.14-gke.1096000
  • 1.28.10-gke.1148000
  • 1.29.5-gke.1041001
  • 1.30.1-gke.1156001

Führen Sie für Nebenversionen 1.26 und 1.27 ein Upgrade Ihrer Container-Optimized OS-Knotenpools auf einer der folgenden Patchversionen oder höher:

  • 1.26.15-gke.1404002
  • 1.27.14-gke.1059002

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihr Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.28.8-gke.1095000
  • 1.29.3-gke.1093000

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn Ihr Cluster gleich ausgeführt wird Nebenversion in ihrer eigenen Release-Version. Mit dieser Funktion können Sie Knoten sichern, bis wird die Patchversion zum Standard in Ihrer Release-Version. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen

Hoch

GKE on VMware

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS-Knoten:

  • CVE-2024-26583

Wie gehe ich am besten vor?

Ausstehend

GKE on AWS

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS-Knoten:

  • CVE-2024-26583

Wie gehe ich am besten vor?

Ausstehend

GKE on Azure

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS-Knoten:

  • CVE-2024-26583

Wie gehe ich am besten vor?

Ausstehend

GKE on Bare Metal

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS-Knoten:

  • CVE-2024-26583

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Keine

GCP-2024-033

Veröffentlicht: 10.06.2024
Referenz: CVE-2022-23222

GKE

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS-Knoten:

  • CVE-2022-23222

GKE Standard- und Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihr Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.26.15-gke.1381000
  • 1.27.14-gke.1022000

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn Ihr Cluster gleich ausgeführt wird Nebenversion in ihrer eigenen Release-Version. Mit dieser Funktion können Sie Knoten sichern, bis wird die Patchversion zum Standard in Ihrer Release-Version. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen

Hoch

GKE on VMware

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS-Knoten:

  • CVE-2022-23222

Wie gehe ich am besten vor?

Ausstehend

GKE on AWS

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS-Knoten:

  • CVE-2022-23222

Wie gehe ich am besten vor?

Ausstehend

GKE on Azure

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS-Knoten:

  • CVE-2022-23222

Wie gehe ich am besten vor?

Ausstehend

GKE on Bare Metal

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS-Knoten:

  • CVE-2022-23222

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Keine

GCP-2024-031

Veröffentlicht: 24.05.2024
Referenz: CVE-2024-4323

GKE

Beschreibung Schweregrad

In Fluent Bit wurde eine neue Sicherheitslücke (CVE-2024-4323) entdeckt, die zur Remote-Ausführung von Code führen könnte. Betroffen sind die Fluent-Bit-Versionen 2.0.7 bis 3.0.3.

GKE verwendet keine angreifbare Version von Fluent Bit und ist nicht betroffen.

Wie gehe ich am besten vor?

GKE ist von dieser Sicherheitslücke nicht betroffen. Sie müssen nichts weiter tun.

Keine

GKE on VMware

Beschreibung Schweregrad

In Fluent Bit wurde eine neue Sicherheitslücke (CVE-2024-4323) entdeckt, die zur Remote-Ausführung von Code führen könnte. Betroffen sind die Fluent-Bit-Versionen 2.0.7 bis 3.0.3.

GKE on VMware verwendet keine anfällige Version von Fluent Bit nicht betroffen sind.

Wie gehe ich am besten vor?

GKE on VMware ist von dieser Sicherheitslücke nicht betroffen. Sie müssen nichts weiter tun.

Keine

GKE on AWS

Beschreibung Schweregrad

In Fluent Bit wurde eine neue Sicherheitslücke (CVE-2024-4323) entdeckt, die zur Remote-Ausführung von Code führen könnte. Betroffen sind die Fluent-Bit-Versionen 2.0.7 bis 3.0.3.

GKE on AWS verwendet keine anfällige Version von Fluent Bit nicht betroffen sind.

Wie gehe ich am besten vor?

GKE on AWS ist von dieser Sicherheitslücke nicht betroffen. Sie müssen nichts weiter tun.

Keine

GKE on Azure

Beschreibung Schweregrad

In Fluent Bit wurde eine neue Sicherheitslücke (CVE-2024-4323) entdeckt, die zur Remote-Ausführung von Code führen könnte. Betroffen sind die Fluent-Bit-Versionen 2.0.7 bis 3.0.3.

GKE on Azure verwendet keine anfällige Version von Fluent Bit nicht betroffen sind.

Wie gehe ich am besten vor?

GKE on Azure ist von dieser Sicherheitslücke nicht betroffen. Sie müssen nichts weiter tun.

Keine

GKE on Bare Metal

Beschreibung Schweregrad

In Fluent Bit wurde eine neue Sicherheitslücke (CVE-2024-4323) entdeckt, die zur Remote-Ausführung von Code führen könnte. Betroffen sind die Fluent-Bit-Versionen 2.0.7 bis 3.0.3.

GKE on Bare Metal verwendet keine anfällige Version von Fluent Bit und ist nicht betroffen sind.

Wie gehe ich am besten vor?

GKE on Bare Metal ist von dieser Sicherheitslücke nicht betroffen. Sie müssen nichts weiter tun.

Keine

GCP-2024-030

Veröffentlicht: 15.05.2024
Aktualisiert: 18.07.2024
Referenz: CVE-2023-52620

Update vom 18.07.2024 : Patchversionen für Ubuntu-Knotenpools in GKE wurden hinzugefügt.

GKE

Aktualisiert : 18.07.2024

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2023-52620

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber angreifbar sein, wenn Sie das Profil „seccomp“ Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 18. Juli 2024 : Die folgenden GKE-Versionen sind mit Code aktualisiert, um diese Sicherheitslücke auf Ubuntu zu beheben. Aktualisieren Sie Ihr Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.26.15-gke.1469000
  • 1.27.14-gke.1100000
  • 1.28.10-gke.1148000
  • 1.29.6-gke.1038000
  • 1.30.2-gke.1394000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihr Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.27.13-gke.1166000
  • 1.28.8-gke.1095000
  • 1.29.3-gke.1093000

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn Ihr Cluster gleich ausgeführt wird Nebenversion in ihrer eigenen Release-Version. Mit dieser Funktion können Sie Knoten sichern, bis wird die Patchversion zum Standard in Ihrer Release-Version. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen

Hoch

GKE on VMware

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2023-52620

Wie gehe ich am besten vor?

Ausstehend

GKE on AWS

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2023-52620

Wie gehe ich am besten vor?

Ausstehend

GKE on Azure

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2023-52620

Wie gehe ich am besten vor?

Ausstehend

GKE on Bare Metal

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2023-52620

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Keine

GCP-2024-029

Veröffentlicht: 14.05.2024
Referenz: CVE-2024-26642

GKE

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2024-26642

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber angreifbar sein, wenn Sie das Profil „seccomp“ Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihr Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.27.13-gke.1166000
  • 1.28.8-gke.1095000
  • 1.29.3-gke.1093000

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn Ihr Cluster gleich ausgeführt wird Nebenversion in ihrer eigenen Release-Version. Mit dieser Funktion können Sie Knoten sichern, bis wird die Patchversion zum Standard in Ihrer Release-Version. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen

Hoch

GKE on VMware

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2024-26642

Wie gehe ich am besten vor?

Ausstehend

GKE on AWS

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2024-26642

Wie gehe ich am besten vor?

Ausstehend

GKE on Azure

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2024-26642

Wie gehe ich am besten vor?

Ausstehend

GKE on Bare Metal

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2024-26642

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Keine

GCP-2024-028

Veröffentlicht: 13.05.2024
Aktualisiert: 22.05.2024
Referenz: CVE-2024-26581

Update vom 22.05.2024 : Patchversionen für Ubuntu-Knoten wurden hinzugefügt.

GKE

Aktualisiert : 22.05.2024

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2024-26581

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber angreifbar sein, wenn Sie das Profil „seccomp“ Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 22. Mai 2024 : Die folgenden GKE-Versionen sind mit Code aktualisiert, um diese Sicherheitslücke auf Ubuntu zu beheben. Ubuntu-Knotenpools upgraden auf die folgenden Versionen oder höher:

  • 1.26.15-gke.1300000
  • 1.27.13-gke.1011000
  • 1.28.9-gke.1209000
  • 1.29.4-gke.1542000
  • 1.30.0-gke.1712000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihr Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.25.16-gke.1596000
  • 1.26.14-gke.1076000
  • 1.27.11-gke.1202000
  • 1.28.8-gke.1095000
  • 1.29.3-gke.1093000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihr Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.26.15-gke.1300000
  • 1.28.9-gke.1209000

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn Ihr Cluster gleich ausgeführt wird Nebenversion in ihrer eigenen Release-Version. Mit dieser Funktion können Sie Knoten sichern, bis wird die Patchversion zum Standard in Ihrer Release-Version. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen

Hoch

GKE on VMware

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2024-26581

Wie gehe ich am besten vor?

Ausstehend

GKE on AWS

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2024-26581

Wie gehe ich am besten vor?

Ausstehend

GKE on Azure

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2024-26581

Wie gehe ich am besten vor?

Ausstehend

GKE on Bare Metal

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2024-26581

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Keine

GCP-2024-027

Veröffentlicht: 08.05.2024
Aktualisiert : 09.05.2024, 15.05.2024
Referenz: CVE-2024-26808

Update vom 15.05.2024 : Patchversionen für GKE hinzugefügt Ubuntu-Knotenpools.

Aktualisierung vom 09.05.2024 : Schweregrad von „Mittel“ zu „Hoch“ und verdeutlicht, dass GKE Autopilot-Cluster in der Standardkonfiguration nicht betroffen sind.

GKE

Aktualisiert : 09.05.2024, 15.05.2024

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2024-26808

Aktualisierung vom 09.05.2024: Schweregrad von „Mittel“ zu „Hoch“ korrigiert. Im ursprünglichen Bulletin war Autopilot angegeben. Cluster sind betroffen, aber das war falsch. GKE Autopilot Cluster in der Standardkonfiguration sind nicht betroffen, könnten aber anfällig sein, wenn Sie explizit das Profil seccomp Unconfined oder CAP_NET_ADMIN zulassen.


GKE Standard- und Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 15. Mai 2024:Die folgenden GKE-Versionen sind mit Code aktualisiert, um diese Sicherheitslücke auf Ubuntu zu beheben. Ubuntu-Knotenpools upgraden auf die folgenden Versionen oder höher:

  • 1.26.15-gke.1323000
  • 1.27.13-gke.1206000
  • 1.28.10-gke.1000000
  • 1.29.3-gke.1282004
  • 1.30.0-gke.1584000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihr Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.27.8-gke.1067000
  • 1.28.8-gke.1095000
  • 1.29.3-gke.1093000

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn Ihr Cluster gleich ausgeführt wird Nebenversion in ihrer eigenen Release-Version. Mit dieser Funktion können Sie Knoten sichern, bis wird die Patchversion zum Standard in Ihrer Release-Version. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen

Hoch

GKE on VMware

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2024-26808

Wie gehe ich am besten vor?

Ausstehend

GKE on AWS

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2024-26808

Wie gehe ich am besten vor?

Ausstehend

GKE on Azure

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2024-26808

Wie gehe ich am besten vor?

Ausstehend

GKE on Bare Metal

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2024-26808

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Keine

GCP-2024-026

Veröffentlicht: 07.05.2024
Aktualisiert: 09.05.2024
Referenz: CVE-2024-26643

Aktualisierung vom 09.05.2024 : Schweregrad von „Mittel“ zu „Hoch“ korrigiert.

GKE

Aktualisiert : 09.05.2024

Beschreibung Schweregrad

Aktualisierung vom 09.05.2024:Der Schweregrad wurde von „Mittel“ zu „Hoch“ geändert.


Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2024-26643

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber angreifbar sein, wenn Sie das Profil „seccomp“ Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihr Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.27.8-gke.1067000
  • 1.28.8-gke.1095000
  • 1.29.3-gke.1093000

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn Ihr Cluster gleich ausgeführt wird Nebenversion in ihrer eigenen Release-Version. Mit dieser Funktion können Sie Knoten sichern, bis wird die Patchversion zum Standard in Ihrer Release-Version. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen

Hoch

GKE on VMware

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2024-26643

Wie gehe ich am besten vor?

Ausstehend

GKE on AWS

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2024-26643

Wie gehe ich am besten vor?

Ausstehend

GKE on Azure

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2024-26643

Wie gehe ich am besten vor?

Ausstehend

GKE on Bare Metal

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2024-26643

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Keine

GCP-2024-024

Veröffentlicht: 25.04.2024
Aktualisiert: 18.07.2024
Referenz: CVE-2024-26585

Update vom 18.07.2024 : Patchversionen für Ubuntu-Knotenpools in GKE wurden hinzugefügt.

GKE

Aktualisiert : 18.07.2024

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2024-26585

GKE Standard- und Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 18. Juli 2024 : Die folgenden GKE-Versionen sind mit Code aktualisiert, um diese Sicherheitslücke auf Ubuntu zu beheben. Aktualisieren Sie Ihr Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.26.15-gke.1469000
  • 1.27.14-gke.1100000
  • 1.28.10-gke.1148000
  • 1.29.6-gke.1038000
  • 1.30.2-gke.1394000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihr Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.25.16-gke.1759000
  • 1.26.15-gke.1158000
  • 1.27.12-gke.1190000
  • 1.28.8-gke.1175000
  • 1.29.3-gke.1282000

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn Ihr Cluster gleich ausgeführt wird Nebenversion in ihrer eigenen Release-Version. Mit dieser Funktion können Sie Knoten sichern, bis wird die Patchversion zum Standard in Ihrer Release-Version. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen

Hoch

GKE on VMware

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2024-26585

Wie gehe ich am besten vor?

Ausstehend

GKE on AWS

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2024-26585

Wie gehe ich am besten vor?

Ausstehend

GKE on Azure

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2024-26585

Wie gehe ich am besten vor?

Ausstehend

GKE on Bare Metal

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2024-26585

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Keine

GCP-2024-022

Veröffentlicht: 03.04.2024
Aktualisiert: 17.07.2024
Referenz: CVE-2023-45288

Update vom 17.07.2024 : Patchversionen für GKE on VMware wurden hinzugefügt.
Update vom 09.07.2024 : Patchversionen für GKE on Bare Metal wurden hinzugefügt.
Update vom 24.04.2024 : Patchversionen für GKE wurden hinzugefügt.

GKE

Aktualisiert : 24.04.2024

Beschreibung Schweregrad

Eine DoS-Sicherheitslücke (Denial of Service) (CVE-2023-45288) wurde kürzlich in mehreren Implementierungen des HTTP/2-Protokolls entdeckt, einschließlich des von Kubernetes verwendeten HTTP-Servers golang. Die Sicherheitslücke könnte zu einem DoS der GKE-Steuerungsebene (Google Kubernetes Engine) führen. GKE-Cluster mit konfigurierten autorisierten Netzwerken werden durch die Einschränkung des Netzwerkzugriffs geschützt. Alle anderen Cluster sind jedoch betroffen.

GKE Autopilot- und Standardcluster sind betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 24. April 2024:Patchversionen für GKE wurden hinzugefügt.

Die folgenden GKE-Versionen enthalten die Golang-Sicherheitspatches, um diese Sicherheitslücke zu schließen. Führen Sie ein Upgrade Ihrer GKE-Cluster auf die folgenden Versionen oder höher durch:

  • 1.25.16-gke.1759000
  • 1.26.15-gke.1158000
  • 1.27.12-gke.1190000
  • 1.28.8-gke.1175000
  • 1.29.3-gke.1282000

Das golang-Projekt hat am 3. April 2024 Patches veröffentlicht. Dieses Bulletin wird aktualisiert, sobald GKE-Versionen mit diesen Patches verfügbar sind. Wenn Sie ein Patch mit einem beschleunigten Zeitplan anfordern möchten, wenden Sie sich an den Support.

Konfigurieren Sie autorisierte Netzwerke für den Zugriff auf die Steuerungsebene, um das Risiko zu minimieren:

Sie können Ihre Cluster vor dieser Angriffsklasse abwehren, indem Sie autorisierte Netzwerke konfigurieren. Folgen Sie der Anleitung zum Aktivieren autorisierter Netzwerke für einen vorhandenen Cluster.

Weitere Informationen dazu, wie autorisierte Netzwerke den Zugriff auf die Steuerungsebene steuern, finden Sie unter Funktionsweise autorisierter Netzwerke. Den standardmäßigen autorisierten Netzwerkzugriff finden Sie in der Tabelle im Abschnitt Zugriff auf Endpunkte der Steuerungsebene.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Über die Sicherheitslücke (CVE-2023-45288) können Angreifer einen DoS-Angriff auf die Kubernetes-Steuerungsebene ausführen.

Hoch

GKE on VMware

Aktualisiert : 17.07.2024

Beschreibung Schweregrad

Eine DoS-Sicherheitslücke (Denial of Service) (CVE-2023-45288) wurde kürzlich in mehreren Implementierungen des HTTP/2-Protokolls entdeckt, einschließlich des von Kubernetes verwendeten HTTP-Servers golang. Die Sicherheitslücke könnte zu einem DoS der GKE-Steuerungsebene (Google Kubernetes Engine) führen.

Wie gehe ich am besten vor?

Update vom 17.07.2024:Patchversionen für GKE on VMware wurden hinzugefügt.

Die folgenden Versionen von GKE on VMware enthalten Code zur Behebung dieses Problems eine Sicherheitslücke. Upgrade Ihrer GKE on VMware-Cluster auf Folgendes ausführen: Version oder höher:

  • 1.29.0
  • 1.28.500
  • 1.16.8

Das golang-Projekt hat am 3. April 2024 Patches veröffentlicht. Wir aktualisieren dieses Bulletin, sobald GKE on VMware-Versionen verfügbar sind, die diese Patches enthalten. Wenn Sie ein Patch mit einem beschleunigten Zeitplan anfordern möchten, wenden Sie sich an den Support.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Über die Sicherheitslücke (CVE-2023-45288) können Angreifer einen DoS-Angriff auf die Kubernetes-Steuerungsebene ausführen.

Hoch

GKE on AWS

Beschreibung Schweregrad

Eine DoS-Sicherheitslücke (Denial of Service) (CVE-2023-45288) wurde kürzlich in mehreren Implementierungen des HTTP/2-Protokolls entdeckt, einschließlich des von Kubernetes verwendeten HTTP-Servers golang. Die Sicherheitslücke könnte zu einem DoS der GKE-Steuerungsebene (Google Kubernetes Engine) führen.

Wie gehe ich am besten vor?

Das golang-Projekt hat am 3. April 2024 Patches veröffentlicht. Wir aktualisieren dieses Bulletin, sobald GKE on AWS-Versionen verfügbar sind, die diese Patches enthalten. Wenn Sie ein Patch mit einem beschleunigten Zeitplan anfordern möchten, wenden Sie sich an den Support.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Über die Sicherheitslücke (CVE-2023-45288) können Angreifer einen DoS-Angriff auf die Kubernetes-Steuerungsebene ausführen.

Hoch

GKE on Azure

Beschreibung Schweregrad

Eine DoS-Sicherheitslücke (Denial of Service) (CVE-2023-45288) wurde kürzlich in mehreren Implementierungen des HTTP/2-Protokolls entdeckt, einschließlich des von Kubernetes verwendeten HTTP-Servers golang. Die Sicherheitslücke könnte zu einem DoS der GKE-Steuerungsebene (Google Kubernetes Engine) führen.

Wie gehe ich am besten vor?

Das golang-Projekt hat am 3. April 2024 Patches veröffentlicht. Dieses Bulletin wird aktualisiert, sobald GKE on Azure-Versionen verfügbar sind, die diese Patches enthalten. Wenn Sie ein Patch mit einem beschleunigten Zeitplan anfordern möchten, wenden Sie sich an den Support.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Über die Sicherheitslücke (CVE-2023-45288) können Angreifer einen DoS-Angriff auf die Kubernetes-Steuerungsebene ausführen.

Hoch

GKE on Bare Metal

Aktualisiert : 09.07.2024

Beschreibung Schweregrad

Eine DoS-Sicherheitslücke (Denial of Service) (CVE-2023-45288) wurde kürzlich in mehreren Implementierungen des HTTP/2-Protokolls entdeckt, einschließlich des von Kubernetes verwendeten HTTP-Servers golang. Die Sicherheitslücke könnte zu einem DoS der GKE-Steuerungsebene (Google Kubernetes Engine) führen.

Wie gehe ich am besten vor?

Aktualisierung vom 09.07.2024:Patchversionen für GKE on Bare Metal wurden hinzugefügt.

Die folgenden Versionen von GKE on Bare Metal enthalten Code zur Behebung dieses Problems eine Sicherheitslücke. Upgrade Ihrer GKE on Bare Metal-Cluster auf Folgendes durchführen Version oder höher:

  • 1.29.100
  • 1.28.600
  • 1.16.9

Das golang-Projekt hat am 3. April 2024 Patches veröffentlicht. Dieses Bulletin wird aktualisiert, sobald Versionen für GKE on Bare Metal verfügbar sind, die diese Patches enthalten. Wenn Sie ein Patch mit einem beschleunigten Zeitplan anfordern möchten, wenden Sie sich an den Support.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Über die Sicherheitslücke (CVE-2023-45288) können Angreifer einen DoS-Angriff auf die Kubernetes-Steuerungsebene ausführen.

Hoch

GCP-2024-018

Veröffentlicht: 12.03.2024
Aktualisiert: 06.05.2024
Referenz: CVE-2024-1085

Update vom 06.05.2024 : Patchversionen für GKE Ubuntu hinzugefügt Knotenpools und ein zusätzliches horizontales Linienelement aus dem Update vom 04.04.2024 entfernt.

Update vom 04.04.2024 : Korrigierte Mindestversionen für GKE Container-Optimized OS-Knotenpools.

GKE

Aktualisiert : 06.05.2024

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2024-1085

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber angreifbar sein, wenn Sie das Profil „seccomp“ Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Update vom 06.05.2024:Die folgenden GKE-Versionen sind mit Code aktualisiert, um diese Sicherheitslücke in Ubuntu zu beheben. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf den oder höher.

  • 1.26.15-gke.1158000
  • 1.27.12-gke.1190000
  • 1.28.8-gke.1175000
  • 1.29.3-gke.1093000

Update vom 04.04.2024: Korrigierte Mindestversionen für GKE-Knotenpools mit Container-Optimized OS.

Die GKE-Mindestversionen mit den zuvor aufgeführten Fehlerkorrekturen für Container-Optimized OS waren falsch. Die folgenden GKE-Versionen werden mit Code aktualisiert, um diese Sicherheitslücke in Container-Optimized OS zu beheben. Führen Sie ein Upgrade Ihrer Knotenpools mit Container-Optimized OS auf die folgenden Versionen oder höher durch:

  • 1.25.16-gke.1520000
  • 1.26.13-gke.1221000
  • 1.27.10-gke.1243000
  • 1.28.8-gke.1083000
  • 1.29.3-gke.1054000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihr Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.25.16-gke.1518000
  • 1.26.13-gke.1219000
  • 1.27.10-gke.1240000
  • 1.28.6-gke.1433000
  • 1.29.1-gke.1716000

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn Ihr Cluster gleich ausgeführt wird Nebenversion in ihrer eigenen Release-Version. Mit dieser Funktion können Sie Knoten sichern, bis wird die Patchversion zum Standard in Ihrer Release-Version. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen

Hoch

GKE on VMware

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2024-1085

Wie gehe ich am besten vor?

Ausstehend

GKE on AWS

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2024-1085

Wie gehe ich am besten vor?

Ausstehend

GKE on Azure

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2024-1085

Wie gehe ich am besten vor?

Ausstehend

GKE on Bare Metal

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2024-1085

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Keine

GCP-2024-017

Veröffentlicht: 06.03.2024
Referenz: CVE-2023-3611

GKE

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2023-3611

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber angreifbar sein, wenn Sie das Profil „seccomp“ Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihr Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1021001
  • 1.27.3-gke.1001002

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihr Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1021001
  • 1.27.3-gke.1001002

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn Ihr Cluster gleich ausgeführt wird Nebenversion in ihrer eigenen Release-Version. Mit dieser Funktion können Sie Knoten sichern, bis wird die Patchversion zum Standard in Ihrer Release-Version. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen

Hoch

GKE on VMware

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2023-3611

Wie gehe ich am besten vor?

Ausstehend

GKE on AWS

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2023-3611

Wie gehe ich am besten vor?

Ausstehend

GKE on Azure

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2023-3611

Wie gehe ich am besten vor?

Ausstehend

GKE on Bare Metal

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2023-3611

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Keine

GCP-2024-014

Veröffentlicht: 26.02.2024
Referenz: CVE-2023-3776

GKE

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2023-3776

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber angreifbar sein, wenn Sie das Profil „seccomp“ Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihr Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1014001
  • 1.27.3-gke.1001002
  • 1.28.0-gke.100

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihr Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1021001
  • 1.27.3-gke.1001002

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn Ihr Cluster gleich ausgeführt wird Nebenversion in ihrer eigenen Release-Version. Mit dieser Funktion können Sie Knoten sichern, bis wird die Patchversion zum Standard in Ihrer Release-Version. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen

Hoch

GKE on VMware

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2023-3776

Wie gehe ich am besten vor?

Ausstehend

GKE on AWS

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2023-3776

Wie gehe ich am besten vor?

Ausstehend

GKE on Azure

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2023-3776

Wie gehe ich am besten vor?

Ausstehend

GKE on Bare Metal

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2023-3776

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Keine

GCP-2024-013

Veröffentlicht: 23.02.2024
Referenz: CVE-2023-3610

GKE

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2023-3610

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber angreifbar sein, wenn Sie das Profil „seccomp“ Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihr Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.27.3-gke.1001002
  • 1.28.0-gke.100

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihr Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1021001
  • 1.27.3-gke.1001002

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn Ihr Cluster gleich ausgeführt wird Nebenversion in ihrer eigenen Release-Version. Mit dieser Funktion können Sie Knoten sichern, bis wird die Patchversion zum Standard in Ihrer Release-Version. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen

Hoch

GKE on VMware

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2023-3610

Wie gehe ich am besten vor?

Ausstehend

GKE on AWS

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2023-3610

Wie gehe ich am besten vor?

Ausstehend

GKE on Azure

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2023-3610

Wie gehe ich am besten vor?

Ausstehend

GKE on Bare Metal

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2023-3610

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Keine

GCP-2024-012

Veröffentlicht: 20.02.2024
Referenz: CVE-2024-0193

GKE

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2024-0193

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber angreifbar sein, wenn Sie das Profil „seccomp“ Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihr Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.27.10-gke.1149000
  • 1.28.6-gke.1274000
  • 1.29.1-gke.1388000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihr Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.25.16-gke.1412001
  • 1.26.6-gke.1017002
  • 1.27.10-gke.1055001
  • 1.28.6-gke.1276000
  • 1.29.1-gke.1392000

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn Ihr Cluster gleich ausgeführt wird Nebenversion in ihrer eigenen Release-Version. Mit dieser Funktion können Sie Knoten sichern, bis wird die Patchversion zum Standard in Ihrer Release-Version. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen

Hoch

GKE on VMware

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2024-0193

Wie gehe ich am besten vor?

Ausstehend

GKE on AWS

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2024-0193

Wie gehe ich am besten vor?

Ausstehend

GKE on Azure

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2024-0193

Wie gehe ich am besten vor?

Ausstehend

GKE on Bare Metal

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2024-0193

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Keine

GCP-2024-011

Veröffentlicht: 15.02.2024
Referenz: CVE-2023-6932

GKE

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2023-6932

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber anfällig sein, wenn Sie das Profil „seccomp“ Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihr Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.24.17-gke.2364001
  • 1.25.16-gke.1229000
  • 1.26.6-gke.1017002
  • 1.27.3-gke.1001003
  • 1.28.5-gke.1194000
  • 1.29.0-gke.1340000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihr Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.25.16-gke.1412001
  • 1.26.6-gke.1017002
  • 1.27.10-gke.1055001
  • 1.28.6-gke.1276000
  • 1.29.1-gke.1221000

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn Ihr Cluster gleich ausgeführt wird Nebenversion in ihrer eigenen Release-Version. Mit dieser Funktion können Sie Knoten sichern, bis wird die Patchversion zum Standard in Ihrer Release-Version. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen

Hoch

GKE on VMware

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2023-6932

Wie gehe ich am besten vor?

Ausstehend

GKE on AWS

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2023-6932

Wie gehe ich am besten vor?

Ausstehend

GKE on Azure

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2023-6932

Wie gehe ich am besten vor?

Ausstehend

GKE on Bare Metal

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

  • CVE-2023-6932

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Keine

GCP-2024-010

Veröffentlicht: 14.02.2024
Aktualisiert: 17.04.2024
Referenz: CVE-2023-6931

Update vom 17.04.2024 : Patchversionen für GKE on VMware wurden hinzugefügt.

GKE

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

  • CVE-2023-6931

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber angreifbar sein, wenn Sie das Profil „seccomp“ Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihr Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.24.17-gke.2364001
  • 1.25.16-gke.1229000
  • 1.26.6-gke.1017002
  • 1.27.3-gke.1001003
  • 1.28.5-gke.1194000
  • 1.29.0-gke.1340000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihr Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.25.16-gke.1412001
  • 1.26.6-gke.1017002
  • 1.27.10-gke.1055001
  • 1.28.6-gke.1276000
  • 1.29.1-gke.1221000

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn Ihr Cluster gleich ausgeführt wird Nebenversion in ihrer eigenen Release-Version. Mit dieser Funktion können Sie Knoten sichern, bis wird die Patchversion zum Standard in Ihrer Release-Version. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen

Hoch

GKE on VMware

Aktualisiert : 17.04.2024

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

  • CVE-2023-6931

Wie gehe ich am besten vor?

Update vom 17.04.2024:Patchversionen für GKE on VMware wurden hinzugefügt.


Die folgenden Versionen von GKE on VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Führen Sie ein Upgrade Ihrer Cluster auf die folgenden Versionen oder höher durch:

  • 1.28.200
  • 1.16.6
  • 1.15.10


Ausstehend

GKE on AWS

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

  • CVE-2023-6931

Wie gehe ich am besten vor?

Ausstehend

GKE on Azure

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

  • CVE-2023-6931

Wie gehe ich am besten vor?

Ausstehend

GKE on Bare Metal

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

  • CVE-2023-6931

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Keine

GCP-2024-008

Veröffentlicht: 12.02.2024
Referenz: CVE-2023-5528

GKE

Beschreibung Schweregrad

CVE-2023-5528 ermöglicht es einem Angreifer, Pods und nichtflüchtige Volumes auf Windows-Knoten zu erstellen sodass die Ausweitung der Administratorberechtigungen auf diesen Knoten möglich ist.

Ausgeführte GKE-Standardcluster Windows Server sowie die Verwendung eines integrierten Speicher-Plug-ins.

GKE Autopilot-Cluster und GKE-Knotenpools mit GKE Sandbox sind nicht da sie keine Windows Server-Knoten unterstützen.

Wie gehe ich am besten vor?

Prüfen Sie, ob in Ihren Clustern Windows Server-Knoten verwendet werden:

kubectl get nodes -l kubernetes.io/os=windows

Prüfen Sie Audit-Logs auf Ausnutzungsnachweise. Kubernetes-Audit-Logs können ob diese Schwachstelle ausgenutzt wird. Nichtflüchtige Volume-Erstellungsereignisse mit lokale Pfadfelder mit Sonderzeichen sind ein deutliches Zeichen für Ausnutzung.

Aktualisieren Sie den GKE-Cluster und die Knotenpools auf eine Patchversion. Die Die folgenden GKE-Versionen wurden aktualisiert, um diese Sicherheitslücke zu schließen. Auch wenn Sie automatische Knotenupgrades aktiviert haben, sollten Sie manuell umstellen Ihren Cluster und Windows Server-Knotenpools zu einer der folgenden GKE- Version oder höher:

  • 1.24.17-gke.6100
  • 1.25.15-gke.2000
  • 1.26.10-gke.2000
  • 1.27.7-gke.2000
  • 1.28.3-gke.1600

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn Ihr Cluster gleich ausgeführt wird Nebenversion in ihrer eigenen Release-Version. Mit dieser Funktion können Sie Knoten sichern, bis wird die Patchversion zum Standard in Ihrer Release-Version. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen

Welche Sicherheitslücken werden mit diesem Patch behoben?

CVE-2023-5528 ermöglicht es einem Angreifer, Pods und nichtflüchtige Volumes auf Windows-Knoten zu erstellen sodass die Ausweitung der Administratorberechtigungen auf diesen Knoten möglich ist.

Hoch

GKE on VMware

Beschreibung Schweregrad

CVE-2023-5528 ermöglicht es einem Angreifer, Pods und nichtflüchtige Volumes auf Windows-Knoten zu erstellen sodass die Ausweitung der Administratorberechtigungen auf diesen Knoten möglich ist.

Ausgeführte GKE on VMware-Cluster Windows Server sowie die Verwendung eines integrierten Speicher-Plug-ins.

Wie gehe ich am besten vor?

Prüfen Sie, ob in Ihren Clustern Windows Server-Knoten verwendet werden:

kubectl get nodes -l kubernetes.io/os=windows

Prüfen Sie Audit-Logs auf Ausnutzungsnachweise. Kubernetes-Audit-Logs können ob diese Schwachstelle ausgenutzt wird. Nichtflüchtige Volume-Erstellungsereignisse mit lokale Pfadfelder mit Sonderzeichen sind ein deutliches Zeichen für Ausnutzung.

Aktualisieren Sie Ihre GKE on VMware-Cluster und -Knotenpools auf eine Patchversion. Die Die folgenden Versionen von GKE on VMware wurden aktualisiert, um diese Sicherheitslücke zu beheben. Auch wenn Sie automatische Knotenupgrades aktiviert haben, sollten Sie manuell umstellen Ihren Cluster und Ihre Windows Server-Knotenpools zu einer der folgenden GKE on VMware Version oder höher:

  • 1.28.100-gke.131
  • 1.16.5-gke.28
  • 1.15.8-gke.41

Welche Sicherheitslücken werden mit diesem Patch behoben?

CVE-2023-5528 ermöglicht es einem Angreifer, Pods und nichtflüchtige Volumes auf Windows-Knoten zu erstellen sodass die Ausweitung der Administratorberechtigungen auf diesen Knoten möglich ist.

Hoch

GKE on AWS

Beschreibung Schweregrad

CVE-2023-5528 ermöglicht es einem Angreifer, Pods und nichtflüchtige Volumes auf Windows-Knoten zu erstellen sodass die Ausweitung der Administratorberechtigungen auf diesen Knoten möglich ist.

GKE on AWS-Cluster sind nicht betroffen.

Wie gehe ich am besten vor?

Keine Aktion erforderlich

Keine

GKE on Azure

Beschreibung Schweregrad

CVE-2023-5528 ermöglicht es einem Angreifer, Pods und nichtflüchtige Volumes auf Windows-Knoten zu erstellen sodass die Ausweitung der Administratorberechtigungen auf diesen Knoten möglich ist.

GKE on Azure-Cluster sind nicht betroffen.

Wie gehe ich am besten vor?

Keine Aktion erforderlich

Keine

GKE on Bare Metal

Beschreibung Schweregrad

CVE-2023-5528 ermöglicht es einem Angreifer, Pods und nichtflüchtige Volumes auf Windows-Knoten zu erstellen sodass die Ausweitung der Administratorberechtigungen auf diesen Knoten möglich ist.

GKE on Bare Metal-Cluster sind nicht betroffen.

Wie gehe ich am besten vor?

Keine Aktion erforderlich

Keine

GCP-2024-005

Veröffentlicht: 31.01.2024
Aktualisiert: 06.05.2024
Referenz: CVE-2024-21626

Update vom 06.05.2024: Patchversionen für GKE on AWS und GKE on Azure wurden hinzugefügt.
Update vom 02.04.2024: Patchversionen für GKE on Bare Metal hinzugefügt
Update vom 06.03.2024: Patchversionen für GKE on VMware hinzugefügt
Update vom 28.02.2024: Patchversionen für Ubuntu hinzugefügt
Update vom 15.02.2024: Es wurde klargestellt, dass die Ubuntu-Patchversionen 1.25 und 1.26 in der Das Update vom 14.02.2024 kann zu fehlerhaften Knoten führen.
Update vom 14.02.2024: Patchversionen für Ubuntu hinzugefügt
Update vom 06.02.2024 : Patchversionen für Container-Optimized OS wurden hinzugefügt.

GKE

Aktualisiert : 06.03.2024

Beschreibung Schweregrad

Die Sicherheitslücke CVE-2024-21626 wurde in runc entdeckt, wobei Nutzer mit der Berechtigung zum Erstellen von Pods auf Container-Optimized OS- und Ubuntu-Knoten unter Umständen vollen Zugriff auf das Knotendateisystem.

GKE Standard- und Autopilot-Cluster sind betroffen.

Cluster mit GKE Sandbox sind davon nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 28.02.2024: Die folgenden GKE-Versionen haben wurde mit Code aktualisiert, um diese Sicherheitslücke in Ubuntu zu beheben. Ubuntu-Knotenpools upgraden auf eine der folgenden Patchversionen oder höher aktualisiert:

  • 1.25.16-gke.1537000
  • 1.26.14-gke.1006000

Aktualisierung vom 15.02.2024: Aufgrund eines Problems wurden die folgenden Ubuntu-Patchversionen der Aktualisierung vom 14.02.2024, können Ihre Knoten in einen fehlerhaften Zustand versetzt werden. Das sollten Sie nicht tun: auf die folgenden Patchversionen aktualisieren. Wir werden dieses Bulletin aktualisieren, sobald das neuere Patch Ubuntu-Versionen sind für 1.25 und 1.26 verfügbar.

  • 1.25.16-gke.1497000
  • 1.26.13-gke.1189000

Wenn Sie bereits ein Upgrade auf eine dieser Patchversionen durchgeführt haben, manuelles Downgrade auf eine frühere Version in Ihrer Release-Version.


Update vom 14.02.2024: Die folgenden GKE-Versionen haben wurde mit Code aktualisiert, um diese Sicherheitslücke in Ubuntu zu beheben. Ubuntu-Knotenpools upgraden auf eine der folgenden Patchversionen oder höher aktualisiert:

  • 1.25.16-gke.1497000
  • 1.26.13-gke.1189000
  • 1.27.10-gke.1207000
  • 1.28.6-gke.1369000
  • 1.29.1-gke.1575000

Aktualisierung vom 06.02.2024: Die folgenden GKE-Versionen haben wurde mit Code aktualisiert, um diese Sicherheitslücke in Container-Optimized OS zu beheben. Aus Sicherheitsgründen empfehlen wir, auch wenn Sie automatische Knotenupgrades aktiviert haben, Folgendes zu tun: manuell umstellen Cluster- und Container-Optimized OS-Knotenpools auf einen der folgenden GKE-Versionen oder höher:

  • 1.25.16-gke.1460000
  • 1.26.13-gke.1144000
  • 1.27.10-gke.1152000
  • 1.28.6-gke.1289000
  • 1.29.1-gke.1425000

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn Ihr Cluster gleich ausgeführt wird Nebenversion in ihrer eigenen Release-Version. Mit dieser Funktion können Sie Knoten sichern, bis wird die Patchversion zum Standard in Ihrer Release-Version. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen


Wir aktualisieren GKE mit Code, um diese Sicherheitslücke zu beheben. Wir aktualisieren diese wenn Patchversionen verfügbar sind.

Welche Sicherheitslücken werden mit diesem Patch behoben?

runc ist ein Low-Level-Tool zum Erstellen und Ausführen von Linux-Containern, die in Kubernetes-Pods In runc Versionen vor den in dieser Version veröffentlichten Patches Sicherheitsbulletin haben, wurden versehentlich mehrere Dateideskriptoren in den runc init-Prozess, der in einem Container ausgeführt wird. runc hat das auch getan nicht überprüfen, ob sich das endgültige Arbeitsverzeichnis eines Containers in der Containerbereitstellung befand -Namespace auf sie zugegriffen werden. Ein schädliches Container-Image oder ein Nutzer mit der Berechtigung, beliebige Pods auszuführen könnte eine Kombination aus den gehackten Dateideskriptoren und dem fehlenden Arbeitsverzeichnis sein. Validierung, um Zugriff auf den Hostbereitstellungs-Namespace eines Knotens und auf den gesamten Host zu erhalten Dateisystem zu erstellen und beliebige Binärdateien auf dem Knoten zu überschreiben.

Hoch

GKE on VMware

Aktualisiert : 06.03.2024

Beschreibung Schweregrad

Die Sicherheitslücke CVE-2024-21626 wurde in runc entdeckt, wobei Nutzer mit der Berechtigung zum Erstellen von Pods auf Container-Optimized OS- und Ubuntu-Knoten unter Umständen vollen Zugriff auf das Knotendateisystem.

Wie gehe ich am besten vor?

Update vom 06.03.2024: Die folgenden Versionen von GKE on VMware haben mit Code zur Behebung dieser Sicherheitslücke aktualisiert. Führen Sie ein Upgrade Ihrer Cluster auf die folgenden Versionen oder höher durch:

  • 1.28.200
  • 1.16.6
  • 1.15.9

Patchversionen und eine Bewertung des Schweregrads für GKE on VMware sind in Bearbeitung. Wir aktualisieren dieses Bulletin mit diesen Informationen, sobald sie verfügbar sind.

Welche Sicherheitslücken werden mit diesem Patch behoben?

runc ist ein Low-Level-Tool zum Erstellen und Ausführen von Linux-Containern, die in Kubernetes-Pods In runc Versionen vor den in dieser Version veröffentlichten Patches Sicherheitsbulletin haben, wurden versehentlich mehrere Dateideskriptoren in den runc init-Prozess, der in einem Container ausgeführt wird. runc hat das auch getan nicht überprüfen, ob sich das endgültige Arbeitsverzeichnis eines Containers in der Containerbereitstellung befand -Namespace auf sie zugegriffen werden. Ein schädliches Container-Image oder ein Nutzer mit der Berechtigung, beliebige Pods auszuführen könnte eine Kombination aus den gehackten Dateideskriptoren und dem fehlenden Arbeitsverzeichnis sein. Validierung, um Zugriff auf den Hostbereitstellungs-Namespace eines Knotens und auf den gesamten Host zu erhalten Dateisystem zu erstellen und beliebige Binärdateien auf dem Knoten zu überschreiben.

Hoch

GKE on AWS

Aktualisiert : 06.05.2024

Beschreibung Schweregrad

Die Sicherheitslücke CVE-2024-21626 wurde in runc entdeckt, wobei Nutzer mit der Berechtigung zum Erstellen von Pods auf Container-Optimized OS- und Ubuntu-Knoten unter Umständen vollen Zugriff auf das Knotendateisystem.

Wie gehe ich am besten vor?

Update vom 06.05.2024: Die folgenden Versionen von GKE on AWS haben mit Patches für CVE-2024-21626 aktualisiert:

  • 1.28.5-gke.1200
  • 1.27.10-gke.500
  • 1.26.13-gke.400

Patchversionen und eine Bewertung des Schweregrads für GKE on AWS sind in Bearbeitung. Wir aktualisieren dieses Bulletin mit diesen Informationen, sobald sie verfügbar sind.

Welche Sicherheitslücken werden mit diesem Patch behoben?

runc ist ein Low-Level-Tool zum Erstellen und Ausführen von Linux-Containern, die in Kubernetes-Pods In runc Versionen vor den in dieser Version veröffentlichten Patches Sicherheitsbulletin haben, wurden versehentlich mehrere Dateideskriptoren in den runc init-Prozess, der in einem Container ausgeführt wird. runc hat das auch getan nicht überprüfen, ob sich das endgültige Arbeitsverzeichnis eines Containers in der Containerbereitstellung befand -Namespace auf sie zugegriffen werden. Ein schädliches Container-Image oder ein Nutzer mit der Berechtigung, beliebige Pods auszuführen könnte eine Kombination aus den gehackten Dateideskriptoren und dem fehlenden Arbeitsverzeichnis sein. Validierung, um Zugriff auf den Hostbereitstellungs-Namespace eines Knotens und auf den gesamten Host zu erhalten Dateisystem zu erstellen und beliebige Binärdateien auf dem Knoten zu überschreiben.

Hoch

GKE on Azure

Aktualisiert : 06.05.2024

Beschreibung Schweregrad

Die Sicherheitslücke CVE-2024-21626 wurde in runc entdeckt, wobei Nutzer mit der Berechtigung zum Erstellen von Pods auf Container-Optimized OS- und Ubuntu-Knoten unter Umständen vollen Zugriff auf das Knotendateisystem.

Wie gehe ich am besten vor?

Update vom 06.05.2024: Die folgenden Versionen von GKE on Azure haben mit Patches für CVE-2024-21626 aktualisiert:

  • 1.28.5-gke.1200
  • 1.27.10-gke.500
  • 1.26.13-gke.400

Patchversionen und eine Bewertung des Schweregrads für GKE on Azure sind in Bearbeitung. Wir aktualisieren dieses Bulletin mit diesen Informationen, sobald sie verfügbar sind.

Welche Sicherheitslücken werden mit diesem Patch behoben?

runc ist ein Low-Level-Tool zum Erstellen und Ausführen von Linux-Containern, die in Kubernetes-Pods In runc Versionen vor den in dieser Version veröffentlichten Patches Sicherheitsbulletin haben, wurden versehentlich mehrere Dateideskriptoren in den runc init-Prozess, der in einem Container ausgeführt wird. runc hat das auch getan nicht überprüfen, ob sich das endgültige Arbeitsverzeichnis eines Containers in der Containerbereitstellung befand -Namespace auf sie zugegriffen werden. Ein schädliches Container-Image oder ein Nutzer mit der Berechtigung, beliebige Pods auszuführen könnte eine Kombination aus den gehackten Dateideskriptoren und dem fehlenden Arbeitsverzeichnis sein. Validierung, um Zugriff auf den Hostbereitstellungs-Namespace eines Knotens und auf den gesamten Host zu erhalten Dateisystem zu erstellen und beliebige Binärdateien auf dem Knoten zu überschreiben.

Hoch

GKE on Bare Metal

Aktualisiert : 02.04.2024

Beschreibung Schweregrad

Die Sicherheitslücke CVE-2024-21626 wurde in runc entdeckt, wobei kann ein Nutzer mit der Berechtigung zum Erstellen von Pods unter Umständen vollen Zugriff auf das Knotendateisystem erhalten.

Wie gehe ich am besten vor?

Update vom 02.04.2024: Die folgenden Versionen von GKE on Bare Metal haben mit Code zur Behebung dieser Sicherheitslücke aktualisiert. Führen Sie ein Upgrade Ihrer Cluster auf die folgenden Versionen oder höher durch:

  • 1.28.200-gke.118
  • 1.16.6
  • 1.15.10

Patchversionen und eine Bewertung des Schweregrads für GKE on Bare Metal sind in Bearbeitung. Wir aktualisieren dieses Bulletin mit diesen Informationen, sobald sie verfügbar sind.

Welche Sicherheitslücken werden mit diesem Patch behoben?

runc ist ein Low-Level-Tool zum Erstellen und Ausführen von Linux-Containern, die in Kubernetes-Pods In runc Versionen vor den in dieser Version veröffentlichten Patches Sicherheitsbulletin haben, wurden versehentlich mehrere Dateideskriptoren in den runc init-Prozess, der in einem Container ausgeführt wird. runc hat das auch getan nicht überprüfen, ob sich das endgültige Arbeitsverzeichnis eines Containers in der Containerbereitstellung befand -Namespace auf sie zugegriffen werden. Ein schädliches Container-Image oder ein Nutzer mit der Berechtigung, beliebige Pods auszuführen könnte eine Kombination aus den gehackten Dateideskriptoren und dem fehlenden Arbeitsverzeichnis sein. Validierung, um Zugriff auf den Hostbereitstellungs-Namespace eines Knotens und auf den gesamten Host zu erhalten Dateisystem zu erstellen und beliebige Binärdateien auf dem Knoten zu überschreiben.

Hoch

GCP-2024-004

Veröffentlicht: 24.01.2024
Aktualisiert: 07.02.2024
Referenz: CVE-2023-6817

Update vom 07.02.2024 : Patchversionen für Ubuntu wurden hinzugefügt.

GKE

Aktualisiert : 07.02.2024

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

  • CVE-2023-6817

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber anfällig sein, wenn Sie das Profil „seccomp“ Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 07.02.2024:Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihr Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.25.16-gke.1458000
  • 1.26.13-gke.1143000
  • 1.27.10-gke.1152000
  • 1.28.6-gke.1276000
  • 1.29.1-gke.1221000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihr Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.25.16-gke.1229000
  • 1.26.12-gke.1087000
  • 1.27.3-gke.1001003
  • 1.28.5-gke.1194000
  • 1.29.0-gke.1340000

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn Ihr Cluster gleich ausgeführt wird Nebenversion in ihrer eigenen Release-Version. Mit dieser Funktion können Sie Knoten sichern, bis wird die Patchversion zum Standard in Ihrer Release-Version. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen

Hoch

GKE on VMware

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

  • CVE-2023-6817

Wie gehe ich am besten vor?

Ausstehend

GKE on AWS

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

  • CVE-2023-6817

Wie gehe ich am besten vor?

Ausstehend

GKE on Azure

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

  • CVE-2023-6817

Wie gehe ich am besten vor?

Ausstehend

GKE on Bare Metal

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

  • CVE-2023-6817

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Keine

GCP-2024-003

Veröffentlicht: 19.01.2024
Aktualisiert: 26.01.2024
Update vom 26.01.2024 : Wir haben die Anzahl der betroffenen Cluster und die Aktionen, die die wir ergriffen haben, um die Auswirkungen abzuschwächen.

GKE

Aktualisiert : 26.01.2024

Beschreibung Schweregrad

Update vom 26.01.2024: Sicherheitsforschung, bei der eine geringe Anzahl von GKE-Cluster mit einer vom Kunden erstellten Fehlkonfiguration mit Die Gruppe system:authenticated wurde veröffentlicht. Blog der Forschenden post bezieht sich auf 1.300 Cluster mit einigen falsch konfigurierten Bindungen und 108 Cluster mit hohen Berechtigungen. Wir haben eng mit den betroffenen Kunden zusammengearbeitet, um sie zu benachrichtigen und Entfernen der falsch konfigurierten Bindungen.


Es wurden mehrere Cluster identifiziert, in denen Nutzer Kubernetes Berechtigungen für die Gruppe system:authenticated, die alle Nutzer mit einem Google-Konto. Diese Bindungstypen sind nicht empfohlen, da sie gegen das Prinzip der geringsten Berechtigung verstoßen sehr großen Nutzergruppen zugänglich machen. Weitere Informationen finden Sie unter „Was sollte ich tun?“. für wie Sie solche Bindungen finden.

Ein Sicherheitsforscher hat kürzlich Ergebnisse von Clustern mit RBAC gemeldet. über unser Programm zur Meldung von Sicherheitslücken.

Der Ansatz von Google zur Authentifizierung besteht darin, die Authentifizierung bei Google Cloud GKE so einfach und sicher wie möglich, ohne komplexe Konfigurationsschritte hinzuzufügen. Bei der Authentifizierung erfahren wir nur, wer der Nutzer ist. Autorisierung ist in denen der Zugriff festgelegt wird. Die Gruppe system:authenticated in Die GKE mit allen Nutzern, die über den Identitätsanbieter von Google authentifiziert wurden, ist wie vorgesehen und funktioniert genauso wie der IAM die ID „allAuthenticatedUsers“.

Vor diesem Hintergrund haben wir verschiedene Maßnahmen ergriffen, um das Risiko Es treten Autorisierungsfehler bei den Nutzern in Kubernetes auf. Gruppen, darunter system:anonymous, system:authenticated und system:unauthenticated. Alle dieser Nutzer/Gruppen stellen ein Risiko für den Cluster dar, wenn Berechtigungen gewährt werden. Mi. einige der Angreiferaktivitäten, die auf RBAC-Fehlkonfigurationen abzielen, Abwehrmaßnahmen auf Kubecon im November 2023.

Zum Schutz der Nutzer vor versehentlichen Autorisierungsfehlern mit diesen Systemen Nutzer/Gruppen haben wir:

Cluster, die autorisierte Cluster anwenden Netzwerkeinschränkungen haben eine erste Schutzschicht: Sie können nicht angegriffen werden. direkt aus dem Internet. Wir empfehlen jedoch trotzdem, diese Bindungen Gestaffelte Sicherheitsebenen und Schutz vor Fehlern in der Netzwerksteuerung
Es gibt eine Reihe von Fällen, in denen Bindungen an Kubernetes-Systemnutzer oder Gruppen bewusst verwendet werden, z.B. für kubeadm Bootstrapping, Rancher Dashboard und Bitnami versiegelten Secrets. Wir haben bei diesen Softwareanbietern bestätigt, dass diese Bindungen wie vorgesehen funktionieren.

Wir prüfen neue Möglichkeiten, wie wir Nutzer noch besser vor Nutzer-RBAC schützen können Fehlkonfigurationen mit diesen Systemnutzern/-gruppen durch Prävention und -Erkennung.

Wie gehe ich am besten vor?

Um neue Bindungen von cluster-admin an den Nutzer zu verhindern system:anonymous, Gruppe system:authenticated oder Gruppe system:unauthenticated-Nutzer können ein Upgrade auf GKE v1.28 oder später (Release Hinweise), wobei das Erstellen dieser Bindungen blockiert ist.

Vorhandene Bindungen sollten nach dieser Anleitung.

Mittel

GKE on VMware

Derzeit sind keine Updates verfügbar.

GKE on AWS

Derzeit sind keine Updates verfügbar.

GKE on Azure

Derzeit sind keine Updates verfügbar.

GKE on Bare Metal

Derzeit sind keine Updates verfügbar.

GCP-2024-002

Veröffentlicht: 17.01.2024
Aktualisiert: 20.02.2024
Referenz: CVE-2023-6111

Update vom 20.02.2024 : Patchversionen für GKE on VMware wurden hinzugefügt.

GKE

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS-Knoten.

  • CVE-2023-6111

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber anfällig sein, wenn Sie das Profil „seccomp“ Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihr Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.27.7-gke.1063001
  • 1.28.5-gke.1194000
  • 1.29.0-gke.1340000

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn Ihr Cluster gleich ausgeführt wird Nebenversion in ihrer eigenen Release-Version. Mit dieser Funktion können Sie Knoten sichern, bis wird die Patchversion zum Standard in Ihrer Release-Version. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen

Hoch

GKE on VMware

Aktualisiert : 20.02.2024

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS-Knoten.

  • CVE-2023-6111

Wie gehe ich am besten vor?

Update vom 20.02.2024:Die folgenden Versionen von GKE on VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Führen Sie ein Upgrade Ihrer Cluster auf die folgenden Versionen oder höher durch: 1.28.100


Ausstehend

GKE on AWS

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS-Knoten.

  • CVE-2023-6111

Wie gehe ich am besten vor?

Ausstehend

GKE on Azure

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS-Knoten.

  • CVE-2023-6111

Wie gehe ich am besten vor?

Ausstehend

GKE on Bare Metal

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS-Knoten.

  • CVE-2023-6111

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Keine

GCP-2023-051

Veröffentlicht: 28.12.2023
Referenz: CVE-2023-3609

GKE

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

  • CVE-2023-3609

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber angreifbar sein, wenn Sie das Profil „seccomp“ Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihr Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1014001
  • 1.27.3-gke.1001002
  • 1.28.0-gke.100

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihr Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.24.14-gke.1027001
  • 1.26.5-gke.1021001
  • 1.27.3-gke.1001002

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn Ihr Cluster gleich ausgeführt wird Nebenversion in ihrer eigenen Release-Version. Mit dieser Funktion können Sie Knoten sichern, bis wird die Patchversion zum Standard in Ihrer Release-Version. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen

Hoch

GKE on VMware

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

  • CVE-2023-3609

Wie gehe ich am besten vor?

Ausstehend

GKE on AWS

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

  • CVE-2023-3609

Wie gehe ich am besten vor?

Ausstehend

GKE on Azure

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

  • CVE-2023-3609

Wie gehe ich am besten vor?

Ausstehend

GKE on Bare Metal

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

  • CVE-2023-3609

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Keine

GCP-2023-050

Veröffentlicht: 27.12.2023
Referenz: CVE-2023-3389

GKE

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

  • CVE-2023-3389

GKE Standard- und Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihr Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1014001
  • 1.27.3-gke.1001002
  • 1.28.0-gke.100

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihr Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1014001
  • 1.27.3-gke.1001002
  • 1.28.1-gke.1002003

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn Ihr Cluster gleich ausgeführt wird Nebenversion in ihrer eigenen Release-Version. Mit dieser Funktion können Sie Knoten sichern, bis wird die Patchversion zum Standard in Ihrer Release-Version. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen

Hoch

GKE on VMware

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

  • CVE-2023-3389

Wie gehe ich am besten vor?

Ausstehend

GKE on AWS

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

  • CVE-2023-3389

Wie gehe ich am besten vor?

Ausstehend

GKE on Azure

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

  • CVE-2023-3389

Wie gehe ich am besten vor?

Ausstehend

GKE on Bare Metal

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

  • CVE-2023-3389

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Keine

GCP-2023-049

Veröffentlicht: 20.12.2023
Referenz: CVE-2023-3090

GKE

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

  • CVE-2023-3090

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, möglicherweise aber angreifbar, wenn Sie das seccomp-Profil Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihr Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.24.14-gke.1027001
  • 1.25.12-gke.900
  • 1.26.5-gke.1014001
  • 1.27.4-gke.400
  • 1.28.0-gke.100

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihr Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.24.14-gke.1027001
  • 1.25.12-gke.900
  • 1.26.5-gke.1014001
  • 1.27.4-gke.900
  • 1.28.1-gke.1050000

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn Ihr Cluster gleich ausgeführt wird Nebenversion in ihrer eigenen Release-Version. Mit dieser Funktion können Sie Knoten sichern, bis wird die Patchversion zum Standard in Ihrer Release-Version. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen

Hoch

GKE on VMware

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

  • CVE-2023-3090

Wie gehe ich am besten vor?

Ausstehend

GKE on AWS

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

  • CVE-2023-3090

Wie gehe ich am besten vor?

Ausstehend

GKE on Azure

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

  • CVE-2023-3090

Wie gehe ich am besten vor?

Ausstehend

GKE on Bare Metal

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

  • CVE-2023-3090

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Keine

GCP-2023-048

Veröffentlicht: 15.12.2023
Aktualisiert: 21.12.2023
Referenz: CVE-2023-3390

Update vom 21.12.2023 : GKE Autopilot-Cluster angeben in der Standardkonfiguration nicht betroffen sind.

GKE

Aktualisiert : 21.12.2023

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

  • CVE-2023-3390

Aktualisierung vom 21.12.2023: Im ursprünglichen Bulletin wurde „Autopilot“ angegeben. Cluster sind betroffen, aber das war falsch. GKE Autopilot Cluster in der Standardkonfiguration sind nicht betroffen, könnten aber anfällig sein, wenn Sie explizit das Profil seccomp Unconfined oder CAP_NET_ADMIN zulassen.

GKE Standard- und Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihr Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.27.4-gke.400
  • 1.28.0-gke.100

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihr Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.24.14-gke.1027001
  • 1.25.12-gke.900
  • 1.26.5-gke.1014001
  • 1.27.4-gke.900
  • 1.28.1-gke.1050000

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn Ihr Cluster gleich ausgeführt wird Nebenversion in ihrer eigenen Release-Version. Mit dieser Funktion können Sie Knoten sichern, bis wird die Patchversion zum Standard in Ihrer Release-Version. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen

Hoch

GKE on VMware

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

  • CVE-2023-3390

Wie gehe ich am besten vor?

Ausstehend

GKE on AWS

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

  • CVE-2023-3390

Wie gehe ich am besten vor?

Ausstehend

GKE on Azure

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

  • CVE-2023-3390

Wie gehe ich am besten vor?

Ausstehend

GKE on Bare Metal

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

  • CVE-2023-3390

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Keine

GCP-2023-047

Veröffentlicht: 14.12.2023

GKE

Beschreibung Schweregrad

Ein Angreifer, der den Fluent-Bit-Logging-Container manipuliert hat, könnte dies kombinieren Zugriff mit hohen Berechtigungen, die für Cloud Service Mesh erforderlich sind (bei Clustern, aktiviert), um die Berechtigungen im Cluster auszuweiten. Die Probleme mit Fluent Bit und Cloud Service Mesh wurde gemindert und Fehlerkorrekturen sind jetzt verfügbar. Diese Sicherheitslücken sind in GKE nicht ausnutzbar und erfordern eine anfängliche Manipulation. Uns sind keine Fälle bekannt, in denen diese Schwachstellen ausgenutzt werden.

Diese Probleme wurden über unser Vulnerability Reward Program (Prämienprogramm für die Meldung von Sicherheitslücken):

Wie gehe ich am besten vor?

Die folgenden GKE-Versionen wurden mit Code zur Fehlerbehebung aktualisiert Sicherheitslücken in Fluent Bit und für Nutzer des verwalteten Cloud Service Mesh. Für aus Sicherheitsgründen empfehlen wir, auch wenn automatische Knotenupgrades aktiviert sind, ich manuell umstellen Ihren Cluster und Ihre Knotenpools auf eine der folgenden GKE-Versionen oder später:

  • 1.25.16-gke.1020000
  • 1.26.10-gke.1235000
  • 1.27.7-gke.1293000
  • 1.28.4-gke.1083000

Eine neue Funktion von Release-Kanäle kannst du einen Patch anwenden, ohne das Abo für einen Kanal kündigen zu müssen. Dadurch können sichern Sie Ihre Knoten, bis die neue Version zum Standard für Ihr spezifisches Release-Version

Wenn Ihr Cluster clusterinternes Cloud Service Mesh verwendet, müssen Sie manuelles Upgrade auf eine der folgenden die folgenden Versionen (Versionshinweise):

  • 1.17.8-asm.8
  • 1.18.6-asm.2
  • 1.19.5-asm.4

Welche Sicherheitslücken werden mit diesem Patch behoben?

Aufgrund der Sicherheitslücken, die in diesem Bulletin behoben werden, muss ein Angreifer Fließender Bit-Logging-Container. Wir kennen keine Sicherheitslücken in Fließendes Bit, was zu dieser Voraussetzung für die Rechteausweitung führen würde. Diese Sicherheitslücken haben wir zur Absicherung vollständige Angriffskette

GKE verwendet Fluent Bit, um Logs für Arbeitslasten zu verarbeiten, die in Clustern ausgeführt werden. Fluent Bit on GKE wurde auch so konfiguriert, Cloud Run-Arbeitslasten. Die Volume-Bereitstellung, die zum Erfassen dieser Logs konfiguriert ist Fluent Bit-Zugriff auf Kubernetes-Dienstkonto-Tokens für andere Pods, die auf dem Knoten. Das Forschungsteam hat diesen Zugriff genutzt, um ein Dienstkonto mit umfangreichen Berechtigungen zu finden. Token für Cluster, für die Cloud Service Mesh aktiviert ist.

Cloud Service Mesh erforderte hohe Berechtigungen, um notwendige Änderungen an einem Konfiguration des Clusters, einschließlich der Möglichkeit, Pods zu erstellen und zu löschen. Die Forscher nutzten das privilegierte Kubernetes-Dienstkonto-Token von Cloud Service Mesh, um eskalieren Sie die ursprünglichen manipulierten Berechtigungen, indem Sie einen neuen Pod mit Clusteradministratorberechtigungen

Wir haben den Zugriff von Fluent Bit auf die Dienstkonto-Tokens entfernt und Die Funktionalität des Cloud Service Mesh wurde umgestaltet, um nicht erforderliche Berechtigungen zu entfernen.

Mittel

GKE on VMware

Beschreibung Schweregrad

Nur GKE on VMware-Cluster, die Cloud Service Mesh verwenden, sind betroffen.

Wie gehe ich am besten vor?

Wenn Ihr Cluster clusterinternes Cloud Service Mesh verwendet, müssen Sie manuelles Upgrade auf eine der folgenden Versionen (Versionshinweise):

  • 1.17.8-asm.8
  • 1.18.6-asm.2
  • 1.19.5-asm.4

Welche Sicherheitslücken werden mit diesem Patch behoben?

Aufgrund der in diesem Bulletin angesprochenen Sicherheitslücken muss der Angreifer entweder einen Container kompromittieren, den Ausstieg aus einem Container ausnutzen oder Root auf einem Clusterknoten haben. Mi. keine Sicherheitslücken kennen, die diese Voraussetzung erfüllen, Bedingung für die Rechteausweitung. Wir haben diese Sicherheitslücken um eine potenzielle vollständige Angriffskette zu verhindern.

Cloud Service Mesh erforderte hohe Berechtigungen, um notwendige Änderungen an einem Konfiguration des Clusters, einschließlich der Möglichkeit, Pods zu erstellen und zu löschen. Die Forschenden das privilegierte Kubernetes-Dienstkonto-Token von Cloud Service Mesh zur Eskalierung indem Sie einen neuen Pod mit der Berechtigung „cluster-admin“ erstellen.

Wir haben die Funktionalität des Cloud Service Mesh neu gestaltet, um übermäßige Berechtigungen.

Mittel

GKE on AWS

Beschreibung Schweregrad

Nur GKE on AWS-Cluster, die Cloud Service Mesh verwenden, sind betroffen.

Wie gehe ich am besten vor?

Wenn Ihr Cluster clusterinternes Cloud Service Mesh verwendet, müssen Sie manuell umstellen auf eine der folgenden Versionen (Versionshinweise):

  • 1.17.8-asm.8
  • 1.18.6-asm.2
  • 1.19.5-asm.4

Welche Sicherheitslücken werden mit diesem Patch behoben?

Aufgrund der in diesem Bulletin angesprochenen Sicherheitslücken muss der Angreifer entweder einen Container kompromittieren, den Ausstieg aus einem Container ausnutzen oder Root auf einem Clusterknoten haben. Wir sind keine Kenntnis von bestehenden Sicherheitslücken, die diese Voraussetzung erfüllen würden zur Rechteausweitung. Wir haben diese Sicherheitslücken um eine potenzielle vollständige Angriffskette zu verhindern.

Cloud Service Mesh erforderte hohe Berechtigungen, um notwendige Änderungen an einem Konfiguration des Clusters, einschließlich der Möglichkeit, Pods zu erstellen und zu löschen. Die Forschenden das privilegierte Kubernetes-Dienstkonto-Token von Cloud Service Mesh zur Eskalierung indem Sie einen neuen Pod mit der Berechtigung „cluster-admin“ erstellen.

Wir haben die Funktionalität des Cloud Service Mesh neu gestaltet, um übermäßige Berechtigungen.

Mittel

GKE on Azure

Beschreibung Schweregrad

Nur GKE in Azure-Cluster, die Cloud Service Mesh verwenden, sind betroffen.

Wie gehe ich am besten vor?

Wenn Ihr Cluster clusterinternes Cloud Service Mesh verwendet, müssen Sie manuell umstellen auf eine der folgenden Versionen (Versionshinweise):

  • 1.17.8-asm.8
  • 1.18.6-asm.2
  • 1.19.5-asm.4

Welche Sicherheitslücken werden mit diesem Patch behoben?

Aufgrund der in diesem Bulletin angesprochenen Sicherheitslücken muss der Angreifer entweder einen Container kompromittieren, den Ausstieg aus einem Container ausnutzen oder Root auf einem Clusterknoten haben. Wir sind keine Kenntnis von bestehenden Sicherheitslücken, die diese Voraussetzung erfüllen würden zur Rechteausweitung. Wir haben diese Sicherheitslücken um eine potenzielle vollständige Angriffskette zu verhindern.

Cloud Service Mesh erforderte hohe Berechtigungen, um notwendige Änderungen an einem Konfiguration des Clusters, einschließlich der Möglichkeit, Pods zu erstellen und zu löschen. Die Forschenden das privilegierte Kubernetes-Dienstkonto-Token von Cloud Service Mesh zur Eskalierung indem Sie einen neuen Pod mit der Berechtigung „cluster-admin“ erstellen.

Wir haben die Funktionalität des Cloud Service Mesh neu gestaltet, um übermäßige Berechtigungen.

Mittel

GKE on Bare Metal

Beschreibung Schweregrad

Nur GKE on Bare Metal-Cluster mit Cloud Service Mesh sind betroffen.

Wie gehe ich am besten vor?

Wenn Ihr Cluster clusterinternes Cloud Service Mesh verwendet, müssen Sie manuelles Upgrade auf eine der folgenden Versionen (Versionshinweise):

  • 1.17.8-asm.8
  • 1.18.6-asm.2
  • 1.19.5-asm.4

Welche Sicherheitslücken werden mit diesem Patch behoben?

Aufgrund der in diesem Bulletin angesprochenen Sicherheitslücken muss der Angreifer entweder einen Container kompromittieren, den Ausstieg aus einem Container ausnutzen oder Root auf einem Clusterknoten haben. Wir sind keine Kenntnis von bestehenden Sicherheitslücken, die diese Voraussetzung erfüllen würden zur Rechteausweitung. Wir haben diese Sicherheitslücken um eine potenzielle vollständige Angriffskette zu verhindern.

Anthos Service Mesh erforderte hohe Berechtigungen, um notwendige Änderungen an einem Konfiguration des Clusters, einschließlich der Möglichkeit, Pods zu erstellen und zu löschen. Die Forschenden das privilegierte Kubernetes-Dienstkonto-Token von Cloud Service Mesh zur Eskalierung indem Sie einen neuen Pod mit der Berechtigung „cluster-admin“ erstellen.

Wir haben die Funktionalität des Cloud Service Mesh neu gestaltet, um übermäßige Berechtigungen.

Mittel

GCP-2023-046

Veröffentlicht: 22.11.2023
Aktualisiert: 04.03.2024
Referenz: CVE-2023-5717

Update vom 04.03.2024 : GKE-Versionen für GKE on VMware wurden hinzugefügt.

Update vom 22.01.2024 : Ubuntu-Patchversionen wurden hinzugefügt.

GKE

Aktualisiert : 22.01.2024

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

  • CVE-2023-5717

GKE Standard- und Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Update vom 22.01.2024: Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihr Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.24.17-gke.2472000
  • 1.25.16-gke.1268000
  • 1.26.12-gke.1111000
  • 1.27.9-gke.1092000
  • 1.28.5-gke.1217000
  • 1.29.0-gke.138100

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihr Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.24.17-gke.2113000
  • 1.25.14-gke.1421000
  • 1.25.15-gke.1083000
  • 1.26.10-gke.1073000
  • 1.27.7-gke.1088000
  • 1.28.3-gke.1203000

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn Ihr Cluster gleich ausgeführt wird Nebenversion in ihrer eigenen Release-Version. Mit dieser Funktion können Sie Knoten sichern, bis wird die Patchversion zum Standard in Ihrer Release-Version. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen

Hoch

GKE on VMware

Aktualisiert : 29.02.2024

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

  • CVE-2023-5717

Wie gehe ich am besten vor?

Update vom 04.03.2024: die folgenden Versionen von GKE on VMware mit Code zur Behebung dieser Sicherheitslücke aktualisiert. Cluster upgraden auf die folgenden Versionen oder höher:

  • 1.28.200
  • 1.16.5
  • 1.15.8
Hoch

GKE on AWS

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

  • CVE-2023-5717

Wie gehe ich am besten vor?

Ausstehend

GKE on Azure

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

  • CVE-2023-5717

Wie gehe ich am besten vor?

Ausstehend

GKE on Bare Metal

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

  • CVE-2023-5717

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Keine

GCP-2023-045

Veröffentlicht: 20.11.2023
Aktualisiert: 21.12.2023
Referenz: CVE-2023-5197

Update vom 21.12.2023 : GKE Autopilot-Cluster angeben in der Standardkonfiguration nicht betroffen sind.

GKE

Aktualisiert : 21.12.2023

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

  • CVE-2023-5197

Aktualisierung vom 21.12.2023: Im ursprünglichen Bulletin wurde „Autopilot“ angegeben. Cluster sind betroffen, aber das war falsch. GKE Autopilot Cluster in der Standardkonfiguration sind nicht betroffen, könnten aber anfällig sein, wenn Sie explizit das Profil seccomp Unconfined oder CAP_NET_ADMIN zulassen.

GKE Standard- und Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihr Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.25.13-gke.1002003
  • 1.26.9-gke.1514000
  • 1.27.6-gke.1513000
  • 1.28.2-gke.1164000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihr Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.24.16-gke.1005001
  • 1.25.13-gke.1002003
  • 1.26.9-gke.1548000
  • 1.27.7-gke.1039000
  • 1.28.3-gke.1061000

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn Ihr Cluster gleich ausgeführt wird Nebenversion in ihrer eigenen Release-Version. Mit dieser Funktion können Sie Knoten sichern, bis wird die Patchversion zum Standard in Ihrer Release-Version. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen

Hoch

GKE on VMware

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

  • CVE-2023-5197

Wie gehe ich am besten vor?

Ausstehend

GKE on AWS

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

  • CVE-2023-5197

Wie gehe ich am besten vor?

Ausstehend

GKE on Azure

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

  • CVE-2023-5197

Wie gehe ich am besten vor?

Ausstehend

GKE on Bare Metal

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

  • CVE-2023-5197

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Keine

GCP-2023-042

Veröffentlicht: 13.11.2023
Aktualisiert: 15.11.2023
Referenz: CVE-2023-4147

Update vom 15.11.2023 : Es wurde klargestellt, dass nur die aufgeführten Nebenversionen aktualisiert werden müssen. zu einer entsprechenden Patchversion für GKE.

GKE

Aktualisiert : 15.11.2023

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

  • CVE-2023-4147

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster sind nicht betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Update vom 15.11.2023: Du musst nur auf eine der Patchversionen aktualisieren. die in diesem Bulletin aufgeführt sind, wenn Sie diese Nebenversion in Ihren Knoten verwenden. Beispiel: Wenn Sie die GKE-Version 1.27 verwenden, sollten Sie ein Upgrade auf die entsprechende Patchversion Version. Wenn Sie jedoch die GKE-Version 1.24 verwenden, ist kein Upgrade auf eine Patchversion.


Aktualisieren Sie Ihr Container-Optimized OS-Knotenpools auf eine der folgenden Versionen oder höher:

  • 1.27.5-gke.200
  • 1.28.2-gke.1157000

Führen Sie ein Upgrade Ihrer Ubuntu-Knotenpools auf eine der folgenden Versionen oder eine höhere Version durch:

  • 1.25.14-gke.1421000
  • 1.26.9-gke.1437000
  • 1.27.6-gke.1248000
  • 1.28.2-gke.1157000

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn Ihr Cluster gleich ausgeführt wird Nebenversion in ihrer eigenen Release-Version. Mit dieser Funktion können Sie Knoten sichern, bis wird die Patchversion zum Standard in Ihrer Release-Version. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen

Hoch

GKE on VMware

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

  • CVE-2023-4147

Wie gehe ich am besten vor?

Ausstehend

GKE on AWS

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

  • CVE-2023-4147

Wie gehe ich am besten vor?

Ausstehend

GKE on Azure

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

  • CVE-2023-4147

Wie gehe ich am besten vor?

Ausstehend

GKE on Bare Metal

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

  • CVE-2023-4147

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Keine

GCP-2023-041

Veröffentlicht: 08.11.2023
Aktualisiert : 21.11.2023, 05.12.2023, 21.12.2023
Referenz: CVE-2023-4004

Update vom 21.12.2023 : GKE Autopilot-Cluster angeben in der Standardkonfiguration nicht betroffen sind.

Update vom 05.12.2023 : Zusätzliche GKE-Versionen für Knotenpools mit Container-Optimized OS wurden hinzugefügt.

Update vom 21.11.2023 : Es wird klargestellt, dass nur die aufgeführten Nebenversionen auf eine entsprechende Patchversion für GKE aktualisiert werden müssen.

GKE

Aktualisiert : 21.11.2023, 05.12.2023, 21.12.2023

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

  • CVE-2023-4004

Aktualisierung vom 21.12.2023: Im ursprünglichen Bulletin wurde „Autopilot“ angegeben. Cluster sind betroffen, aber das war falsch. GKE Autopilot Cluster in der Standardkonfiguration sind nicht betroffen, könnten aber anfällig sein, wenn Sie explizit das Profil seccomp Unconfined oder CAP_NET_ADMIN zulassen.

Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 05.12.2023 : Einige GKE-Versionen wurden zuvor fehlen. Im Folgenden finden Sie eine aktualisierte Liste der GKE-Versionen, die Sie Aktualisieren Sie Ihr Container-Optimized OS auf Folgendes:

  • 1.24.17-gke.200 oder höher
  • 1.25.13-gke.200 oder höher
  • 1.26.8-gke.200 oder höher
  • 1.27.4-gke.2300 oder höher
  • 1.28.1-gke.1257000 oder höher

Update vom 21.11.2023 : Sie müssen nur dann ein Upgrade auf eine der in diesem Bulletin aufgeführten Patchversionen durchführen, wenn Sie diese Nebenversion in Ihren Knoten verwenden. Nicht aufgeführte Nebenversionen sind nicht betroffen.

Führen Sie ein Upgrade Ihrer Knotenpools mit Container-Optimized OS auf eine der folgenden Versionen oder eine höhere Version durch:

  • 1.27.4-gke.2300
  • 1.28.1-gke.1257000

Führen Sie ein Upgrade Ihrer Ubuntu-Knotenpools auf eine der folgenden Versionen oder eine höhere Version durch:

  • 1.24.14-gke.1027001
  • 1.25.13-gke.700
  • 1.26.8-gke.700
  • 1.27.5-gke.700
  • 1.28.1-gke.1050000
Hoch

GKE on VMware

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

  • CVE-2023-4004

Wie gehe ich am besten vor?

Ausstehend

GKE on AWS

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

  • CVE-2023-4004

Wie gehe ich am besten vor?

Ausstehend

GKE on Azure

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

  • CVE-2023-4004

Wie gehe ich am besten vor?

Ausstehend

GKE on Bare Metal

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

  • CVE-2023-4004

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Keine

GCP-2023-040

Veröffentlicht: 06.11.2023
Aktualisiert : 21.11.2023, 21.12.2023
Referenz: CVE-2023-4921

Update vom 21.12.2023 : GKE Autopilot-Cluster angeben in der Standardkonfiguration nicht betroffen sind.

Update vom 21.11.2023 : Es wird klargestellt, dass nur die aufgeführten Nebenversionen auf eine entsprechende Patchversion für GKE aktualisiert werden müssen.

GKE

Aktualisiert : 21.11.2023, 21.12.2023

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

  • CVE-2023-4921

Aktualisierung vom 21.12.2023: Im ursprünglichen Bulletin wurde „Autopilot“ angegeben. Cluster sind betroffen, aber das war falsch. GKE Autopilot Cluster in der Standardkonfiguration sind nicht betroffen, könnten aber anfällig sein, wenn Sie explizit das Profil seccomp Unconfined oder CAP_NET_ADMIN zulassen.

Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Update vom 21.11.2023 : Sie müssen nur dann ein Upgrade auf eine der in diesem Bulletin aufgeführten Patchversionen durchführen, wenn Sie diese Nebenversion in Ihren Knoten verwenden. Nicht aufgeführte Nebenversionen sind nicht betroffen.

Führen Sie ein Upgrade Ihrer Knotenpools mit Container-Optimized OS auf eine der folgenden Versionen oder eine höhere Version durch:

  • 1.24.14-gke.1027001
  • 1.25.14-gke.1351000
  • 1.26.9-gke.1345000
  • 1.27.6-gke.1389000

Führen Sie ein Upgrade Ihrer Ubuntu-Knotenpools auf eine der folgenden Versionen oder eine höhere Version durch:

  • 1.24.17-gke.2186000
  • 1.25.15-gke.1016000
  • 1.26.9-gke.1548000
  • 1.27.6-gke.1551000
  • 1.28.2-gke.1256000
Hoch

GKE on VMware

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

  • CVE-2023-4921

Wie gehe ich am besten vor?

Ausstehend

GKE on AWS

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

  • CVE-2023-4921

Wie gehe ich am besten vor?

Ausstehend

GKE on Azure

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

  • CVE-2023-4921

Wie gehe ich am besten vor?

Ausstehend

GKE on Bare Metal

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

  • CVE-2023-4921

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Keine

GCP-2023-039

Veröffentlicht: 06.11.2023
Aktualisiert: 21.11.2023, 16.11.2023
Referenz: CVE-2023-4622

Update vom 21.11.2023 : Es wird klargestellt, dass nur die aufgeführten Nebenversionen auf eine entsprechende Patchversion für GKE aktualisiert werden müssen.

Update vom 16.11.2023 : Die mit diesem Sicherheitsbulletin verbundene Sicherheitslücke CVE-2023-4622. CVE-2023-4623 wurde in einer früheren Version des Sicherheitsbulletins fälschlicherweise als Sicherheitslücke aufgeführt.

GKE

Aktualisiert : 21.11.2023, 16.11.2023

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

  • CVE-2023-4623

Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Update vom 21.11.2023 : Sie müssen nur dann ein Upgrade auf eine der in diesem Bulletin aufgeführten Patchversionen durchführen, wenn Sie diese Nebenversion in Ihren Knoten verwenden. Nicht aufgeführte Nebenversionen sind nicht betroffen.

Führen Sie ein Upgrade Ihrer Knotenpools mit Container-Optimized OS auf eine der folgenden Versionen oder eine höhere Version durch:

  • 1.24.14-gke.1027001
  • 1.25.14-gke.1351000
  • 1.26.9-gke.1345000
  • 1.27.5-gke.1647000

Führen Sie ein Upgrade Ihrer Ubuntu-Knotenpools auf eine der folgenden Versionen oder eine höhere Version durch:

  • 1.24.17-gke.2186000
  • 1.25.15-gke.1016000
  • 1.26.9-gke.1548000
  • 1.27.6-gke.1551000
  • 1.28.2-gke.1256000
Hoch

GKE on VMware

Aktualisiert : 16.11.2023

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

  • CVE-2023-4623

Wie gehe ich am besten vor?

Ausstehend

GKE on AWS

Aktualisiert : 16.11.2023

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

  • CVE-2023-4623

Wie gehe ich am besten vor?

Ausstehend

GKE on Azure

Aktualisiert : 16.11.2023

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

  • CVE-2023-4623

Wie gehe ich am besten vor?

Ausstehend

GKE on Bare Metal

Aktualisiert : 16.11.2023

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

  • CVE-2023-4623

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Keine

GCP-2023-038

Veröffentlicht: 06.11.2023
Aktualisiert : 21.11.2023, 21.12.2023
Referenz: CVE-2023-4623

Update vom 21.12.2023 : GKE Autopilot-Cluster angeben in der Standardkonfiguration nicht betroffen sind.

Update vom 21.11.2023 : Es wird klargestellt, dass nur die aufgeführten Nebenversionen auf eine entsprechende Patchversion für GKE aktualisiert werden müssen.

GKE

Aktualisiert : 21.11.2023, 21.12.2023

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

  • CVE-2023-4623

Aktualisierung vom 21.12.2023: Im ursprünglichen Bulletin wurde „Autopilot“ angegeben. Cluster sind betroffen, aber das war falsch. GKE Autopilot Cluster in der Standardkonfiguration sind nicht betroffen, könnten aber anfällig sein, wenn Sie explizit das Profil seccomp Unconfined oder CAP_NET_ADMIN zulassen.

Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Update vom 21.11.2023 : Sie müssen nur dann ein Upgrade auf eine der in diesem Bulletin aufgeführten Patchversionen durchführen, wenn Sie diese Nebenversion in Ihren Knoten verwenden. Nicht aufgeführte Nebenversionen sind nicht betroffen.

Führen Sie ein Upgrade Ihrer Knotenpools mit Container-Optimized OS auf eine der folgenden Versionen oder eine höhere Version durch:

  • 1.24.14-gke.1027001
  • 1.25.14-gke.1351000
  • 1.26.9-gke.1345000
  • 1.27.6-gke.1389000

Führen Sie ein Upgrade Ihrer Ubuntu-Knotenpools auf eine der folgenden Versionen oder eine höhere Version durch:

  • 1.24.17-gke.2186000
  • 1.25.15-gke.1016000
  • 1.26.9-gke.1548000
  • 1.27.6-gke.1551000
  • 1.28.2-gke.1256000
Hoch

GKE on VMware

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

  • CVE-2023-4623

Wie gehe ich am besten vor?

Ausstehend

GKE on AWS

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

  • CVE-2023-4623

Wie gehe ich am besten vor?

Ausstehend

GKE on Azure

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

  • CVE-2023-4623

Wie gehe ich am besten vor?

Ausstehend

GKE on Bare Metal

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

  • CVE-2023-4623

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Keine

GCP-2023-037

Veröffentlicht: 06.11.2023
Aktualisiert : 21.11.2023, 21.12.2023
Referenz: CVE-2023-4015

Update vom 21.12.2023 : GKE Autopilot-Cluster angeben in der Standardkonfiguration nicht betroffen sind.

Update vom 21.11.2023 : Es wird klargestellt, dass nur die aufgeführten Nebenversionen auf eine entsprechende Patchversion für GKE aktualisiert werden müssen.

GKE

Aktualisiert : 21.11.2023, 21.12.2023

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

  • CVE-2023-4015

Aktualisierung vom 21.12.2023: Im ursprünglichen Bulletin wurde „Autopilot“ angegeben. Cluster sind betroffen, aber das war falsch. GKE Autopilot Cluster in der Standardkonfiguration sind nicht betroffen, könnten aber anfällig sein, wenn Sie explizit das Profil seccomp Unconfined oder CAP_NET_ADMIN zulassen.

Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Update vom 21.11.2023 : Sie müssen nur dann ein Upgrade auf eine der in diesem Bulletin aufgeführten Patchversionen durchführen, wenn Sie diese Nebenversion in Ihren Knoten verwenden. Nicht aufgeführte Nebenversionen sind nicht betroffen.

Führen Sie ein Upgrade Ihrer Knotenpools mit Container-Optimized OS auf eine der folgenden Versionen oder eine höhere Version durch:

  • 1.27.5-gke.1647000

Führen Sie ein Upgrade Ihrer Ubuntu-Knotenpools auf eine der folgenden Versionen oder eine höhere Version durch:

  • 1.24.14-gke.1027001
  • 1.25.13-gke.700
  • 1.26.8-gke.700
  • 1.27.5-gke.700
  • 1.28.1-gke.1050000
Hoch

GKE on VMware

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

  • CVE-2023-4015

Wie gehe ich am besten vor?

Ausstehend

GKE on AWS

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

  • CVE-2023-4015

Wie gehe ich am besten vor?

Ausstehend

GKE on Azure

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

  • CVE-2023-4015

Wie gehe ich am besten vor?

Ausstehend

GKE on Bare Metal

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

  • CVE-2023-4015

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Keine

GCP-2023-035

Veröffentlicht: 26.10.2023
Aktualisiert : 21.11.2023, 21.12.2023
Referenz: CVE-2023-4206, CVE-2023-4207, CVE-2023-4208, CVE-2023-4128

Update vom 21.12.2023 : GKE Autopilot-Cluster angeben in der Standardkonfiguration nicht betroffen sind.

Update vom 21.11.2023 : Es wird klargestellt, dass nur die aufgeführten Nebenversionen auf eine entsprechende Patchversion für GKE aktualisiert werden müssen.

GKE

Aktualisiert : 21.11.2023, 21.12.2023

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

  • CVE-2023-4206
  • CVE-2023-4207
  • CVE-2023-4208
  • CVE-2023-4128

Aktualisierung vom 21.12.2023: Im ursprünglichen Bulletin wurde „Autopilot“ angegeben. Cluster sind betroffen, aber das war falsch. GKE Autopilot Cluster in der Standardkonfiguration sind nicht betroffen, könnten aber anfällig sein, wenn Sie explizit das Profil seccomp Unconfined oder CAP_NET_ADMIN zulassen.

Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Update vom 21.11.2023 : Sie müssen nur dann ein Upgrade auf eine der in diesem Bulletin aufgeführten Patchversionen durchführen, wenn Sie diese Nebenversion in Ihren Knoten verwenden. Nicht aufgeführte Nebenversionen sind nicht betroffen.

Führen Sie ein Upgrade Ihrer Knotenpools mit Container-Optimized OS auf eine der folgenden Versionen oder eine höhere Version durch:

  • 1.24.14-gke.1027001
  • 1.25.13-gke.1008000
  • 1.26.8-gke.1647000
  • 1.27.5-gke.200

Führen Sie ein Upgrade Ihrer Ubuntu-Knotenpools auf eine der folgenden Versionen oder eine höhere Version durch:

  • 1.24.14-gke.1027001
  • 1.25.13-gke.1706000
  • 1.26.8-gke.1647000
  • 1.27.5-gke.1648000
  • 1.28.1-gke.1050000
Hoch

GKE on VMware

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

  • CVE-2023-4206
  • CVE-2023-4207
  • CVE-2023-4208
  • CVE-2023-4128

Wie gehe ich am besten vor?

Hoch

GKE on AWS

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

  • CVE-2023-4206
  • CVE-2023-4207
  • CVE-2023-4208
  • CVE-2023-4128

Wie gehe ich am besten vor?

Hoch

GKE on Azure

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

  • CVE-2023-4206
  • CVE-2023-4207
  • CVE-2023-4208
  • CVE-2023-4128

Wie gehe ich am besten vor?

Hoch

GKE on Bare Metal

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

  • CVE-2023-4206
  • CVE-2023-4207
  • CVE-2023-4208
  • CVE-2023-4128

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Hoch

GCP-2023-033

Veröffentlicht: 24.10.2023
Aktualisiert : 21.11.2023, 21.12.2023
Referenz: CVE-2023-3777

Update vom 21.12.2023 : GKE Autopilot-Cluster angeben in der Standardkonfiguration und GKE Sandbox-Arbeitslasten nicht betroffen.

Update vom 21.11.2023 : Es wird klargestellt, dass nur die aufgeführten Nebenversionen auf eine entsprechende Patchversion für GKE aktualisiert werden müssen.

GKE

Aktualisiert : 21.11.2023, 21.12.2023

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

  • CVE-2023-3777

Aktualisierung vom 21.12.2023: Im ursprünglichen Bulletin wurde „Autopilot“ angegeben. Cluster sind betroffen, aber das war falsch. GKE Autopilot Cluster in der Standardkonfiguration sind nicht betroffen, könnten aber anfällig sein, wenn Sie explizit das Profil seccomp Unconfined oder CAP_NET_ADMIN erlauben. GKE Sandbox-Arbeitslasten sind ebenfalls nicht betroffen.

Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind betroffen.

Wie gehe ich am besten vor?

Update vom 21.11.2023 : Sie müssen nur dann ein Upgrade auf eine der in diesem Bulletin aufgeführten Patchversionen durchführen, wenn Sie diese Nebenversion in Ihren Knoten verwenden. Nicht aufgeführte Nebenversionen sind nicht betroffen.

Führen Sie ein Upgrade Ihrer Knotenpools mit Container-Optimized OS auf eine der folgenden Versionen oder eine höhere Version durch:

  • 1.24.16-gke.2200
  • 1.25.12-gke.2200
  • 1.26.7-gke.2200
  • 1.27.4-gke.2300

Führen Sie ein Upgrade Ihrer Ubuntu-Knotenpools auf eine der folgenden Versionen oder eine höhere Version durch:

  • 1.24.17-gke.700
  • 1.25.13-gke.700
  • 1.26.8-gke.700
  • 1.27.5-gke.700
  • 1.28.0-gke.100
Hoch

GKE on VMware

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

  • CVE-2023-3777

Wie gehe ich am besten vor?

GKE on AWS

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

  • CVE-2023-3777

Wie gehe ich am besten vor?

GKE on Azure

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

  • CVE-2023-3777

Wie gehe ich am besten vor?

GKE on Bare Metal

Beschreibung Schweregrad

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

  • CVE-2023-3777

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

GCP-2023-030

Veröffentlicht: 10.10.2023
Aktualisiert: 20.03.2024
Referenz: CVE-2023-44487CVE-2023-39325

Update vom 20.03.2024 : Patchversionen für GKE on AWS und GKE on Azure wurden hinzugefügt.
Aktualisierung vom 14.02.2024 : Patchversionen hinzugefügt für GKE on VMware
Aktualisierung vom 09.11.2023 : CVE-2023-39325 wurde hinzugefügt. Aktualisierte GKE-Versionen mit den neuesten Patches für CVE-2023-44487 und CVE-2023-39325.

GKE

Aktualisiert : 09.11.2023

Beschreibung Schweregrad

Vor Kurzem wurde in mehreren Implementierungen des HTTP/2-Protokolls (CVE-2023-44487) eine DoS-Sicherheitslücke (Denial of Service) entdeckt, darunter auch auf dem von Kubernetes verwendeten Golang-HTTP-Server. Die Sicherheitslücke könnte zu einem DoS der GKE-Steuerungsebene (Google Kubernetes Engine) führen. GKE-Cluster mit konfigurierten autorisierten Netzwerken werden durch die Einschränkung des Netzwerkzugriffs geschützt. Alle anderen Cluster sind jedoch betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 09.11.2023:Wir haben neue Versionen von GKE mit den Go- und Kubernetes-Sicherheitspatches, die Sie können Sie Ihre Cluster jetzt auf „jetzt“ aktualisieren. In den kommenden Wochen werden wir weitere Änderungen an der GKE-Steuerungsebene vornehmen, um dieses Problem weiter zu verringern.

Die folgenden GKE-Versionen wurden mit Patches für CVE-2023-44487 und CVE-2023-39325:

  • 1.24.17-gke.2155000
  • 1.25.14-gke.1474000
  • 1.26.10-gke.1024000
  • 1.27.7-gke.1038000
  • 1.28.3-gke.1090000

Wir empfehlen Ihnen, so schnell wie möglich die folgende Maßnahme anzuwenden und ein Upgrade auf die neueste Patchversion durchzuführen, sobald diese verfügbar ist.

Am 10. Oktober werden Golang-Patches veröffentlicht. Sobald diese Patches verfügbar sind, erstellen und qualifizieren wir einen neuen Kubernetes API-Server und erstellen einen GKE-Patchrelease. Sobald der GKE-Release verfügbar ist, aktualisieren wir dieses Bulletin mit einer Anleitung zur Aktualisierung Ihrer Steuerungsebene. Die Patches werden auch im GKE-Sicherheitsstatus sichtbar, wenn sie für Ihren Cluster verfügbar sind. Wenn du eine Pub/Sub-Benachrichtigung erhalten möchtest, sobald ein Patch für deinen Kanal verfügbar ist, aktiviere Clusterbenachrichtigungen.

Mit der neuesten Funktion Release-Versionen können Sie einen Patch anwenden, ohne das Abo eines Kanals kündigen zu müssen. Auf diese Weise können Sie Ihre Knoten sichern, bis die neue Version zur Standardversion für Ihre Release-spezifische Version wird.

Probleme durch das Konfigurieren autorisierter Netzwerke für den Zugriff auf die Steuerungsebene vermeiden:

Sie können autorisierte Netzwerke für vorhandene Cluster hinzufügen. Weitere Informationen finden Sie unter Autorisiertes Netzwerk für vorhandene Cluster.

Zusätzlich zu den autorisierten Netzwerken, die Sie hinzufügen, gibt es voreingestellte IP-Adressen, die auf die GKE-Steuerungsebene zugreifen können. Weitere Informationen zu diesen Adressen finden Sie unter Zugriff auf Endpunkte der Steuerungsebene. Im Folgenden wird die Clusterisolation zusammengefasst:

  • Private Cluster mit --master-authorized-networks und PSC-basierten Clustern mit konfiguriertem --master-authorized-networks und --no-enable-google-cloud sind am isoliertsten.
  • Öffentliche Legacy-Cluster mit --master-authorized-networks und PSC-basierten Clustern mit konfiguriertem --master-authorized-networks und --enable-google-cloud (Standardeinstellung) sind zusätzlich über Folgendes zugänglich: <ph type="x-smartling-placeholder">
      </ph>
    • Öffentliche IP-Adressen aller Compute Engine-VMs in Google Cloud
    • IP-Adressen der Google Cloud Platform

Welche Sicherheitslücken werden mit diesem Patch behoben?

Über die Sicherheitslücke CVE-2023-44487 können Angreifer einen Denial-of-Service-Angriff auf Knoten der GKE-Steuerungsebene ausführen.

Hoch

GKE on VMware

Aktualisiert : 14.02.2024

Beschreibung Schweregrad

Vor Kurzem wurde in mehreren Implementierungen des HTTP/2-Protokolls (CVE-2023-44487) eine DoS-Sicherheitslücke (Denial of Service) entdeckt, darunter auch auf dem von Kubernetes verwendeten Golang-HTTP-Server. Die Sicherheitslücke könnte zu einem DoS der Kubernetes-Steuerungsebene führen. GKE on VMware erstellt Kubernetes-Cluster, die standardmäßig nicht direkt über das Internet zugänglich sind und vor dieser Sicherheitslücke geschützt sind.

Wie gehe ich am besten vor?

Update vom 14.02.2024 : Die folgenden Versionen von GKE on VMware mit Code zur Behebung dieser Sicherheitslücke aktualisiert. Führen Sie ein Upgrade Ihrer Cluster auf Folgendes durch: Patchversionen oder höher:

  • 1.28.100
  • 1.16.6
  • 1.15.8

Wenn Sie Ihre GKE on VMware-Kubernetes-Cluster so konfiguriert haben, dass sie direkten Zugriff auf das Internet oder andere nicht vertrauenswürdige Netzwerke haben, empfehlen wir Ihnen, mit Ihrem Firewalladministrator zusammenzuarbeiten, um diesen Zugriff zu blockieren oder einzuschränken.

Wir empfehlen, so schnell wie möglich ein Upgrade auf die neueste Patchversion durchzuführen, sobald diese verfügbar ist.

Am 10. Oktober werden Golang-Patches veröffentlicht. Sobald diese Patches verfügbar sind, erstellen und qualifizieren wir einen neuen Kubernetes API-Server und erstellen einen GKE-Patchrelease. Sobald die GKE-Version verfügbar ist, aktualisieren wir dieses Bulletin mit Informationen dazu, auf welche Version Sie ein Upgrade Ihrer Steuerungsebene durchführen sollten.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Über die Sicherheitslücke CVE-2023-44487 können Angreifer einen Denial-of-Service-Angriff auf Knoten der Kubernetes-Steuerungsebene ausführen.

Hoch

GKE on AWS

Beschreibung Schweregrad

Vor Kurzem wurde in mehreren Implementierungen des HTTP/2-Protokolls (CVE-2023-44487) eine DoS-Sicherheitslücke (Denial of Service) entdeckt, darunter auch auf dem von Kubernetes verwendeten Golang-HTTP-Server. Die Sicherheitslücke könnte zu einem DoS der Kubernetes-Steuerungsebene führen. GKE on AWS erstellt private Kubernetes-Cluster, die standardmäßig nicht direkt über das Internet zugänglich sind und vor dieser Sicherheitslücke geschützt sind.

Wie gehe ich am besten vor?

Update vom 20.03.2024:Die folgenden GKE on AWS-Versionen wurden mit Patches für CVE-2023-44487:

  • 1.26.10-gke.600
  • 1.27.7-gke.600
  • 1.28.3-gke.700

Wenn Sie GKE on AWS für direkten Zugriff auf das Internet oder andere nicht vertrauenswürdige Netzwerke konfiguriert haben, empfehlen wir Ihnen, mit Ihrem Firewalladministrator zusammenzuarbeiten, um diesen Zugriff zu blockieren oder einzuschränken.

Wir empfehlen, so schnell wie möglich ein Upgrade auf die neueste Patchversion durchzuführen, sobald diese verfügbar ist.

Am 10. Oktober werden Golang-Patches veröffentlicht. Sobald diese Patches verfügbar sind, erstellen und qualifizieren wir einen neuen Kubernetes API-Server und erstellen einen GKE-Patchrelease. Sobald die GKE-Version verfügbar ist, aktualisieren wir dieses Bulletin mit Informationen dazu, auf welche Version Sie ein Upgrade Ihrer Steuerungsebene durchführen sollten.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Über die Sicherheitslücke CVE-2023-44487 können Angreifer einen Denial-of-Service-Angriff auf Knoten der Kubernetes-Steuerungsebene ausführen.

Hoch

GKE on Azure

Beschreibung Schweregrad

Vor Kurzem wurde in mehreren Implementierungen des HTTP/2-Protokolls (CVE-2023-44487) eine DoS-Sicherheitslücke (Denial of Service) entdeckt, darunter auch auf dem von Kubernetes verwendeten Golang-HTTP-Server. Die Sicherheitslücke könnte zu einem DoS der Kubernetes-Steuerungsebene führen. GKE on Azure erstellt private Kubernetes-Cluster, die standardmäßig nicht direkt über das Internet zugänglich sind und vor dieser Sicherheitslücke geschützt sind.

Wie gehe ich am besten vor?

Update vom 20.03.2024:Die folgenden GKE on Azure-Versionen wurden mit Patches für CVE-2023-44487:

  • 1.26.10-gke.600
  • 1.27.7-gke.600
  • 1.28.3-gke.700

Wenn Sie Ihre GKE on Azure-Cluster so konfiguriert haben, dass sie direkten Zugriff auf das Internet oder andere nicht vertrauenswürdige Netzwerke haben, empfehlen wir Ihnen, mit Ihrem Firewalladministrator zusammenzuarbeiten, um diesen Zugriff zu blockieren oder einzuschränken.

Wir empfehlen, so schnell wie möglich ein Upgrade auf die neueste Patchversion durchzuführen, sobald diese verfügbar ist.

Am 10. Oktober werden Golang-Patches veröffentlicht. Sobald diese Patches verfügbar sind, erstellen und qualifizieren wir einen neuen Kubernetes API-Server und erstellen einen GKE-Patchrelease. Sobald die GKE-Version verfügbar ist, aktualisieren wir dieses Bulletin mit Informationen dazu, auf welche Version Sie ein Upgrade Ihrer Steuerungsebene durchführen sollten.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Über die Sicherheitslücke CVE-2023-44487 können Angreifer einen Denial-of-Service-Angriff auf Knoten der Kubernetes-Steuerungsebene ausführen.

Hoch

GKE on Bare Metal

Beschreibung Schweregrad

Vor Kurzem wurde in mehreren Implementierungen des HTTP/2-Protokolls (CVE-2023-44487) eine DoS-Sicherheitslücke (Denial of Service) entdeckt, darunter auch auf dem von Kubernetes verwendeten Golang-HTTP-Server. Die Sicherheitslücke könnte zu einem DoS der Kubernetes-Steuerungsebene führen. Anthos on Bare Metal erstellt Kubernetes-Cluster, die standardmäßig nicht direkt über das Internet zugänglich sind und vor dieser Sicherheitslücke geschützt sind.

Wie gehe ich am besten vor?

Wenn Sie Ihre Kubernetes-Cluster für Anthos on Bare Metal so konfiguriert haben, dass sie direkten Zugriff auf das Internet oder andere nicht vertrauenswürdige Netzwerke haben, empfehlen wir Ihnen, mit Ihrem Firewalladministrator zusammenzuarbeiten, um diesen Zugriff zu blockieren oder einzuschränken. Weitere Informationen finden Sie in der Übersicht zur Sicherheit von GKE on Bare Metal.

Wir empfehlen, so schnell wie möglich ein Upgrade auf die neueste Patchversion durchzuführen, sobald diese verfügbar ist.

Am 10. Oktober werden Golang-Patches veröffentlicht. Sobald diese Patches verfügbar sind, erstellen und qualifizieren wir einen neuen Kubernetes API-Server und erstellen einen GKE-Patchrelease. Sobald die GKE-Version verfügbar ist, aktualisieren wir dieses Bulletin mit Informationen dazu, auf welche Version Sie ein Upgrade Ihrer Steuerungsebene durchführen sollten.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Über die Sicherheitslücke CVE-2023-44487 können Angreifer einen Denial-of-Service-Angriff auf Knoten der Kubernetes-Steuerungsebene ausführen.

Hoch

GCP-2023-026

Veröffentlicht: 06.09.2023
Referenz: CVE-2023-3676, CVE-2023-3955 CVE-2023-3893

GKE

Beschreibung Schweregrad

In Kubernetes wurden drei Sicherheitslücken (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) festgestellt. Dabei wurden Nutzer, die Pods auf Windows-Knoten erstellen können, möglicherweise Administratorberechtigungen für diese Knoten ausweiten. Diese Sicherheitslücken betreffen die Windows-Versionen von Kubelet und den CSI-Proxy von Kubernetes.

GKE-Cluster sind nur betroffen, wenn sie Windows-Knoten enthalten.

Wie gehe ich am besten vor?

Die folgenden GKE-Versionen wurden mit Code zur Behebung dieses Problems aktualisiert eine Sicherheitslücke. Aus Sicherheitsgründen gilt: Selbst wenn automatische Knotenupgrades aktiviert sind, empfehlen Ihnen, manuelle Umstellung Ihres Cluster- und Knotenpools auf eine der folgenden GKE-Versionen:

  • 1.24.17-gke.200
  • 1.25.13-gke.200
  • 1.26.8-gke.200
  • 1.27.5-gke.200
  • 1.28.1-gke.200

Die GKE-Steuerungsebene wird in der Woche vom 04.09.2023 aktualisiert, um die csi-proxy auf Version 1.1.3. Wenn Sie die Knoten vor dem Aktualisieren der Steuerungsebene aktualisieren, müssen Sie Ihre Knoten nach der Aktualisierung erneut aktualisieren, um die neuen Proxy. Sie können die Knoten wieder aktualisieren, auch ohne die Knotenversion zu ändern, indem Sie den folgenden Befehl ausführen: den Befehl gcloud container clusters upgrade und übergeben Sie den Flag --cluster-version mit derselben GKE-Version wie der Knoten Pool wird bereits ausgeführt. Für diese Problemumgehung müssen Sie die gcloud CLI verwenden. Beachten Sie, dass dadurch unabhängig von Wartungsfenstern.

Eine neue Funktion von Release-Kanäle kannst du einen Patch anwenden, ohne das Abo für einen Kanal kündigen zu müssen. So können Sie Knoten sichern, bis die neue Version zum Standard für Ihr spezifisches Release-Version.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Mit CVE-2023-3676 könnte ein böswilliger Akteur eine Pod-Spezifikation mit Hostpfadstrings erstellen, die PowerShell-Befehle enthalten. Kubelet weist keine Eingabebereinigung auf und besteht an den Befehls-Executor als Argument, wo Teile der als separate Befehle verwenden. Diese Befehle würden mit denselben administrativen Berechtigungen wie Kubelet.

Mit CVE-2023-3955 gewährt Kubelet Nutzern, die Pods erstellen können, die Berechtigung, Code auszuführen auf derselben Berechtigungsebene wie der Kubelet-Agent, privilegierte Berechtigungen.

Wie bei CVE-2023-3893 können Nutzer, die Pods erstellen können, auch ohne Eingabebereinigung Windows-Knoten, auf denen kubernetes-csi-proxy ausgeführt wird, um an Administratorberechtigungen für diese Knoten zu eskalieren.

Kubernetes-Audit-Logs können verwendet werden, um festzustellen, ob diese Sicherheitslücke ausgenutzt wird. Pod create-Ereignisse mit eingebetteten PowerShell-Befehlen sind ein starker Hinweis auf Ausnutzung. ConfigMaps und Secrets, die eingebettete PowerShell-Befehle enthalten und in Pods sind auch ein starker Hinweis auf Ausnutzung.

Hoch

GKE on VMware

Beschreibung Schweregrad

In Kubernetes wurden drei Sicherheitslücken (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) festgestellt. Dabei wurden Nutzer, die Pods auf Windows-Knoten erstellen können, möglicherweise Administratorberechtigungen für diese Knoten ausweiten. Diese Sicherheitslücken betreffen die Windows-Versionen von Kubelet und den CSI-Proxy von Kubernetes.

Cluster sind nur betroffen, wenn sie Windows-Knoten enthalten.

Wie gehe ich am besten vor?

Welche Sicherheitslücken werden mit diesem Patch behoben?

Mit CVE-2023-3676 könnte ein böswilliger Akteur eine Pod-Spezifikation mit Hostpfadstrings erstellen, die PowerShell-Befehle enthalten. Kubelet weist keine Eingabebereinigung auf und besteht an den Befehls-Executor als Argument, wo Teile der als separate Befehle verwenden. Diese Befehle würden mit denselben administrativen Berechtigungen wie Kubelet.

Mit CVE-2023-3955 gewährt Kubelet Nutzern, die Pods erstellen können, die Berechtigung, Code auszuführen auf derselben Berechtigungsebene wie der Kubelet-Agent, privilegierte Berechtigungen.

Wie bei CVE-2023-3893 können Nutzer, die Pods erstellen können, auch ohne Eingabebereinigung Windows-Knoten, auf denen kubernetes-csi-proxy ausgeführt wird, um an Administratorberechtigungen für diese Knoten zu eskalieren.

Kubernetes-Audit-Logs können verwendet werden, um festzustellen, ob diese Sicherheitslücke ausgenutzt wird. Pod create-Ereignisse mit eingebetteten PowerShell-Befehlen sind ein starker Hinweis auf Ausnutzung. ConfigMaps und Secrets, die eingebettete PowerShell-Befehle enthalten und in Pods sind auch ein starker Hinweis auf Ausnutzung.

Hoch

GKE on AWS

Beschreibung Schweregrad

In Kubernetes wurden drei Sicherheitslücken (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) festgestellt. Dabei wurden Nutzer, die Pods auf Windows-Knoten erstellen können, möglicherweise Administratorberechtigungen für diese Knoten ausweiten. Diese Sicherheitslücken betreffen die Windows-Versionen von Kubelet und den CSI-Proxy von Kubernetes.

Wie gehe ich am besten vor?

GKE on AWS ist von diesen CVEs nicht betroffen. Sie müssen nichts weiter tun.

Keine

GKE on Azure

Beschreibung Schweregrad

In Kubernetes wurden drei Sicherheitslücken (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) festgestellt. Dabei wurden Nutzer, die Pods auf Windows-Knoten erstellen können, möglicherweise Administratorberechtigungen für diese Knoten ausweiten. Diese Sicherheitslücken betreffen die Windows-Versionen von Kubelet und den CSI-Proxy von Kubernetes.

Wie gehe ich am besten vor?

GKE on Azure ist von diesen CVEs nicht betroffen. Sie müssen nichts weiter tun.

Keine

GKE on Bare Metal

Beschreibung Schweregrad

In Kubernetes wurden drei Sicherheitslücken (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) festgestellt. Dabei wurden Nutzer, die Pods auf Windows-Knoten erstellen können, möglicherweise Administratorberechtigungen für diese Knoten ausweiten. Diese Sicherheitslücken betreffen die Windows-Versionen von Kubelet und den CSI-Proxy von Kubernetes.

Wie gehe ich am besten vor?

GKE on Bare Metal ist von diesen CVEs nicht betroffen. Sie müssen nichts weiter tun.

Keine

GCP-2023-018

Veröffentlicht: 27.06.2023
Referenz: CVE-2023-2235

GKE

Beschreibung Schweregrad

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-2235) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann. GKE Autopilot-Cluster sind betroffen, da GKE Autopilot-Knoten immer Container-Optimized OS-Knoten-Images verwenden. Betroffen sind GKE-Standardcluster mit Version 1.25 oder höher, auf denen Container-Optimized OS-Knoten-Images ausgeführt werden.

GKE-Cluster sind nicht betroffen, wenn sie nur Ubuntu-Knoten-Images bzw. Versionen vor 1.25 ausführen oder GKE Sandbox verwenden.

Wie gehe ich am besten vor?

Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Aus Sicherheitsgründen empfehlen wir, auch wenn das automatische Knotenupgrade aktiviert ist, ein manuelles Upgrade des Clusters und der Knotenpools auf eine der folgenden GKE-Versionen durchzuführen:

  • 1.25.9-gke.1400
  • 1.26.4-gke.1500
  • 1.27.1-gke.2400

Mit der neuesten Funktion Release-Versionen können Sie einen Patch anwenden, ohne das Abo eines Kanals kündigen zu müssen. Auf diese Weise können Sie Ihre Knoten sichern, bis die neue Version zur Standardversion für Ihre Release-spezifische Version wird.

Welche Sicherheitslücken werden behoben?

Mit CVE-2023-2235 hat die Funktion perf_group_associate nicht die gleichgeordneten Elemente des Ereignisses überprüft. „attach_state“ vor dem Aufrufen von „add_event_to_groups()“, aber „remove_on_exec“ ermöglichte es, „list_del_event()“ vor dem Trennen der Gruppe von der Gruppe aufzurufen. So konnte ein deprimierender Zeiger verwendet werden, der eine Sicherheitslücke nach dem Prinzip „Use-After-Free“ verursachte.

Hoch

GKE on VMware

Beschreibung Schweregrad

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-2235) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann. GKE on VMware-Cluster sind betroffen.

Wie gehe ich am besten vor?

Welche Sicherheitslücken werden behoben?

Mit CVE-2023-2235 hat die Funktion perf_group_associate nicht die gleichgeordneten Elemente des Ereignisses überprüft. „attach_state“ vor dem Aufrufen von „add_event_to_groups()“, aber „remove_on_exec“ ermöglichte es, „list_del_event()“ vor dem Trennen der Gruppe von der Gruppe aufzurufen. So konnte ein deprimierender Zeiger verwendet werden, der eine Sicherheitslücke nach dem Prinzip „Use-After-Free“ verursachte.

Hoch

GKE on AWS

Beschreibung Schweregrad

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-2235) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann. GKE on AWS-Cluster sind betroffen.

Wie gehe ich am besten vor?

Welche Sicherheitslücken werden mit diesem Patch behoben?

Mit CVE-2023-2235 hat die Funktion perf_group_associate nicht die gleichgeordneten Elemente des Ereignisses überprüft. „attach_state“ vor dem Aufrufen von „add_event_to_groups()“, aber „remove_on_exec“ ermöglichte es, „list_del_event()“ vor dem Trennen der Gruppe von der Gruppe aufzurufen. So konnte ein deprimierender Zeiger verwendet werden, der eine Sicherheitslücke nach dem Prinzip „Use-After-Free“ verursachte.

Hoch

GKE on Azure

Beschreibung Schweregrad

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-2235) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann. GKE on Azure-Cluster sind betroffen.

Wie gehe ich am besten vor?

Welche Sicherheitslücken werden mit diesem Patch behoben?

Mit CVE-2023-2235 hat die Funktion perf_group_associate nicht die gleichgeordneten Elemente des Ereignisses überprüft. „attach_state“ vor dem Aufrufen von „add_event_to_groups()“, aber „remove_on_exec“ ermöglichte es, „list_del_event()“ vor dem Trennen der Gruppe von der Gruppe aufzurufen. So konnte ein deprimierender Zeiger verwendet werden, der eine Sicherheitslücke nach dem Prinzip „Use-After-Free“ verursachte.

Hoch

GKE on Bare Metal

Beschreibung Schweregrad

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-2235) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann.

Google Distributed Cloud Virtual for Bare Metal ist von dieser CVE nicht betroffen.

Wie gehe ich am besten vor?

Sie müssen nichts weiter tun.

Keine

GCP-2023-017

Veröffentlicht: 26.06.2023
Aktualisiert: 11.07.2023
Referenz: CVE-2023-31436

Update vom 11.07.2023 : Neue GKE-Versionen wurden aktualisiert und umfassen die neuesten Ubuntu-Versionen, die CVE-2023-31436 patchen.

GKE

Aktualisiert : 11.07.2023

Beschreibung Schweregrad

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-31436) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann. GKE-Cluster, einschließlich Autopilot-Cluster, sind betroffen.

GKE-Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 11. Juli 2023:Ubuntu-Patchversionen sind verfügbar.

Die folgenden GKE-Versionen wurden aktualisiert und enthalten die neueste Ubuntu-Version Versionen, die CVE-2023-31436 patchen:

  • 1.23.17-gke.8200
  • 1.24.14-gke.2600
  • 1.25.10-gke.2700
  • 1.26.5-gke.2700
  • 1.27.2-gke.2700

Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Aus Sicherheitsgründen empfehlen wir, auch wenn das automatische Knotenupgrade aktiviert ist, ein manuelles Upgrade des Clusters und der Knotenpools auf eine der folgenden GKE-Versionen durchzuführen:

  • 1.22.17-gke.11400
  • 1.23.17-gke.6800
  • 1.24.14-gke.1200
  • 1.25.10-gke.1200
  • 1.26.5-gke.1200
  • 1.27.2-gke.1200

Mit der neuesten Funktion Release-Versionen können Sie einen Patch anwenden, ohne das Abo eines Kanals kündigen zu müssen. Auf diese Weise können Sie Ihre Knoten sichern, bis die neue Version zur Standardversion für Ihre Release-spezifische Version wird.

Welche Sicherheitslücken werden behoben?

Bei CVE-2023-31436 wurde im Traffic Control-Subsystem (QoS) des Linux-Kernels eine Schwachstelle für den Speicherzugriff außerhalb des Grenzwerts gefunden, nämlich wie ein Nutzer die Funktion qfq_change_class mit einem falschen MTU-Wert des als lmax verwendeten Netzwerkgeräts auslöst. Dadurch können lokale Nutzer abstürzen oder ihre Berechtigungen auf dem System ausweiten.

Hoch

GKE on VMware

Beschreibung Schweregrad

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-31436) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann. GKE on VMware-Cluster sind betroffen.

Wie gehe ich am besten vor?

Welche Sicherheitslücken werden behoben?

Bei CVE-2023-31436 wurde im Traffic Control-Subsystem (QoS) des Linux-Kernels eine Schwachstelle für den Speicherzugriff außerhalb des Grenzwerts gefunden, nämlich wie ein Nutzer die Funktion qfq_change_class mit einem falschen MTU-Wert des als lmax verwendeten Netzwerkgeräts auslöst. Dadurch können lokale Nutzer abstürzen oder ihre Berechtigungen auf dem System ausweiten.

Hoch

GKE on AWS

Beschreibung Schweregrad

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-31436) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann. GKE on AWS-Cluster sind betroffen.

Wie gehe ich am besten vor?

Welche Sicherheitslücken werden mit diesem Patch behoben?

Bei CVE-2023-31436 wurde im Traffic Control-Subsystem (QoS) des Linux-Kernels eine Schwachstelle für den Speicherzugriff außerhalb des Grenzwerts gefunden, nämlich wie ein Nutzer die Funktion qfq_change_class mit einem falschen MTU-Wert des als lmax verwendeten Netzwerkgeräts auslöst. Dadurch können lokale Nutzer abstürzen oder ihre Berechtigungen auf dem System ausweiten.

Hoch

GKE on Azure

Beschreibung Schweregrad

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-31436) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann. GKE on Azure-Cluster sind betroffen.

Wie gehe ich am besten vor?

Welche Sicherheitslücken werden mit diesem Patch behoben?

Bei CVE-2023-31436 wurde im Traffic Control-Subsystem (QoS) des Linux-Kernels eine Schwachstelle für den Speicherzugriff außerhalb des Grenzwerts gefunden, nämlich wie ein Nutzer die Funktion qfq_change_class mit einem falschen MTU-Wert des als lmax verwendeten Netzwerkgeräts auslöst. Dadurch können lokale Nutzer abstürzen oder ihre Berechtigungen auf dem System ausweiten.

Hoch

GKE on Bare Metal

Beschreibung Schweregrad

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-31436) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann.

Google Distributed Cloud Virtual for Bare Metal ist von dieser CVE nicht betroffen.

Wie gehe ich am besten vor?

Sie müssen nichts weiter tun.

Keine

GCP-2023-016

Veröffentlicht: 26.06.2023
Referenz: CVE-2023-27496 CVE-2023-27488 CVE-2023-27493 CVE-2023-27492, CVE-2023-27491, CVE-2023-27487

GKE

Beschreibung Schweregrad

In Envoy, das in Cloud Service Mesh verwendet wird, wurden eine Reihe von Sicherheitslücken entdeckt (ASM). Diese wurden separat als GCP-2023-002:

GKE wird nicht mit ASM ausgeliefert und ist nicht von diesen Sicherheitslücken betroffen.

Wie gehe ich am besten vor?

Wenn Sie ASM für Ihre GKE-Cluster separat installiert haben, finden Sie weitere Informationen unter GCP-2023-002:

Keine

GKE on VMware

Beschreibung Schweregrad

Mehrere Sicherheitslücken (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487), wurden in Envoy gefunden, das im Cloud Service Mesh in GKE on VMware, wodurch böswillige Angreifer einen Denial of Service oder einen Absturz von Envoy verursachen. Diese wurden separat als GCP-2023-002, aber wir möchten sicherstellen, dass GKE Enterprise-Kunden aktualisieren ihre Versionen, die ASM enthalten.

Wie gehe ich am besten vor?

Die folgenden Versionen von GKE on VMware wurden mit Code aktualisiert, um dieses Problem zu beheben eine Sicherheitslücke. Wir empfehlen ein Upgrade Ihrer Administrator- und Nutzercluster auf einen der folgenden GKE on VMware-Versionen:

  • 1.13.8
  • 1.14.5
  • 1.15.1

Welche Sicherheitslücken werden mit diesem Patch behoben?

CVE-2023-27496: Wenn Envoy mit aktiviertem OAuth-Filter ausgeführt wird, wird ein schädlicher Akteur könnte eine Anfrage erstellen, die durch einen Absturz von Envoy zu einem Denial of Service führt.

CVE-2023-27488: Angreifer können diese Sicherheitslücke nutzen, um Authentifizierungsprüfungen zu umgehen, ext_authz verwendet wird.

CVE-2023-27493: Die Envoy-Konfiguration muss auch eine Option zum Hinzufügen von Anfrageheadern enthalten die mit Eingaben aus der Anfrage generiert wurden, z. B. dem SAN des Peer-Zertifikats.

CVE-2023-27492: Angreifer können große Anfragetexte für Routen mit dem Lua-Filter senden und Abstürze auslösen.

CVE-2023-27491: Angreifer können speziell entwickelte HTTP/2- oder HTTP/3-Anfragen an folgende Adresse senden: lösen Parsing-Fehler im HTTP/1-Upstream-Dienst aus.

CVE-2023-27487: Der Header x-envoy-original-path muss ein interner sein -Header, aber Envoy entfernt diesen Header nicht aus der Anfrage am Anfang Anfrageverarbeitung, wenn sie von einem nicht vertrauenswürdigen Client gesendet wird.

Hoch

GKE on AWS

Beschreibung Schweregrad

Mehrere Sicherheitslücken (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487), wurden in Envoy gefunden, das in Cloud Service Mesh verwendet. Diese wurden separat als GCP-2023-002:

GKE on AWS wird nicht mit ASM ausgeliefert und ist nicht betroffen.

Wie gehe ich am besten vor?

Sie müssen nichts weiter tun.

Keine

GKE on Azure

Beschreibung Schweregrad

Mehrere Sicherheitslücken (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487), wurden in Envoy gefunden, das in Cloud Service Mesh verwendet. Diese wurden separat als GCP-2023-002:

GKE on Azure wird nicht mit ASM ausgeliefert und ist nicht betroffen.

Wie gehe ich am besten vor?

Sie müssen nichts weiter tun.

Keine

GKE on Bare Metal

Beschreibung Schweregrad

Mehrere Sicherheitslücken (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487), wurden in Envoy gefunden, das im Cloud Service Mesh in GKE on Bare Metal verwendet, einen Denial of Service oder einen Absturz von Envoy verursachen. Diese wurden separat als GCP-2023-002, aber wir möchten sicherstellen, dass GKE Enterprise-Kunden aktualisieren ihre Versionen, die ASM enthalten.

Wie gehe ich am besten vor?

Die folgenden Versionen von GKE on Bare Metal wurden mit Code aktualisiert um diese Sicherheitslücke zu schließen. Wir empfehlen ein Upgrade Ihrer Administrator- und Nutzercluster auf eine der folgenden GKE on Bare Metal-Versionen:

  • 1.13.9
  • 1.14.6
  • 1.15.2

Welche Sicherheitslücken werden mit diesem Patch behoben?

CVE-2023-27496: Wenn Envoy mit aktiviertem OAuth-Filter ausgeführt wird, wird ein schädlicher Akteur könnte eine Anfrage erstellen, die durch einen Absturz von Envoy zu einem Denial of Service führt.

CVE-2023-27488: Angreifer können diese Sicherheitslücke nutzen, um Authentifizierungsprüfungen zu umgehen, ext_authz verwendet wird.

CVE-2023-27493: Die Envoy-Konfiguration muss auch eine Option zum Hinzufügen von Anfrageheadern enthalten die mit Eingaben aus der Anfrage generiert wurden, z. B. dem SAN des Peer-Zertifikats.

CVE-2023-27492: Angreifer können große Anfragetexte für Routen mit dem Lua-Filter senden und Abstürze auslösen.

CVE-2023-27491: Angreifer können speziell entwickelte HTTP/2- oder HTTP/3-Anfragen an folgende Adresse senden: lösen Parsing-Fehler im HTTP/1-Upstream-Dienst aus.

CVE-2023-27487: Der Header x-envoy-original-path muss ein interner sein -Header, aber Envoy entfernt diesen Header nicht aus der Anfrage am Anfang Anfrageverarbeitung, wenn sie von einem nicht vertrauenswürdigen Client gesendet wird.

Hoch

GCP-2023-015

Veröffentlicht: 20.06.2023
Referenz: CVE-2023-0468

GKE

Beschreibung Schweregrad

In Version 5.15 des Linux-Kernels wurde eine neue Sicherheitslücke (CVE-2023-0468) entdeckt, die zu einer Dienstverweigerung auf dem Knoten führen kann. GKE-Cluster, einschließlich Autopilot-Cluster, sind betroffen.

GKE-Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Aus Sicherheitsgründen empfehlen wir, auch wenn das automatische Knotenupgrade aktiviert ist, ein manuelles Upgrade des Clusters und der Knotenpools auf eine der folgenden GKE-Versionen durchzuführen:

  • 1.25.7-gke.1200
  • 1.26.2-gke.1200

Mit der neuesten Funktion Release-Versionen können Sie einen Patch anwenden, ohne das Abo eines Kanals kündigen zu müssen. Auf diese Weise können Sie Ihre Knoten sichern, bis die neue Version zur Standardversion für Ihre Release-spezifische Version wird.

Welche Sicherheitslücken werden behoben?

In CVE-2023-0468 wurde in io_uring/poll.c in io_poll_check_events in der Unterkomponente io_uring im Linux-Kernel ein „Use-After-Free“-Fehler gefunden. Dieser Fehler kann zu einer Dereferenzierung des NULL-Zeigers und zu einem Systemabsturz führen, der zu einem Denial of Service führt.

Mittel

GKE on VMware

Beschreibung Schweregrad

In Version 5.15 des Linux-Kernels wurde eine neue Sicherheitslücke (CVE-2023-0468) entdeckt, die zu einer Dienstverweigerung auf dem Knoten führen kann.

GKE on VMware verwendet Version 5.4 des Linux-Kernels und ist von diesem CVE nicht betroffen.

Wie gehe ich am besten vor?

  • Es sind keine Maßnahmen erforderlich.
Keine

GKE on AWS

Beschreibung Schweregrad

In Version 5.15 des Linux-Kernels wurde eine neue Sicherheitslücke (CVE-2023-0468) entdeckt, die zu einer Dienstverweigerung auf dem Knoten führen kann.

GKE on AWS ist von diesem CVE nicht betroffen.

Wie gehe ich am besten vor?

  • Es sind keine Maßnahmen erforderlich.
Keine

GKE on Azure

Beschreibung Schweregrad

In Version 5.15 des Linux-Kernels wurde eine neue Sicherheitslücke (CVE-2023-0468) entdeckt, die zu einer Dienstverweigerung auf dem Knoten führen kann.

GKE on Azure ist von diesem CVE nicht betroffen.

Wie gehe ich am besten vor?

  • Es sind keine Maßnahmen erforderlich.
Keine

GKE on Bare Metal

Beschreibung Schweregrad

In Version 5.15 des Linux-Kernels wurde eine neue Sicherheitslücke (CVE-2023-0468) entdeckt, die zu einer Dienstverweigerung auf dem Knoten führen kann.

Google Distributed Cloud Virtual for Bare Metal ist von dieser CVE nicht betroffen.

Wie gehe ich am besten vor?

  • Es sind keine Maßnahmen erforderlich.
Keine

GCP-2023-014

Veröffentlicht: 15.06.2023
Aktualisiert: 11.08.2023
Referenz: CVE-2023-2727, CVE-2023-2728

Update vom 11.08.2023 : Patchversionen für GKE on VMware, GKE on AWS, GKE on Azure und GKE on Bare Metal wurden hinzugefügt.

GKE

Beschreibung Schweregrad

In Kubernetes wurden zwei neue Sicherheitsprobleme gefunden: Nutzer können möglicherweise Container starten, die Richtlinieneinschränkungen umgehen, wenn sie sitzungsspezifische Container und entweder ImagePolicyWebhook (CVE-2023-2727) oder das ServiceAccount Admission-Plug-in (CVE-2023-2728) verwenden.

GKE verwendet keinen ImagePolicyWebhook und ist nicht von CVE-2023-2727 betroffen.

Alle GKE-Versionen sind potenziell anfällig für CVE-2023-2728.

Wie gehe ich am besten vor?

Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Aus Sicherheitsgründen empfehlen wir, auch wenn das automatische Knotenupgrade aktiviert ist, ein manuelles Upgrade des Clusters und der Knotenpools auf eine der folgenden GKE-Versionen durchzuführen:

  • 1.27.2-gke.1200
  • 1.26.5-gke.1200
  • 1.25.10-gke.1200
  • 1.24.14-gke.1200
  • 1.23.17-gke.6800

Mit der neuesten Funktion Release-Versionen können Sie einen Patch anwenden, ohne das Abo eines Kanals kündigen zu müssen. Auf diese Weise können Sie Ihre Knoten sichern, bis die neue Version als Standard für Ihre spezifische Release-Version verwendet wird.

Welche Sicherheitslücken werden behoben?

Mit CVE-2023-2727 können Nutzer Container mit Images starten, die durch ImagePolicyWebhook eingeschränkt sind, wenn sie sitzungsspezifische Container verwenden. Kubernetes-Cluster sind nur betroffen, wenn das Zulassungs-Plug-in ImagePolicyWebhook mit sitzungsspezifischen Containern verwendet wird. Dieses CVE kann auch durch die Verwendung von Validierungs-Webhooks wie Gatekeeper und Kyverno abgemildert werden, um dieselben Einschränkungen zu erzwingen.

In CVE-2023-2728 können Nutzer möglicherweise Container starten, die die vom ServiceAccount Admission-Plug-in erzwungene Richtlinie für mountbare Secrets umgehen, wenn sie sitzungsspezifische Container verwenden. Die Richtlinie sorgt dafür, dass Pods, die mit einem Dienstkonto ausgeführt werden, nur auf Secrets verweisen dürfen, die im Feld „Secrets“ des Dienstkontos angegeben sind. Cluster sind in folgenden Fällen von dieser Sicherheitslücke betroffen:

  • Das Zulassungs-Plug-in „ServiceAccount“ wird verwendet.
  • Die Annotation „kubernetes.io/enforce-mountable-secrets“ wird von einem Dienstkonto verwendet. Diese Anmerkung wird nicht standardmäßig hinzugefügt.
  • Pods verwenden sitzungsspezifische Container.
Mittel

GKE on VMware

Aktualisiert : 11.08.2023

Beschreibung Schweregrad

In Kubernetes wurden zwei neue Sicherheitsprobleme gefunden: Nutzer können möglicherweise Container starten, die Richtlinieneinschränkungen umgehen, wenn sie sitzungsspezifische Container und entweder ImagePolicyWebhook (CVE-2023-2727) oder das ServiceAccount Admission-Plug-in (CVE-2023-2728) verwenden. Anthos auf VMware verwendet keinen ImagePolicyWebhook und ist nicht von CVE-2023-2727 betroffen.

Alle Versionen von Anthos on VMware sind potenziell anfällig für CVE-2023-2728.

Wie gehe ich am besten vor?

Update vom 11.08.2023:Die folgenden Versionen von GKE on VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Führen Sie ein Upgrade Ihrer Administrator- und Nutzercluster auf eine der folgenden GKE on VMware-Versionen durch:

  • 1.13.10
  • 1.14.6
  • 1.15.3

Welche Sicherheitslücken werden behoben?

Mit CVE-2023-2727 können Nutzer Container mit Images starten, die durch ImagePolicyWebhook eingeschränkt sind, wenn sie sitzungsspezifische Container verwenden. Kubernetes-Cluster sind nur betroffen, wenn das Zulassungs-Plug-in ImagePolicyWebhook mit sitzungsspezifischen Containern verwendet wird. Dieses CVE kann auch durch die Verwendung von Validierungs-Webhooks wie Gatekeeper und Kyverno abgemildert werden, um dieselben Einschränkungen zu erzwingen.

In CVE-2023-2728 können Nutzer möglicherweise Container starten, die die vom ServiceAccount Admission-Plug-in erzwungene Richtlinie für mountbare Secrets umgehen, wenn sie sitzungsspezifische Container verwenden. Die Richtlinie sorgt dafür, dass Pods, die mit einem Dienstkonto ausgeführt werden, nur auf Secrets verweisen dürfen, die im Feld „Secrets“ des Dienstkontos angegeben sind. Cluster sind in folgenden Fällen von dieser Sicherheitslücke betroffen:

  • Das Zulassungs-Plug-in „ServiceAccount“ wird verwendet.
  • Die Annotation „kubernetes.io/enforce-mountable-secrets“ wird von einem Dienstkonto verwendet. Diese Anmerkung wird nicht standardmäßig hinzugefügt.
  • Pods verwenden sitzungsspezifische Container.
Mittel

GKE on AWS

Aktualisiert : 11.08.2023

Beschreibung Schweregrad

In Kubernetes wurden zwei neue Sicherheitsprobleme gefunden: Nutzer können möglicherweise Container starten, die Richtlinieneinschränkungen umgehen, wenn sie sitzungsspezifische Container und entweder ImagePolicyWebhook (CVE-2023-2727) oder das ServiceAccount Admission-Plug-in (CVE-2023-2728) verwenden.
Anthos on AWS verwendet keinen ImagePolicyWebhook und ist nicht von CVE-2023-2727 betroffen.
Alle Versionen von Anthos on AWS sind potenziell anfällig für CVE-2023-2728.

Wie gehe ich am besten vor?

Update vom 11.08.2023:Die folgende Version von GKE on AWS wurde mit Code zum Beheben dieser Sicherheitslücke aktualisiert. Führen Sie ein Upgrade Ihrer Knoten auf die folgende GKE on AWS-Version durch:

  • 1.15.2

Welche Sicherheitslücken werden behoben?

Mit CVE-2023-2727 können Nutzer Container mit Images starten, die durch ImagePolicyWebhook eingeschränkt sind, wenn sie sitzungsspezifische Container verwenden. Kubernetes-Cluster sind nur betroffen, wenn das Zulassungs-Plug-in ImagePolicyWebhook mit sitzungsspezifischen Containern verwendet wird. Dieses CVE kann auch durch die Verwendung von Validierungs-Webhooks wie Gatekeeper und Kyverno abgemildert werden, um dieselben Einschränkungen zu erzwingen.

In CVE-2023-2728 können Nutzer möglicherweise Container starten, die die vom ServiceAccount Admission-Plug-in erzwungene Richtlinie für mountbare Secrets umgehen, wenn sie sitzungsspezifische Container verwenden. Die Richtlinie sorgt dafür, dass Pods, die mit einem Dienstkonto ausgeführt werden, nur auf Secrets verweisen dürfen, die im Feld „Secrets“ des Dienstkontos angegeben sind. Cluster sind in folgenden Fällen von dieser Sicherheitslücke betroffen:

  • Das Zulassungs-Plug-in „ServiceAccount“ wird verwendet.
  • Die Annotation „kubernetes.io/enforce-mountable-secrets“ wird von einem Dienstkonto verwendet. Diese Anmerkung wird nicht standardmäßig hinzugefügt.
  • Pods verwenden sitzungsspezifische Container.
Mittel

GKE on Azure

Aktualisiert : 11.08.2023

Beschreibung Schweregrad

In Kubernetes wurden zwei neue Sicherheitsprobleme gefunden: Nutzer können möglicherweise Container starten, die Richtlinieneinschränkungen umgehen, wenn sie sitzungsspezifische Container und entweder ImagePolicyWebhook (CVE-2023-2727) oder das ServiceAccount Admission-Plug-in (CVE-2023-2728) verwenden.
Anthos on Azure verwendet keinen ImagePolicyWebhook und ist nicht von CVE-2023-2727 betroffen.
Alle Versionen von Anthos on Azure sind potenziell anfällig für CVE-2023-2728.

Wie gehe ich am besten vor?

Update vom 11.08.2023:Die folgende Version von GKE on Azure wurde mit Code zum Beheben dieser Sicherheitslücke aktualisiert. Führen Sie ein Upgrade Ihrer Knoten auf die folgende GKE on Azure-Version durch:

  • 1.15.2

Welche Sicherheitslücken werden behoben?

Mit CVE-2023-2727 können Nutzer Container mit Images starten, die durch ImagePolicyWebhook eingeschränkt sind, wenn sie sitzungsspezifische Container verwenden. Kubernetes-Cluster sind nur betroffen, wenn das Zulassungs-Plug-in ImagePolicyWebhook mit sitzungsspezifischen Containern verwendet wird. Dieses CVE kann auch durch die Verwendung von Validierungs-Webhooks wie Gatekeeper und Kyverno abgemildert werden, um dieselben Einschränkungen zu erzwingen.

In CVE-2023-2728 können Nutzer möglicherweise Container starten, die die vom ServiceAccount Admission-Plug-in erzwungene Richtlinie für mountbare Secrets umgehen, wenn sie sitzungsspezifische Container verwenden. Die Richtlinie sorgt dafür, dass Pods, die mit einem Dienstkonto ausgeführt werden, nur auf Secrets verweisen dürfen, die im Feld „Secrets“ des Dienstkontos angegeben sind. Cluster sind in folgenden Fällen von dieser Sicherheitslücke betroffen:

  • Das Zulassungs-Plug-in „ServiceAccount“ wird verwendet.
  • Die Annotation „kubernetes.io/enforce-mountable-secrets“ wird von einem Dienstkonto verwendet. Diese Anmerkung wird nicht standardmäßig hinzugefügt.
  • Pods verwenden sitzungsspezifische Container.
Mittel

GKE on Bare Metal

Aktualisiert : 11.08.2023

Beschreibung Schweregrad

In Kubernetes wurden zwei neue Sicherheitsprobleme gefunden: Nutzer können möglicherweise Container starten, die Richtlinieneinschränkungen umgehen, wenn sie sitzungsspezifische Container und entweder ImagePolicyWebhook (CVE-2023-2727) oder das ServiceAccount Admission-Plug-in (CVE-2023-2728) verwenden.
Anthos on Bare Metal verwendet keinen ImagePolicyWebhook und ist nicht von CVE-2023-2727 betroffen.
Alle Versionen von Anthos on Bare Metal sind möglicherweise anfällig für CVE-2023-2728.

Wie gehe ich am besten vor?

Update vom 11.08.2023:Die folgenden Versionen von Google Distributed Cloud Virtual for Bare Metal wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Führen Sie ein Upgrade Ihrer Knoten auf eine der folgenden Versionen von Google Distributed Cloud Virtual for Bare Metal durch:

  • 1.13.9
  • 1.14.7
  • 1.15.3

Welche Sicherheitslücken werden behoben?

Mit CVE-2023-2727 können Nutzer Container mit Images starten, die durch ImagePolicyWebhook eingeschränkt sind, wenn sie sitzungsspezifische Container verwenden. Kubernetes-Cluster sind nur betroffen, wenn das Zulassungs-Plug-in ImagePolicyWebhook mit sitzungsspezifischen Containern verwendet wird. Dieses CVE kann auch durch die Verwendung von Validierungs-Webhooks wie Gatekeeper und Kyverno abgemildert werden, um dieselben Einschränkungen zu erzwingen.

In CVE-2023-2728 können Nutzer möglicherweise Container starten, die die vom ServiceAccount Admission-Plug-in erzwungene Richtlinie für mountbare Secrets umgehen, wenn sie sitzungsspezifische Container verwenden. Die Richtlinie sorgt dafür, dass Pods, die mit einem Dienstkonto ausgeführt werden, nur auf Secrets verweisen dürfen, die im Feld „Secrets“ des Dienstkontos angegeben sind. Cluster sind in folgenden Fällen von dieser Sicherheitslücke betroffen:

  • Das Zulassungs-Plug-in „ServiceAccount“ wird verwendet.
  • Die Annotation „kubernetes.io/enforce-mountable-secrets“ wird von einem Dienstkonto verwendet. Diese Anmerkung wird nicht standardmäßig hinzugefügt.
  • Pods verwenden sitzungsspezifische Container.
Mittel

GCP-2023-009

Veröffentlicht: 06.06.2023
Referenz: CVE-2023-2878

GKE

Beschreibung Schweregrad

Im Secrets-store-csi-driver wurde eine neue Sicherheitslücke (CVE-2023-2878) entdeckt, durch die ein Nutzer mit Zugriff auf die Treiberlogs Dienstkonto-Tokens beobachten konnte. Diese Tokens können dann potenziell mit externen Cloud-Anbietern ausgetauscht werden, um auf Secrets zuzugreifen, die in Cloud Vault-Lösungen gespeichert sind.

GKE ist von diesem CVE nicht betroffen.

Wie gehe ich am besten vor?

GKE ist zwar nicht betroffen, aber wenn Sie die Komponente "secrets-store-csi-driver" installiert haben, sollten Sie Ihre Installation mit einer Patchversion aktualisieren.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Die Sicherheitslücke CVE-2023-2878 wurde in "secrets-store-csi-driver" gefunden. Nutzer mit Zugriff auf die Treiberlogs konnten Dienstkonto-Tokens beobachten. Diese Tokens können dann potenziell mit externen Cloud-Anbietern ausgetauscht werden, um auf Secrets zuzugreifen, die in Cloud Vault-Lösungen gespeichert sind. Tokens werden nur protokolliert, wenn TokenRequests im CSIDriver-Objekt konfiguriert und der Treiber über das Flag „-v“ auf Logebene 2 oder höher ausgeführt wird.

Keine

GKE on VMware

Beschreibung Schweregrad

Im Secrets-store-csi-driver wurde eine neue Sicherheitslücke (CVE-2023-2878) entdeckt, durch die ein Nutzer mit Zugriff auf die Treiberlogs Dienstkonto-Tokens beobachten konnte. Diese Tokens können dann potenziell mit externen Cloud-Anbietern ausgetauscht werden, um auf Secrets zuzugreifen, die in Cloud Vault-Lösungen gespeichert sind.

GKE on VMware ist von diesem CVE nicht betroffen.

Wie gehe ich am besten vor?

GKE on VMware ist zwar nicht betroffen, aber wenn Sie die Komponente „secrets-store-csi-driver“ installiert haben, sollten Sie Ihre Installation mit einer Patchversion aktualisieren.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Die Sicherheitslücke CVE-2023-2878 wurde in "secrets-store-csi-driver" gefunden. Nutzer mit Zugriff auf die Treiberlogs konnten Dienstkonto-Tokens beobachten. Diese Tokens können dann potenziell mit externen Cloud-Anbietern ausgetauscht werden, um auf Secrets zuzugreifen, die in Cloud Vault-Lösungen gespeichert sind. Tokens werden nur protokolliert, wenn TokenRequests im CSIDriver-Objekt konfiguriert und der Treiber über das Flag „-v“ auf Logebene 2 oder höher ausgeführt wird.

Keine

GKE on AWS

Beschreibung Schweregrad

Im Secrets-store-csi-driver wurde eine neue Sicherheitslücke (CVE-2023-2878) entdeckt, durch die ein Nutzer mit Zugriff auf die Treiberlogs Dienstkonto-Tokens beobachten konnte. Diese Tokens können dann potenziell mit externen Cloud-Anbietern ausgetauscht werden, um auf Secrets zuzugreifen, die in Cloud Vault-Lösungen gespeichert sind.

GKE on AWS ist von diesem CVE nicht betroffen.

Wie gehe ich am besten vor?

GKE on AWS ist zwar nicht betroffen, aber wenn Sie die Komponente „secrets-store-csi-driver“ installiert haben, sollten Sie Ihre Installation mit einer Patchversion aktualisieren.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Die Sicherheitslücke CVE-2023-2878 wurde in "secrets-store-csi-driver" gefunden. Nutzer mit Zugriff auf die Treiberlogs konnten Dienstkonto-Tokens beobachten. Diese Tokens können dann potenziell mit externen Cloud-Anbietern ausgetauscht werden, um auf Secrets zuzugreifen, die in Cloud Vault-Lösungen gespeichert sind. Tokens werden nur protokolliert, wenn TokenRequests im CSIDriver-Objekt konfiguriert und der Treiber über das Flag „-v“ auf Logebene 2 oder höher ausgeführt wird.

Keine

GKE on Azure

Beschreibung Schweregrad

Im Secrets-store-csi-driver wurde eine neue Sicherheitslücke (CVE-2023-2878) entdeckt, durch die ein Nutzer mit Zugriff auf die Treiberlogs Dienstkonto-Tokens beobachten konnte. Diese Tokens können dann potenziell mit externen Cloud-Anbietern ausgetauscht werden, um auf Secrets zuzugreifen, die in Cloud Vault-Lösungen gespeichert sind.

GKE on Azure ist von dieser CVE nicht betroffen

Wie gehe ich am besten vor?

GKE on Azure ist zwar nicht betroffen, aber wenn Sie die Komponente „secrets-store-csi-driver“ installiert haben, sollten Sie Ihre Installation mit einer Patchversion aktualisieren.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Die Sicherheitslücke CVE-2023-2878 wurde in "secrets-store-csi-driver" gefunden. Nutzer mit Zugriff auf die Treiberlogs konnten Dienstkonto-Tokens beobachten. Diese Tokens können dann potenziell mit externen Cloud-Anbietern ausgetauscht werden, um auf Secrets zuzugreifen, die in Cloud Vault-Lösungen gespeichert sind. Tokens werden nur protokolliert, wenn TokenRequests im CSIDriver-Objekt konfiguriert und der Treiber über das Flag „-v“ auf Logebene 2 oder höher ausgeführt wird.

Keine

GKE on Bare Metal

Beschreibung Schweregrad

Im Secrets-store-csi-driver wurde eine neue Sicherheitslücke (CVE-2023-2878) entdeckt, durch die ein Nutzer mit Zugriff auf die Treiberlogs Dienstkonto-Tokens beobachten konnte. Diese Tokens können dann potenziell mit externen Cloud-Anbietern ausgetauscht werden, um auf Secrets zuzugreifen, die in Cloud Vault-Lösungen gespeichert sind.

GKE on Bare Metal ist von dieser CVE nicht betroffen.

Wie gehe ich am besten vor?

GKE on Bare Metal ist zwar nicht betroffen, aber wenn Sie die Komponente „secrets-store-csi-driver“ installiert haben, sollten Sie Ihre Installation mit einer Patchversion aktualisieren

Welche Sicherheitslücken werden mit diesem Patch behoben?

Die Sicherheitslücke CVE-2023-2878 wurde in "secrets-store-csi-driver" gefunden. Nutzer mit Zugriff auf die Treiberlogs konnten Dienstkonto-Tokens beobachten. Diese Tokens können dann potenziell mit externen Cloud-Anbietern ausgetauscht werden, um auf Secrets zuzugreifen, die in Cloud Vault-Lösungen gespeichert sind. Tokens werden nur protokolliert, wenn TokenRequests im CSIDriver-Objekt konfiguriert und der Treiber über das Flag „-v“ auf Logebene 2 oder höher ausgeführt wird.

Keine

GCP-2023-008

Veröffentlicht: 05.06.2023
Referenz: CVE-2023-1872

GKE

Beschreibung Schweregrad

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-1872) entdeckt, die zu einer Rechteausweitung auf das Stammverzeichnis des Knotens führen kann. GKE Standard- und Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Aus Sicherheitsgründen empfehlen wir, auch wenn das automatische Knotenupgrade aktiviert ist, ein manuelles Upgrade des Clusters und der Knotenpools auf eine der folgenden GKE-Versionen durchzuführen:

  • 1.22.17-gke.11400
  • 1.23.17-gke.5600
  • 1.24.13-gke.2500
  • 1.25.9-gke.2300
  • 1.26.5-gke.1200

Mit der neuesten Funktion Release-Versionen können Sie einen Patch anwenden, ohne das Abo eines Kanals kündigen zu müssen. Auf diese Weise können Sie Ihre Knoten sichern, bis die neue Version zur Standardversion für Ihre Release-spezifische Version wird.

Welche Sicherheitslücken werden mit diesem Patch behoben?

CVE-2023-1872 ist eine Sicherheitslücke im io_uring-Subsystem des Linux-Kernels, die zur lokalen Rechteausweitung ausgenutzt werden kann. In der io_file_get_fixed-Funktion fehlt ctx->uring_lock. Dies kann zu einer Use-After-Free-Sicherheitslücke führen, da eine Race-Bedingung bei der Aufhebung der Registrierung von festen Dateien zur Folge haben kann.

Hoch

GKE on VMware

Beschreibung Schweregrad

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-1872) entdeckt, die zu einer Rechteausweitung auf das Stammverzeichnis des Knotens führen kann.

Wie gehe ich am besten vor?

Welche Sicherheitslücken werden mit diesem Patch behoben?

CVE-2023-1872 ist eine Sicherheitslücke im io_uring-Subsystem des Linux-Kernels, die zur lokalen Rechteausweitung ausgenutzt werden kann. In der io_file_get_fixed-Funktion fehlt ctx->uring_lock. Dies kann zu einer Use-After-Free-Sicherheitslücke führen, da eine Race-Bedingung bei der Aufhebung der Registrierung von festen Dateien zur Folge haben kann.

Hoch

GKE on AWS

Beschreibung Schweregrad

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-1872) entdeckt, die zu einer Rechteausweitung auf das Stammverzeichnis des Knotens führen kann.

Wie gehe ich am besten vor?

Die folgenden Versionen von GKE on AWS wurden mit Code aktualisiert, um diese Sicherheitslücken zu beheben:

  • 1.15.1
  • Welche Sicherheitslücken werden mit diesem Patch behoben?

    CVE-2023-1872 ist eine Sicherheitslücke im io_uring-Subsystem des Linux-Kernels, die zur lokalen Rechteausweitung ausgenutzt werden kann. In der io_file_get_fixed-Funktion fehlt ctx->uring_lock. Dies kann zu einer Use-After-Free-Sicherheitslücke führen, da eine Race-Bedingung bei der Aufhebung der Registrierung von festen Dateien zur Folge haben kann.

    Hoch

    GKE on Azure

    Beschreibung Schweregrad

    Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-1872) entdeckt, die zu einer Rechteausweitung auf das Stammverzeichnis des Knotens führen kann.

    Wie gehe ich am besten vor?

    Die folgenden Versionen von GKE on Azure wurden mit Code zum Beheben dieser Sicherheitslücken aktualisiert:

  • 1.15.1
  • Welche Sicherheitslücken werden mit diesem Patch behoben?

    CVE-2023-1872 ist eine Sicherheitslücke im io_uring-Subsystem des Linux-Kernels, die zur lokalen Rechteausweitung ausgenutzt werden kann. In der io_file_get_fixed-Funktion fehlt ctx->uring_lock. Dies kann zu einer Use-After-Free-Sicherheitslücke führen, da eine Race-Bedingung bei der Aufhebung der Registrierung von festen Dateien zur Folge haben kann.

    Hoch

    GKE on Bare Metal

    Beschreibung Schweregrad

    Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-1872) entdeckt, die zu einer Rechteausweitung auf das Stammverzeichnis des Knotens führen kann.

    GKE on Bare Metal ist von dieser CVE nicht betroffen.

    Wie gehe ich am besten vor?

    Es sind keine weiteren Schritte erforderlich.

    Keine

    GCP-2023-005

    Veröffentlicht: 18.05.2023
    Aktualisiert: 06.06.2023
    Referenz: CVE-2023-1281, CVE-2023-1829

    Update vom 06.06.2023 : Neue GKE-Versionen wurden aktualisiert und enthalten die neuesten Ubuntu-Versionen, die CVE-2023-1281 und CVE-2023-1829 patchen.

    GKE

    Aktualisiert : 06.06.2023

    Beschreibung Schweregrad

    Im Linux-Kernel wurden zwei neue Sicherheitslücken (CVE-2023-1281, CVE-2023-1829) gefunden, die zu einer Rechteausweitung auf das Stammverzeichnis des Knotens führen können. GKE Standard-Cluster sind betroffen.

    GKE Autopilot-Cluster und -Cluster mit GKE Sandbox sind nicht betroffen.

    Wie gehe ich am besten vor?

    Update vom 06.06.2023:Ubuntu-Patchversionen sind verfügbar.

    Die folgenden GKE-Versionen wurden aktualisiert und enthalten die neuesten Ubuntu-Versionen, die CVE-2023-1281 und CVE-2023-1829 patchen:

    • 1.23.17-gke.6800
    • 1.24.14-gke.1200
    • 1.25.10-gke.1200
    • 1.26.5-gke.1200

    Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Aus Sicherheitsgründen empfehlen wir, auch wenn das automatische Knotenupgrade aktiviert ist, ein manuelles Upgrade des Clusters und der Knotenpools auf eine der folgenden GKE-Versionen durchzuführen:

    • 1.22.17-gke.8100
    • 1.23.17-gke.2300
    • 1.24.12-gke.1100
    • 1.25.8-gke.1000
    • 1.26.3-gke.1000

    Mit der neuesten Funktion Release-Versionen können Sie einen Patch anwenden, ohne das Abo eines Kanals kündigen zu müssen. Auf diese Weise können Sie Ihre Knoten sichern, bis die neue Version zur Standardversion für Ihre Release-spezifische Version wird.

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    Sowohl CVE-2023-1281 als auch CVE-2023-1829 sind Sicherheitslücken im Linux-Kernel-Traffic Control Index (tcindex), die zur Ausweitung lokaler Berechtigungen ausgenutzt werden können.

    Bei CVE-2023-1829 werden Filter in bestimmten Fällen durch die Funktion „tcindex_delete“ nicht ordnungsgemäß deaktiviert, was später zu einer doppelten Freigabe einer Datenstruktur führen kann.

    In CVE-2023-1281 kann der nicht perfekte Hashbereich aktualisiert werden, während Pakete durchlaufen werden. Dies führt zu einer Use-After-Free-Funktion, wenn tcf_exts_exec() mit dem gelöschten tcf_ext aufgerufen wird. Ein lokaler Angreifer kann diese Sicherheitslücke nutzen, um seine Root-Berechtigungen auszuweiten.

    Hoch

    GKE on VMware

    Beschreibung Schweregrad

    Im Linux-Kernel wurden zwei neue Sicherheitslücken (CVE-2023-1281, CVE-2023-1829) gefunden, die zu einer Rechteausweitung auf das Stammverzeichnis des Knotens führen können.

    Wie gehe ich am besten vor?

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    Sowohl CVE-2023-1281 als auch CVE-2023-1829 sind Sicherheitslücken im Linux-Kernel-Traffic Control Index (tcindex), die zur Ausweitung lokaler Berechtigungen ausgenutzt werden können.

    Bei CVE-2023-1829 werden Filter in bestimmten Fällen durch die Funktion „tcindex_delete“ nicht ordnungsgemäß deaktiviert, was später zu einer doppelten Freigabe einer Datenstruktur führen kann.

    In CVE-2023-1281 kann der nicht perfekte Hashbereich aktualisiert werden, während Pakete durchlaufen werden. Dies führt zu einer Use-After-Free-Funktion, wenn tcf_exts_exec() mit dem gelöschten tcf_ext aufgerufen wird. Ein lokaler Angreifer kann diese Sicherheitslücke nutzen, um seine Root-Berechtigungen auszuweiten.

    Hoch

    GKE on AWS

    Beschreibung Schweregrad

    Im Linux-Kernel wurden zwei neue Sicherheitslücken (CVE-2023-1281, CVE-2023-1829) gefunden, die zu einer Rechteausweitung auf das Stammverzeichnis des Knotens führen können.

    Wie gehe ich am besten vor?

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    Sowohl CVE-2023-1281 als auch CVE-2023-1829 sind Sicherheitslücken im Linux-Kernel-Traffic Control Index (tcindex), die zur Ausweitung lokaler Berechtigungen ausgenutzt werden können.

    Bei CVE-2023-1829 werden Filter in bestimmten Fällen durch die Funktion „tcindex_delete“ nicht ordnungsgemäß deaktiviert, was später zu einer doppelten Freigabe einer Datenstruktur führen kann.

    In CVE-2023-1281 kann der nicht perfekte Hashbereich aktualisiert werden, während Pakete durchlaufen werden. Dies führt zu einer Use-After-Free-Funktion, wenn tcf_exts_exec() mit dem gelöschten tcf_ext aufgerufen wird. Ein lokaler Angreifer kann diese Sicherheitslücke nutzen, um seine Root-Berechtigungen auszuweiten.

    Hoch

    GKE on Azure

    Beschreibung Schweregrad

    Im Linux-Kernel wurden zwei neue Sicherheitslücken (CVE-2023-1281, CVE-2023-1829) gefunden, die zu einer Rechteausweitung auf das Stammverzeichnis des Knotens führen können.

    Wie gehe ich am besten vor?

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    Sowohl CVE-2023-1281 als auch CVE-2023-1829 sind Sicherheitslücken im Linux-Kernel-Traffic Control Index (tcindex), die zur Ausweitung lokaler Berechtigungen ausgenutzt werden können.

    Bei CVE-2023-1829 werden Filter in bestimmten Fällen durch die Funktion „tcindex_delete“ nicht ordnungsgemäß deaktiviert, was später zu einer doppelten Freigabe einer Datenstruktur führen kann.

    In CVE-2023-1281 kann der nicht perfekte Hashbereich aktualisiert werden, während Pakete durchlaufen werden. Dies führt zu einer Use-After-Free-Funktion, wenn tcf_exts_exec() mit dem gelöschten tcf_ext aufgerufen wird. Ein lokaler Angreifer kann diese Sicherheitslücke nutzen, um seine Root-Berechtigungen auszuweiten.

    Hoch

    GKE on Bare Metal

    Beschreibung Schweregrad

    Im Linux-Kernel wurden zwei neue Sicherheitslücken (CVE-2023-1281, CVE-2023-1829) gefunden, die zu einer Rechteausweitung auf das Stammverzeichnis des Knotens führen können.

    GKE on Bare Metal ist von diesem CVE nicht betroffen.

    Wie gehe ich am besten vor?

    Es sind keine weiteren Schritte erforderlich.

    Keine

    GCP-2023-003

    Veröffentlicht: 11.04.2023
    Aktualisiert: 21.12.2023
    Referenz: CVE-2023-0240, CVE-2023-23586

    Update vom 21.12.2023 : GKE Autopilot-Cluster angeben in der Standardkonfiguration nicht betroffen sind.

    GKE

    Aktualisiert : 21.12.2023

    Beschreibung Schweregrad

    Aktualisierung vom 21.12.2023: Im ursprünglichen Bulletin wurde „Autopilot“ angegeben. Cluster sind betroffen, aber das war falsch. GKE Autopilot Cluster in der Standardkonfiguration sind nicht betroffen, könnten aber anfällig sein, wenn Sie explizit das Profil seccomp Unconfined oder CAP_NET_ADMIN zulassen.

    Die beiden neuen Sicherheitslücken CVE-2023-0240 und CVE-2023-23586 wurden im Linux-Kernel, der es einem nicht berechtigten Nutzer ermöglichen konnte, Berechtigungen auszuweiten GKE-Cluster, einschließlich Autopilot-Cluster, mit COS unter Verwendung von Die Linux-Kernel-Version 5.10 bis 5.10.162 ist betroffen. GKE-Cluster mit Ubuntu-Images oder die Verwendung von GKE Sandbox sind nicht betroffen.

    Wie gehe ich am besten vor?

    Die folgenden GKE-Versionen wurden mit Code zur Behebung dieser Probleme aktualisiert Sicherheitslücken. Aus Sicherheitsgründen gilt: Selbst wenn Sie automatische Knotenupgrades aktiviert haben, empfehlen, dass Sie Ihre Knotenpools manuell auf einen der folgenden Typen aktualisieren GKE-Versionen:

    • 1.22.17-gke.4000
    • 1.23.16-gke.1100
    • 1.24.10-gke.1200

    Eine neue Funktion von Release-Kanälen kannst du einen Patch anwenden, ohne das Abo für einen Kanal kündigen zu müssen. So können Sie Knoten sichern, bis die neue Version zum Standard für Ihr Release wird Kanal.

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    Sicherheitslücke 1 (CVE-2023-0240): Ein Race-Bedingung in io_uring kann zu einem Durchbrechen des vollständigen Containers in das Stammverzeichnis des Knotens. Linux-Kernel-Versionen 5.10 sind betroffen bis zum 10.05.162.

    Sicherheitslücke 2 (CVE-2023-23586): Die Verwendung nach der kostenlosen Nutzung (UAF) in io_uring/time_ns kann führen einen vollständigen Container-Ausstieg zum Stamm auf dem Knoten. Die Linux-Kernel-Versionen 5.10 sind bis zum 10.05.162.

    Hoch

    GKE on VMware

    Beschreibung Schweregrad

    Die beiden neuen Sicherheitslücken CVE-2023-0240 und CVE-2023-23586 wurden im Linux-Kernel, der es einem nicht berechtigten Nutzer ermöglichen konnte, Berechtigungen auszuweiten GKE on VMware-Cluster mit COS unter Verwendung der Linux-Kernel-Version 5.10 bis 5.10.162 betroffen sind. GKE Enterprise-Cluster, die Ubuntu-Images verwenden, sind nicht betroffen.

    Wie gehe ich am besten vor?

    Die folgenden Versionen von GKE on VMware wurden mit Code zur Fehlerbehebung aktualisiert diese Sicherheitslücken:

    • 1.12.6
    • 1.13.5

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    Sicherheitslücke 1 (CVE-2023-0240): Ein Race-Bedingung in io_uring kann zu einem vollständigen den Container in das Stammverzeichnis des Knotens ausbrechen. Linux-Kernel-Versionen 5.10 sind betroffen bis zum 10.05.162.

    Sicherheitslücke 2 (CVE-2023-23586): Die Verwendung nach der kostenlosen Version (UAF) in io_uring/time_ns kann zu einer Durchbrechen des vollständigen Containers in das Stammverzeichnis des Knotens. Linux-Kernel-Versionen 5.10 sind betroffen bis zum 10.05.162.

    Hoch

    GKE on AWS

    Beschreibung Schweregrad

    Die beiden neuen Sicherheitslücken CVE-2023-0240 und CVE-2023-23586 wurden im Linux-Kernel, der es einem nicht berechtigten Nutzer ermöglichen konnte, Berechtigungen auszuweiten GKE on AWS ist von diesen CVEs nicht betroffen.

    Wie gehe ich am besten vor?

    Es sind keine weiteren Schritte erforderlich.

    Keine

    GKE on Azure

    Beschreibung Schweregrad

    Die beiden neuen Sicherheitslücken CVE-2023-0240 und CVE-2023-23586 wurden im Linux-Kernel, der es einem nicht berechtigten Nutzer ermöglichen konnte, Berechtigungen auszuweiten GKE on Azure ist von diesen CVEs nicht betroffen

    Wie gehe ich am besten vor?

    Es sind keine weiteren Schritte erforderlich.

    Keine

    GKE on Bare Metal

    Beschreibung Schweregrad

    Die beiden neuen Sicherheitslücken CVE-2023-0240 und CVE-2023-23586 wurden im Linux-Kernel, der es einem nicht berechtigten Nutzer ermöglichen konnte, Berechtigungen auszuweiten GKE on Bare Metal ist von diesen CVEs nicht betroffen.

    Wie gehe ich am besten vor?

    Es sind keine weiteren Schritte erforderlich.

    Keine

    GCP-2023-001

    Veröffentlicht: 01.03.2023
    Aktualisiert: 21.12.2023
    Referenz: CVE-2022-4696

    Update vom 21.12.2023 : GKE Autopilot-Cluster angeben in der Standardkonfiguration nicht betroffen sind.

    GKE

    Beschreibung Schweregrad

    Aktualisierung vom 21.12.2023: Im ursprünglichen Bulletin wurde „Autopilot“ angegeben. Cluster sind betroffen, aber das war falsch. GKE Autopilot Cluster in der Standardkonfiguration sind nicht betroffen, könnten aber anfällig sein, wenn Sie explizit das Profil seccomp Unconfined oder CAP_NET_ADMIN zulassen.

    Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2022-4696) entdeckt, bis hin zu einer Rechteausweitung auf dem Knoten. GKE-Cluster, einschließlich Autopilot-Cluster betroffen sind. GKE-Cluster mit GKE Sandbox sind nicht betroffen.

    Wie gehe ich am besten vor?

    Die folgenden GKE-Versionen wurden mit Code zur Behebung dieses Problems aktualisiert eine Sicherheitslücke. Aus Sicherheitsgründen gilt: Selbst wenn automatische Knotenupgrades aktiviert sind, empfehlen wir, ein manuelles Upgrade Ihre Cluster und Knotenpools auf eine der folgenden GKE-Versionen:

    • 1.22.17-gke.3100
    • 1.23.16-gke.200
    • 1.24.9-gke.3200

    Eine neue Funktion von Release-Kanälen kannst du einen Patch anwenden, ohne das Abo für einen Kanal kündigen zu müssen. So können Sie Knoten sichern, bis die neue Version zum Standard für Ihr Release wird Kanal.

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    Mit CVE-2022-4696 wurde in io_uring und ioring_op_splice in ein Use-After-Free-Fehler gefunden. den Linux-Kernel. Dadurch kann ein lokaler Nutzer eine lokale Rechteausweitung vornehmen.

    Hoch

    GKE on VMware

    Beschreibung Schweregrad

    Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2022-4696) entdeckt, bis hin zu einer Rechteausweitung auf dem Knoten. GKE on VMware mit v1.12 und Version 1.13. GKE on VMware mit Version 1.14 oder höher ist nicht betroffen.

    Wie gehe ich am besten vor?

    Die folgenden Versionen von GKE on VMware wurden mit Code aktualisiert, um dieses Problem zu beheben eine Sicherheitslücke. Wir empfehlen ein Upgrade Ihrer Administrator- und Nutzercluster auf einen der folgenden GKE on VMware-Versionen:

    • 1.12.5
    • 1.13.5

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    Mit CVE-2022-4696 wurde in io_uring und ioring_op_splice in ein Use-After-Free-Fehler gefunden. den Linux-Kernel. Dadurch kann ein lokaler Nutzer eine lokale Rechteausweitung vornehmen.

    Hoch

    GKE on AWS

    Beschreibung Schweregrad

    Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2022-4696) entdeckt, bis hin zu einer Rechteausweitung auf dem Knoten. GKE on AWS ist von dieser Sicherheitslücke nicht betroffen.

    Wie gehe ich am besten vor?

    Sie müssen nichts weiter tun.

    Keine

    GKE on Azure

    Beschreibung Schweregrad

    Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2022-4696) entdeckt, bis hin zu einer Rechteausweitung auf dem Knoten. GKE on Azure ist von dieser Sicherheitslücke nicht betroffen.

    Wie gehe ich am besten vor?

    Sie müssen nichts weiter tun.

    Keine

    GKE on Bare Metal

    Beschreibung Schweregrad

    Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2022-4696) entdeckt, bis hin zu einer Rechteausweitung auf dem Knoten. GKE on Bare Metal ist von dieser Sicherheitslücke nicht betroffen.

    Wie gehe ich am besten vor?

    Sie müssen nichts weiter tun.

    Keine

    GCP-2022-026

    Veröffentlicht: 11.01.2023
    Referenz: CVE-2022-3786, CVE-2022-3602

    GKE

    Beschreibung Schweregrad

    In OpenSSL wurden zwei neue Sicherheitslücken (CVE-2022-3786 und CVE-2022-3602) gefunden v3.0.6 installiert, die potenziell einen Absturz verursachen kann. Dieses Ereignis wurde im NVD als "Hoch" eingestuft. verwenden GKE-Endpunkte BoringSSL oder eine ältere Version von OpenSSL, ist nicht betroffen. Daher wurde die Bewertung für GKE auf "Medium" reduziert.

    Wie gehe ich am besten vor?

    Die folgenden GKE-Versionen wurden mit Code zur Behebung dieses Problems aktualisiert Sicherheitslücke:

    • 1.25.4-gke.1600
    • 1.24.8-gke.401
    • 1.23.14-gke.401
    • 1.22.16-gke.1300
    • 1.21.14-gke.14100

    Eine neue Funktion von Veröffentlichung Mit Kanälen kannst du einen Patch anwenden, ohne das Abo für einen Kanal kündigen zu müssen. Auf diese Weise können Sie Ihre Knoten sichern, bis die neue Version zum Standard für Ihre Release-Version.

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    Mit CVE-2022-3786 und CVE-2022-3602 kann im X.509-Zertifikat ein Pufferüberlauf ausgelöst werden. die einen Absturz verursachen kann, der zu einer Dienstverweigerung führt. To be ausgenutzt, muss eine Zertifizierungsstelle ein schädliches Zertifikat oder dass eine Anwendung die Zertifikatsüberprüfung fortfahren kann, obwohl es gescheitert ist, Pfad zu einem vertrauenswürdigen Aussteller.

    Mittel

    GKE on VMware

    Beschreibung Schweregrad

    In OpenSSL v3.0.6, die potenziell einen Absturz verursachen kann.

    Wie gehe ich am besten vor?

    GKE on VMware ist von dieser CVE nicht betroffen, da keine betroffene Version verwendet wird von OpenSSL.

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    Es sind keine weiteren Schritte erforderlich.

    Keine

    GKE on AWS

    Beschreibung Schweregrad

    In OpenSSL v3.0.6, die potenziell einen Absturz verursachen kann.

    Wie gehe ich am besten vor?

    GKE on AWS ist von dieser CVE nicht betroffen, da keine betroffene Version verwendet wird von OpenSSL.

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    Es sind keine weiteren Schritte erforderlich.

    Keine

    GKE on Azure

    Beschreibung Schweregrad

    In OpenSSL v3.0.6, die potenziell einen Absturz verursachen kann.

    Wie gehe ich am besten vor?

    GKE on Azure ist von dieser CVE nicht betroffen, da keine betroffene Version verwendet wird von OpenSSL.

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    Es sind keine weiteren Schritte erforderlich.

    Keine

    GKE on Bare Metal

    Beschreibung Schweregrad

    In OpenSSL v3.0.6, die potenziell einen Absturz verursachen kann.

    Wie gehe ich am besten vor?

    GKE on Bare Metal ist von dieser CVE nicht betroffen, da keine betroffene Version verwendet wird von OpenSSL.

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    Es sind keine weiteren Schritte erforderlich.

    Keine

    GCP-2022-025

    Veröffentlicht: 21.12.2022
    Aktualisiert: 19.01.2023, 21.12.2023
    Referenz: CVE-2022-2602

    Update vom 21.12.2023 : GKE Autopilot-Cluster angeben in der Standardkonfiguration nicht betroffen sind.

    Update vom 19.01.2023 : GKE-Version 1.21.14-gke.14100 ist verfügbar.

    GKE

    Aktualisiert : 19.01.2023

    Beschreibung Schweregrad

    Aktualisierung vom 21.12.2023: Im ursprünglichen Bulletin wurde „Autopilot“ angegeben. Cluster sind betroffen, aber das war falsch. GKE Autopilot Cluster in der Standardkonfiguration sind nicht betroffen, könnten aber anfällig sein, wenn Sie explizit das Profil seccomp Unconfined oder CAP_NET_ADMIN zulassen.

    Eine neue Sicherheitslücke (CVE-2022-2602) wurde im Subsystem io_uring in der Linux-Kernel, mit dem Angreifer potenziell beliebigen Code ausführen können GKE-Cluster, einschließlich Autopilot-Cluster, sind betroffen.

    GKE-Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

    Wie gehe ich am besten vor?

    Aktualisierung vom 19. Januar 2023:Version 1.21.14-gke.14100 ist verfügbar. Führen Sie ein Upgrade Ihrer Knotenpools auf diese oder eine höhere Version durch.


    Die folgenden GKE-Versionen wurden mit Code zur Behebung dieses Problems aktualisiert Sicherheitslücke in einem zukünftigen Release. Aus Sicherheitsgründen gilt, auch wenn Sie Knoten aktiviert ist, empfehlen wir Ihnen, manuell umstellen Ihre Knotenpools auf eine der folgenden GKE-Versionen:

    • Container-Optimized OS:
      • 1.22.16-gke.1300 und höher
      • 1.23.14-gke.401 und höher
      • 1.24.7-gke.900 und höher
      • 1.25.4-gke.1600 und höher
    • Ubuntu:
      • 1.22.15-gke.2500 und höher
      • 1.23.13-gke.900 und höher
      • 1.24.7-gke.900 und höher
      • 1.25.3-gke.800 und höher

    Eine neue Funktion von Release-Kanälen kannst du einen Patch anwenden, ohne das Abo für einen Kanal kündigen zu müssen. So können Sie Knoten sichern, bis die neue Version zum Standard für Ihr Release wird Kanal.

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    Mit CVE-2022-2602, einer Race-Bedingung zwischen der Anfrageverarbeitung io_uring und Unix-Socket Die automatische Speicherbereinigung kann zu einer Sicherheitslücke im Rahmen von Use-After-Free führen. Ein lokaler Angreifer könnte um einen Denial-of-Service-Angriff auszulösen oder möglicherweise beliebigen Code auszuführen.

    Hoch

    GKE on VMware

    Beschreibung Schweregrad

    Eine neue Sicherheitslücke (CVE-2022-2602) wurde im Subsystem io_uring in der Linux-Kernel, mit dem Angreifer potenziell beliebigen Code ausführen können

    Die Versionen 1.11, 1.12 und 1.13 von GKE on VMware sind betroffen.

    Wie gehe ich am besten vor?

    Führen Sie ein Upgrade des Clusters auf eine Patchversion aus. Die folgenden Versionen von GKE on VMware enthält Code, der diese Sicherheitslücke behebt:

    • 1.13.2
    • 1.12.4
    • 1.11.5

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    Mit CVE-2022-2602, einer Race-Bedingung zwischen der Anfrageverarbeitung io_uring und Unix-Socket Die automatische Speicherbereinigung kann zu einer Sicherheitslücke im Rahmen von Use-After-Free führen. Ein lokaler Angreifer könnte um einen Denial-of-Service-Angriff auszulösen oder möglicherweise beliebigen Code auszuführen.

    Hoch

    GKE on AWS

    Beschreibung Schweregrad

    Eine neue Sicherheitslücke (CVE-2022-2602) wurde im Subsystem io_uring in der Linux-Kernel, mit dem Angreifer potenziell beliebigen Code ausführen können

    Wie gehe ich am besten vor?

    Die folgenden aktuellen und vorherigen Versionen von GKE on AWS wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Wir empfehlen ein Upgrade Ihrer Knoten auf eine der folgenden GKE on AWS-Versionen:

    • Aktuelle Generation:
      • 1.22.15-gke.100
      • 1.23.11-gke.300
      • 1.24.5-gke.200
    • Vorherige Generation:
      • 1.22.15-gke.1400
      • 1.23.12-gke.1400
      • 1.24.6-gke.1300

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    Mit CVE-2022-2602, einer Race-Bedingung zwischen der Anfrageverarbeitung io_uring und Unix-Socket Die automatische Speicherbereinigung kann zu einer Sicherheitslücke im Rahmen von Use-After-Free führen. Ein lokaler Angreifer könnte um einen Denial-of-Service-Angriff auszulösen oder möglicherweise beliebigen Code auszuführen.

    Hoch

    GKE on Azure

    Beschreibung Schweregrad

    Eine neue Sicherheitslücke (CVE-2022-2602) wurde im Subsystem io_uring in der Linux-Kernel, mit dem Angreifer potenziell beliebigen Code ausführen können

    Wie gehe ich am besten vor?

    Die folgenden Versionen von GKE on Azure wurden mit Code zur Fehlerbehebung aktualisiert für diese Sicherheitslücke. Wir empfehlen ein Upgrade Ihrer Knoten auf eine der folgenden Versionen: Versionen von GKE on Azure:

    • 1.22.15-gke.100
    • 1.23.11-gke.300
    • 1.24.5-gke.200

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    Mit CVE-2022-2602, einer Race-Bedingung zwischen der Anfrageverarbeitung io_uring und Unix-Socket Die automatische Speicherbereinigung kann zu einer Sicherheitslücke im Rahmen von Use-After-Free führen. Ein lokaler Angreifer könnte um einen Denial-of-Service-Angriff auszulösen oder möglicherweise beliebigen Code auszuführen.

    Hoch

    GKE on Bare Metal

    Beschreibung Schweregrad

    Eine neue Sicherheitslücke (CVE-2022-2602) wurde im Subsystem io_uring in der Linux-Kernel, mit dem Angreifer potenziell beliebigen Code ausführen können

    GKE on Bare Metal ist von dieser CVE nicht betroffen, da sie nicht gebündelt ist in seiner Distribution enthalten ist.

    Wie gehe ich am besten vor?

    Es sind keine weiteren Schritte erforderlich.

    Keine

    GCP-2022-024

    Veröffentlicht: 09.11.2022
    Aktualisiert: 19.01.2023
    Referenz: CVE-2022-2585, CVE-2022-2588

    Update vom 19.01.2023 : GKE-Version 1.21.14-gke.14100 ist verfügbar.
    Update vom 16.12.2022 : Überarbeitete Patchversionen für GKE und GKE on VMware

    GKE

    Aktualisiert : 19.01.2023

    Beschreibung Schweregrad

    Im Linux-Kernel wurden zwei neue Sicherheitslücken (CVE-2022-2585 und CVE-2022-2588) gefunden, die zu einem vollständigen Durchbruch des Containers bis zum Root auf dem Knoten führen können. GKE-Cluster, einschließlich Autopilot-Cluster, sind betroffen.

    GKE-Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

    Wie gehe ich am besten vor?

    Aktualisierung vom 19. Januar 2023:Version 1.21.14-gke.14100 ist verfügbar. Führen Sie ein Upgrade Ihrer Knotenpools auf diese oder eine höhere Version durch.

    Aktualisierung vom 16.12.2022: Eine frühere Version des Bulletins wurde aufgrund einer Regression der Release-Version überarbeitet. Bitte manuell umstellen Ihre Knotenpools auf eine der folgenden GKE-Versionen:

    • 1.22.16-gke.1300 und höher
    • 1.23.14-gke.401 und höher
    • 1.24.7-gke.900 und höher
    • 1.25.4-gke.1600 und höher

    Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Für aus Sicherheitsgründen empfehlen wir die manuelle Aktualisierung von Knoten, Führen Sie ein Upgrade Ihrer Knotenpools auf eine der folgenden GKE-Versionen durch:

    • 1.21.14-gke.9500
    • 1.24.7-gke.900

    Updates für GKE v1.22, 1.23 und 1.25 sind demnächst verfügbar. Dieses Sicherheitsbulletin wird aktualisiert, sobald sie verfügbar sind.

    Mit der neuesten Funktion Release-Versionen können Sie einen Patch anwenden, ohne das Abo eines Kanals kündigen zu müssen. Auf diese Weise können Sie Ihre Knoten sichern, bis die neue Version zur Standardversion für Ihre Release-spezifische Version wird.

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    • Im Rahmen von CVE-2022-2585 ermöglicht eine unsachgemäße Bereinigung von Timern im POSIX-CPU-Timer ein Exploit, der nach der Erstellung und Löschung von Timern verwendet werden kann.
    • Bei CVE-2022-2588 wurde in "route4_change" im Linux-Kernel ein Schwachstelle "Use-After-Free" gefunden. Diese Schwachstelle ermöglicht es einem lokalen Nutzer, das System zum Absturz zu bringen, und führt möglicherweise zu einer lokalen Rechteausweitung.
    Hoch

    GKE on VMware

    Aktualisiert : 16.12.2022

    Beschreibung Schweregrad

    Im Linux-Kernel wurden zwei neue Sicherheitslücken (CVE-2022-2585 und CVE-2022-2588) gefunden, die zu einem vollständigen Durchbruch des Containers bis zum Root auf dem Knoten führen können.

    Die Versionen 1.13, 1.12 und 1.11 von GKE on VMware sind betroffen.

    Wie gehe ich am besten vor?

    Aktualisierung vom 16.12.2022:Die folgenden Versionen von GKE on VMware wurde mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Wir empfehlen, dass Sie Ihre Administrator- und Nutzercluster auf einen der folgenden Dienste upgraden Versionen von GKE on VMware:

    • 1.13.2
    • 1.12.4
    • 1.11.6

    • Hinweis: Versionen von GKE on VMware, die Container-Optimized OS-Patches enthalten, werden bald veröffentlicht. Dieses Sicherheitsbulletin wird aktualisiert, sobald die Versionen von GKE on VMware zum Download verfügbar sind.

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    • Im Rahmen von CVE-2022-2585 ermöglicht eine unsachgemäße Bereinigung von Timern im POSIX-CPU-Timer ein Exploit, der nach der Erstellung und Löschung von Timern verwendet werden kann.
    • Bei CVE-2022-2588 wurde in "route4_change" im Linux-Kernel ein Schwachstelle "Use-After-Free" gefunden. Diese Schwachstelle ermöglicht es einem lokalen Nutzer, das System zum Absturz zu bringen, und führt möglicherweise zu einer lokalen Rechteausweitung.
    Hoch

    GKE on AWS

    Beschreibung Schweregrad

    Im Linux-Kernel wurden zwei neue Sicherheitslücken (CVE-2022-2585 und CVE-2022-2588) gefunden, die zu einem vollständigen Durchbruch des Containers bis zum Root auf dem Knoten führen können.

    Die folgenden Versionen von Kubernetes on AWS können betroffen sein:

    • 1.23: Versionen, die älter als 1.23.9-gke.800 sind Neuere Nebenversionen sind nicht betroffen
    • 1.22: Versionen, die älter als 1.22.12-gke.1100 sind Neuere Nebenversionen sind nicht betroffen

    Kubernetes V1.24 ist nicht betroffen.

    Wie gehe ich am besten vor?

    Wir empfehlen ein Upgrade Ihrer Cluster auf eine der folgenden AWS Kubernetes-Versionen:

    • 1.23: eine Version nach v1.23.9-gke.800
    • 1.22: eine Version nach 1.22.12-gke-1100

    Welche Sicherheitslücken werden behoben?

    Im Rahmen von CVE-2022-2585 ermöglicht eine unsachgemäße Bereinigung von Timern im POSIX-CPU-Timer ein Exploit, der nach der Erstellung und Löschung von Timern verwendet werden kann.

    Bei CVE-2022-2588 wurde in "route4_change" im Linux-Kernel ein Schwachstelle "Use-After-Free" gefunden. Diese Schwachstelle ermöglicht es einem lokalen Nutzer, das System zum Absturz zu bringen, und führt möglicherweise zu einer lokalen Rechteausweitung.

    Hoch

    GKE on Azure

    Beschreibung Schweregrad

    Im Linux-Kernel wurden zwei neue Sicherheitslücken (CVE-2022-2585 und CVE-2022-2588) gefunden, die zu einem vollständigen Durchbruch des Containers bis zum Root auf dem Knoten führen können.

    Die folgenden Versionen von Kubernetes in Azure können betroffen sein:

    • 1.23: Versionen, die älter als 1.23.9-gke.800 sind Neuere Nebenversionen sind nicht betroffen.
    • 1.22: Versionen, die älter als 1.22.12-gke.1100 sind Neuere Nebenversionen sind nicht betroffen.

    Kubernetes V1.24 ist nicht betroffen.

    Wie gehe ich am besten vor?

    Wir empfehlen ein Upgrade Ihrer Cluster auf eine der folgenden Azure Kubernetes-Versionen:

    • 1.23: eine Version nach v1.23.9-gke.800
    • 1.22: eine Version nach 1.22.12-gke-1100

    Welche Sicherheitslücken werden behoben?

    Im Rahmen von CVE-2022-2585 ermöglicht eine unsachgemäße Bereinigung von Timern im POSIX-CPU-Timer ein Exploit, der nach der Erstellung und Löschung von Timern verwendet werden kann.

    Bei CVE-2022-2588 wurde in "route4_change" im Linux-Kernel ein Schwachstelle "Use-After-Free" gefunden. Diese Schwachstelle ermöglicht es einem lokalen Nutzer, das System zum Absturz zu bringen, und führt möglicherweise zu einer lokalen Rechteausweitung.

    Hoch

    GKE on Bare Metal

    Beschreibung Schweregrad

    Im Linux-Kernel wurden zwei neue Sicherheitslücken (CVE-2022-2585 und CVE-2022-2588) gefunden, die zu einem vollständigen Durchbruch des Containers bis zum Root auf dem Knoten führen können.

    GKE on Bare Metal ist von dieser CVE nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

    Wie gehe ich am besten vor?

    Es sind keine weiteren Schritte erforderlich.

    Keine

    GCP-2022-023

    Veröffentlicht: 04.11.2022
    Referenz: CVE-2022-39278

    GKE

    Beschreibung Schweregrad

    In Istio wurde eine Sicherheitslücke, CVE-2022-39278, gefunden. Sie wird in Cloud Service Mesh, das es einem böswilligen Angreifer ermöglicht, die Steuerungsebene zum Absturz zu bringen.

    Wie gehe ich am besten vor?

    Google Kubernetes Engine (GKE) wird nicht mit Istio ausgeliefert und ist nicht davon betroffen eine Sicherheitslücke. Wenn Sie jedoch Cloud Service Mesh oder Istio separat auf Ihrem GKE-Cluster, siehe GCP-2022-020 das Cloud Service Mesh-Sicherheitsbulletin zu diesem CVE.

    Keine

    GKE on VMware

    Beschreibung Schweregrad

    In Istio wurde eine Sicherheitslücke, CVE-2022-39278, gefunden und verwendet, in Cloud Service Mesh in GKE on VMware, mit dem böswillige Angreifer Istio-Steuerungsebene.

    Wie gehe ich am besten vor?

    Die folgenden Versionen von GKE on VMware wurden mit Code aktualisiert, um dieses Problem zu beheben eine Sicherheitslücke. Wir empfehlen ein Upgrade Ihrer Administrator- und Nutzercluster auf einen der folgenden GKE on VMware-Versionen:

    • 1.11.4
    • 1.12.3
    • 1.13.1

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    Mit der Sicherheitslücke CVE-2022-39278 ist die Istio-Steuerungsebene istiod anfällig für Fehler bei der Anfrageverarbeitung sind, sodass Angreifer eine spezielle Nachricht, die dazu führt, dass die Steuerungsebene abstürzt, Der validierte Webhook für einen Cluster ist öffentlich verfügbar. Dieser Endpunkt wird über TLS bereitgestellt Port 15017, erfordert jedoch keine Authentifizierung durch den Angreifer.

    Hoch

    GKE on AWS

    Beschreibung Schweregrad

    In Istio wurde eine Sicherheitslücke, CVE-2022-39278, gefunden und verwendet, in Cloud Service Mesh, wodurch böswillige Angreifer die Steuerungsebene zum Absturz bringen können.

    Wie gehe ich am besten vor?

    GKE on AWS ist von dieser Sicherheitslücke nicht betroffen und es sind keine Maßnahmen erforderlich.

    Keine

    GKE on Azure

    Beschreibung Schweregrad

    In Istio wurde eine Sicherheitslücke, CVE-2022-39278, gefunden und verwendet, in Cloud Service Mesh, wodurch böswillige Angreifer die Steuerungsebene zum Absturz bringen können.

    Wie gehe ich am besten vor?

    GKE on Azure ist von dieser Sicherheitslücke nicht betroffen und es werden keine Maßnahmen ergriffen. erforderlich.

    Keine

    GKE on Bare Metal

    Beschreibung Schweregrad

    In Istio wurde eine Sicherheitslücke, CVE-2022-39278, gefunden und verwendet, in Cloud Service Mesh in GKE on Bare Metal ein, wodurch böswillige Angreifer um die Istio-Steuerungsebene zum Absturz zu bringen.

    Wie gehe ich am besten vor?

    Die folgenden Versionen von GKE on Bare Metal wurden mit Code aktualisiert um diese Sicherheitslücke zu schließen. Wir empfehlen ein Upgrade der Cluster auf einen der folgenden GKE on Bare Metal-Versionen:

    • 1.11.7
    • 1.12.4
    • 1.13.1

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    Mit der Sicherheitslücke CVE-2022-39278 ist die Istio-Steuerungsebene istiod anfällig für Fehler bei der Anfrageverarbeitung sind, sodass Angreifer eine spezielle Nachricht, die dazu führt, dass die Steuerungsebene abstürzt, Der validierte Webhook für einen Cluster ist öffentlich verfügbar. Dieser Endpunkt wird über TLS bereitgestellt Port 15017, erfordert jedoch keine Authentifizierung durch den Angreifer.

    Hoch

    GCP-2022-022-updated

    Veröffentlicht: 08.12.2022
    Referenz: CVE-2022-20409

    GKE

    Aktualisiert : 14.12.2022

    Beschreibung Schweregrad

    Im Linux-Kernel wurde die neue Sicherheitslücke CVE-2022-20409 entdeckt, lokale Rechteausweitung. Google Kubernetes Engine (GKE) v1.22, v1.23 und v1.24 Cluster, einschließlich Autopilot-Cluster, die Container-Optimized OS verwenden Version 93 und 97 sind betroffen. Sonstige unterstützte GKE-Versionen sind davon nicht betroffen. GKE-Cluster mit GKE Sandbox sind nicht betroffen.

    Wie gehe ich am besten vor?

    Aktualisierung vom 14.12.2022: Eine frühere Version des Bulletins wurde aufgrund einer Regression der Release-Version überarbeitet. Bitte manuell umstellen Ihre Knotenpools auf eine der folgenden GKE-Versionen:

    • 1.22.15-gke.2500 und höher
    • 1.23.13-gke.900 und höher
    • 1.24.7-gke.900 und höher

    Die folgenden GKE-Versionen, die die Container-Optimized OS-Version verwenden 93 und 97 wurden mit Code aktualisiert, um diese Sicherheitslücke in einer zukünftigen Version zu beheben. Aus Sicherheitsgründen empfehlen wir Ihnen, auch wenn Sie automatische Knotenupgrades aktiviert haben, Folgendes zu tun: manuell umstellen Ihre Knotenpools auf eine der folgenden GKE-Versionen:

    • 1.22.15-gke.2300 und höher
    • 1.23.13-gke.700 und höher
    • 1.24.7-gke.700 und höher

    Eine neue Funktion von Release-Kanäle kannst du einen Patch anwenden, ohne das Abo für einen Kanal beenden zu müssen. Mit dieser Funktion können Sie Knoten sichern, bis die neue Version zum Standard für Ihr Release-spezifisches wird Kanal.

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    Mit CVE-2022-20409 hat der Linux-Kernel eine Sicherheitslücke in io_identity_cow des io_uring. Aufgrund eines Use-After-Free-Programms kann es zu Speicherbeschädigungen kommen (UAF). Mit dieser Speicherbeschädigung könnte ein lokaler Angreifer (Systemabsturz) oder beliebigen Code ausführen.

    Hoch

    GKE on VMware

    Aktualisiert : 14.12.2022

    Beschreibung Schweregrad

    Im Linux-Kernel wurde die neue Sicherheitslücke CVE-2022-20409 entdeckt, lokale Rechteausweitung.

    Wie gehe ich am besten vor?

    Aktualisierung vom 14.12.2022:Folgende Versionen von GKE on VMware für Ubuntu wurde mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Wir empfehlen ein Upgrade Ihrer Knoten auf eine der folgenden GKE on VMware-Anwendungen Versionen:

    • 1.13.1 und höher
    • 1.12.3 und höher
    • 1.11.4 und höher

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    Mit CVE-2022-20409 hat der Linux-Kernel eine Sicherheitslücke in io_identity_cow des io_uring. Aufgrund eines Use-After-Free-Programms kann es zu Speicherbeschädigungen kommen (UAF). Mit dieser Speicherbeschädigung könnte ein lokaler Angreifer (Systemabsturz) oder beliebigen Code ausführen.

    Hoch

    GKE on AWS

    Beschreibung Schweregrad

    Im Linux-Kernel wurde die neue Sicherheitslücke CVE-2022-20409 entdeckt, Nicht privilegierten Nutzern erlauben, ihre Berechtigung zur Systemausführung zu übertragen.

    Wie gehe ich am besten vor?

    Sie müssen nichts weiter tun. GKE on AWS verwendet nicht die betroffenen Versionen der Linux-Kernel.

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    Mit CVE-2022-20409 hat der Linux-Kernel eine Sicherheitslücke in io_identity_cow des io_uring. Aufgrund eines Use-After-Free-Programms kann es zu Speicherbeschädigungen kommen (UAF). Mit dieser Speicherbeschädigung könnte ein lokaler Angreifer (Systemabsturz) oder beliebigen Code ausführen.

    Keine

    GKE on Azure

    Beschreibung Schweregrad

    Im Linux-Kernel wurde die neue Sicherheitslücke CVE-2022-20409 entdeckt, Nicht privilegierten Nutzern erlauben, ihre Berechtigung zur Systemausführung zu übertragen.

    Wie gehe ich am besten vor?

    Sie müssen nichts weiter tun. GKE on Azure verwendet die betroffenen Versionen nicht des Linux-Kernels.

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    Mit CVE-2022-20409 hat der Linux-Kernel eine Sicherheitslücke in io_identity_cow des io_uring. Aufgrund eines Use-After-Free-Programms kann es zu Speicherbeschädigungen kommen (UAF). Mit dieser Speicherbeschädigung könnte ein lokaler Angreifer (Systemabsturz) oder beliebigen Code ausführen.

    Keine

    GKE on Bare Metal

    Beschreibung Schweregrad

    Im Linux-Kernel wurde die neue Sicherheitslücke CVE-2022-20409 entdeckt, lokale Rechteausweitung.

    Wie gehe ich am besten vor?

    • Sie müssen nichts weiter tun. GKE on Bare Metal ist davon nicht betroffen CVE enthält, da in seiner Distribution kein Betriebssystem gebündelt ist.
    Keine

    GCP-2022-021

    Veröffentlicht: 27.10.2022
    Aktualisiert: 19.01.2023, 21.12.2023
    Referenz: CVE-2022-3176

    Update vom 21.12.2023 : GKE Autopilot-Cluster angeben in der Standardkonfiguration nicht betroffen sind.

    Update vom 19.01.2023 : GKE-Version 1.21.14-gke.14100 ist verfügbar.
    Update vom 15.12.2022 : Informationen zu Version 1.21.14-gke.9400 von Die Einführung von Google Kubernetes Engine steht noch aus. Die Version wird möglicherweise durch eine höhere Versionsnummer ersetzt.
    Update vom 21.11.2022 : Patchversionen für hinzugefügt GKE on VMware, GKE on AWS und GKE on Azure.

    GKE

    Aktualisiert : 19.01.2023, 21.12.2023

    Beschreibung Schweregrad

    Im Linux-Kernel wurde die neue Sicherheitslücke CVE-2022-3176 entdeckt, bis hin zur lokalen Rechteausweitung. Durch diese Sicherheitslücke kann ein nicht privilegierter Nutzer vollständige Container-Breakouts zum Rooting auf dem Knoten.

    Aktualisierung vom 21.12.2023: Im ursprünglichen Bulletin wurde „Autopilot“ angegeben. Cluster sind betroffen, aber das war falsch. GKE Autopilot Cluster in der Standardkonfiguration sind nicht betroffen, könnten aber anfällig sein, wenn Sie explizit das Profil seccomp Unconfined oder CAP_NET_ADMIN zulassen.

    Google Kubernetes Engine (GKE) v1.21-Cluster, einschließlich Autopilot-Cluster, mit Die Version 89 von Container-Optimized OS ist betroffen. Neuere GKE-Versionen sind davon nicht betroffen. Alle Linux-Cluster mit Ubuntu sind betroffen. GKE-Cluster GKE Sandbox nutzen nicht betroffen sind.

    Wie gehe ich am besten vor?

    Aktualisierung vom 19. Januar 2023:Version 1.21.14-gke.14100 ist verfügbar. Führen Sie ein Upgrade Ihrer Knotenpools auf diese oder eine höhere Version durch.

    Update vom 15.12.2022:Einführung von Version 1.21.14-gke.9400 steht aus und wird möglicherweise durch eine höhere Versionsnummer ersetzt werden. Wir werden dieses Dokument aktualisieren, sobald die neue Version verfügbar.


    Die folgenden GKE-Versionen wurden mit Code zur Behebung dieses Problems aktualisiert Sicherheitslücke in einem zukünftigen Release. Aus Sicherheitsgründen gilt, auch wenn Sie Knoten aktiviert ist, empfehlen wir Ihnen, manuell umstellen Ihre Knotenpools auf eine der folgenden GKE-Versionen:

    • Container-Optimized OS:
      • 1.21.14-gke.7100 und höher
    • Ubuntu:
      • 1.21.14-gke.9400 und höher
      • 1.22.15-gke.2400 und höher
      • 1.23.13-gke.800 und höher
      • 1.24.7-gke.800 und höher
      • 1.25.3-gke.700 und höher

    Eine neue Funktion von Release-Kanäle kannst du einen Patch anwenden, ohne das Abo für einen Kanal beenden zu müssen. Mit dieser Funktion können Sie Knoten sichern, bis die neue Version zum Standard für Ihr Release-spezifisches wird Kanal.

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    Mit CVE-2022-3176 hat der Linux-Kernel eine Sicherheitslücke im Subsystem io_uring. Eine fehlende POLLFREE-Verarbeitung kann zu UF-Exploits (Use-After-Free) führen, die für folgende Zwecke verwendet werden können: Rechteausweitung.

    Hoch

    GKE on VMware

    Aktualisiert : 21.11.2022

    Beschreibung Schweregrad

    Im Linux-Kernel wurde die neue Sicherheitslücke CVE-2022-3176 entdeckt, bis hin zur lokalen Rechteausweitung. Durch diese Sicherheitslücke kann ein nicht privilegierter Nutzer vollständige Container-Breakouts zum Rooting auf dem Knoten.

    Wie gehe ich am besten vor?

    • Versionen von GKE on VMware mit Container-Optimized OS sind nicht betroffen.

    Aktualisierung vom 21. November 2022:Die folgenden Versionen von GKE on VMware für Ubuntu wurde mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Wir empfehlen ein Upgrade Ihrer Knoten auf eine der folgenden GKE on VMware-Versionen:

    • 1.12.3 und höher
    • 1.13.1 und höher
    • 1.11.5 und höher

    Versionen von GKE on VMware, die Ubuntu-Patches enthalten, werden veröffentlicht . Dieses Sicherheitsbulletin wird aktualisiert, wenn die Versionen von GKE on VMware zum Download verfügbar.

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    Mit CVE-2022-3176 hat der Linux-Kernel eine Sicherheitslücke im Subsystem io_uring. Eine fehlende POLLFREE-Verarbeitung kann zu UF-Exploits (Use-After-Free) führen, die für folgende Zwecke verwendet werden können: Rechteausweitung.

    Hoch

    GKE on AWS

    Aktualisiert : 21.11.2022

    Beschreibung Schweregrad

    Im Linux-Kernel wurde die neue Sicherheitslücke CVE-2022-3176 entdeckt, lokale Rechteausweitung. So können nicht berechtigte Nutzer eine vollständige Containeraufschlüsselung zum Root auf dem Knoten erstellen.

    Wie gehe ich am besten vor?

    Aktualisierung vom 21.11.2022: Die folgenden aktuellen und vorherigen Versionen von GKE on AWS wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Wir empfehlen ein Upgrade Ihrer Knoten auf eine der folgenden GKE on AWS-Versionen:

    Aktuelle Generation
    • 1.21.14-gke.7100
    • 1.22.15-gke.100
    • 1.23.11-gke.300
    • 1.24.5-gke.200
    Vorherige Generation
    • 1.22.15-gke.1400
    • 1.23.12-gke.1400
    • 1.24.6-gke.1300

    Versionen von GKE on AWS, die Ubuntu-Patches enthalten, werden veröffentlicht . Dieses Sicherheitsbulletin wird aktualisiert, wenn die GKE on AWS-Versionen aktualisiert werden zum Download verfügbar.

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    Mit CVE-2022-3176 hat der Linux-Kernel eine Sicherheitslücke im Subsystem io_uring. Eine fehlende POLLFREE-Verarbeitung kann zu UF-Exploits (Use-After-Free) führen, die für folgende Zwecke verwendet werden können: Rechteausweitung.

    Hoch

    GKE on Azure

    Aktualisiert : 21.11.2022

    Beschreibung Schweregrad

    Im Linux-Kernel wurde die neue Sicherheitslücke CVE-2022-3176 entdeckt, lokale Rechteausweitung. So können nicht berechtigte Nutzer eine vollständige Containeraufschlüsselung zum Root auf dem Knoten erstellen.

    Wie gehe ich am besten vor?

    Aktualisierung vom 21.11.2022: Die folgenden Versionen von GKE on Azure wurden mit Code zur Fehlerbehebung aktualisiert für diese Sicherheitslücke. Wir empfehlen ein Upgrade Ihrer Knoten auf eine der folgenden Versionen: Versionen von GKE on Azure:

    • 1.21.14-gke.7100
    • 1.22.15-gke.100
    • 1.23.11-gke.300
    • 1.24.5-gke.200

    Versionen von GKE on Azure, die Ubuntu-Patches enthalten, sind veröffentlicht werden. Dieses Sicherheitsbulletin wird aktualisiert, wenn die GKE on Azure Versionen zum Download zur Verfügung.

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    Mit CVE-2022-3176 hat der Linux-Kernel eine Sicherheitslücke im Subsystem io_uring. Eine fehlende POLLFREE-Verarbeitung kann zu UF-Exploits (Use-After-Free) führen, die für folgende Zwecke verwendet werden können: Rechteausweitung.

    Hoch

    GKE on Bare Metal

    Beschreibung Schweregrad

    Im Linux-Kernel wurde die neue Sicherheitslücke CVE-2022-3176 entdeckt, bis hin zur lokalen Rechteausweitung. Durch diese Sicherheitslücke kann ein nicht privilegierter Nutzer vollständige Container-Breakouts zum Rooting auf dem Knoten.

    Wie gehe ich am besten vor?

    Es sind keine weiteren Schritte erforderlich. GKE on Bare Metal ist nicht von dieser CVE betroffen, da sie Es ist kein Betriebssystem in der Distribution enthalten.

    Keine

    GCP-2022-018

    Veröffentlicht: 01.08.2022
    Aktualisiert : 14.09.2023, 21.12.2023
    Referenz: CVE-2022-2327

    Update vom 21.12.2023 : GKE Autopilot-Cluster angeben in der Standardkonfiguration nicht betroffen sind.

    Update vom 14.09.2022 : Patchversionen für hinzugefügt GKE on VMware, GKE on AWS und GKE on Azure.

    GKE

    Aktualisiert : 21.12.2023

    Beschreibung Schweregrad

    Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2022-2327) entdeckt, die zu einer lokalen Rechteausweitung führen kann. Diese Sicherheitslücke ermöglicht einem nicht privilegierten Nutzer, einen vollständigen Container-Breakout zum Root auf dem Knoten zu erreichen.

    Technische Details

    Aktualisierung vom 21.12.2023: Im ursprünglichen Bulletin wurde „Autopilot“ angegeben. Cluster sind betroffen, aber das war falsch. GKE Autopilot Cluster in der Standardkonfiguration sind nicht betroffen, könnten aber anfällig sein, wenn Sie explizit das Profil seccomp Unconfined oder CAP_NET_ADMIN zulassen.

    GKE-Cluster, einschließlich Autopilot-Cluster, mit Container-Optimized OS (COS) unter Verwendung von Linux Kernel-Version 5.10 ist betroffen. GKE-Cluster mit Ubuntu-Images oder mit GKE Sandbox haben, sind davon nicht betroffen.

    Was soll ich tun?

    Aktualisieren Sie Ihre GKE-Cluster auf eine Version, die den Fehler enthält. Die Linux-Knoten-Images für COS wurden zusammen mit der GKE aktualisiert Versionen mit diesen COS-Versionen.

    Aus Sicherheitsgründen Auch wenn Sie das automatische Knotenupgrade aktiviert haben, empfehlen wir, können Sie manuell Upgrade Ihrer Knotenpools auf eine der folgenden GKE Versionen:

    COS-Versionen

    • 1.22.12-gke.300
    • 1.23.8-gke.1900
    • 1.24.2-gke.1900


    Mit der neuesten Funktion Release-Versionen können Sie einen Patch anwenden, ohne das Abo eines Kanals kündigen zu müssen. Dadurch können Sie Ihre Knoten auf die Patchversion aktualisieren, bevor diese Version in der ausgewählten Release-Version zur Standardversion wird.

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    Mit CVE-2022-2327 hat der Linux-Kernel in Version 5.10 eine eine Schwachstelle im io_uring-Subsystem, an der verschiedene Anforderungen fehlende Artikeltypen (Flags). Die Verwendung dieser Anfragen ohne die Die angegebenen Elementtypen können zu einer Rechteausweitung auf das Stammverzeichnis führen.
    Hoch

    GKE on VMware

    Aktualisiert : 14.09.2022

    Beschreibung Schweregrad

    Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2022-2327) entdeckt, die zu einer lokalen Rechteausweitung führen kann. Diese Sicherheitslücke ermöglicht einem nicht privilegierten Nutzer, einen vollständigen Container-Breakout zum Root auf dem Knoten zu erreichen.

    Cluster mit einem Container-Optimized OS-Image (COS) mit GKE on VMware-Versionen 1.10, 1.11 und 1.12 sind betroffen.

    Wie gehe ich am besten vor?

    Aktualisierung vom 14. September 2022:Die folgenden Versionen von GKE on VMware enthält Code, der diese Sicherheitslücke behebt.

    • 1.10.6 oder höher
    • 1.11.3 oder höher
    • 1.12.1 oder höher

    Versionen von GKE on VMware, die Patches enthalten, werden veröffentlicht . Dieses Sicherheitsbulletin wird aktualisiert, wenn die GKE on VMware Versionen zum Download zur Verfügung.

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    Mit CVE-2022-2327 hat der Linux-Kernel in Version 5.10 eine eine Schwachstelle im io_uring-Subsystem, an der verschiedene Anforderungen fehlende Artikeltypen (Flags). Die Verwendung dieser Anfragen ohne die Die angegebenen Elementtypen können zu einer Rechteausweitung auf das Stammverzeichnis führen.

    Hoch

    GKE on AWS

    Aktualisiert : 14.09.2022

    Beschreibung Schweregrad

    Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2022-2327) entdeckt, die zu einer lokalen Rechteausweitung führen kann. Diese Sicherheitslücke ermöglicht einem nicht privilegierten Nutzer, einen vollständigen Container-Breakout zum Root auf dem Knoten zu erreichen.

    Wie gehe ich am besten vor?

    Aktualisierung vom 14.09.2022:Die folgenden aktuellen und vorherigen Generation von GKE on AWS mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Wir empfehlen Ihnen, Führen Sie ein Upgrade Ihrer Knoten auf eine der folgenden GKE on AWS-Anwendungen durch Versionen:

    Aktuelle Generation

    • 1.23.8-gke.1700
    • 1.22.12-gke.200
    • 1.21.14-gke.2100

    Vorherige Generation

    • 1.23.8-gke.2000
    • 1.22.12-gke.300
    • 1.21.14-gke.2100

    Versionen von GKE on AWS, die Patches enthalten, werden demnächst veröffentlicht. Dieses Sicherheitsbulletin wird aktualisiert, wenn die GKE on AWS Versionen zum Download zur Verfügung.

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    Mit CVE-2022-2327 hat der Linux-Kernel in Version 5.10 eine eine Schwachstelle im io_uring-Subsystem, an der verschiedene Anforderungen fehlende Artikeltypen (Flags). Die Verwendung dieser Anfragen ohne die Die angegebenen Elementtypen können zu einer Rechteausweitung auf das Stammverzeichnis führen.

    Hoch

    GKE on Azure

    Aktualisiert : 14.09.2022

    Beschreibung Schweregrad

    Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2022-2327) entdeckt, die zu einer lokalen Rechteausweitung führen kann. Diese Sicherheitslücke ermöglicht einem nicht privilegierten Nutzer, einen vollständigen Container-Breakout zum Root auf dem Knoten zu erreichen.

    Wie gehe ich am besten vor?

    Aktualisierung vom 14. September 2022:Die folgenden Versionen von GKE on Azure wurde mit Code zur Behebung dieses Problems aktualisiert eine Sicherheitslücke. Wir empfehlen ein Upgrade Ihrer Knoten auf eine der die folgenden GKE on Azure-Versionen:

    • 1.23.8-gke.1700
    • 1.22.12-gke.200
    • 1.21.14-gke.2100

    Versionen von GKE on Azure, die Patches enthalten, werden bald veröffentlicht. Dieses Sicherheitsbulletin wird aktualisiert, wenn die GKE on Azure Versionen zum Download zur Verfügung.

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    Mit CVE-2022-2327 hat der Linux-Kernel in Version 5.10 eine eine Schwachstelle im io_uring-Subsystem, an der verschiedene Anforderungen fehlende Artikeltypen (Flags). Die Verwendung dieser Anfragen ohne die Die angegebenen Elementtypen können zu einer Rechteausweitung auf das Stammverzeichnis führen.

    Hoch

    Google Distributed Cloud Virtual for Bare Metal

    Beschreibung Schweregrad

    Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2022-2327) entdeckt, die zu einer lokalen Rechteausweitung führen kann. Diese Sicherheitslücke ermöglicht einem nicht privilegierten Nutzer, einen vollständigen Container-Breakout zum Root auf dem Knoten zu erreichen.

    Was soll ich tun?

    Sie müssen nichts unternehmen. Google Distributed Cloud Virtual for Bare Metal ist nicht betroffen von CVE nicht enthalten, da es in seinem Verteilung.

    Keine

    GCP-2022-017

    Veröffentlicht: 29.06.2022
    Aktualisiert: 22.11.2022
    Referenz: CVE-2022-1786
    Update vom 22.11.2022 : Informationen zu Arbeitslasten mit GKE Sandbox wurden aktualisiert.
    Update vom 21.07.2022 : Informationen zu COS-Images von GKE on VMware wurden aktualisiert. betroffen sind.

    GKE

    Aktualisiert : 22.11.2022

    Beschreibung Schweregrad

    Aktualisierung vom 22.11.2022: Arbeitslasten, die GKE Sandbox verwenden, sind von diesen Sicherheitslücken nicht betroffen.


    Eine neue Sicherheitslücke (CVE-2022-1786) wurde in den Linux-Kernel-Versionen 5.10 und 5.11 entdeckt. Diese Sicherheitslücke ermöglicht einem nicht privilegierten Nutzer mit lokalem Zugriff auf den Cluster, einen vollständigen Container-Breakout zum Root auf dem Knoten zu erreichen. Es sind nur Cluster betroffen, in denen Container-Optimized OS ausgeführt wird. GKE-Ubuntu-Versionen verwenden entweder Version 5.4 oder 5.15 des Kernels und sind nicht betroffen.

    Was soll ich tun?

    Die Versionen von Linux-Knoten-Images für Container-Optimized OS für die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Aus Sicherheitsgründen empfehlen wir, auch wenn Sie die automatische Knotenaktualisierung aktiviert haben, ein manuelles Upgrade Ihrer Knotenpools auf eine der folgenden bevorstehenden GKE-Versionen durchzuführen:

    • 1.22.10-gke.600
    • 1.23.7-gke.1400
    • 1.24.1-gke.1400

    Mit dem neuesten Feature für Release-Versionen können Sie einen Patch anwenden, ohne das Abo eines Kanals kündigen zu müssen. Dadurch können Sie Ihre Knoten auf die Patchversion aktualisieren, bevor diese Version in der ausgewählten Release-Version zur Standardversion wird.

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    In Verbindung mit CVE-2022-1786 wurde im io_uring-Subsystem des Linux-Kernels ein Use-After-Free-Problem gefunden. Wenn ein Nutzer einen Ring mit IORING_SETUP_IOPOLL mit mehreren Aufgaben einrichtet, die Einreichungen für den Ring abschließen, kann ein lokaler Nutzer das System abstürzen lassen oder seine Berechtigungen dafür eskalieren.

    Hoch

    GKE on VMware

    Aktualisiert: 14. 07. 2022

    Beschreibung Schweregrad

    Eine neue Sicherheitslücke (CVE-2022-1786) wurde in den Linux-Kernel-Versionen 5.10 und 5.11 entdeckt. Diese Sicherheitslücke ermöglicht einem nicht privilegierten Nutzer mit lokalem Zugriff auf den Cluster, einen vollständigen Container-Breakout zum Root auf dem Knoten zu erreichen.

    Wie gehe ich am besten vor?

    Update vom 21.07.2022: die folgenden Versionen von GKE on VMware Code enthalten, der diese Sicherheitslücke behebt.

    COS
    • 1.10.5 oder höher
    • 1.11.2 oder höher
    • 1.12.0 oder höher

    Ubuntu

    Sie müssen nichts unternehmen. GKE on VMware verwendet die betroffenen Versionen des Linux-Kernels nicht.

    Keine

    GKE on AWS

    Beschreibung Schweregrad

    Eine neue Sicherheitslücke (CVE-2022-1786) wurde in den Linux-Kernel-Versionen 5.10 und 5.11 entdeckt. Diese Sicherheitslücke ermöglicht einem nicht privilegierten Nutzer mit lokalem Zugriff auf den Cluster, einen vollständigen Container-Breakout zum Root auf dem Knoten zu erreichen.

    Was soll ich tun?

    Sie müssen nichts unternehmen. GKE on AWS verwendet die betroffenen Versionen des Linux-Kernels nicht.

    Keine

    GKE on Azure

    Beschreibung Schweregrad

    Eine neue Sicherheitslücke (CVE-2022-1786) wurde in den Linux-Kernel-Versionen 5.10 und 5.11 entdeckt. Diese Sicherheitslücke ermöglicht einem nicht privilegierten Nutzer mit lokalem Zugriff auf den Cluster, einen vollständigen Container-Breakout zum Root auf dem Knoten zu erreichen.

    Was soll ich tun?

    Sie müssen nichts unternehmen. GKE on Azure verwendet nicht die betroffenen Versionen des Linux-Kernels.

    Keine

    Google Distributed Cloud Virtual for Bare Metal

    Beschreibung Schweregrad

    Eine neue Sicherheitslücke (CVE-2022-1786) wurde in den Linux-Kernel-Versionen 5.10 und 5.11 entdeckt. Diese Sicherheitslücke ermöglicht einem nicht privilegierten Nutzer mit lokalem Zugriff auf den Cluster, einen vollständigen Container-Breakout zum Root auf dem Knoten zu erreichen.

    Was soll ich tun?

    Sie müssen nichts unternehmen. Google Distributed Cloud Virtual for Bare Metal ist von dieser CVE nicht betroffen da es in seiner Distribution kein Betriebssystem gebündelt ist.

    Keine

    GCP-2022-016

    Veröffentlicht: 23.06.2022
    Aktualisiert: 22.11.2022
    Referenz: CVE-2022-29581, CVE-2022-29582, CVE-2022-1116
    Update vom 22.11.2022 : Informationen zu Arbeitslasten, die in Autopilot-Clustern ausgeführt werden, wurden hinzugefügt.
    Update vom 29.07.2022 : Aktualisierte Versionen für GKE on VMware, GKE on AWS und GKE on Azure.

    GKE

    Aktualisiert : 22.11.2022

    Beschreibung Schweregrad

    Aktualisierung vom 22.11.2022: Autopilot-Cluster sind nicht von CVE-2022-29581 betroffen, aber anfällig für CVE-2022-29582 und CVE-2022-1116.


    Aktualisierung vom 29. Juli 2022: Pods, die GKE Sandbox verwenden, sind nicht anfällig für diese Sicherheitslücken.


    Im Linux-Kernel wurden drei neue Sicherheitslücken (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) in Bezug auf Speicherbeschädigung erkannt. Diese Sicherheitslücken erlauben einem nicht privilegierten Nutzer mit lokalem Zugriff auf den Cluster, einen vollständigen Container-Breakout zum Root auf dem Knoten zu erreichen. Alle Linux-Cluster (Container-Optimized OS und Ubuntu) sind betroffen.

    Was soll ich tun?

    Die Versionen von Linux-Knoten-Images für Container-Optimized OS und Ubuntu für die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Aus Sicherheitsgründen empfehlen wir, auch wenn Sie die automatische Knotenaktualisierung aktiviert haben, ein manuelles Upgrade Ihrer Knotenpools auf eine der folgenden GKE-Versionen durchzuführen:

    • Container-Optimized OS:
      • 1.19.16-gke.13800
      • 1.20.15-gke.8000
      • 1.21.12-gke.1500
      • 1.22.9-gke.1300
      • 1.23.6-gke.1500
      • 1.24.1-gke.1400
    • Ubuntu:
      • 1.20.15-gke.9600
      • 1.21.13-gke.900
      • 1.22.10-gke.600
      • 1.23.7-gke.1400
      • 1.24.1-gke.1400

    Mit der neuesten Funktion Release-Versionen können Sie einen Patch anwenden, ohne das Abo eines Kanals kündigen zu müssen. Dadurch können Sie Ihre Knoten auf die Patchversion aktualisieren, bevor diese Version in der ausgewählten Release-Version zur Standardversion wird.

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    Bei CVE-2022-29582 hat der Linux-Kernel in Versionen vor 5.17.3 aufgrund einer Race-Bedingung bei io_uring-Zeitüberschreitungen eine Use-After-Free-Sicherheitslücke.

    CVE-2022-29581 und CVE-2022-1116 sind Sicherheitslücken, bei denen ein lokaler Angreifer im Linux-Kernel eine Speicherbeschädigung in io_uring oder net/sched verursachen kann, um Berechtigungen zum Root zu eskalieren.

    Hoch

    GKE on VMware

    Aktualisiert: 2022-07-29

    Beschreibung Schweregrad

    Aktualisierung vom 29. Juli 2022:Die folgenden Versionen von GKE on VMware enthält Code, der diese Sicherheitslücken behebt.

    • 1.9.7 oder höher
    • 1.10.5 oder höher
    • 1.11.2 oder höher
    • 1.12.0 oder höher


    Im Linux-Kernel wurden drei neue Sicherheitslücken (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) in Bezug auf Speicherbeschädigung erkannt. Diese Sicherheitslücken erlauben einem nicht privilegierten Nutzer mit lokalem Zugriff auf den Cluster, einen vollständigen Container-Breakout zum Root auf dem Knoten zu erreichen. Diese Sicherheitslücken betreffen GKE on VMware v1.9 und höher für Images von Container-Optimized OS und Ubuntu.

    Wie gehe ich am besten vor?

    Versionen von GKE on VMware, die Patches enthalten, werden demnächst veröffentlicht. Dieses Sicherheitsbulletin wird aktualisiert, sobald die Versionen von GKE on VMware zum Download verfügbar sind.

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    Bei CVE-2022-29582 hat der Linux-Kernel in Versionen vor 5.17.3 aufgrund einer Race-Bedingung bei io_uring-Zeitüberschreitungen eine Use-After-Free-Sicherheitslücke.

    CVE-2022-29581 und CVE-2022-1116 sind Sicherheitslücken, bei denen ein lokaler Angreifer im Linux-Kernel eine Speicherbeschädigung in io_uring oder net/sched verursachen kann, um Berechtigungen zum Root zu eskalieren.

    Hoch

    GKE on AWS

    Aktualisiert: 2022-07-29

    Beschreibung Schweregrad

    Aktualisierung vom 29.07.2022: Update: die folgenden aktuellen und vorherigen Versionen von GKE on AWS wurden mit Code aktualisiert, um diese Sicherheitslücken zu schließen. Mi. empfehlen ein Upgrade Ihrer Knoten auf eines der folgenden GKE on AWS-Versionen:

    Aktuelle Generation

    • 1.23.7-gke.1300
    • 1.22.10-gke.1500
    • 1.21.11-gke.1900
    Vorherige Generation:
    • 1.23.7-gke.1500
    • 1.22.10-gke.1500
    • 1.21.13-gke.1600

    Im Linux-Kernel wurden drei neue Sicherheitslücken (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) in Bezug auf Speicherbeschädigung erkannt. Diese Sicherheitslücken erlauben einem nicht privilegierten Nutzer mit lokalem Zugriff auf den Cluster, einen vollständigen Container-Breakout zum Root auf dem Knoten zu erreichen. Diese Sicherheitslücken betreffen alle Versionen von GKE on AWS.

    Wie gehe ich am besten vor?

    Versionen von GKE on AWS, die Patches enthalten, werden demnächst veröffentlicht. Dieses Sicherheitsbulletin wird aktualisiert, sobald die Versionen von GKE on AWS zum Download verfügbar sind.

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    Bei CVE-2022-29582 hat der Linux-Kernel in Versionen vor 5.17.3 aufgrund einer Race-Bedingung bei io_uring-Zeitüberschreitungen eine Use-After-Free-Sicherheitslücke.

    CVE-2022-29581 und CVE-2022-1116 sind Sicherheitslücken, bei denen ein lokaler Angreifer im Linux-Kernel eine Speicherbeschädigung in io_uring oder net/sched verursachen kann, um Berechtigungen zum Root zu eskalieren.

    Hoch

    GKE on Azure

    Beschreibung Schweregrad

    Aktualisierung vom 29.07.2022: Aktualisierung: die folgenden Versionen von GKE on Azure wurden mit Code aktualisiert, um diese Sicherheitslücken zu schließen. Mi. empfehlen ein Upgrade Ihrer Knoten auf eines der folgenden Versionen von GKE on Azure:

    • 1.23.7-gke.1300
    • 1.22.10-gke.1500
    • 1.21.11-gke.1900


    Im Linux-Kernel wurden drei neue Sicherheitslücken (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) in Bezug auf Speicherbeschädigung erkannt. Diese Sicherheitslücken erlauben einem nicht privilegierten Nutzer mit lokalem Zugriff auf den Cluster, einen vollständigen Container-Breakout zum Root auf dem Knoten zu erreichen. Diese Sicherheitslücken betreffen alle Versionen von GKE on Azure.

    Wie gehe ich am besten vor?

    Versionen von GKE on Azure, die Patches enthalten, werden bald veröffentlicht. Dieses Sicherheitsbulletin wird aktualisiert, sobald die Versionen von GKE on Azure zum Download verfügbar sind.

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    Bei CVE-2022-29582 hat der Linux-Kernel in Versionen vor 5.17.3 aufgrund einer Race-Bedingung bei io_uring-Zeitüberschreitungen eine Use-After-Free-Sicherheitslücke.

    CVE-2022-29581 und CVE-2022-1116 sind Sicherheitslücken, bei denen ein lokaler Angreifer im Linux-Kernel eine Speicherbeschädigung in io_uring oder net/sched verursachen kann, um Berechtigungen zum Root zu eskalieren.

    Hoch

    Google Distributed Cloud Virtual for Bare Metal

    Beschreibung Schweregrad

    Im Linux-Kernel wurden drei neue Sicherheitslücken (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) in Bezug auf Speicherbeschädigung erkannt. Diese Sicherheitslücken erlauben einem nicht privilegierten Nutzer mit lokalem Zugriff auf den Cluster, einen vollständigen Container-Breakout zum Root auf dem Knoten zu erreichen.

    Was soll ich tun?

    Sie müssen nichts unternehmen. Google Distributed Cloud Virtual for Bare Metal ist nicht von dieser Sicherheitslücke betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

    Keine

    GCP-2022-014

    Veröffentlicht: 26.04.2022
    Aktualisiert: 22.11.2022
    Update vom 22.11.2022: Informationen zu Arbeitslasten, die in Autopilot-Clustern ausgeführt werden, wurden hinzugefügt.
    Update vom 12.05.2022: Patchversionen für GKE on AWS und GKE on Azure
    Referenz: CVE-2022-1055, CVE-2022-27666

    GKE

    Aktualisiert : 22.11.2022

    Beschreibung Schweregrad

    Aktualisierung vom 22.11.2022: GKE Autopilot-Cluster und Arbeitslasten, die in GKE Sandbox ausgeführt werden, sind von diesen Sicherheitslücken nicht betroffen.


    Im Linux-Kernel wurden zwei Sicherheitslücken entdeckt, CVE-2022-1055 und CVE-2022-27666. Beide können dazu führen, dass ein lokaler Angreifer in der Lage ist, einen Containerausfall, eine Ausweitung der Berechtigungen auf dem Host oder beides durchzuführen. Diese Sicherheitslücken betreffen alle Betriebssysteme von GKE-Knoten (Container-Optimized OS und Ubuntu).

    Technische Details

    Bei CVE-2022-1055 kann ein Angreifer use-after-free in tc_new_tfilter() ausnutzen. So kann ein lokaler Angreifer im Container seine Privilegien zum Root auf dem Knoten eskalieren.

    Bei CVE-2022-27666 ermöglicht ein Pufferüberlauf in esp/esp6_output_head einem lokalen Angreifer im Container, die Berechtigungen zum Root auf dem Knoten zu eskalieren.

    Was soll ich tun?

    Die Versionen von Linux-Knoten-Images für die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Aktualisieren Sie Ihre Cluster auf eine der folgenden kommenden GKE-Versionen:

    • 1.19.16-gke.11000 und höher
    • 1.20.15-gke.5200 und höher
    • 1.21.11-gke.1100 und höher
    • 1.22.8-gke.200 und höher
    • 1.23.5-gke.1500 und höher

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    Hoch

    GKE on VMware

    Beschreibung Schweregrad

    Im Linux-Kernel wurden zwei Sicherheitslücken entdeckt, CVE-2022-1055 und CVE-2022-27666. Beide können dazu führen, dass ein lokaler Angreifer in der Lage ist, einen Containerausfall, eine Ausweitung der Berechtigungen auf dem Host oder beides durchzuführen. Diese Sicherheitslücken betreffen alle Betriebssysteme von GKE-Knoten (Container-Optimized OS und Ubuntu).

    Technische Details

    Bei CVE-2022-1055 kann ein Angreifer use-after-free in tc_new_tfilter() ausnutzen. So kann ein lokaler Angreifer im Container seine Privilegien zum Root auf dem Knoten eskalieren.

    Bei CVE-2022-27666 ermöglicht ein Pufferüberlauf in esp/esp6_output_head einem lokalen Angreifer im Container, die Berechtigungen zum Root auf dem Knoten zu eskalieren.

    Was soll ich tun?

    Führen Sie ein Upgrade des Clusters auf eine Patchversion aus. Die folgenden GKE on VMware-Versionen oder höher enthalten die Fehlerkorrektur für diese Sicherheitslücke:

    • 1.9.6 (anstehend)
    • 1.10.3
    • 1.11.0 (anstehend)

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    Hoch

    GKE on AWS

    Aktualisiert: 12.05.2022

    Beschreibung Schweregrad

    Im Linux-Kernel wurden zwei Sicherheitslücken entdeckt, CVE-2022-1055 und CVE-2022-27666. Beide können dazu führen, dass ein lokaler Angreifer in der Lage ist, einen Containerausfall, eine Ausweitung der Berechtigungen auf dem Host oder beides durchzuführen. Diese Sicherheitslücken betreffen alle Betriebssysteme von GKE-Knoten (Container-Optimized OS und Ubuntu).

    Technische Details

    Bei CVE-2022-1055 kann ein Angreifer use-after-free in tc_new_tfilter() ausnutzen. So kann ein lokaler Angreifer im Container seine Privilegien zum Root auf dem Knoten eskalieren.

    Bei CVE-2022-27666 ermöglicht ein Pufferüberlauf in esp/esp6_output_head einem lokalen Angreifer im Container, die Berechtigungen zum Root auf dem Knoten zu eskalieren.

    Wie gehe ich am besten vor?

    Aktualisierung vom 12. Mai 2022: Die folgenden aktuellen und vorherigen Versionen von GKE on AWS wurden mit Code aktualisiert, um diese Sicherheitslücken zu schließen. Wir empfehlen ein Upgrade Ihrer Knoten auf eine der folgenden GKE on AWS-Versionen:

    Aktuelle Generation
    • 1.21.11-gke.1100
    • 1.22.8-gke.1300
    Vorherige Generation
    • 1.20.15-gke.5200
    • 1.21.11-gke.1100
    • 1.22.8-gke.1300

    Führen Sie ein Upgrade des Clusters auf eine Patchversion aus. Patches werden in einer künftigen Version verfügbar sein. Dieses Bulletin wird aktualisiert, sobald sie verfügbar sind.

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    Hoch

    GKE on Azure

    Aktualisiert: 12.05.2022

    Beschreibung Schweregrad

    Im Linux-Kernel wurden zwei Sicherheitslücken entdeckt, CVE-2022-1055 und CVE-2022-27666. Beide können dazu führen, dass ein lokaler Angreifer in der Lage ist, einen Containerausfall, eine Ausweitung der Berechtigungen auf dem Host oder beides durchzuführen. Diese Sicherheitslücken betreffen alle Betriebssysteme von GKE-Knoten (Container-Optimized OS und Ubuntu).

    Technische Details

    Bei CVE-2022-1055 kann ein Angreifer use-after-free in tc_new_tfilter() ausnutzen. So kann ein lokaler Angreifer im Container seine Privilegien zum Root auf dem Knoten eskalieren.

    Bei CVE-2022-27666 ermöglicht ein Pufferüberlauf in esp/esp6_output_head einem lokalen Angreifer im Container, die Berechtigungen zum Root auf dem Knoten zu eskalieren.

    Wie gehe ich am besten vor?

    Aktualisierung vom 12. Mai 2022: Die folgenden Versionen von GKE on Azure wurden mit Code zur Fehlerbehebung aktualisiert zu diesen Sicherheitslücken. Wir empfehlen ein Upgrade Ihrer Knoten auf eine der folgenden Versionen: Versionen von GKE on Azure:

    • 1.21.11-gke.1100
    • 1.22.8-gke.1300

    Führen Sie ein Upgrade des Clusters auf eine Patchversion aus. Patches werden in einer künftigen Version verfügbar sein. Dieses Bulletin wird aktualisiert, sobald sie verfügbar sind.

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    Hoch

    Google Distributed Cloud Virtual for Bare Metal

    Beschreibung Schweregrad

    Im Linux-Kernel wurden zwei Sicherheitslücken entdeckt, CVE-2022-1055 und CVE-2022-27666. Beide können dazu führen, dass ein lokaler Angreifer in der Lage ist, einen Containerausfall, eine Ausweitung der Berechtigungen auf dem Host oder beides durchzuführen. Diese Sicherheitslücken betreffen alle Betriebssysteme von GKE-Knoten (Container-Optimized OS und Ubuntu).

    Technische Details

    Bei CVE-2022-1055 kann ein Angreifer use-after-free in tc_new_tfilter() ausnutzen. So kann ein lokaler Angreifer im Container seine Privilegien zum Root auf dem Knoten eskalieren.

    Bei CVE-2022-27666 ermöglicht ein Pufferüberlauf in esp/esp6_output_head einem lokalen Angreifer im Container, die Berechtigungen zum Root auf dem Knoten zu eskalieren.

    Was soll ich tun?

    Sie müssen nichts unternehmen. Google Distributed Cloud Virtual for Bare Metal ist von dieser CVE nicht betroffen, da Linux nicht im Paket enthalten ist. Sie sollten dafür sorgen, dass die verwendeten Knoten-Images auf Versionen aktualisiert werden, die die Fehlerkorrektur für CVE-2022-1055 und CVE-2022-27666 enthalten.

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    Hoch

    GCP-2022-013

    Veröffentlicht: 11.04.2022
    Aktualisiert: 20.04.2022
    Referenz: CVE-2022-23648
    Update vom 22.04.2022 : Patchversionen für Google Distributed Cloud Virtual for Bare Metal und GKE on VMware wurden aktualisiert.

    GKE

    Beschreibung Schweregrad

    Bei der Verarbeitung des Pfaddurchlaufs in der OCI-Volume-Spezifikation wurde eine Sicherheitslücke, CVE-2022-23648, entdeckt. Container, die über die CRI-Implementierung von containerd mit einer speziell konzipierten Image-Konfiguration gestartet wurden, können vollen Lesezugriff auf beliebige Dateien und Verzeichnisse auf dem Host erhalten.

    Diese Sicherheitslücke kann jede richtlinienbasierte Durchsetzung bei der Containereinrichtung (einschließlich einer Kubernetes-Pod-Sicherheitsrichtlinie) umgehen. Diese Sicherheitslücke betrifft alle GKE-Knotenbetriebssysteme (Container-Optimized OS und Ubuntu), die standardmäßig containerd verwenden. Es sind alle GKE-, Autopilot- und GKE Sandbox-Knoten betroffen.

    Was soll ich tun?

    Die Versionen von Linux-Knoten-Images für die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Aus Sicherheitsgründen empfehlen wir, auch wenn Sie die automatische Knotenaktualisierung aktiviert haben, ein manuelles Upgrade Ihrer Knoten auf eine der folgenden GKE-Versionen durchzuführen:

    • 1.19.16-gke.9400
    • 1.20.15-gke.3600
    • 1.21.10-gke.1500
    • 1.22.7-gke.1500
    • 1.23.4-gke.1500

    Mit der neuesten Funktion Release-Versionen können Sie einen Patch anwenden, ohne das Abo eines Kanals kündigen zu müssen. Auf diese Weise können Sie Ihre Knoten sichern, bis die neue Version als Standard für Ihre spezifische Release-Version verwendet wird.

    Mittel

    GKE on VMware

    Aktualisiert: 22.04.2022

    Beschreibung Schweregrad

    Bei der Verarbeitung des Pfaddurchlaufs in der OCI-Volume-Spezifikation wurde eine Sicherheitslücke, CVE-2022-23648, entdeckt. Container, die über die CRI-Implementierung von containerd mit einer speziell konzipierten Image-Konfiguration gestartet wurden, können vollen Lesezugriff auf beliebige Dateien und Verzeichnisse auf dem Host erhalten.

    Diese Sicherheitslücke kann jede richtlinienbasierte Durchsetzung bei der Containereinrichtung (einschließlich einer Kubernetes-Pod-Sicherheitsrichtlinie) umgehen. Diese Sicherheitslücke betrifft alle GKE on VMware mit aktiviertem Stackdriver, das containerd verwendet. GKE on VMware-Versionen 1.8, 1.9 und 1.10 sind betroffen

    Wie gehe ich am besten vor?

    Aktualisierung vom 22. April 2022 : Die folgenden Versionen von GKE on VMware enthalten Code, der diese Sicherheitslücke behebt.

    • 1.9.5 oder höher
    • 1.10.3 oder höher
    • 1.11.0 oder höher

    Die folgenden Versionen von GKE on VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Wir empfehlen ein Upgrade Ihrer Knoten auf eine der folgenden GKE on VMware-Versionen:

    • 1.8.8 oder höher
    • 1.9.5 oder höher
    • 1.10.2 oder höher

    Diese CVE-Sicherheitslücke kann durch die Festlegung von "IgnoreImageDefinedVolumes" auf "true" behoben werden.

    Mittel

    GKE on AWS

    Beschreibung Schweregrad

    Bei der Verarbeitung des Pfaddurchlaufs in der OCI-Volume-Spezifikation wurde eine Sicherheitslücke, CVE-2022-23648, entdeckt. Container, die über die CRI-Implementierung von containerd mit einer speziell konzipierten Image-Konfiguration gestartet wurden, können vollen Lesezugriff auf beliebige Dateien und Verzeichnisse auf dem Host erhalten.

    Diese Sicherheitslücke kann jede richtlinienbasierte Durchsetzung bei der Containereinrichtung (einschließlich einer Kubernetes-Pod-Sicherheitsrichtlinie) umgehen. Alle GKE on AWS-Versionen sind betroffen.

    Wie gehe ich am besten vor?

    Die folgenden Versionen von GKE on AWS wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Wir empfehlen ein Upgrade Ihrer Knoten auf eine der folgenden GKE on AWS-Versionen.

    GKE on AWS (aktuelle Generation)
    • Version 1.22: 1.22.8-gke.200
    • Version 1.21: 1.21.11-gke.100
    GKE on AWS (vorherige Generation)
    • Version 1.22: 1.22.8-gke.300
    • Version 1.21: 1.21.11-gke.100
    • Version 1.20: 1.20.15-gke.2200

    Diese CVE-Sicherheitslücke kann durch die Festlegung von "IgnoreImageDefinedVolumes" auf "true" behoben werden.

    Mittel

    GKE on Azure

    Beschreibung Schweregrad

    Bei der Verarbeitung des Pfaddurchlaufs in der OCI-Volume-Spezifikation wurde eine Sicherheitslücke, CVE-2022-23648, entdeckt. Container, die über die CRI-Implementierung von containerd mit einer speziell konzipierten Image-Konfiguration gestartet wurden, können vollen Lesezugriff auf beliebige Dateien und Verzeichnisse auf dem Host erhalten.

    Diese Sicherheitslücke kann jede richtlinienbasierte Durchsetzung bei der Containereinrichtung (einschließlich einer Kubernetes-Pod-Sicherheitsrichtlinie) umgehen. Alle GKE on Azure-Versionen sind betroffen.

    Wie gehe ich am besten vor?

    Die folgenden Versionen von GKE on Azure wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Wir empfehlen Ihnen, ein Upgrade Ihrer Knoten so auszuführen:

    • Version 1.22: 1.22.8-gke.200
    • Version 1.21: 1.21.11-gke.100

    Diese CVE-Sicherheitslücke kann durch die Festlegung von "IgnoreImageDefinedVolumes" auf "true" behoben werden.

    Mittel

    Google Distributed Cloud Virtual for Bare Metal

    Aktualisiert: 22.04.2022

    Beschreibung Schweregrad

    Bei der Verarbeitung des Pfaddurchlaufs in der OCI-Volume-Spezifikation wurde eine Sicherheitslücke, CVE-2022-23648, entdeckt. Container, die über die CRI-Implementierung von containerd mit einer speziell konzipierten Image-Konfiguration gestartet wurden, können vollen Lesezugriff auf beliebige Dateien und Verzeichnisse auf dem Host erhalten.

    Diese Sicherheitslücke kann jede richtlinienbasierte Durchsetzung bei der Containereinrichtung (einschließlich einer Kubernetes-Pod-Sicherheitsrichtlinie) umgehen. Diese Sicherheitslücke betrifft alle Google Distributed Cloud Virtual for Bare Metal-Instanzen, die containerd verwenden. Betroffen sind die Versionen 1.8, 1.9 und 1.10 von Google Distributed Cloud Virtual for Bare Metal

    Wie gehe ich am besten vor?

    Aktualisierung vom 22. April 2022 : Die folgenden Versionen von Google Distributed Cloud Virtual for Bare Metal enthalten Code, der diese Sicherheitslücke behebt.

    • 1.8.9 oder höher
    • 1.9.6 oder höher
    • 1.10.3 oder höher
    • 1.11.0 oder höher

    Die folgenden Versionen von Google Distributed Cloud Virtual for Bare Metal wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Wir empfehlen ein Upgrade Ihrer Knoten auf eine der folgenden Versionen von Google Distributed Cloud Virtual for Bare Metal:

    • 1.8.8 oder höher
    • 1.9.5 oder höher
    • 1.10.2 oder höher

    Diese CVE-Sicherheitslücke kann durch die Festlegung von "IgnoreImageDefinedVolumes" auf "true" behoben werden.

    Mittel

    GCP-2022-012

    Veröffentlicht: 07.04.2022
    Aktualisiert: 22.11.2022
    Referenz: CVE-2022-0847
    Update vom 22.11.2022: Aktualisierte Informationen zu Arbeitslasten, die GKE Sandbox verwenden.

    GKE

    Aktualisiert : 22.11.2022

    Beschreibung Schweregrad

    Aktualisierung vom 22.11.2022: Arbeitslasten, die GKE Sandbox verwenden, sind von diesen Sicherheitslücken nicht betroffen.


    Im Linux-Kernel ab Version 5.8 wurde eine Sicherheitslücke (CVE-2022-0847) entdeckt, durch die möglicherweise Root-Rechte erlangt werden können. Diese Sicherheitslücke betrifft alle GKE-Knotenpoolversionen ab v1.22, die Container-Optimized OS-Images verwenden (Container-Optimized OS 93 und höher). GKE-Knotenpools, die das Ubuntu-Betriebssystem verwenden, sind nicht betroffen.

    Was soll ich tun?

    Die Versionen von Linux-Knoten-Images für die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Aus Sicherheitsgründen empfehlen wir, auch wenn Sie die automatische Knotenaktualisierung aktiviert haben, ein manuelles Upgrade Ihrer Knotenpools auf eine der folgenden GKE-Versionen durchzuführen:

    • 1.22.7-gke.1500 und höher
    • 1.23.4-gke.1600 und höher

    Mit der neuesten Funktion Release-Versionen können Sie eine Patchversion anderer Release-Versionen anwenden, ohne sich von einer Version abmelden zu müssen. Auf diese Weise können Sie Ihre Knoten sichern, bis die neue Version zur Standardversion für Ihre Release-spezifische Version wird.

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    CVE-2022-0847 bezieht sich auf das Flag PIPE_BUF_FLAG_CAN_MERGE, das in Version 5.8 des Linux-Kernels eingeführt wurde. Bei dieser Sicherheitslücke wurde das Mitglied "flags" der neuen Pipe-Pufferstruktur im Linux-Kernel nicht ordnungsgemäß initialisiert. Ein nicht privilegierter lokaler Angreifer kann diesen Fehler ausnutzen, um auf Seiten im Seiten-Cache zu schreiben, die durch schreibgeschützte Dateien gesichert sind, und seine Privilegien eskalieren.

    Neue Versionen von Container-Optimized OS, die dieses Problem beheben, wurden in die aktualisierten Knotenpoolversionen von GKE integriert.

    Hoch

    GKE on VMware

    Beschreibung Schweregrad

    Im Linux-Kernel ab Version 5.8 wurde eine Sicherheitslücke (CVE-2022-0847) entdeckt, durch die möglicherweise Root-Rechte erlangt werden können. Diese Sicherheitslücke betrifft GKE on VMware v1.10 für Container-Optimized OS-Images. Derzeit verwendet GKE auf VMware mit Ubuntu die Kernel-Version 5.4 und ist für diesen Angriff nicht anfällig.

    Wie gehe ich am besten vor?

    Die Versionen der Linux-Knoten-Images für die folgenden Versionen von GKE on VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Wir empfehlen ein Upgrade Ihrer Administrator- und Nutzercluster auf die folgende GKE on VMware-Version:

    • 1.10.3

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    CVE-2022-0847 bezieht sich auf das Flag PIPE_BUF_FLAG_CAN_MERGE, das in Version 5.8 des Linux-Kernels eingeführt wurde. Bei dieser Sicherheitslücke wurde das Mitglied "flags" der neuen Pipe-Pufferstruktur im Linux-Kernel nicht ordnungsgemäß initialisiert. Ein nicht privilegierter lokaler Angreifer kann diesen Fehler ausnutzen, um auf Seiten im Seiten-Cache zu schreiben, die durch schreibgeschützte Dateien gesichert sind, und seine Privilegien eskalieren.

    Neue Versionen von Container-Optimized OS, die dieses Problem beheben, wurden in die aktualisierten Versionen von GKE on VMware integriert.

    Hoch

    GKE on AWS

    Beschreibung Schweregrad

    Im Linux-Kernel ab Version 5.8 wurde eine Sicherheitslücke (CVE-2022-0847) entdeckt, durch die möglicherweise Root-Rechte erlangt werden können.

    Diese Sicherheitslücke betrifft verwaltete Cluster von GKE on AWS v1.21 und Cluster, die auf GKE on AWS (vorherige Generation) v1.19, v1.20 und v1.21 ausgeführt werden, die Ubuntu verwenden.

    Wie gehe ich am besten vor?

    Die Versionen der Linux-Knoten-Images für die folgenden Versionen von GKE on AWS wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben.

    Für verwaltete GKE on AWS empfehlen wir ein Upgrade Ihrer Nutzercluster und Ihres Knotenpools auf eine der folgenden Versionen:

    • 1.21.11-gke.100

    Für k-lite GKE on AWS empfehlen wir ein Upgrade Ihrer AWSManagementService-, AWSCluster- und AWSNodePool-Objekte auf die folgende Version:

    • 1.21.11-gke.100
    • 1.20.15-gke.2200

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    CVE-2022-0847 bezieht sich auf das Flag PIPE_BUF_FLAG_CAN_MERGE, das in Version 5.8 des Linux-Kernels eingeführt wurde. Bei dieser Sicherheitslücke wurde das Mitglied "flags" der neuen Pipe-Pufferstruktur im Linux-Kernel nicht ordnungsgemäß initialisiert. Ein nicht privilegierter lokaler Angreifer kann diesen Fehler ausnutzen, um auf Seiten im Seiten-Cache zu schreiben, die durch schreibgeschützte Dateien gesichert sind, und seine Privilegien eskalieren.

    Hoch

    GKE on Azure

    Beschreibung Schweregrad

    Im Linux-Kernel ab Version 5.8 wurde eine Sicherheitslücke (CVE-2022-0847) entdeckt, durch die möglicherweise Root-Rechte erlangt werden können. Diese Sicherheitslücke betrifft verwaltete Cluster von GKE auf Azure v1.21, die Ubuntu verwenden.

    Wie gehe ich am besten vor?

    Die Versionen der Linux-Knoten-Images für die folgenden Versionen von GKE on Azure wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Wir empfehlen Ihnen, ein Upgrade Ihrer Nutzercluster und Ihres Knotenpools auf die folgende Version durchzuführen:

    • 1.21.11-gke.100

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    CVE-2022-0847 bezieht sich auf das Flag PIPE_BUF_FLAG_CAN_MERGE, das in Version 5.8 des Linux-Kernels eingeführt wurde. Bei dieser Sicherheitslücke wurde das Mitglied "flags" der neuen Pipe-Pufferstruktur im Linux-Kernel nicht ordnungsgemäß initialisiert. Ein nicht privilegierter lokaler Angreifer kann diesen Fehler ausnutzen, um auf Seiten im Seiten-Cache zu schreiben, die durch schreibgeschützte Dateien gesichert sind, und seine Privilegien eskalieren.

    Hoch

    Google Distributed Cloud Virtual for Bare Metal

    Beschreibung Schweregrad

    Im Linux-Kernel ab Version 5.8 wurde eine Sicherheitslücke (CVE-2022-0847) entdeckt, durch die möglicherweise Root-Rechte erlangt werden können.

    Was soll ich tun?

    Sie müssen nichts unternehmen. Google Distributed Cloud Virtual for Bare Metal ist von dieser CVE nicht betroffen, da Linux nicht im Paket enthalten ist. Sie sollten dafür sorgen, dass die verwendeten Knoten-Images auf Versionen aktualisiert werden, die die Fehlerkorrektur für CVE-2022-0847 enthalten.

    Hoch

    GCP-2022-011

    Veröffentlicht: 22.03.2022
    Aktualisiert: 11.08.2022

    Update vom 11.08.2022 : Weitere Details zu den Auswirkungen der SMT-Fehlkonfiguration wurden hinzugefügt.

    GKE

    Beschreibung Schweregrad

    Aktualisierung vom 11.08.2022:Weitere Informationen zum SMT-Konfiguration (Simultaneous Multi-Threading). SMT war dazu gedacht, deaktiviert sein, war aber in den aufgeführten Versionen aktiviert.

    Wenn Sie manuell SMT für einen Knotenpool in einer Sandbox aktiviert ist, bleibt SMT manuell aktiviert trotz dieses Problems.


    Es gibt eine fehlerhafte Konfiguration beim Gleichzeitigen Multi-Threading (SMT), auch als Hyper-Threading bezeichnet, auf GKE Sandbox-Images. Durch eine fehlerhafte Konfiguration werden Knoten möglicherweise für Nebenkanalangriffe wie Microarchitectural Data Sampling (MDS) ausgesetzt. Weitere Informationen finden Sie in der GKE Sandbox-Dokumentation. Wir raten davon ab, die folgenden betroffenen Versionen zu verwenden:

    • 1.22.4-gke.1501
    • 1.22.6-gke.300
    • 1.23.2-gke.300
    • 1.23.3-gke.600

    Wenn Sie SMT für einen Knotenpool manuell aktiviert haben, wirkt sich dieses Problem nicht auf Ihre in der Sandbox ausgeführten Knoten aus.

    Was soll ich tun?

    Führen Sie ein Upgrade Ihrer Knoten auf eine der folgenden Versionen durch:

    • 1.22.6-gke.1500 und höher
    • 1.23.3-gke.1100 und höher

    Welche Sicherheitslücke wird mit diesem Patch behoben?

    Bei GKE-Sandbox-Knoten ist SMT standardmäßig deaktiviert, um Seitenkanalangriffe abzuschwächen.

    Mittel

    GCP-2022-009

    Veröffentlicht: 01.03.2022
    Zuletzt aktualisiert: 15.03.2022

    GKE

    Beschreibung Schweregrad

    Aktualisierung vom 15.03.2022: Es wurden Anleitungen zur Härtung von GKE on AWS und GKE on Azure hinzugefügt. Abschnitt zur Persistenz mit Webhooks hinzugefügt.


    Einige unerwartete Pfade für den Zugriff auf die Knoten-VM in GKE Autopilot-Clustern wurden möglicherweise verwendet, um Berechtigungen im Cluster zu eskalieren. Diese Probleme wurden behoben und es sind keine weiteren Maßnahmen erforderlich. Die Fehlerkorrekturen beheben Probleme, die über unser Vulnerability Reward Program gemeldet wurden.

    Nutzer von GKE Standard- und GKE-Clustern können optional eine ähnliche Härtungsrichtlinie wie unten beschrieben anwenden.

    Technische Details

    Hostzugriff mit Richtlinienausnahmen von Drittanbietern

    Damit Google Cloud die vollständige Verwaltung von Knoten und ein SLA auf Pod-Ebene anbieten kann, beschränkt GKE Autopilot einige privilegierte Kubernetes-Primitive, um Arbeitslasten auf Low-Level-Zugriff auf die Knoten-VM zu beschränken. So legen Sie den Kontext fest: GKE Standard bietet vollständigen Zugriff auf das zugrunde liegende Computing, Autopilot bietet eingeschränkten Zugriff und Cloud Run bietet keinen Zugriff.

    Autopilot lockert einige dieser Einschränkungen für eine vordefinierte Liste von Drittanbietertools, sodass Kunden diese Tools auf Autopilot ohne Änderung ausführen können. Mithilfe von Berechtigungen zum Erstellen von Pods mit Hostpfadbereitstellungen konnte der Forscher einen privilegierten Container in einem Pod ausführen, der wie eines dieser Tools von Drittanbietern aussieht, um Zugriff auf den Host zu erhalten.

    Die Möglichkeit, Pods auf diese Weise zu planen, wird im GKE-Standard erwartet, aber nicht in GKE Autopilot, da die Hostzugriffseinschränkungen umgangen wurden, die zum Aktivieren des zuvor beschriebenen SLA verwendet wurden.

    Dieses Problem wurde durch eine Verkürzung der Pod-Spezifikation des Drittanbieters für Zulassungslisten behoben.

    Rechteausweitung von Root-auf-Knoten

    Zusätzlich zum Hostzugriff wurden die Pods stackdriver-metadata-agent-cluster-level und metrics-server als stark privilegiert identifiziert. Nachdem der Zugriff auf Stammebene auf den Knoten erfolgt ist, können diese Dienste zur weiteren Kontrolle des Clusters verwendet werden.

    Wir haben die stackdriver-metadata-agent sowohl für den GKE-Standard als auch für Autopilot verworfen und entfernt. Diese Komponente wird noch in GKE on VMware und Google Distributed Cloud Virtual for Bare Metal verwendet.

    Als Maßnahmen zur Systemhärtung, um diese Art von Angriff in Zukunft zu verhindern, werden wir in einer künftigen Version eine Autopilot-Einschränkung anwenden, die Aktualisierungen des Dienstkontos verschiedener Objekte im Namespace kube-system verhindert. Wir haben für Sie eine Gatekeeper-Richtlinie entwickelt, mit der Sie einen ähnlichen Schutz auf GKE-Standardcluster und GKE-Cluster anwenden können, um zu verhindern, dass sich privilegierte Arbeitslasten selbst ändern. Diese Richtlinie wird automatisch auf Autopilot-Cluster angewendet. Eine Anleitung finden Sie in den folgenden Anleitungen zur Härtung:


    Ergänzung am 15.03.2022: Persistenz mit mutierenden Webhooks

    In dem Bericht wurden mutierende Webhooks verwendet, um sich nach der Kompromittierung einen privilegierten Zugang zum Cluster zu verschaffen. Dies sind Standardteile der Kubernetes API, die von Clusteradministratoren erstellt und für Administratoren sichtbar gemacht werden, wenn Autopilot Unterstützung für benutzerdefinierte Webhooks hinzufügt.


    Privilegierte Dienstkonten im Standard-Namespace

    Autopilot-Richtlinienerzwinger haben zuvor zwei Dienstkonten im Standard-Namespace zugelassen: csi-attacher und otelsvc, um den Dienstkonten spezielle Berechtigungen zu erteilen. Ein Angreifer mit hohen Berechtigungen, einschließlich Berechtigungen zum Erstellen von ClusterRoleBinding-Objekten und mit Zugriff zum Erstellen von Pods im Standard-Namespace, kann mit diesen Dienstkontonamen auf diese zusätzlichen Berechtigungen zugreifen. Diese Dienste wurden unter den Namespace kube-system verschoben, um den Schutz der vorhandenen Autopilot-Richtlinie zu erhalten. GKE Standard-Cluster und GKE-Cluster sind nicht betroffen.

    Wie gehe ich am besten vor?

    Die Richtlinien aller GKE Autopilot-Cluster wurden aktualisiert, um den unbeabsichtigten Hostzugriff zu entfernen, und keine weiteren Maßnahmen sind erforderlich.

    In den nächsten Wochen wird eine weitere Härtung der Richtlinien als sekundärer Schutz auf Autopilot angewendet. Sie müssen nichts weiter tun.

    GKE Standard-Cluster und GKE-Cluster sind nicht betroffen, da Nutzer bereits Zugriff auf den Host haben. Als Maßnahme zur Systemhärtung können Nutzer von GKE Standard-Clustern und GKE-Clustern einen ähnlichen Schutz mit einer Gatekeeper-Richtlinie anwenden, die die Selbständerung privilegierter Arbeitslasten verhindert. Eine Anleitung finden Sie in den folgenden Anleitungen zur Härtung:

    Niedrig

    GCP-2022-008

    Veröffentlicht: 23. 02. 2022
    Aktualisiert: 28. 04. 2022
    Referenz: CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-21654, CVE-2022-21657, CVE-2022-21656

    GKE

    Beschreibung Schweregrad
    Das Envoy-Projekt hat kürzlich mehrere Sicherheitslücken festgestellt: CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-21654, CVE-2022-21657 und CVE-2022-21656, die sich auf GKE-Cluster mit Anthos Service Mesh, Istio-on-GKE oder benutzerdefinierte Istio-Deployments auswirken können.
    Alle unten aufgeführten Probleme wurden im Envoy-Release 1.21.1 behoben.
    Technischer Hintergrund
    Weitere Details zu diesen Sicherheitslücken finden Sie hier.

    Was soll ich tun?

    GKE-Cluster, in denen Anthos Service Mesh ausgeführt wird, sollten auf eine unterstützte Version mit Fehlerkorrektur für die oben genannten Sicherheitslücken
    • Wenn Sie Anthos Service Mesh 1.12 verwenden, führen Sie ein Upgrade auf v1.12.4-asm.0 durch. .
    • Wenn Sie Anthos Service Mesh 1.11 verwenden, führen Sie ein Upgrade auf v1.11.7-asm.1 durch.
    • Wenn Sie Anthos Service Mesh 1.10 verwenden, führen Sie ein Upgrade auf v1.10.6-asm.1 durch.
    Wenn Sie Anthos Service Mesh Version 1.9 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf ASM 1.10 oder höher ausführen.

    GKE-Cluster, auf denen Istio-on-GKE ausgeführt wird, sollten auf eine unterstützte Version aktualisiert werden, wobei die oben genannten Sicherheitslücken behoben werden
    • Wenn Sie Istio-on-GKE 1.6 verwenden, führen Sie ein Upgrade auf v1.6.14-gke.8 durch.
    • Wenn Sie Istio-on-GKE 1.4.11 verwenden, führen Sie ein Upgrade auf v1.4.11-gke.4 durch.
    • Wenn Sie Istio-on-GKE 1.4.10 verwenden, führen Sie ein Upgrade auf v1.4.10-gke.23 durch.
    • Wenn Sie GKE 1.22 oder höher verwenden, verwenden Sie bitte Istio GKE 1.4.10. Verwenden Sie andernfalls Istio-on-GKE 1.4.11.

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-21654, CVE-2022-21657, und CVE-2022-21656
    Hoch

    GKE on VMware

    Aktualisiert: 28. 04. 2022

    Beschreibung Schweregrad
    Envoy hat kürzlich mehrere Fehlerkorrekturen für Sicherheitslücken veröffentlicht. GKE on VMware ist da Envoy mit Metrics-Server verwendet wird. Die von uns behobenen Envoy-CVEs sind unten aufgeführt. Wir aktualisieren dieses Bulletin, sobald sie verfügbar sind:
    • CVE-2021-43824 (CVSS-Punktzahl 6,5, mittel): Potenzieller Nullzeiger bei Verwendung der JWT-Filter-Safe_Regex-Übereinstimmung.
      Hinweis: Obwohl ASM/Istio-on-GKE keine Envoy-Filter unterstützt, können Sie betroffen sein, wenn Sie einen Regex-Filter für JWT verwenden.
    • CVE-2021-43825 (CVSS-Punktzahl 6,1, mittel): Use-after-Free, wenn Antwortfilter die Antwortdaten erhöhen und mehr Daten die nachgelagerten Pufferlimits überschreiten.
      Hinweis: ASM/Istio-on-GKE unterstützt zwar keine Envoy-Filter, Sie können jedoch betroffen sein, wenn Sie einen Filter zum Dekomprimieren verwenden.
    • CVE-2021-43826 (CVSS-Punktzahl 6,1, mittel): Use-after-Free, wenn TCP über HTTP getunnelt wird, wenn die Downstream-Verbindung während des Upstream-Verbindungsaufbaus unterbrochen wird.
      Hinweis: ASM/Istio-on-GKE unterstützt zwar keine Envoy-Filter, Sie können aber trotzdem betroffen sein, wenn Sie einen Tunneling-Filter verwenden.
    • CVE-2022-21654 (CVSS-Punktzahl 7,3, hoch): Die falsche Konfigurationsbehandlung ermöglicht die Wiederverwendung von mTLS-Sitzungen ohne erneute Validierung, nachdem sich die Validierungseinstellungen geändert haben.
      Hinweis: Alle ASM-/Istio-on-GKE-Dienste, die mTLS verwenden, sind von diesem CVE betroffen.
    • CVE-2022-21655 (CVSS-Punktzahl 7,5, hoch): Falsche Verarbeitung interner Weiterleitungen an Routen mit einer direkten Antwort.
      Hinweis: ASM/Istio-on-GKE unterstützt zwar keine Envoy-Filter, Sie können aber trotzdem betroffen sein, wenn Sie einen Filter für direkte Antworten verwenden.
    • CVE-2022-23606 (CVSS-Punktzahl 4,4, mittel): Stacküberlastung, wenn ein Cluster über den Cluster Discovery-Dienst gelöscht wird.
      Hinweis: ASM 1.11 und höher ist von dieser CVE-Sicherheitslücke betroffen. ASM 1.10 und alle Istio-on-GKE-Umgebungen sind von diesem CVE nicht betroffen.
    • CVE-2022-21657 (CVSS Score 3,1, niedrig): Envoy bis Version 1.20.1 enthält eine per Fernzugriff ausnutzbare Sicherheitslücke, da X.509 Extended Key Usage and Trust Purposes umgangen wird.
    • CVE-2022-21656 (CVSS-Punktzahl 3,1, niedrig): Envoy bis Version 1.20.1 enthält eine per Fernzugriff ausnutzbare Sicherheitslücke, da der Abgleich von X.509 subjectAltName (und nameConstraints) umgangen wird.

    Istio hat kürzlich eine Fehlerkorrektur für eine Sicherheitslücke veröffentlicht. Anthos auf VMware ist betroffen, da Istio für eingehenden Traffic verwendet wird. Die von uns behobenen Istio CVEs sind unten aufgeführt. Wir aktualisieren dieses Bulletin, sobald sie verfügbar sind.

    CVE-2022-23635 (CVSS-Punktzahl 7,5, hoch): Istiod stürzt ab, wenn Anfragen mit einem speziell erstellten Autorisierungsheader empfangen werden.


    Die vollständigen Beschreibungen und Auswirkungen der oben genannten CVEs finden Sie in den Sicherheitsbulletins.

    Erweiterung vom 28. 04. 2020: Was soll ich tun?

    Die folgenden Versionen von GKE on VMware beheben diese Sicherheitslücken:

    • 1.9.5
    • 1.10.3
    • 1.11.0

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-21654, CVE-2022-21657, und CVE-2022-21656
    Hoch

    Google Distributed Cloud Virtual for Bare Metal

    Beschreibung Schweregrad
    Envoy hat kürzlich mehrere Fehlerkorrekturen für Sicherheitslücken veröffentlicht. Anthos auf Bare-Metal ist betroffen, da Envoy für Metrics-Server verwendet wird. Die von Envoy behobenen CVEs in Version 1.10.3, 1.9.6 und 1.8.9 sind unten aufgeführt:
    • CVE-2021-43824 (CVSS-Punktzahl 6,5, mittel): Potenzieller Nullzeiger bei Verwendung der JWT-Filter-Safe_Regex-Übereinstimmung.
      Hinweis: Obwohl ASM/Istio-on-GKE keine Envoy-Filter unterstützt, können Sie betroffen sein, wenn Sie einen Regex-Filter für JWT verwenden.
    • CVE-2021-43825 (CVSS-Punktzahl 6,1, mittel): Use-after-Free, wenn Antwortfilter die Antwortdaten erhöhen und mehr Daten die nachgelagerten Pufferlimits überschreiten.
      Hinweis: ASM/Istio-on-GKE unterstützt zwar keine Envoy-Filter, Sie können jedoch betroffen sein, wenn Sie einen Filter zum Dekomprimieren verwenden.
    • CVE-2021-43826 (CVSS-Punktzahl 6,1, mittel): Use-after-Free, wenn TCP über HTTP getunnelt wird, wenn die Downstream-Verbindung während des Upstream-Verbindungsaufbaus unterbrochen wird.
      Hinweis: ASM/Istio-on-GKE unterstützt zwar keine Envoy-Filter, Sie können aber trotzdem betroffen sein, wenn Sie einen Tunneling-Filter verwenden.
    • CVE-2022-21654 (CVSS-Punktzahl 7,3, hoch): Die falsche Konfigurationsbehandlung ermöglicht die Wiederverwendung von mTLS-Sitzungen ohne erneute Validierung, nachdem sich die Validierungseinstellungen geändert haben.
      Hinweis: Alle ASM-/Istio-on-GKE-Dienste, die mTLS verwenden, sind von diesem CVE betroffen.
    • CVE-2022-21655 (CVSS-Punktzahl 7,5, hoch): Falsche Verarbeitung interner Weiterleitungen an Routen mit einer direkten Antwort.
      Hinweis: ASM/Istio-on-GKE unterstützt zwar keine Envoy-Filter, Sie können aber trotzdem betroffen sein, wenn Sie einen Filter für direkte Antworten verwenden.
    • CVE-2022-23606 (CVSS-Punktzahl 4,4, mittel): Stacküberlastung, wenn ein Cluster über den Cluster Discovery-Dienst gelöscht wird.
      Hinweis: ASM 1.11 und höher ist von dieser CVE-Sicherheitslücke betroffen. ASM 1.10 und alle Istio-on-GKE-Umgebungen sind von diesem CVE nicht betroffen.
    • CVE-2022-21657 (CVSS Score 3,1, niedrig): Envoy bis Version 1.20.1 enthält eine per Fernzugriff ausnutzbare Sicherheitslücke, da X.509 Extended Key Usage and Trust Purposes umgangen wird.
    • CVE-2022-21656 (CVSS-Punktzahl 3,1, niedrig): Envoy bis Version 1.20.1 enthält eine per Fernzugriff ausnutzbare Sicherheitslücke, da der Abgleich von X.509 subjectAltName (und nameConstraints) umgangen wird.
    Istio hat kürzlich eine Fehlerkorrektur für eine Sicherheitslücke veröffentlicht. Anthos auf Bare Metal ist betroffen, da Istio für eingehenden Traffic verwendet wird. Die in der Version 1.10.3, 1.9.6 und 1.8.9 behobenen Istio-CVEs sind unten aufgeführt:

    • CVE-2022-23635 (CVSS-Punktzahl 7,5, hoch): Istiod stürzt ab, wenn Anfragen mit einem speziell erstellten Autorisierungsheader empfangen werden.
      Hinweis: Alle ASM-/Istio-on-GKE-Konfigurationen sind von diesem CVE betroffen.

    Die vollständigen Beschreibungen und Auswirkungen der oben genannten CVEs finden Sie in den Sicherheitsbulletins.

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-21654, CVE-2022-21657, und CVE-2022-21656
    Hoch

    GCP-2022-006

    Veröffentlicht: 14.02.2022
    Aktualisiert: 16.05.2022
    Aktualisierung vom 16.05.2022: Die GKE-Version 1.19.16-gke.7800 oder höher wurde der Liste der Versionen hinzugefügt, die Code zur Behebung dieser Sicherheitslücke enthalten.
    Aktualisierung vom 12. Mai 2022 : Patchversionen für GKE wurden aktualisiert. Google Distributed Cloud Virtual for Bare Metal, GKE on VMware und GKE on AWS. Es wurde ein Problem behoben, bei dem das Sicherheitsbulletin für GKE on AWS nicht angezeigt, als es am 23.02.2022 hinzugefügt wurde.

    GKE

    Beschreibung Schweregrad

    In der Funktion cgroup_release_agent_write des Linux-Kernels wurde eine Sicherheitslücke, CVE-2022-0492, entdeckt. Der Angriff verwendet nicht privilegierte Nutzer-Namespaces und unter bestimmten Umständen kann diese Sicherheitslücke für Container-Breakouts ausgenutzt werden.

    Was soll ich tun?

    Aktualisierung vom 16.05.2022: Zusätzlich zu den im 2022-05-12-Update genannten GKE-Versionen enthält die GKE-Version 1.19.16-gke.7800 oder höher auch Code, der dieses Problem behebt. Sicherheitslücke.


    Aktualisierung vom 12.05.2022: Die folgenden Versionen von GKE enthalten Code, mit dem diese Sicherheitslücke behoben wird:

    • 1.20.15-gke.5600 oder höher
    • 1.21.11-gke.1500 oder höher
    • 1.22.8-gke.1800 oder höher
    • 1.23.5-gke.1800 oder höher

    Aktualisierung vom 15.02.2022: Korrektur der gVisor-Anweisung.

    Die Sicherheitslücke befindet sich im cgroup_release_agent_write des Linux-Kernels in der Funktion kernel/cgroup/cgroup-v1.c und kann als Container-Aufschlüsselung verwendet werden. GKE ist vom Schutz des standardmäßigen AppArmor-Profils in Ubuntu und COS nicht betroffen. Einige Kunden sind jedoch möglicherweise anfällig, wenn sie durch die Änderung des Felds "securityContext" des Pods oder Containers die Sicherheitsbeschränkungen für Pods gelockert haben. z. B. durch Deaktivieren/Ändern des AppArmor-Profils, was nicht empfohlen wird. Zusätzlich zum standardmäßigen AppArmor-Profil schützen diese Funktionen auch vor der Sicherheitslücke:

    • GKE Autopilot ist aufgrund des standardmäßigen seccomp-Profils nicht betroffen.
    • Aktualisierung vom 15.02.2022: gVisor (GKE Sandbox) ist nicht betroffen, da gVisor keinen Zugriff auf das anfällige Systemaufruf auf dem Host zulässt.

    Patches werden in einer künftigen Version verfügbar sein. Dieses Bulletin wird aktualisiert, sobald sie verfügbar sind.

    Welche Sicherheitslücke wird mit diesem Patch behoben?

    CVE-2022-0492

    Niedrig

    GKE-Cluster auf

    Beschreibung Schweregrad

    In der Funktion cgroup_release_agent_write des Linux-Kernels wurde eine Sicherheitslücke, CVE-2022-0492, entdeckt. Der Angriff verwendet nicht privilegierte Nutzer-Namespaces und unter bestimmten Umständen kann diese Sicherheitslücke für Container-Breakouts ausgenutzt werden.

    Wie gehe ich am besten vor?

    Aktualisierung vom 12. Mai 2022: Die folgenden Versionen von GKE on VMware enthalten Code, der dieses Problem behebt eine Sicherheitslücke.

    COS
    • 1.8.8 oder höher
    • 1.9.5 oder höher
    • 1.10.2 oder höher
    • 1.11.0 oder höher
    Ubuntu
    • 1.9.6 oder höher
    • 1.10.3 oder höher
    • 1.11.0 oder höher

    Die Sicherheitslücke befindet sich im cgroup_release_agent_write des Linux-Kernels in der Kernel/cgroup/cgroup-v1.c-Funktion und kann als Container-Aufschlüsselung verwendet werden. GKE on VMware sind aufgrund des Schutzes durch das AppArmor-Standardprofil nicht betroffen Ubuntu und COS. Einige Kunden sind jedoch möglicherweise weiterhin gefährdet, wenn sie Sicherheitsbeschränkungen für Pods durch Änderung des Pods oder Containers securityContext Feld, z.B. durch Deaktivieren/Ändern des AppArmor-Profils, was nicht empfohlen wird.

    Patches werden in einer künftigen Version verfügbar sein. Dieses Bulletin wird aktualisiert, sobald sie verfügbar sind.

    Welche Sicherheitslücke wird mit diesem Patch behoben?

    CVE-2022-0492

    Niedrig

    GKE on AWS

    Beschreibung Schweregrad

    In der Funktion cgroup_release_agent_write des Linux-Kernels wurde eine Sicherheitslücke, CVE-2022-0492, entdeckt. Der Angriff verwendet nicht privilegierte Nutzer-Namespaces und unter bestimmten Umständen kann diese Sicherheitslücke für Container-Breakouts ausgenutzt werden.

    Wie gehe ich am besten vor?

    Aktualisierung vom 12. Mai 2022: Die folgenden Versionen von GKE on AWS der aktuellen und vorherigen Generation enthalten Code, mit dem diese Sicherheitslücke behoben wird:

    Aktuelle Generation
    • 1.21.11-gke.1100
    • 1.22.8-gke.1300
    Vorherige Generation
    • 1.22.8-gke.1300
    • 1.21.11-gke.1100
    • 1.20.15-gke.5200

    Aktualisierung vom 23.02.2022:Hinweis für GKE on AWS hinzugefügt.

    Frühere und aktuelle Generationen von GKE on AWS sind vom Schutz nicht betroffen aus dem AppArmor-Standardprofil auf Ubuntu. Einige Kunden sind jedoch möglicherweise anfällig, wenn sie durch die Änderung des Pod- oder Container-Sicherheitskontextfelds Sicherheitsbeschränkungen für Pods gelockert haben, z. B. durch Deaktivieren/Ändern des AppArmor-Profils, was nicht empfohlen wird.

    Patches werden in einer künftigen Version verfügbar sein. Dieses Bulletin wird aktualisiert, sobald sie verfügbar sind.

    Welche Sicherheitslücke wird mit diesem Patch behoben?

    CVE-2022-0492

    Niedrig

    GKE Enterprise auf

    Beschreibung Schweregrad

    In der Funktion cgroup_release_agent_write des Linux-Kernels wurde eine Sicherheitslücke, CVE-2022-0492, entdeckt. Der Angriff verwendet nicht privilegierte Nutzer-Namespaces und unter bestimmten Umständen kann diese Sicherheitslücke für Container-Breakouts ausgenutzt werden.

    Wie gehe ich am besten vor?

    Aktualisierung vom 12. Mai 2022: Die folgenden Versionen von GKE on Azure enthalten Code zur Behebung dieses Problems Sicherheitslücke:

    • 1.21.11-gke.1100
    • 1.22.8-gke.1300

    GKE in Azure sind aufgrund des Schutzes durch das AppArmor-Standardprofil nicht betroffen auf Ubuntu. Einige Kunden sind jedoch möglicherweise anfällig, wenn sie durch die Änderung des Pod- oder Container-Sicherheitskontextfelds Sicherheitsbeschränkungen für Pods gelockert haben, z. B. durch Deaktivieren/Ändern des AppArmor-Profils, was nicht empfohlen wird.

    Patches werden in einer künftigen Version verfügbar sein. Dieses Bulletin wird aktualisiert, sobald sie verfügbar sind.

    Welche Sicherheitslücke wird mit diesem Patch behoben?

    CVE-2022-0492

    Niedrig

    GCP-2022-005

    Veröffentlicht: 11.02.2022
    Aktualisiert: 15.02.2022
    Referenz: CVE-2021-43527

    GKE

    Beschreibung Schweregrad
    Aktualisierung vom 15.02.2022: Einige GKE-Versionen im ursprünglichen Bulletin wurden mit anderen Fehlerkorrekturen kombiniert und ihre Versionsnummern wurden vor der Veröffentlichung erhöht. Patches sind in den folgenden GKE-Versionen verfügbar:
    • 1.20.15-gke.300
    • 1.21.9-gke.300
    • 1.22.6-gke.1000

    Es wurde eine Sicherheitslücke, CVE-2021-43527, in einer beliebigen Binärdatei entdeckt, die auf die anfälligen Versionen von libnss3 in Versionen von NSS (Network Security Services) vor 3.73 oder 3.68.1 verweist. Anwendungen, die NSS für die Zertifikatsprüfung oder andere TLS-, X.509-, OCSP- oder CRL-Funktionen verwenden, können abhängig davon, wie NSS verwendet/konfiguriert wird, betroffen sein. Sowohl auf GKE-COS- als auch auf Ubuntu-Images ist eine anfällige Version installiert, die gepatcht werden muss.

    CVE-2021-43527 kann weitreichende Auswirkungen auf Anwendungen haben, die NSS zur Verarbeitung von Signaturen verwenden, die in CMS, S/MIME, PKCS#7 oder PKCS#12 codiert sind. Sowie Anwendungen, die NSS für die Zertifikatsprüfung oder andere TLS-, X.509-, OCSP- oder CRL-Funktionen verwenden. Die Auswirkungen hängen davon ab, wie NSS verwendet/konfiguriert wird.

    GKE verwendet libnss3 nicht für über das Internet zugängliche APIs. Die Auswirkungen sind auf den Hostcode beschränkt, der außerhalb von Containern ausgeführt wird. Dies ist aufgrund des minimalen Designs von Chrome OS klein. GKE-Code, der in Containern mit dem Basis-Image "golang" ausgeführt wird, ist nicht betroffen.

    Was soll ich tun?

    Die Versionen von Linux-Knoten-Images für die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Führen Sie ein Upgrade Ihrer Steuerungsebene und Knoten auf eine der folgenden GKE-Versionen durch:

    • 1.18-Version noch nicht bekannt
    • 1.19.16-gke.6100
    • 1.20.15-gke.200
    • 1.21.9-gke.200
    • 1.22.6-gke.600
    • 1.23.3-gke.500
    Verwenden Sie eine GKE-Version vor 1.18? Sie verwenden eine GKE-Version aus SLA und sollten auf eine der unterstützten Versionen aktualisieren.

    Welche Sicherheitslücke wird mit diesem Patch behoben?

    CVE-2021-43527

    Mittel

    GKE-Cluster auf

    Beschreibung Schweregrad

    Es wurde eine Sicherheitslücke, CVE-2021-43527, in einer beliebigen Binärdatei entdeckt, die auf die anfälligen Versionen von libnss3 in Versionen von NSS (Network Security Services) vor 3.73 oder 3.68.1 verweist. Anwendungen, die NSS für die Zertifikatsprüfung oder andere TLS-, X.509-, OCSP- oder CRL-Funktionen verwenden, können, abhängig davon, wie sie NSS konfigurieren, betroffen sein. Beide Für die COS- und Ubuntu-Images von GKE on VMware ist eine anfällige Version installiert. gepatcht werden.

    CVE-2021-43527 kann weitreichende Auswirkungen auf Anwendungen haben, die NSS zur Verarbeitung von Signaturen verwenden, die in CMS, S/MIME, PKCS \#7 oder PKCS \#12 codiert sind. Sowie Anwendungen, die NSS für die Zertifikatsprüfung oder andere TLS-, X.509-, OCSP- oder CRL-Funktionen verwenden. Die Auswirkungen hängen davon ab, wie sie NSS konfigurieren/verwenden. Anthos an VMware verwendet libnss3 nicht für öffentlich zugängliche APIs, daher sind die Auswirkungen begrenzt Der Schweregrad dieser CVE-Sicherheitslücke für GKE on VMware wird mit "Mittel" bewertet.

    Wie gehe ich am besten vor?

    Die Versionen von Linux-Knoten-Images für die folgenden Anthos-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Führen Sie ein Upgrade Ihrer Steuerungsebene und Knoten auf eine der folgenden Anthos-Versionen durch:

    • 1.8.7
    • 1.9.4
    • 1.10.2

    Verwenden Sie eine GKE on VMware-Version, die älter als 1.18 ist? Sie verwenden eine Anthos-Version ohne SLA und sollten ein Upgrade auf eine der unterstützten Versionen in Betracht ziehen.

    Welche Sicherheitslücke wird mit diesem Patch behoben?

    CVE-2021-43527

    Mittel

    GKE Enterprise auf

    Beschreibung Schweregrad

    Es wurde eine Sicherheitslücke, CVE-2021-43527, in einer beliebigen Binärdatei entdeckt, die auf die anfälligen Versionen von libnss3 in Versionen von NSS (Network Security Services) vor 3.73 oder 3.68.1 verweist. Anwendungen, die NSS für die Zertifikatsprüfung oder andere TLS-, X.509-, OCSP- oder CRL-Funktionen verwenden, können abhängig davon, wie NSS verwendet/konfiguriert wird, betroffen sein. Bei Anthos-Clustern auf Azure-Ubuntu-Images ist eine anfällige Version installiert, die gepatcht werden muss.

    CVE-2021-43527 kann weitreichende Auswirkungen auf Anwendungen haben, die NSS zur Verarbeitung von Signaturen verwenden, die in CMS, S/MIME, PKCS#7 oder PKCS#12 codiert sind. Sowie Anwendungen, die NSS für die Zertifikatsprüfung oder andere TLS-, X.509-, OCSP- oder CRL-Funktionen verwenden. Die Auswirkungen hängen davon ab, wie sie NSS konfigurieren/verwenden. Anthos-Cluster in Azure verwenden libnss3 nicht für öffentlich zugängliche APIs. Daher sind die Auswirkungen begrenzt und der Schweregrad dieser CVEs für Anthos in Azure wird als "Mittel" bewertet.

    Was soll ich tun?

    Die Versionen von Linux-Knoten-Images für die folgenden Versionen von GKE on Azure wurden mit Code aktualisiert, um diese Sicherheitslücken zu schließen. Aktualisieren Sie Ihre Cluster auf einen der folgenden die folgenden Anthos on Azure-Versionen:

    • v1.21.6-gke.1500

    Welche Sicherheitslücke wird mit diesem Patch behoben?

    CVE-2021-43527

    Mittel

    GCP-2022-004

    Veröffentlicht: 04.02.2022
    Referenz: CVE-2021-4034

    GKE

    Beschreibung Schweregrad

    In pkexec, einem Teil des Linux-Policy-Kits (polkit), wurde die Sicherheitslücke CVE-2021-4034 erkannt, die einem authentifizierten Nutzer die Ausführung eines Angriffs nach Rechteausweitung ermöglicht. PolicyKit wird im Allgemeinen nur auf Linux-Desktopsystemen verwendet, um Nicht-Root-Nutzer Aktionen wie das Neustarten des Systems, das Installieren von Paketen, das Neustarten von Diensten usw. gemäß einer Richtlinie zu ermöglichen.

    Was soll ich tun?

    GKE ist nicht betroffen, da das anfällige Modul "policykit-1" nicht auf COS- oder Ubuntu-Images installiert wird, die in GKE verwendet werden. Sie müssen nichts unternehmen.

    Keine

    GKE-Cluster auf

    Beschreibung Schweregrad

    In pkexec, einem Teil des Linux-Policy-Kits (polkit), wurde die Sicherheitslücke CVE-2021-4034 erkannt, die einem authentifizierten Nutzer die Ausführung eines Angriffs nach Rechteausweitung ermöglicht. PolicyKit wird im Allgemeinen nur auf Linux-Desktopsystemen verwendet, um Nicht-Root-Nutzer Aktionen wie das Neustarten des Systems, das Installieren von Paketen, das Neustarten von Diensten usw. gemäß einer Richtlinie zu ermöglichen.

    In der GKE Enterprise-Standardkonfiguration erhalten Nutzer bereits vollständige "sudo" Berechtigungen, damit dieser Exploit den vorhandenen Sicherheitsstatus von GKE Enterprise nicht ändert

    Technische Details

    Damit dieser Programmfehler ausgenutzt werden kann, benötigt ein Angreifer sowohl eine Nicht-Root-Shell im Knotendateisystem als auch die anfällige pkexec-Version. GKE on VMware enthält zwar eine Version von Policykit-1 in seinen Release-Images, die Standardkonfiguration von GKE Enterprise erlaubt jedoch allen Nutzern, die bereits Shell-Zugriff haben, passwortfreies Sudo. Diese Sicherheitslücke bietet Nutzern also keine mehr Berechtigungen, als sie bereits haben.

    Wie gehe ich am besten vor?

    Sie müssen nichts weiter tun. GKE on VMware ist nicht betroffen.

    Keine

    GKE-Cluster auf

    Beschreibung Schweregrad
    GKE on AWS ist nicht betroffen. Das anfällige Modul „policykit-1“ ist nicht auf Ubuntu-Images installiert, die von der aktuellen und früheren Versionen von GKE on AWS verwendet werden. Keine

    GKE Enterprise auf

    Beschreibung Schweregrad

    In pkexec, einem Teil des Linux-Policy-Kits (polkit), wurde die Sicherheitslücke CVE-2021-4034 erkannt, die einem authentifizierten Nutzer die Ausführung eines Angriffs nach Rechteausweitung ermöglicht. PolicyKit wird im Allgemeinen nur auf Linux-Desktopsystemen verwendet, um Nicht-Root-Nutzer Aktionen wie das Neustarten des Systems, das Installieren von Paketen, das Neustarten von Diensten usw. gemäß einer Richtlinie zu ermöglichen.

    In der GKE Enterprise-Standardkonfiguration erhalten Nutzer bereits vollständige "sudo" Berechtigungen, damit dieser Exploit den vorhandenen Sicherheitsstatus von GKE Enterprise nicht ändert

    Technische Details

    Damit dieser Programmfehler ausgenutzt werden kann, benötigt ein Angreifer sowohl eine Nicht-Root-Shell im Knotendateisystem als auch die anfällige pkexec-Version. GKE on Azure enthält zwar eine Version von Policykit-1 in den Release-Images, die Standardkonfiguration von GKE Enterprise erlaubt jedoch allen, die bereits Shell-Zugriff haben, passwortfreies Sudo für alle Nutzer, die bereits Shell-Zugriff haben. Daher erhält ein Nutzer über diese Sicherheitslücke keine weiteren Berechtigungen, als er bereits hat.

    Wie gehe ich am besten vor?

    Sie müssen nichts weiter tun. GKE on Azure ist nicht betroffen.

    Keine

    GKE-Cluster auf

    Beschreibung Schweregrad
    Abhängig von den Paketen, die auf dem vom Kunden verwalteten Betriebssystem installiert sind, kann Google Distributed Cloud Virtual for Bare Metal betroffen sein. Scannen Sie Ihre Betriebssystem-Images und patchen Sie sie bei Bedarf.

    GCP-2022-002

    Veröffentlicht: 01.02.2022
    Aktualisiert: 07.03.2022
    Referenz:
    CVE-2021-4154, CVE-2021-22600, CVE-2022-0185
    Update vom 04.02.2022 : Abschnitte für GKE on AWS und GKE on Azure wurden hinzugefügt. Roll-out-Updates für GKE und GKE on VMware wurden hinzugefügt.

    GKE

    Aktualisiert: 07.03.2022

    Beschreibung Schweregrad

    Drei Sicherheitslücken, CVE-2021-4154, CVE-2021-22600 und CVE-2022-0185, wurden im Linux-Kernel erkannt, von der jede zu einem Container-Breakout, einer Rechteausweitung auf dem Host oder zu beidem führen kann. Diese Sicherheitslücken betreffen alle Knotenbetriebssysteme (COS und Ubuntu) in GKE, GKE on VMware, GKE on AWS (aktuelle und vorherige Generation) sowie GKE auf Azure.

    Pods, die GKE Sandbox verwenden, sind nicht anfällig für diese Sicherheitslücken.

    Weitere Informationen finden Sie in den COS-Versionshinweisen.

    Technische Details

    In CVE-2021-4154 kann ein Angreifer den Systemaufrufparameter fsconfig ausnutzen, um im Linux-Kernel einen Use-after-Free-Programmfehler auszulösen, was zu Root-Berechtigungen führt. Dies ist ein lokaler Angriffspunkt zur Rechteausweitung, der zu einem Containerausfall führt.

    CVE-2021-22600 ist ein doppelter kostenloser Exploit in package_set_ring, der zu einem Container-Escape auf dem Host-Knoten führen kann.

    Bei CVE-2022-0185 kann ein Heap-Überlauffehler in legacy_parse_param() zu einem Schreibvorgang außerhalb des Bereichs führen, der einen Container-Breakout verursacht.

    Der Exploit-Pfad für diese Sicherheitslücke, die auf dem Systemaufruf "Unshare" basiert, wird in GKE Autopilot-Clustern standardmäßig mithilfe von seccomp-Filterung blockiert.

    Nutzer, die das standardmäßige seccomp-Profil der Containerlaufzeit manuell auf GKE-Standardclustern aktiviert haben, sind ebenfalls geschützt.

    Was soll ich tun?

    Aktualisierung vom 7. März 2022: Die Versionen von Linux-Knoten-Images für die folgenden GKE-Versionen wurden mit Code aktualisiert, um alle diese Sicherheitslücken sowohl für Ubuntu- als auch für COS-Images zu beheben. Führen Sie ein Upgrade Ihrer Steuerungsebene und Knoten auf eine der folgenden GKE-Versionen durch:

    • 1.18.20-gke.6101
    • 1.19.16-gke.8300
    • 1.20.15-gke.2500
    • 1.21.10-gke.400
    • 1.22.7-gke.900
    • 1.23.3-gke.1100

    Aktualisierung vom 25. Februar 2022: Wenn Sie Ubuntu-Knoten-Images verwenden, reagiert 1.22.6-gke.1000 nicht auf CVE-2021-22600. Wir aktualisieren dieses Bulletin, sobald die Ubuntu-Patchversionen verfügbar sind.


    Aktualisierung vom 23.02.2022: Die Versionen von Linux-Knoten-Images für die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücken zu beheben. Aktualisieren Sie Ihre Cluster auf eine der folgenden GKE-Versionen.

    • 1.18.20-gke.6101
    • 1.22.6-gke.1000
    • 1.23.3-gke.1100

    Aktualisierung vom 04.02.2022: Das Roll-out-Startdatum für GKE-Patchversionen war am 2. Februar.


    Die Versionen von Linux-Knoten-Images für die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Aktualisieren Sie Ihre Cluster auf eine der folgenden GKE-Versionen.

    • 1.19.16-gke.6100
    • 1.20.15-gke.300
    • 1.21.9-gke.300

    Außerdem werden die Versionen 1.22 und 1.23 ausgeführt. Wir aktualisieren dieses Bulletin, sobald sie verfügbar sind.

    Welche Sicherheitslücke wird mit diesem Patch behoben?

    Hoch

    GKE-Cluster auf

    Zuletzt aktualisiert: 23.02.2022

    Beschreibung Schweregrad

    Drei Sicherheitslücken, CVE-2021-4154, CVE-2021-22600 und CVE-2022-0185, wurden im Linux-Kernel erkannt, von der jede zu einem Container-Breakout, einer Rechteausweitung auf dem Host oder zu beidem führen kann. Diese Sicherheitslücken betreffen alle Knotenbetriebssysteme (COS und Ubuntu) in GKE, GKE on VMware, GKE on AWS (aktuelle und vorherige Generation) sowie GKE auf Azure.

    Weitere Informationen finden Sie in den COS-Versionshinweisen.

    Technische Details

    In CVE-2021-4154 kann ein Angreifer den Systemaufrufparameter fsconfig ausnutzen, um im Linux-Kernel einen Use-after-Free-Programmfehler auszulösen, was zu Root-Berechtigungen führt. Dies ist ein lokaler Angriffspunkt zur Rechteausweitung, der zu einem Containerausfall führt.

    CVE-2021-22600 ist ein doppelter kostenloser Exploit in package_set_ring, der zu einem Container-Escape auf dem Host-Knoten führen kann.

    Bei CVE-2022-0185 kann ein Heap-Überlauffehler in legacy_parse_param() zu einem Schreibvorgang außerhalb des Bereichs führen, der einen Container-Breakout verursacht.

    Nutzer, die das standardmäßige seccomp-Profil der Containerlaufzeit manuell auf GKE-Standardclustern aktiviert haben, sind ebenfalls geschützt.

    Was soll ich tun?

    Aktualisierung vom 23. Februar 2022: Version 1.10.2 (Korrekturen von CVE-2021-22600, CVE-2021-4154 und CVE-2022-0185) ist jetzt für den 1. März geplant.

    Aktualisierung vom 23.02.2022: Patchversionen wurden hinzugefügt, die auf CVE-2021-2260 reagieren.

    Version 1.10.1 behebt nicht CVE-2021-22600, sondern die anderen Sicherheitslücken. Die nicht freigegebenen Versionen 1.9.4 und 1.10.2 beheben CVE-2021-22600. Die Versionen der Linux-Knoten-Images für die folgenden Versionen von GKE on VMware wurde mit Code aktualisiert, um diese Sicherheitslücken zu schließen. Upgrade durchführen: Cluster mit einer der folgenden GKE on VMware-Versionen an:

    • 1.10.1 (behebt CVE-2021-4154 und CVE-2022-0185. Veröffentlicht am 10. Februar)
    • 1.8.7 (behebt CVE-2021-22600, CVE-2021-4154 und CVE-2022-0185. Veröffentlicht am 17. Februar)
    • 1.9.4 (behebt CVE-2021-22600, CVE-2021-4154 und CVE-2022-0185). Veröffentlicht am 23. Februar)
    • 1.10.2 (behebt CVE-2021-22600, CVE-2021-4154 und CVE-2022-0185. (geplant für den 24. Februar)

    Aktualisierung vom 04.02.2022: Es wurden Informationen zu Ubuntu-Images hinzugefügt, die CVE-2021-22600 nicht berücksichtigen.

    Die Versionen von Linux-Knoten-Images für die folgenden Versionen von GKE on VMware haben mit Code aktualisiert, um diese Sicherheitslücken zu schließen. Führen Sie ein Upgrade Ihrer Cluster auf einen der folgenden GKE on VMware-Versionen:

    • 1.10.1 (nur COS-Update. Ubuntu-Patch ist ab dem 23. Februar in 1.10.2)
    • 1.9.4 (geplant für 15. Februar)
    • 1.8.7 (geplant für 15. Februar)

    Welche Sicherheitslücke wird mit diesem Patch behoben?

    Hoch

    GKE-Cluster auf

    Beschreibung Schweregrad

    Drei Sicherheitslücken, CVE-2021-4154, CVE-2021-22600 und CVE-2022-0185, wurden im Linux-Kernel erkannt, von der jede zu einem Container-Breakout, einer Rechteausweitung auf dem Host oder zu beidem führen kann. Diese Sicherheitslücken betreffen alle Knotenbetriebssysteme (COS und Ubuntu) in GKE, GKE on VMware, GKE on AWS (aktuelle und vorherige Generation) sowie GKE auf Azure.

    Weitere Informationen finden Sie in den COS-Versionshinweisen.

    Technische Details

    In CVE-2021-4154 kann ein Angreifer den Systemaufrufparameter fsconfig ausnutzen, um im Linux-Kernel einen Use-after-Free-Programmfehler auszulösen, was zu Root-Berechtigungen führt. Dies ist ein lokaler Angriffspunkt zur Rechteausweitung, der zu einem Containerausfall führt.

    CVE-2021-22600 ist ein doppelter kostenloser Exploit in package_set_ring, der zu einem Container-Escape auf dem Host-Knoten führen kann.

    Bei CVE-2022-0185 kann ein Heap-Überlauffehler in legacy_parse_param() zu einem Schreibvorgang außerhalb des Bereichs führen, der einen Container-Breakout verursacht.

    Nutzer, die das standardmäßige seccomp-Profil der Containerlaufzeit manuell auf GKE-Standardclustern aktiviert haben, sind ebenfalls geschützt.

    Wie gehe ich am besten vor?

    GKE on AWS

    Die Versionen der Linux-Knoten-Images für die folgenden Versionen von GKE on AWS wurden mit Code aktualisiert, um diese Sicherheitslücken zu beheben. Führen Sie ein Upgrade Ihrer Cluster auf die folgende GKE on AWS-Version durch:

    • 1.21.6-gke.1500 und höher (verfügbar im Februar)

    GKE on AWS (vorherige Generation)

    Die Versionen der Linux-Knoten-Images für die folgenden Versionen von GKE on AWS (vorherige Generation) wurden mit Code aktualisiert, um diese Sicherheitslücken zu beheben. Führen Sie für Ihre Cluster ein Upgrade auf eine der folgenden Versionen von GKE on AWS (vorherige Generation) durch:

    • 1.19.16-gke.5300
    • 1.20.14-gke.2000
    • 1.21.8-gke.2000

    Welche Sicherheitslücke wird mit diesem Patch behoben?

    Hoch

    GKE Enterprise auf

    Beschreibung Schweregrad

    Drei Sicherheitslücken, CVE-2021-4154, CVE-2021-22600 und CVE-2022-0185, wurden im Linux-Kernel erkannt, von der jede zu einem Container-Breakout, einer Rechteausweitung auf dem Host oder zu beidem führen kann. Diese Sicherheitslücken betreffen alle Knotenbetriebssysteme (COS und Ubuntu) in GKE, GKE on VMware, GKE on AWS (aktuelle und vorherige Generation) sowie GKE auf Azure.

    Weitere Informationen finden Sie in den COS-Versionshinweisen.

    Technische Details

    In CVE-2021-4154 kann ein Angreifer den Systemaufrufparameter fsconfig ausnutzen, um im Linux-Kernel einen Use-after-Free-Programmfehler auszulösen, was zu Root-Berechtigungen führt. Dies ist ein lokaler Angriffspunkt zur Rechteausweitung, der zu einem Containerausfall führt.

    CVE-2021-22600 ist ein doppelter kostenloser Exploit in package_set_ring, der zu einem Container-Escape auf dem Host-Knoten führen kann.

    Bei CVE-2022-0185 kann ein Heap-Überlauffehler in legacy_parse_param() zu einem Schreibvorgang außerhalb des Bereichs führen, der einen Container-Breakout verursacht.

    Nutzer, die das standardmäßige seccomp-Profil der Containerlaufzeit manuell auf GKE-Standardclustern aktiviert haben, sind ebenfalls geschützt.

    Wie gehe ich am besten vor?

    Die Versionen der Linux-Knoten-Images für die folgenden Versionen von GKE on Azure wurden mit Code aktualisiert, um diese Sicherheitslücken zu beheben. Führen Sie ein Upgrade Ihrer Cluster auf die folgende GKE on Azure-Version durch:

    • 1.21.6-gke.1500 und höher (verfügbar im Februar)

    Welche Sicherheitslücke wird mit diesem Patch behoben?

    Hoch

    GCP-2021-024

    Veröffentlicht: 21.10.2021
    Referenz: CVE-2021-25742

    GKE

    Beschreibung Schweregrad

    Im Kubernetes-Controller Ingress-nginx wurde das Sicherheitsproblem CVE-2021-25742 festgestellt. Benutzerdefinierte Snippets für Ingress-nginx ermöglichen das Abrufen von Tokens und Secrets für Ingress-nginx in allen Namespaces.

    Wie gehe ich am besten vor?

    Dieses Sicherheitsproblem wirkt sich nicht auf Ihren GKE-Cluster aus oder eine Clusterinfrastruktur in GKE Enterprise-Umgebungen. Wenn Sie in Ihren Arbeitslastbereitstellungen Ingress-nginx verwenden, sollten Sie sich mit diesem Sicherheitsproblem vertraut machen. Weitere Informationen finden Sie unter Ingress-nginx-Problem 7837.

    Keine

    GKE-Cluster auf

    Beschreibung Schweregrad

    Im Kubernetes-Controller Ingress-nginx wurde das Sicherheitsproblem CVE-2021-25742 festgestellt. Benutzerdefinierte Snippets für Ingress-nginx ermöglichen das Abrufen von Tokens und Secrets für Ingress-nginx in allen Namespaces.

    Wie gehe ich am besten vor?

    Dieses Sicherheitsproblem wirkt sich nicht auf Ihren GKE-Cluster aus oder eine Clusterinfrastruktur in GKE Enterprise-Umgebungen. Wenn Sie in Ihren Arbeitslastbereitstellungen Ingress-nginx verwenden, sollten Sie sich mit diesem Sicherheitsproblem vertraut machen. Weitere Informationen finden Sie unter Ingress-nginx-Problem 7837.

    Keine

    GKE-Cluster auf

    Beschreibung Schweregrad

    Im Kubernetes-Controller Ingress-nginx wurde das Sicherheitsproblem CVE-2021-25742 festgestellt. Benutzerdefinierte Snippets für Ingress-nginx ermöglichen das Abrufen von Tokens und Secrets für Ingress-nginx in allen Namespaces.

    Wie gehe ich am besten vor?

    Dieses Sicherheitsproblem wirkt sich nicht auf Ihren GKE-Cluster aus oder eine Clusterinfrastruktur in GKE Enterprise-Umgebungen. Wenn Sie in Ihren Arbeitslastbereitstellungen Ingress-nginx verwenden, sollten Sie sich mit diesem Sicherheitsproblem vertraut machen. Weitere Informationen finden Sie unter Ingress-nginx-Problem 7837.

    Keine

    GKE-Cluster auf

    Beschreibung Schweregrad

    Im Kubernetes-Controller Ingress-nginx wurde das Sicherheitsproblem CVE-2021-25742 festgestellt. Benutzerdefinierte Snippets für Ingress-nginx ermöglichen das Abrufen von Tokens und Secrets für Ingress-nginx in allen Namespaces.

    Wie gehe ich am besten vor?

    Dieses Sicherheitsproblem wirkt sich nicht auf Ihren GKE-Cluster aus oder eine Clusterinfrastruktur in GKE Enterprise-Umgebungen. Wenn Sie in Ihren Arbeitslastbereitstellungen Ingress-nginx verwenden, sollten Sie sich mit diesem Sicherheitsproblem vertraut machen. Weitere Informationen finden Sie unter Ingress-nginx-Problem 7837.

    GCP-2021-019

    Veröffentlicht: 2021-09-29

    GKE

    Beschreibung Schweregrad

    Es gibt ein bekanntes Problem, bei dem eine BackendConfig-Ressource mithilfe der v1beta1 API aktualisiert wird, die eine aktive Google Cloud Armor-Sicherheitsrichtlinie aus dem Dienst entfernt.

    Bin ich betroffen?

    Wenn Ihre BackendConfig bereits mit der v1beta1 API aktualisiert wurde, wurde Ihre Google Cloud Armor-Sicherheitsrichtlinie möglicherweise entfernt. Führen Sie den folgenden Befehl aus, um festzustellen, ob dies der Fall ist:

    kubectl get backendconfigs -A -o json | \
    jq -r '.items[] | select(.spec.securityPolicy == {}) | .metadata | "\(.namespace)/\(.name)"'
    • Wenn die Antwort eine Ausgabe zurückgibt: Ihr Cluster ist von diesem Problem betroffen. Die Ausgabe dieses Befehls gibt eine Liste der BackendConfig-Ressourcen zurück (<namespace>/<name>), die von dem Problem betroffen sind.
    • Wenn die Ausgabe leer ist: Ihre BackendConfig wurde seit dem Auftreten des Problems nicht mit der v1beta1 API aktualisiert. Alle zukünftigen Updates Ihrer BackendConfig sollten nur v1 verwenden.

    Dieses Problem betrifft die folgenden GKE-Versionen:

    • 1.18.19-gke.1400 bis 1.18.20-gke.5100 (ausschließlich)
    • 1.19.10-gke.700 bis 1.19.14-gke.300 (ausschließlich)
    • 1.20.6-gke.700 bis 1.20.9-gke.900 (ausschließlich)
    • 1.21 to 1.21.1-gke.2700 (ausschließlich)

    Wenn Sie Google Cloud Armor für Ihre Ingress-Ressourcen nicht über die BackendConfig konfigurieren, sind Ihre Cluster von diesem Problem nicht betroffen.

    Was soll ich tun?

    Führen Sie ein Upgrade Ihrer GKE-Steuerungsebene auf eine der folgenden aktualisierten Versionen durch, in denen dieses Problem behoben wurde und die sichere Verwendung von v1beta1-BackendConfig-Ressourcen möglich ist.

    • 1.21.1-gke.2700 und höher
    • 1.20.9-gke.900 und höher
    • 1.19.14-gke.300 und höher
    • 1.18.20-gke.5100 und höher

    Sie können dieses Problem auch verhindern, indem Sie die Bereitstellung von v1beta1-BackendConfig-Ressourcen vermeiden. Wenn Sie Google Cloud Armor über BackendConfig auf Ihren Ingress-Ressourcen konfigurieren und feststellen, dass Sie von den obigen Schritten betroffen sind, aktivieren Sie Google Cloud Armor wieder, indem Sie ein Update auf Ihre aktuelle BackendConfig-Ressource mit der API-Version cloud.google.com/v1 übertragen.

    Um dieses Problem zu vermeiden, aktualisieren Sie Ihre BackendConfig nur mithilfe der v1 BackendConfig API.

    Da die BackendConfig v1 dieselben Felder wie v1beta1 unterstützt und keine funktionsgefährdenden Änderungen vornimmt, kann das API-Feld transparent aktualisiert werden. Dazu ersetzen Sie das Feld apiVersion eines beliebigen BackendConfig-Manifests durch cloud.google.com/v1. Verwenden Sie nicht cloud.google.com/v1beta1.

    Das folgende Beispielmanifest beschreibt eine BackendConfig-Ressource, die die v1 API verwendet:

    apiVersion: cloud.google.com/v1
    kind: BackendConfig
    metadata:
      name: my-backend-config
    spec:
      securityPolicy:
        name: "ca-how-to-security-policy"
    

    Wenn Sie CI/CD-Systeme oder -Tools haben, die regelmäßig BackendConfig-Ressourcen aktualisieren, achten Sie darauf, dass Sie die API-Gruppe cloud.google.com/v1 in diesen Systemen verwenden.

    Niedrig

    GCP-2021-022

    Veröffentlicht: 23.09.2021

    GKE-Cluster auf

    Beschreibung Schweregrad

    Im GKE Enterprise Identity Service wurde eine Sicherheitslücke erkannt (AIS) LDAP-Modul von GKE on VMware in den Versionen 1.8 und 1.8.1, wobei ein Der Seed-Schlüssel, der beim Generieren von Schlüsseln verwendet wird, ist vorhersehbar. Mit dieser Sicherheitslücke könnte ein authentifizierter Nutzer beliebige Anforderungen hinzufügen und Berechtigungen auf unbestimmte Zeit eskalieren.

    Technische Details

    Eine kürzlich hinzugefügte Ergänzung für AIS-Code erstellt symmetrische Schlüssel mit dem "math/rand"-Modul von Golang, das für sicherheitsrelevanten Code nicht geeignet ist. Das Modul wird so verwendet, dass ein vorhersehbarer Schlüssel generiert wird. Während der Identitätsüberprüfung wird ein STS-Schlüssel (Secure Token Service) generiert, der anschließend mit einem einfach abzuleitenden symmetrischen Schlüssel verschlüsselt wird.

    Wie gehe ich am besten vor?

    Diese Sicherheitslücke betrifft nur Kunden, die AIS in GKE on VMware-Versionen 1.8 und 1.8.1. Für Nutzer von Aktualisieren Sie Ihre Cluster für GKE on VMware 1.8 auf Folgendes: Version:

    • 1.8.2
    Hoch

    GCP-2021-021

    Veröffentlicht: 22.09.2021
    Referenz: CVE-2020-8561

    GKE

    Beschreibung Schweregrad

    Bei Kubernetes wurde die Sicherheitslücke CVE-2020-8561 erkannt, bei der bestimmte Webhooks erstellt werden können, um kube-apiserver-Anfragen an private Netzwerke dieses API-Servers weiterzuleiten.

    Technische Details

    Durch diese Sicherheitslücke können Nutzer, die die Antworten von MutatingWebhookConfiguration- oder ValidatingWebhookConfiguration-Anfragen steuern, kube-apiserver-Anfragen an private Netzwerke des API-Servers weiterleiten. Wenn dieser Nutzer kube-apiserver-Logs aufrufen kann, wenn die Logebene auf 10 festgelegt ist, kann der Nutzer die weitergeleiteten Antworten und Header in den Logs sehen.

    Dieses Problem lässt sich beheben, indem bestimmte Parameter für den API-Server geändert werden.

    Was soll ich tun?

    Momentan müssen Sie nichts weiter tun.

    Derzeit verfügbare Versionen von GKE und Für GKE Enterprise wurden die folgenden Risikominderungen implementiert, die Schutz vor dieser Art von Angriff:

    • Das Flag --profiling für kube-apiserver ist auf false gesetzt.
    • Die Logebene kube-apiserver ist auf einen Wert unter 10 festgelegt.

    Welche Sicherheitslücke wird mit diesem Patch behoben?

    <pCVE-2020-8561

    </p
    Mittel

    GKE-Cluster auf

    Beschreibung Schweregrad

    Bei Kubernetes wurde die Sicherheitslücke CVE-2020-8561 erkannt, bei der bestimmte Webhooks erstellt werden können, um kube-apiserver-Anfragen an private Netzwerke dieses API-Servers weiterzuleiten.

    Technische Details

    Durch diese Sicherheitslücke können Nutzer, die die Antworten von MutatingWebhookConfiguration- oder ValidatingWebhookConfiguration-Anfragen steuern, kube-apiserver-Anfragen an private Netzwerke des API-Servers weiterleiten. Wenn dieser Nutzer kube-apiserver-Logs aufrufen kann, wenn die Logebene auf 10 festgelegt ist, kann der Nutzer die weitergeleiteten Antworten und Header in den Logs sehen.

    Dieses Problem lässt sich beheben, indem bestimmte Parameter für den API-Server geändert werden.

    Was soll ich tun?

    Momentan müssen Sie nichts weiter tun.

    Derzeit verfügbare Versionen von GKE und Für GKE Enterprise wurden die folgenden Risikominderungen implementiert, die Schutz vor dieser Art von Angriff:

    • Das Flag --profiling für kube-apiserver ist auf false gesetzt.
    • Die Logebene kube-apiserver ist auf einen Wert unter 10 festgelegt.

    Welche Sicherheitslücke wird mit diesem Patch behoben?

    <pCVE-2020-8561

    </p
    Mittel

    GKE-Cluster auf

    Beschreibung Schweregrad

    Bei Kubernetes wurde die Sicherheitslücke CVE-2020-8561 erkannt, bei der bestimmte Webhooks erstellt werden können, um kube-apiserver-Anfragen an private Netzwerke dieses API-Servers weiterzuleiten.

    Technische Details

    Durch diese Sicherheitslücke können Nutzer, die die Antworten von MutatingWebhookConfiguration- oder ValidatingWebhookConfiguration-Anfragen steuern, kube-apiserver-Anfragen an private Netzwerke des API-Servers weiterleiten. Wenn dieser Nutzer kube-apiserver-Logs aufrufen kann, wenn die Logebene auf 10 festgelegt ist, kann der Nutzer die weitergeleiteten Antworten und Header in den Logs sehen.

    Dieses Problem lässt sich beheben, indem bestimmte Parameter für den API-Server geändert werden.

    Was soll ich tun?

    Momentan müssen Sie nichts weiter tun.

    Derzeit verfügbare Versionen von GKE und Für GKE Enterprise wurden die folgenden Risikominderungen implementiert, die Schutz vor dieser Art von Angriff:

    • Das Flag --profiling für kube-apiserver ist auf false gesetzt.
    • Die Logebene kube-apiserver ist auf einen Wert unter 10 festgelegt.

    Welche Sicherheitslücke wird mit diesem Patch behoben?

    <pCVE-2020-8561

    </p
    Mittel

    GKE-Cluster auf

    Beschreibung Schweregrad

    Bei Kubernetes wurde die Sicherheitslücke CVE-2020-8561 erkannt, bei der bestimmte Webhooks erstellt werden können, um kube-apiserver-Anfragen an private Netzwerke dieses API-Servers weiterzuleiten.

    Technische Details

    Durch diese Sicherheitslücke können Nutzer, die die Antworten von MutatingWebhookConfiguration- oder ValidatingWebhookConfiguration-Anfragen steuern, kube-apiserver-Anfragen an private Netzwerke des API-Servers weiterleiten. Wenn dieser Nutzer kube-apiserver-Logs aufrufen kann, wenn die Logebene auf 10 festgelegt ist, kann der Nutzer die weitergeleiteten Antworten und Header in den Logs sehen.

    Dieses Problem lässt sich beheben, indem bestimmte Parameter für den API-Server geändert werden.

    Was soll ich tun?

    Momentan müssen Sie nichts weiter tun.

    Derzeit verfügbare Versionen von GKE und Für GKE Enterprise wurden die folgenden Risikominderungen implementiert, die Schutz vor dieser Art von Angriff:

    • Das Flag --profiling für kube-apiserver ist auf false gesetzt.
    • Die Logebene kube-apiserver ist auf einen Wert unter 10 festgelegt.

    Welche Sicherheitslücke wird mit diesem Patch behoben?

    <pCVE-2020-8561

    </p
    Mittel

    GCP-2021-018

    Veröffentlicht: 15.09.2021
    Aktualisiert: 24.09.2021
    Referenz: CVE-2021-25741

    Update vom 24.09.2021: GKE on Bare Metal-Bulletin aktualisiert mit zusätzliche Patchversionen.

    Aktualisierung vom 20.09.2021: Bulletins für GKE on Bare Metal hinzugefügt

    Aktualisierung vom 16.09.2021: Bulletins für GKE on VMware hinzugefügt


    GKE

    Beschreibung Schweregrad

    Ein Sicherheitsproblem in Kubernetes (CVE-2021-25741) wurde festgestellt, bei dem Nutzer möglicherweise einen Container mit Unterpfad-Volume-Bereitstellungen erstellen können, um auf Dateien und Verzeichnisse außerhalb des Volumes, z. B. im Hostdateisystem, zuzugreifen.

    Technische Details:

    In CVE-2021-25741 kann der Angreifer einen symbolischen Link von einem bereitgestellten emptyDir zum Root-Dateisystem des Knotens (/) erstellen. Das Kubelet folgt dem Symlink und stellt den Host-Root im Container bereit.

    Was soll ich tun?

    Wir empfehlen Ihnen, ein Upgrade Ihrer Knotenpools auf eine der folgenden Versionen oder höher durchzuführen, um die neuesten Patches zu nutzen:

    • 1.21.4-gke.301
    • 1.20.10-gke.301
    • 1.19.14-gke.301
    • 1.18.20-gke.4501

    Die folgenden Versionen enthalten ebenfalls die Korrektur:

    • 1.21.3-gke.2001
    • 1.20.8-gke.2101
    • 1.20.9-gke.701
    • 1.20.9-gke.1001
    • 1.19.12-gke.2101
    • 1.19.13-gke.701
    • 1.18.20-gke.3001
    Hoch

    GKE-Cluster auf

    Beschreibung Schweregrad

    Ein Sicherheitsproblem in Kubernetes (CVE-2021-25741) wurde festgestellt, bei dem Nutzer möglicherweise einen Container mit Unterpfad-Volume-Bereitstellungen erstellen können, um auf Dateien und Verzeichnisse außerhalb des Volumes, z. B. im Hostdateisystem, zuzugreifen.

    Technische Details:

    In CVE-2021-25741 kann der Angreifer einen symbolischen Link von einem bereitgestellten emptyDir zum Root-Dateisystem des Knotens (/) erstellen. Das Kubelet folgt dem Symlink und stellt den Host-Root im Container bereit.

    Was soll ich tun?

    Aktualisiert am 24.09.2021: Die Patchversionen 1.8.3 und 1.7.4 sind jetzt verfügbar.

    Aktualisiert am 17.09.2021: Die Liste der verfügbaren Versionen, die den Patch enthalten, wurde korrigiert.


    Die folgenden Versionen von GKE on VMware wurden mit aktualisiert um diese Sicherheitslücke zu beheben. Führen Sie ein Upgrade Ihrer Administratorcluster und Nutzercluster auf eine der folgenden Versionen durch:

    • 1.8.3
    • 1.8.2
    • 1.7.4
    • 1.6.5
    Hoch

    GKE-Cluster auf

    Beschreibung Schweregrad

    Ein Sicherheitsproblem in Kubernetes (CVE-2021-25741) wurde festgestellt, bei dem Nutzer möglicherweise einen Container mit Unterpfad-Volume-Bereitstellungen erstellen können, um auf Dateien und Verzeichnisse außerhalb des Volumes, z. B. im Hostdateisystem, zuzugreifen.

    Technische Details:

    In CVE-2021-25741 kann der Angreifer einen symbolischen Link von einem bereitgestellten emptyDir zum Root-Dateisystem des Knotens (/) erstellen. Das Kubelet folgt dem Symlink und stellt den Host-Root im Container bereit.

    Was soll ich tun?

    Aktualisierung vom 16.09.2021: Liste der unterstützten gke-Versionen für AWSCluster- und AWSNodePool-Objekte hinzugefügt.


    Die folgenden Versionen von GKE on AWS wurden mit aktualisiert um diese Sicherheitslücke zu beheben. Wir empfehlen Folgendes:

    • Führen Sie ein Upgrade Ihrer AWSManagementService-, AWSCluster- und AWSNodePool-Objekte auf die folgende Version durch:
      • 1.8.2
    • Aktualisieren Sie die gke-Version Ihrer AWSCluster- und AWSNodePool-Objekte auf eine der unterstützten Kubernetes-Versionen:
      • 1.17.17-gke.15800
      • 1.18.20-gke.4800
      • 1.19.14-gke.600
      • 1.20.10-gke.600
    Hoch

    GKE-Cluster auf

    Beschreibung Schweregrad

    Ein Sicherheitsproblem in Kubernetes (CVE-2021-25741) wurde festgestellt, bei dem Nutzer möglicherweise einen Container mit Unterpfad-Volume-Bereitstellungen erstellen können, um auf Dateien und Verzeichnisse außerhalb des Volumes, z. B. im Hostdateisystem, zuzugreifen.

    Technische Details:

    In CVE-2021-25741 kann der Angreifer einen symbolischen Link von einem bereitgestellten emptyDir zum Root-Dateisystem des Knotens (/) erstellen. Das Kubelet folgt dem Symlink und stellt den Host-Root im Container bereit.

    Wie gehe ich am besten vor?

    Die folgenden Versionen von GKE on Bare Metal wurden aktualisiert mit Code zur Behebung dieser Sicherheitslücke. Führen Sie ein Upgrade Ihrer Administratorcluster und Nutzercluster auf eine der folgenden Versionen durch:

    • 1.8.3
    • 1.7.4
    Hoch

    GCP-2021-017

    Veröffentlicht: 01.09.2021
    Aktualisiert: 23.09.2021
    Referenz: CVE-2021-33909
    CVE-2021-33910

    GKE

    Beschreibung Schweregrad
    Aktualisierung vom 23.09.2021:

    Container, die in GKE Sandbox ausgeführt werden, sind von dieser Sicherheitslücke durch Angriffe aus dem Container nicht betroffen.


    Aktualisierung vom 15.09.2021:

    Die folgenden GKE-Versionen beheben die Sicherheitslücken:

    • 1.18.20-gke.4100
    • 1.19.13-gke.1900
    • 1.20.9-gke.1500
    • 1.21.3-gke.1400

    Im Linux-Kernel wurden zwei Sicherheitslücken erkannt, CVE-2021-33909 und CVE-2021-33910, die zu einem Absturz des Betriebssystems oder einer Eskalation zum Root durch einen nicht privilegierten Nutzer führen können. Diese Sicherheitslücke betrifft alle GKE-Knotenbetriebssysteme (COS und Ubuntu).

    Technische Details:

    In CVE-2021-33909 beschränkt die Dateisystemebene des Linux-Kernels die Zwischenspeicherzuordnungen von Sequenzen nicht ordnungsgemäß, was zu einem Ganzzahlüberlauf, einem Schreibvorgang außerhalb des Bereichs und einer Eskalation zu root führt.
    Durch CVE-2021-33910 hat systemd eine Speicherzuweisung mit einem übermäßigen Wert für die Größe (einschließlich strdupa und alloca für einen Pfadnamen, der von einem lokalen Angreifer gesteuert wird), was zu einem Betriebssystemabsturz führt.

    Was soll ich tun?

    Die Versionen von Linux-Knoten-Images für die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Aktualisieren Sie Ihre Cluster auf eine der folgenden Versionen:

    • 1.18.20-gke.4100
    • 1.19.13-gke.1900
    • 1.20.9-gke.1500
    • 1.21.3-gke.1400
    Hoch

    GKE-Cluster auf

    Beschreibung Schweregrad

    Im Linux-Kernel wurden zwei Sicherheitslücken erkannt, CVE-2021-33909 und CVE-2021-33910, die zu einem Absturz des Betriebssystems oder einer Eskalation zum Root durch einen nicht privilegierten Nutzer führen können. Diese Sicherheitslücke betrifft alle GKE-Knotenbetriebssysteme (COS und Ubuntu).

    Technische Details:

    In CVE-2021-33909 beschränkt die Dateisystemebene des Linux-Kernels die Zwischenspeicherzuordnungen von Sequenzen nicht ordnungsgemäß, was zu einem Ganzzahlüberlauf, einem Schreibvorgang außerhalb des Bereichs und einer Eskalation zu root führt.
    Durch CVE-2021-33910 hat systemd eine Speicherzuweisung mit einem übermäßigen Wert für die Größe (einschließlich strdupa und alloca für einen Pfadnamen, der von einem lokalen Angreifer gesteuert wird), was zu einem Betriebssystemabsturz führt.

    Wie gehe ich am besten vor?

    Die Versionen der Linux-Knoten-Images für GKE on AWS wurden mit Code aktualisiert um diese Sicherheitslücke zu schließen. Aktualisieren Sie Ihre Cluster auf eine der folgenden Versionen:

    • 1.20.10-gke.600
    • 1.19.14-gke.600
    • 1.18.20-gke.4800
    • 1.17.17-gke.15800
    Hoch

    GKE-Cluster auf

    Beschreibung Schweregrad

    Im Linux-Kernel wurden zwei Sicherheitslücken erkannt, CVE-2021-33909 und CVE-2021-33910, die zu einem Absturz des Betriebssystems oder einer Eskalation zum Root durch einen nicht privilegierten Nutzer führen können. Diese Sicherheitslücke betrifft alle GKE-Knotenbetriebssysteme (COS und Ubuntu).

    Technische Details:

    In CVE-2021-33909 beschränkt die Dateisystemebene des Linux-Kernels die Zwischenspeicherzuordnungen von Sequenzen nicht ordnungsgemäß, was zu einem Ganzzahlüberlauf, einem Schreibvorgang außerhalb des Bereichs und einer Eskalation zu root führt.
    Durch CVE-2021-33910 hat systemd eine Speicherzuweisung mit einem übermäßigen Wert für die Größe (einschließlich strdupa und alloca für einen Pfadnamen, der von einem lokalen Angreifer gesteuert wird), was zu einem Betriebssystemabsturz führt.

    Wie gehe ich am besten vor?

    Die Versionen der Linux- und COS-Knoten-Images für GKE on VMware wurden mit Code aktualisiert um diese Sicherheitslücke zu schließen. Aktualisieren Sie Ihre Cluster auf eine der folgenden Versionen:

    • 1.9
    • 1.8.2
    • 1.7.3
    • 1.6.4 (nur Linux)

    Siehe Versionsverlauf – Kubernetes- und Knoten-Kernel-Versionen.

    Hoch

    GCP-2021-015

    Veröffentlicht: 13.07.2021
    Aktualisiert: 15.07.2021
    Referenz: CVE-2021-22555

    GKE

    Beschreibung Schweregrad

    Es wurde eine neue Sicherheitslücke (CVE-2021-22555) entdeckt, bei der ein böswilliger Akteur mit CAP_NET_ADMIN-Berechtigungen potenziell eine Container-Aufschlüsselung zum Root auf dem Host verursachen kann. Diese Sicherheitslücke betrifft alle GKE-Cluster und GKE on VMware mit Linux Version 2.6.19 oder höher.

    Technische Details

    Bei diesem Angriff kann ein ausgehender Schreibvorgang in setsockopt im Subsystem netfilter unter Linux zu einer Heap-Beschädigung (und damit Denial of Service) und einer Rechteausweitung führen.

    Was soll ich tun?

    Die folgenden Linux-Versionen in GKE wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Aktualisieren Sie Ihre Cluster auf eine der folgenden Versionen:

    • 1.21.1-gke.2200
    • 1.20.7-gke.2200
    • 1.19.11-gke.2100
    • 1.18.20-gke.501

    Welche Sicherheitslücke wird mit diesem Patch behoben?

    CVE-2021-22555

    Hoch

    GKE-Cluster auf

    Beschreibung Schweregrad

    Es wurde eine neue Sicherheitslücke (CVE-2021-22555) entdeckt, bei der ein böswilliger Akteur mit CAP_NET_ADMIN-Berechtigungen potenziell eine Container-Aufschlüsselung zum Root auf dem Host verursachen kann. Diese Sicherheitslücke betrifft alle GKE-Cluster und GKE on VMware mit Linux Version 2.6.19 oder höher.

    Technische Details

    Bei diesem Angriff kann ein ausgehender Schreibvorgang in setsockopt im Subsystem netfilter unter Linux zu einer Heap-Beschädigung (und damit Denial of Service) und einer Rechteausweitung führen.

    Wie gehe ich am besten vor?

    Die folgenden Versionen von Linux on GKE on VMware wurden mit Code zur Fehlerbehebung aktualisiert für diese Sicherheitslücke. Aktualisieren Sie Ihre Cluster auf eine der folgenden Versionen:

    • 1.8
    • 1.7.3
    • 1.6.4

    Welche Sicherheitslücke wird mit diesem Patch behoben?

    CVE-2021-22555

    Hoch

    GCP-2021-014

    Veröffentlicht: 2021-07-05
    Referenz: CVE-2021-34527

    GKE

    Beschreibung Schweregrad

    Microsoft hat ein Sicherheitsbulletin CVE-2021-34527 zu einer Sicherheitslücke (Remote Code Execution, RCE) veröffentlicht, die Auswirkungen auf die Druckwarteschlange bei Windows-Servern hat. Das CERT Coordination Center (CERT/CC) hat einen Hinweis zu einer ähnlichen Sicherheitslücke mit dem Namen "PrintNightmare" veröffentlicht. Auch diese hat Auswirkungen auf Windows-Druckwarteschlangen – PrintNightmare, kritische Windows-Sicherheitslücke für Druckwarteschlange.

    Was soll ich tun?

    Sie müssen nichts unternehmen. GKE-Windows-Knoten enthalten den betroffenen Warteschlangendienst nicht im Basis-Image. GKE-Windows-Deployments sind daher von diesem Angriff nicht gefährdet.

    Welche Sicherheitslücken werden mit diesem Bulletin behoben?

    Hoch

    GCP-2021-012

    Veröffentlicht: 01.07.2021
    Aktualisiert: 09.07.2021
    Referenz: CVE-2021-34824

    GKE

    Beschreibung Schweregrad

    Was soll ich tun?

    Das Istio-Projekt hat kürzlich eine neue Sicherheitslücke offengelegt (CVE-2021-34824), die Istio betrifft. Istio weist eine Sicherheitslücke auf, die aus der Ferne ausgenutzt werden kann und bei der die in den Feldern "Gateway"und "DestinationRule credentialName" angegebenen Anmeldedaten über verschiedene Namespaces aufgerufen werden können.

    Technische Details:

    Das sichere Istio-Gateway oder die Arbeitslasten, die die DestinationRule verwenden, können private TLS-Schlüssel und Zertifikate aus Kubernetes-Secrets über die Konfiguration von credentialName laden. Ab Istio 1.8 werden die Secrets aus istiod gelesen und über XDS an Gateways und Arbeitslasten gesendet.

    Normalerweise kann ein Gateway oder eine Arbeitslastbereitstellung nur auf TLS-Zertifikate und private Schlüssel zugreifen, die im Secret in seinem Namespace gespeichert sind. Aufgrund eines Programmfehlers in istiod kann ein Client, der auf die Istio XDS API zugreifen kann, jedoch alle TLS-Zertifikate und privaten Schlüssel abrufen, die in istiod im Cache gespeichert sind.

    Was soll ich tun?

    GKE-Cluster führen Istio nicht standardmäßig aus und verwenden, falls aktiviert, die Istio-Version 1.6, die für diesen Angriff nicht anfällig ist. Wenn Sie Istio im Cluster auf Istio 1.8 oder höher installiert oder darauf aktualisiert haben, führen Sie ein Upgrade auf Istio auf die neueste unterstützte Version durch.

    Hoch

    GKE-Cluster auf

    Beschreibung Schweregrad

    Was soll ich tun?

    Das Istio-Projekt hat kürzlich eine neue Sicherheitslücke offengelegt (CVE-2021-34824), die Istio betrifft. Istio weist eine Sicherheitslücke auf, die aus der Ferne ausgenutzt werden kann und bei der die in den Feldern "Gateway"und "DestinationRule credentialName" angegebenen Anmeldedaten über verschiedene Namespaces aufgerufen werden können.

    Technische Details:

    Das sichere Istio-Gateway oder die Arbeitslasten, die die DestinationRule verwenden, können private TLS-Schlüssel und Zertifikate aus Kubernetes-Secrets über die Konfiguration von credentialName laden. Ab Istio 1.8 werden die Secrets aus istiod gelesen und über XDS an Gateways und Arbeitslasten gesendet.

    Normalerweise kann ein Gateway oder eine Arbeitslastbereitstellung nur auf TLS-Zertifikate und private Schlüssel zugreifen, die im Secret in seinem Namespace gespeichert sind. Aufgrund eines Programmfehlers in istiod kann ein Client, der auf die Istio XDS API zugreifen kann, jedoch alle TLS-Zertifikate und privaten Schlüssel abrufen, die in istiod im Cache gespeichert sind.

    Was soll ich tun?

    Anthos-Cluster auf VMware v1.6 und v1.7 sind für diesen Angriff nicht anfällig. Anthos-Cluster auf VMware v1.8 sind anfällig.

    Wenn Sie Anthos-Cluster unter VMware v1.8 verwenden, führen Sie ein Upgrade auf die folgende Patchversion oder höher durch:

    • 1.8.0-gke.25
    Hoch

    GKE-Cluster auf

    Beschreibung Schweregrad

    Was soll ich tun?

    Das Istio-Projekt hat kürzlich eine neue Sicherheitslücke offengelegt (CVE-2021-34824), die Istio betrifft. Istio weist eine Sicherheitslücke auf, die aus der Ferne ausgenutzt werden kann und bei der die in den Feldern "Gateway"und "DestinationRule credentialName" angegebenen Anmeldedaten über verschiedene Namespaces aufgerufen werden können.

    Technische Details:

    Das sichere Istio-Gateway oder die Arbeitslasten, die die DestinationRule verwenden, können private TLS-Schlüssel und Zertifikate aus Kubernetes-Secrets über die Konfiguration von credentialName laden. Ab Istio 1.8 werden die Secrets aus istiod gelesen und über XDS an Gateways und Arbeitslasten gesendet.

    Normalerweise kann ein Gateway oder eine Arbeitslastbereitstellung nur auf TLS-Zertifikate und private Schlüssel zugreifen, die im Secret in seinem Namespace gespeichert sind. Aufgrund eines Programmfehlers in istiod kann ein Client, der auf die Istio XDS API zugreifen kann, jedoch alle TLS-Zertifikate und privaten Schlüssel abrufen, die in istiod im Cache gespeichert sind. Cluster, die mit Anthos Clusters on Bare Metal Version 1.8.0 erstellt oder aktualisiert wurden, sind von diesem CVE betroffen.

    Was soll ich tun?

    Die Anthos-Versionen 1.6 und 1.7 sind von diesem Angriff nicht gefährdet. Wenn Sie v1.8.0-Cluster haben, laden Sie die Version 1.8.1 von bmctl herunter, installieren Sie sie und aktualisieren Sie Ihre Cluster auf die folgende Patchversion:

    • 1.8.1
    Hoch

    GCP-2021-011

    Veröffentlicht: 04.06.2021
    Aktualisiert: 19.10.2021
    Referenz: CVE-2021-30465

    Update vom 19.10.2021: Zusätzliche Bulletins für GKE on VMware, GKE on AWS und GKE on Bare Metal.

    GKE

    Beschreibung Schweregrad

    Die Sicherheitscommunity hat kürzlich eine neue Sicherheitslücke (CVE-2021-30465) entdeckt, die in runc enthalten ist und möglicherweise einen vollständigen Zugriff auf ein Knotendateisystem ermöglicht.

    Da für die Ausnutzung dieser Sicherheitslücke das Erstellen von Pods erforderlich ist, haben wir den Schweregrad dieser Sicherheitslücke mit MITTEL bewertet.

    Technische Details

    Das Paket runc ist bei der Bereitstellung eines Volumes anfällig für einen Symlink-Exchange-Angriff.

    Bei diesem spezifischen Angriff kann ein Nutzer eine Race-Bedingung nutzen, indem er mehrere Pods gleichzeitig auf einem einzelnen Knoten startet. Diese Pods haben über einen Symlink dieselbe Volume-Bereitstellung.

    Wenn der Angriff erfolgreich ist, stellt einer der Pods das Dateisystem des Knotens mit Root-Berechtigungen bereit.

    Was soll ich tun?

    Mit einem neu veröffentlichten Patch für runc (1.0.0-rc95) wird diese Sicherheitslücke behoben.

    Führen Sie ein Upgrade Ihres GKE-Clusters auf eine der folgenden aktualisierten Versionen durch:

    • 1.18.19-gke.2100
    • 1.19.9-gke.1400
    • 1.20.6-gke.1400
    • 1.21.2-gke.600

    Mittel

    GKE-Cluster auf

    Beschreibung Schweregrad

    Die Sicherheitscommunity hat kürzlich eine neue Sicherheitslücke (CVE-2021-30465) entdeckt, die in runc enthalten ist und möglicherweise einen vollständigen Zugriff auf ein Knotendateisystem ermöglicht.

    Für GKE on VMware, da für die Ausnutzung dieser Sicherheitslücke die Fähigkeit erforderlich ist, erstellt haben, haben wir den Schweregrad dieser Sicherheitslücke mit MEDIUM bewertet.

    Technische Details

    Das Paket runc ist bei der Bereitstellung eines Volumes anfällig für einen Symlink-Exchange-Angriff.

    Bei diesem spezifischen Angriff kann ein Nutzer eine Race-Bedingung nutzen, indem er mehrere Pods gleichzeitig auf einem einzelnen Knoten startet. Diese Pods haben über einen Symlink dieselbe Volume-Bereitstellung.

    Wenn der Angriff erfolgreich ist, stellt einer der Pods das Dateisystem des Knotens mit Root-Berechtigungen bereit.

    Was soll ich tun?

    Mit einem neu veröffentlichten Patch für runc wird diese Sicherheitslücke behoben. Führen Sie ein Upgrade von GKE on VMware auf eine der folgenden Versionen durch:

    • 1.7.3-gke-2
    • 1.8.1-gke.7
    • 1.9.0-gke.8

    Mittel

    GKE-Cluster auf

    Beschreibung Schweregrad

    Die Sicherheitscommunity hat kürzlich eine neue Sicherheitslücke (CVE-2021-30465) entdeckt, die in runc enthalten ist und möglicherweise einen vollständigen Zugriff auf ein Knotendateisystem ermöglicht.

    Da es sich um eine Sicherheitslücke auf Betriebssystemebene handelt, angreifbar ist.

    Technische Details

    Das Paket runc ist bei der Bereitstellung eines Volumes anfällig für einen Symlink-Exchange-Angriff.

    Bei diesem spezifischen Angriff kann ein Nutzer eine Race-Bedingung nutzen, indem er mehrere Pods gleichzeitig auf einem einzelnen Knoten startet. Diese Pods haben über einen Symlink dieselbe Volume-Bereitstellung.

    Wenn der Angriff erfolgreich ist, stellt einer der Pods das Dateisystem des Knotens mit Root-Berechtigungen bereit.

    Wie gehe ich am besten vor?

    Achten Sie darauf, dass die Betriebssystemversion, auf der Sie GKE on AWS ausführen, ein Upgrade auf die neueste Betriebssystemversion mit einem aktualisierten runc-Paket durchgeführt wurde.

    Keine

    GKE-Cluster auf

    Beschreibung Schweregrad

    Die Sicherheitscommunity hat kürzlich eine neue Sicherheitslücke (CVE-2021-30465) entdeckt, die in runc enthalten ist und möglicherweise einen vollständigen Zugriff auf ein Knotendateisystem ermöglicht.

    Da es sich um eine Sicherheitslücke auf Betriebssystemebene handelt, angreifbar ist.

    Technische Details

    Das Paket runc ist bei der Bereitstellung eines Volumes anfällig für einen Symlink-Exchange-Angriff.

    Bei diesem spezifischen Angriff kann ein Nutzer eine Race-Bedingung nutzen, indem er mehrere Pods gleichzeitig auf einem einzelnen Knoten startet. Diese Pods haben über einen Symlink dieselbe Volume-Bereitstellung.

    Wenn der Angriff erfolgreich ist, stellt einer der Pods das Dateisystem des Knotens mit Root-Berechtigungen bereit.

    Wie gehe ich am besten vor?

    Achten Sie darauf, dass die Betriebssystemversion, auf der Sie Google Distributed Cloud Virtual for Bare Metal ausführen, ein Upgrade auf die neueste Betriebssystemversion mit einem aktualisierten runc-Paket durchgeführt wurde.

    Keine

    GCP-2021-006

    Veröffentlicht: 11.05.2021
    Referenz: CVE-2021-31920

    GKE

    Beschreibung Schweregrad

    Das Istio-Projekt legte kürzlich eine neue Sicherheitslücke offen (CVE-2021-31920), die Istio betrifft.

    Istio enthält eine Sicherheitslücke, die aus der Ferne ausgenutzt werden kann und bei der eine HTTP-Anfrage mit mehreren Schrägstrichen oder mit maskierten Schrägstrichzeichen die Istio-Autorisierungsrichtlinie umgehen kann, wenn pfadbasierte Autorisierungsregeln verwendet werden.

    Was soll ich tun?

    Wir empfehlen dringend, GKE-Cluster zu aktualisieren und neu zu konfigurieren. Bitte führen Sie die beiden folgenden Schritte aus, um die Sicherheitslücke erfolgreich zu schließen:

    1. Cluster aktualisieren: Führen Sie so bald wie möglich die folgenden Schritte aus, um Ihre Cluster auf die neuesten Patchversionen zu aktualisieren:
      • Wenn Sie Istio in GKE 1.6 verwenden:

        Die neueste Patch-Version ist 1.6.14-gke.3. Folgen Sie der Upgrade-Anleitung, um Ihre Cluster auf die neueste Version zu aktualisieren.

      • Wenn Sie Istio in GKE 1.4 verwenden:
      • Istio on GKE 1.4-Releases werden von Istio nicht mehr unterstützt und CVE-Fehler werden nicht an diese Versionen zurückportiert. Folgen Sie den Anleitungen für das Istio-Upgrade, um Ihre Cluster auf 1.6 zu aktualisieren. Folgen Sie dann der obigen Anleitung, um die neueste Version von Istio in GKE 1.6 zu erhalten.

    2. Istio konfigurieren:

      Sobald Ihre Cluster gepatcht sind, müssen Sie Istio in GKE neu konfigurieren. Informationen zur richtigen Konfiguration Ihres Systems finden Sie im Leitfaden zu Best Practices für die Sicherheit.

    Hoch

    GCP-2021-004

    Veröffentlicht: 06.05.2021
    Referenz: CVE-2021-28683, CVE -2021-28682, CVE-2021-2958

    GKE

    Beschreibung Schweregrad

    In den Envoy- und Istio-Projekten wurden kürzlich mehrere neue Sicherheitslücken offen gelegt (CVE-2021-28683, CVE-2021-28682). und CVE-2021-2958, die einem Angreifer ermöglichen könnten, Envoy abstürzen zu lassen.

    GKE-Cluster führen Istio nicht standardmäßig aus und sind nicht anfällig. Wenn Istio in einem Cluster installiert und so konfiguriert ist, dass Dienste im Internet verfügbar sind, können diese Dienste anfällig für Denial-of-Service-Angriffe sein.

    Was soll ich tun?

    Aktualisieren Sie Ihre GKE-Steuerungsebene auf eine der folgenden Patchversionen, um diese Sicherheitslücken zu beheben:

    • 1.16.15-gke.16200
    • 1.17.17-gke.6100
    • 1.18.17-gke.1300
    • 1.19.9-gke.1300
    • 1.20.5-gke.1400
    Mittel

    GKE-Cluster auf

    Beschreibung Schweregrad

    In den Envoy- und Istio-Projekten wurden kürzlich mehrere neue Sicherheitslücken offen gelegt (CVE-2021-28683, CVE-2021-28682). und CVE-2021-2958, die einem Angreifer ermöglichen könnten, Envoy abstürzen zu lassen.

    GKE on VMware verwendet standardmäßig Envoy für Ingress, sodass Ingress-Dienste möglicherweise anfällig für Denial of Service ist.

    Wie gehe ich am besten vor?

    Führen Sie ein Upgrade Ihrer GKE on VMware auf eine der folgenden durch, um diese Sicherheitslücken zu beheben Patchversionen zum Zeitpunkt der Veröffentlichung:

    • 1.5.4
    • 1.6.3
    • 1.7.1
    Mittel

    GKE-Cluster auf

    Aktualisiert: 06.05.2021

    Beschreibung Schweregrad

    In den Envoy- und Istio-Projekten wurden kürzlich mehrere neue Sicherheitslücken offen gelegt (CVE-2021-28683, CVE-2021-28682). und CVE-2021-2958, die einem Angreifer ermöglichen könnten, Envoy abstürzen zu lassen.

    Google Distributed Cloud Virtual for Bare Metal verwendet standardmäßig Envoy für Ingress, sodass Ingress-Dienste anfällig für Denial of Service ist.

    Wie gehe ich am besten vor?

    Führen Sie ein Upgrade Ihres Google Distributed Cloud Virtual for Bare Metal-Clusters auf einen solchen Cluster durch, um diese Sicherheitslücken zu beheben der folgenden Patchversionen nach ihrer Veröffentlichung:

    • 1.6.3
    • 1.7.1
    Mittel

    GCP-2021-003

    Veröffentlicht: 19.04.2021
    Referenz: CVE-2021-25735

    GKE

    Beschreibung Schweregrad

    Das Kubernetes-Projekt hat vor Kurzem eine neue Sicherheitslücke bekanntgegeben (CVE-2021-25735). Damit können Knoten-Updates einen validierenden Zulassungs-Webhook umgehen.

    In einem Szenario, in dem ein Angreifer ausreichende Berechtigungen hat und in dem ein validierender Zulassungs-Webhook implementiert ist, der alte Node-Objektattribute wie z. B. Felder in Node.NodeSpec verwendet, kann der Angreifer Aktualisierungen von Attributen eines Knotens vornehmen. Dies führt eventuell zu einer Clustermanipulation. Keine der Richtlinien, die von GKE und von den integrierten Zulassungs-Controllern von Kubernetes erzwungen werden, sind davon betroffen. Wir empfehlen Kunden aber, alle zusätzlich installierten Zulassungs-Webhooks zu prüfen.

    Was soll ich tun?

    Um diese Sicherheitslücke zu beheben, aktualisieren Sie Ihren GKE-Cluster auf eine der folgenden Patchversionen:

    • 1.18.17-gke.900
    • 1.19.9-gke.900
    • 1.20.5-gke.900
    Mittel

    GKE-Cluster auf

    Beschreibung Schweregrad

    Das Kubernetes-Projekt hat vor Kurzem eine neue Sicherheitslücke bekanntgegeben (CVE-2021-25735). Damit können Knoten-Updates einen validierenden Zulassungs-Webhook umgehen.

    In einem Szenario, in dem ein Angreifer ausreichende Berechtigungen hat und in dem ein validierender Zulassungs-Webhook implementiert ist, der alte Node-Objektattribute wie z. B. Felder in Node.NodeSpec verwendet, kann der Angreifer Aktualisierungen von Attributen eines Knotens vornehmen. Dies führt eventuell zu einer Clustermanipulation. Keine der Richtlinien, die von GKE und von den integrierten Zulassungs-Controllern von Kubernetes erzwungen werden, sind davon betroffen. Wir empfehlen Kunden aber, alle zusätzlich installierten Zulassungs-Webhooks zu prüfen.

    Was soll ich tun?

    Diese Sicherheitslücke wird in einer der nächsten Patchversionen entschärft.

    Mittel

    GKE-Cluster auf

    Beschreibung Schweregrad

    Das Kubernetes-Projekt hat vor Kurzem eine neue Sicherheitslücke bekanntgegeben (CVE-2021-25735). Damit können Knoten-Updates einen validierenden Zulassungs-Webhook umgehen.

    In einem Szenario, in dem ein Angreifer ausreichende Berechtigungen hat und in dem ein validierender Zulassungs-Webhook implementiert ist, der alte Node-Objektattribute wie z. B. Felder in Node.NodeSpec verwendet, kann der Angreifer Aktualisierungen von Attributen eines Knotens vornehmen. Dies führt eventuell zu einer Clustermanipulation. Keine der Richtlinien, die von GKE und von den integrierten Zulassungs-Controllern von Kubernetes erzwungen werden, sind davon betroffen. Wir empfehlen Kunden aber, alle zusätzlich installierten Zulassungs-Webhooks zu prüfen.

    Was soll ich tun?

    Diese Sicherheitslücke wird in einer der nächsten Patchversionen entschärft.

    Mittel

    GKE-Cluster auf

    Beschreibung Schweregrad

    Das Kubernetes-Projekt hat vor Kurzem eine neue Sicherheitslücke bekanntgegeben (CVE-2021-25735). Damit können Knoten-Updates einen validierenden Zulassungs-Webhook umgehen.

    In einem Szenario, in dem ein Angreifer ausreichende Berechtigungen hat und in dem ein validierender Zulassungs-Webhook implementiert ist, der alte Node-Objektattribute wie z. B. Felder in Node.NodeSpec verwendet, kann der Angreifer Aktualisierungen von Attributen eines Knotens vornehmen. Dies führt eventuell zu einer Clustermanipulation. Keine der Richtlinien, die von GKE und von den integrierten Zulassungs-Controllern von Kubernetes erzwungen werden, sind davon betroffen. Wir empfehlen Kunden aber, alle zusätzlich installierten Zulassungs-Webhooks zu prüfen.

    Was soll ich tun?

    Diese Sicherheitslücke wird in einer der nächsten Patchversionen entschärft.

    Mittel

    GCP-2021-001

    Veröffentlicht: 28.01.2021
    Referenz: CVE-2021-3156

    GKE

    Beschreibung Schweregrad

    Im Linux-Dienstprogramm sudo wurde eine Sicherheitslücke entdeckt, die in CVE-2021-3156 beschrieben wurde. Dies könnte einem Angreifer mit nicht privilegierten lokalen Shell-Zugriff auf einem System mit installiertem sudo ermöglichen, seine Berechtigungen auf das Root-System auszuweiten.

    Google Kubernetes Engine-Cluster (GKE) sind von dieser Sicherheitslücke nicht betroffen:

    • Nutzer, die zum Herstellen einer SSH-Verbindung zu GKE-Knoten autorisiert sind, gelten bereits als stark privilegiert. Sie können mit sudo von Grund auf Root-Berechtigungen erhalten. Die Sicherheitslücke hat in diesem Szenario keine zusätzlichen Rechteausweitungspfade zur Folge.
    • Die meisten GKE-Systemcontainer basieren auf Distroless-Basis-Images, auf denen keine Shell und auch nicht sudo installiert ist. Andere Images werden aus einem Debian-Basis-Image erstellt, das kein sudo enthält. Selbst wenn sudo vorhanden war, gewähren Sie durch Zugriff auf sudo innerhalb des Containers keinen Zugriff auf den Host aufgrund der Containergrenze.

    Was soll ich tun?

    Da GKE-Cluster von dieser Sicherheitslücke nicht betroffen sind, sind keine weiteren Maßnahmen erforderlich.

    GKE wird den Patch für diese Sicherheitslücke in die regelmäßigen künftigen Releases übernehmen.

    Keine

    GKE-Cluster auf

    Beschreibung Schweregrad

    Im Linux-Dienstprogramm sudo wurde eine Sicherheitslücke entdeckt, die in CVE-2021-3156 beschrieben wurde. Dies könnte einem Angreifer mit nicht privilegierten lokalen Shell-Zugriff auf einem System mit installiertem sudo ermöglichen, seine Berechtigungen auf das Root-System auszuweiten.

    GKE on VMware sind von dieser Sicherheitslücke nicht betroffen:

    • Nutzer, die berechtigt sind, eine SSH-Verbindung zu GKE on VMware-Knoten herzustellen, werden bereits berücksichtigt verfügt über umfassende Rechte und kann mit sudo Root-Berechtigungen erhalten. Die Sicherheitslücke hat in diesem Szenario keine zusätzlichen Rechteausweitungspfade zur Folge.
    • Die meisten GKE on VMware-Systemcontainer basieren auf Basis-Images für Distroless für die weder Shell noch sudo installiert sind. Andere Images werden aus einem Debian-Basis-Image erstellt, das kein sudo enthält. Selbst wenn sudo vorhanden war, gewähren Sie durch Zugriff auf sudo innerhalb des Containers keinen Zugriff auf den Host aufgrund der Containergrenze.

    Wie gehe ich am besten vor?

    Da GKE on VMware-Cluster nicht von dieser Sicherheitslücke betroffen sind, Maßnahme erforderlich.

    Der Patch für diese Sicherheitslücke wird in einem zukünftigen Release für GKE on VMware angewendet in regelmäßigen Abständen.

    Keine

    GKE-Cluster auf

    Beschreibung Schweregrad

    Im Linux-Dienstprogramm sudo wurde eine Sicherheitslücke entdeckt, die in CVE-2021-3156 beschrieben wurde. Dies könnte einem Angreifer mit nicht privilegierten lokalen Shell-Zugriff auf einem System mit installiertem sudo ermöglichen, seine Berechtigungen auf das Root-System auszuweiten.

    GKE on AWS ist von dieser Sicherheitslücke nicht betroffen:

    • Nutzer, die berechtigt sind, eine SSH-Verbindung zu GKE on AWS-Knoten herzustellen, werden bereits berücksichtigt verfügt über umfassende Rechte und kann mit sudo Root-Berechtigungen erhalten. Die Sicherheitslücke hat in diesem Szenario keine zusätzlichen Rechteausweitungspfade zur Folge.
    • Die meisten GKE on AWS-Systemcontainer basieren auf Basis-Images für Distroless für die weder Shell noch sudo installiert sind. Andere Images werden aus einem Debian-Basis-Image erstellt, das kein sudo enthält. Selbst wenn sudo vorhanden war, gewähren Sie durch Zugriff auf sudo innerhalb des Containers keinen Zugriff auf den Host aufgrund der Containergrenze.

    Wie gehe ich am besten vor?

    Da GKE on AWS-Cluster nicht von dieser Sicherheitslücke betroffen sind, Maßnahme erforderlich.

    Der Patch für diese Sicherheitslücke wird in einem zukünftigen Release auf GKE on AWS angewendet in regelmäßigen Abständen.

    Keine

    GKE-Cluster auf

    Beschreibung Schweregrad

    Im Linux-Dienstprogramm sudo wurde eine Sicherheitslücke entdeckt, die in CVE-2021-3156 beschrieben wurde. Dies könnte einem Angreifer mit nicht privilegierten lokalen Shell-Zugriff auf einem System mit installiertem sudo ermöglichen, seine Berechtigungen auf das Root-System auszuweiten.

    Google Distributed Cloud Virtual for Bare Metal-Cluster sind von dieser Sicherheitslücke nicht betroffen:

    • Nutzer, die berechtigt sind, eine SSH-Verbindung zu Google Distributed Cloud Virtual for Bare Metal-Knoten herzustellen, werden bereits berücksichtigt verfügt über umfassende Rechte und kann mit sudo Root-Berechtigungen erhalten. Die Sicherheitslücke hat in diesem Szenario keine zusätzlichen Rechteausweitungspfade zur Folge.
    • Die meisten Systemcontainer von Google Distributed Cloud Virtual for Bare Metal basieren auf Basis-Images für Distroless für die weder Shell noch sudo installiert sind. Andere Images werden aus einem Debian-Basis-Image erstellt, das kein sudo enthält. Selbst wenn sudo vorhanden war, gewähren Sie durch Zugriff auf sudo innerhalb des Containers keinen Zugriff auf den Host aufgrund der Containergrenze.

    Wie gehe ich am besten vor?

    Da Google Distributed Cloud Virtual for Bare Metal-Cluster nicht von dieser Sicherheitslücke betroffen sind, Maßnahme erforderlich.

    Der Patch für diese Sicherheitslücke wird in einem kommenden Release auf Google Distributed Cloud Virtual for Bare Metal angewendet in regelmäßigen Abständen.

    Keine

    GCP-2020-015

    Veröffentlicht: 07.12.2020
    Aktualisiert: 22.12.2021
    Referenz: CVE-2020-8554

    Aktualisierung vom 22.12.2021: Verwendet gcloud beta anstelle des Befehls gcloud.

    Aktualisierung vom 15.12.2021: Zusätzliche Abhilfe für GKE.

    GKE

    Beschreibung Schweregrad
    Aktualisiert am 22.12.2021: Der Befehl für GKE im folgenden Abschnitt sollte gcloud beta anstelle des Befehls gcloud verwenden.
    gcloud beta container clusters update –no-enable-service-externalips
    

    Aktualisiert: 15.12.2021 Für GKE wurde die folgende Abhilfemaßnahme jetzt eingeführt verfügbar:
    1. Ab GKE-Version 1.21 werden Dienste mit externen IP-Adressen von einem DenyServiceExternalIPs-Admission-Controller blockiert, der standardmäßig für neue Cluster aktiviert ist.
    2. Kunden, die ein Upgrade auf die GKE-Version 1.21 durchführen, können Dienste mit ExternalIPs mit dem folgenden Befehl:
      gcloud container clusters update –no-enable-service-externalips
      

    Weitere Informationen finden Sie unter Clustersicherheit härten.


    Das Kubernetes-Projekt hat eine neue Sicherheitslücke erkannt, CVE-2020-8554, durch die ein Angreifer, der Berechtigungen erhalten hat, einen Kubernetes-Dienst vom Typ LoadBalancer oder ClusterIP erstellen kann, um Netzwerktraffic von anderen Pods im Cluster abzufangen.

    Diese Sicherheitslücke allein gibt einem Angreifer keine Berechtigung zum Erstellen eines Kubernetes-Dienstes.

    Von dieser Sicherheitslücke sind alle GKE-Cluster (Google Kubernetes Engine) betroffen.

    Was soll ich tun?

    Möglicherweise muss Kubernetes in einer zukünftigen Version abwärts inkompatible Designänderungen vornehmen, um die Sicherheitslücke zu beheben.

    Wenn viele Nutzer Zugriff auf Ihren Cluster mit Berechtigungen zum Erstellen von Diensten haben, z. B. in einem mehrmandantenfähigen Cluster, sollten Sie in der Zwischenzeit eine Risikominderung vornehmen. Der beste Ansatz zur Risikominderung besteht momentan darin, die Verwendung von ExternalIPs in einem Cluster einzuschränken. ExternalIPs sind keine häufig verwendete Funktion.

    Schränken Sie die Verwendung von ExternalIPs in einem Cluster mit einer der folgenden Methoden ein:

    1. Verwenden Sie hierfür GKE Enterprise Policy Controller oder Gatekeeper Einschränkungsvorlage und wenden sie an. Beispiel:
      # Only allow the creation of Services with no
      # ExternalIP or an ExternalIP of 203.0.113.1:
      
      apiVersion: constraints.gatekeeper.sh/v1beta1
      kind: K8sExternalIPs
      metadata:
        name: external-ips
      spec:
        match:
          kinds:
            - apiGroups: [""]
              kinds: ["Service"]
        parameters:
          allowedIPs:
            - "203.0.113.1"
      
    2. Oder installieren Sie einen Admission-Controller, um die Verwendung von externen IP-Adressen zu verhindern. Das Kubernetes-Projekt hat einen Beispiel-Admission-Controller für diese Aufgabe bereitgestellt.

    Wie in der Kubernetes-Ankündigung erwähnt, wird für Dienste vom Typ "LoadBalancer" keine Abhilfe geschaffen, da standardmäßig nur sehr privilegierte Nutzer und Systemkomponenten die container.services.updateStatus-Berechtigung haben, die zum Ausnutzen dieser Sicherheitslücke erforderlich ist.

    Mittel

    GKE-Cluster auf

    Beschreibung Schweregrad
    Aktualisiert am 22.12.2021: Der Befehl für GKE im folgenden Abschnitt sollte gcloud beta anstelle des Befehls gcloud verwenden.
    gcloud beta container clusters update –no-enable-service-externalips
    

    Aktualisiert: 15.12.2021 Für GKE wurde die folgende Abhilfemaßnahme jetzt eingeführt verfügbar:
    1. Ab GKE-Version 1.21 werden Dienste mit externen IP-Adressen von einem DenyServiceExternalIPs-Admission-Controller blockiert, der standardmäßig für neue Cluster aktiviert ist.
    2. Kunden, die ein Upgrade auf die GKE-Version 1.21 durchführen, können Dienste mit ExternalIPs mit dem folgenden Befehl:
      gcloud container clusters update –no-enable-service-externalips
      

    Weitere Informationen finden Sie unter Clustersicherheit härten.


    Das Kubernetes-Projekt hat eine neue Sicherheitslücke erkannt, CVE-2020-8554, durch die ein Angreifer, der Berechtigungen erhalten hat, einen Kubernetes-Dienst vom Typ LoadBalancer oder ClusterIP erstellen kann, um Netzwerktraffic von anderen Pods im Cluster abzufangen.

    Diese Sicherheitslücke allein gibt einem Angreifer keine Berechtigung zum Erstellen eines Kubernetes-Dienstes.

    Alle GKE on VMware sind von dieser Sicherheitslücke betroffen.

    Wie gehe ich am besten vor?

    Möglicherweise muss Kubernetes in einer zukünftigen Version abwärts inkompatible Designänderungen vornehmen, um die Sicherheitslücke zu beheben.

    Wenn viele Nutzer Zugriff auf Ihren Cluster mit Berechtigungen zum Erstellen von Diensten haben, z. B. in einem mehrmandantenfähigen Cluster, sollten Sie in der Zwischenzeit eine Risikominderung vornehmen. Der beste Ansatz zur Risikominderung besteht momentan darin, die Verwendung von ExternalIPs in einem Cluster einzuschränken. ExternalIPs sind keine häufig verwendete Funktion.

    Schränken Sie die Verwendung von ExternalIPs in einem Cluster mit einer der folgenden Methoden ein:

    1. Verwenden Sie hierfür GKE Enterprise Policy Controller oder Gatekeeper Einschränkungsvorlage und wenden sie an. Beispiel:
      # Only allow the creation of Services with no
      # ExternalIP or an ExternalIP of 203.0.113.1:
      
      apiVersion: constraints.gatekeeper.sh/v1beta1
      kind: K8sExternalIPs
      metadata:
        name: external-ips
      spec:
        match:
          kinds:
            - apiGroups: [""]
              kinds: ["Service"]
        parameters:
          allowedIPs:
            - "203.0.113.1"
      
    2. Oder installieren Sie einen Admission-Controller, um die Verwendung von externen IP-Adressen zu verhindern. Das Kubernetes-Projekt hat einen Beispiel-Admission-Controller für diese Aufgabe bereitgestellt.

    Wie in der Kubernetes-Ankündigung erwähnt, wird für Dienste vom Typ "LoadBalancer" keine Abhilfe geschaffen, da standardmäßig nur sehr privilegierte Nutzer und Systemkomponenten die container.services.updateStatus-Berechtigung haben, die zum Ausnutzen dieser Sicherheitslücke erforderlich ist.

    Mittel

    GKE-Cluster auf

    Beschreibung Schweregrad
    Aktualisiert am 22.12.2021: Der Befehl für GKE im folgenden Abschnitt sollte gcloud beta anstelle des Befehls gcloud verwenden.
    gcloud beta container clusters update –no-enable-service-externalips
    

    Aktualisiert: 15.12.2021 Für GKE wurde die folgende Abhilfemaßnahme jetzt eingeführt verfügbar:
    1. Ab GKE-Version 1.21 werden Dienste mit externen IP-Adressen von einem DenyServiceExternalIPs-Admission-Controller blockiert, der standardmäßig für neue Cluster aktiviert ist.
    2. Kunden, die ein Upgrade auf die GKE-Version 1.21 durchführen, können Dienste mit ExternalIPs mit dem folgenden Befehl:
      gcloud container clusters update –no-enable-service-externalips
      

    Weitere Informationen finden Sie unter Clustersicherheit härten.


    Das Kubernetes-Projekt hat eine neue Sicherheitslücke erkannt, CVE-2020-8554, durch die ein Angreifer, der Berechtigungen erhalten hat, einen Kubernetes-Dienst vom Typ LoadBalancer oder ClusterIP erstellen kann, um Netzwerktraffic von anderen Pods im Cluster abzufangen.

    Diese Sicherheitslücke allein gibt einem Angreifer keine Berechtigung zum Erstellen eines Kubernetes-Dienstes.

    GKE on AWS ist von dieser Sicherheitslücke betroffen.

    Wie gehe ich am besten vor?

    Möglicherweise muss Kubernetes in einer zukünftigen Version abwärts inkompatible Designänderungen vornehmen, um die Sicherheitslücke zu beheben.

    Wenn viele Nutzer Zugriff auf Ihren Cluster mit Berechtigungen zum Erstellen von Diensten haben, z. B. in einem mehrmandantenfähigen Cluster, sollten Sie in der Zwischenzeit eine Risikominderung vornehmen. Der beste Ansatz zur Risikominderung besteht momentan darin, die Verwendung von ExternalIPs in einem Cluster einzuschränken. ExternalIPs sind keine häufig verwendete Funktion.

    Schränken Sie die Verwendung von ExternalIPs in einem Cluster mit einer der folgenden Methoden ein:

    1. Verwenden Sie hierfür GKE Enterprise Policy Controller oder Gatekeeper Einschränkungsvorlage und wenden sie an. Beispiel:
      # Only allow the creation of Services with no
      # ExternalIP or an ExternalIP of 203.0.113.1:
      
      apiVersion: constraints.gatekeeper.sh/v1beta1
      kind: K8sExternalIPs
      metadata:
        name: external-ips
      spec:
        match:
          kinds:
            - apiGroups: [""]
              kinds: ["Service"]
        parameters:
          allowedIPs:
            - "203.0.113.1"
      
    2. Oder installieren Sie einen Admission-Controller, um die Verwendung von externen IP-Adressen zu verhindern. Das Kubernetes-Projekt hat einen Beispiel-Admission-Controller für diese Aufgabe bereitgestellt.

    Wie in der Kubernetes-Ankündigung erwähnt, wird für Dienste vom Typ "LoadBalancer" keine Abhilfe geschaffen, da standardmäßig nur sehr privilegierte Nutzer und Systemkomponenten die container.services.updateStatus-Berechtigung haben, die zum Ausnutzen dieser Sicherheitslücke erforderlich ist.

    Mittel

    GCP-2020-014

    Veröffentlicht: 20.10.2020
    Referenz: CVE-2020-8563, CVE-2020-8564, CVE-2020-8565, CVE-2020-8566

    GKE

    Aktualisiert: 20.10.2020

    Beschreibung Schweregrad

    Beim Kubernetes-Projekt wurden unlängst mehrere Probleme entdeckt, durch die es zur Offenlegung von Secret-Daten kommen kann, wenn Optionen für das ausführliche Logging aktiviert sind. Die Probleme sind:

    • CVE-2020-8563: Schwachstellen bei Secrets in Logs für den kube-controller-manager des vSphere-Anbieters
    • CVE-2020-8564: Schwachstellen bei Docker-Konfigurations-Secrets, wenn die Datei fehlerhaft und loglevel >= 4 ist
    • CVE-2020-8565: Unvollständige Fehlerkorrektur für CVE-2019-11250 in Kubernetes ermöglicht Schwachstellen bei Tokens in Logs mit logLevel >= 9. Von GKE-Sicherheit erkannt.
    • CVE-2020-8566: Ceph RBD adminSecrets in Logs mit loglevel >= 4 offengelegt

    GKE ist nicht betroffen.

    Was soll ich tun?

    Aufgrund der Standardebenen für das ausführliche Logging von GKE sind keine weiteren Maßnahmen erforderlich.

    Keine

    GKE-Cluster auf

    Updated: 10.10.2020

    Beschreibung Schweregrad

    Beim Kubernetes-Projekt wurden unlängst mehrere Probleme entdeckt, durch die es zur Offenlegung von Secret-Daten kommen kann, wenn Optionen für das ausführliche Logging aktiviert sind. Die Probleme sind:

    • CVE-2020-8563: Schwachstellen bei Secrets in Logs für den kube-controller-manager des vSphere-Anbieters
    • CVE-2020-8564: Schwachstellen bei Docker-Konfigurations-Secrets, wenn die Datei fehlerhaft und loglevel >= 4 ist
    • CVE-2020-8565: Unvollständige Fehlerkorrektur für CVE-2019-11250 in Kubernetes ermöglicht Schwachstellen bei Tokens in Logs mit logLevel >= 9. Von GKE-Sicherheit erkannt.
    • CVE-2020-8566: Ceph RBD adminSecrets in Logs mit loglevel >= 4 offengelegt

    GKE on VMware ist nicht betroffen.

    Wie gehe ich am besten vor?

    Aufgrund der Standardebenen für das ausführliche Logging von GKE sind keine weiteren Maßnahmen erforderlich.

    Keine

    GKE-Cluster auf

    Aktualisiert: 20.10.2020

    Beschreibung Schweregrad

    Beim Kubernetes-Projekt wurden unlängst mehrere Probleme entdeckt, durch die es zur Offenlegung von Secret-Daten kommen kann, wenn Optionen für das ausführliche Logging aktiviert sind. Die Probleme sind:

    • CVE-2020-8563: Schwachstellen bei Secrets in Logs für den kube-controller-manager des vSphere-Anbieters
    • CVE-2020-8564: Schwachstellen bei Docker-Konfigurations-Secrets, wenn die Datei fehlerhaft und loglevel >= 4 ist
    • CVE-2020-8565: Unvollständige Fehlerkorrektur für CVE-2019-11250 in Kubernetes ermöglicht Schwachstellen bei Tokens in Logs mit logLevel >= 9. Von GKE-Sicherheit erkannt.
    • CVE-2020-8566: Ceph RBD adminSecrets in Logs mit loglevel >= 4 offengelegt

    GKE on AWS ist nicht betroffen.

    Was soll ich tun?

    Aufgrund der Standardebenen für das ausführliche Logging von GKE sind keine weiteren Maßnahmen erforderlich.

    GCP-2020-012

    Veröffentlicht: 14.09.2020
    Referenz: CVE-2020-14386

    GKE

    Beschreibung Schweregrad

    Im Linux-Kernel wurde eine Sicherheitslücke entdeckt, die unter CVE-2020-14386 beschrieben ist. Damit kann Container-Escape Root-Berechtigungen für den Hostknoten erhalten.

    Alle GKE-Knoten sind betroffen. In GKE Sandbox ausgeführte Pods können diese Sicherheitslücke nicht nutzen.

    Was soll ich tun?

    Sie können als Gegenmaßnahme für diese Sicherheitslücke ein Upgrade Ihrer Steuerungsebene durchführen. Aktualisieren Sie dann Ihre Knoten auf eine der unten aufgelisteten Patchversionen.

    • 1.14.10-gke.50
    • 1.15.12-gke.20
    • 1.16.13-gke.401
    • 1.17.9-gke.1504
    • 1.18.6-gke.3504

    e Ausnutzung dieser Sicherheitslücke erfordert CAP_NET_RAW, aber nur sehr wenige Container benötigen normalerweise CAP_NET_RAW. Diese und andere leistungsstarke Funktionen sollten standardmäßig über PodSecurityPolicy oder den Policy Controller blockiert werden:

    Entfernen Sie die Funktion CAP_NET_RAW mit einer der folgenden Methoden aus Containern:

    • Erzwingen Sie das Blockieren dieser Funktionen mit PodSecurityPolicy, Beispiel:
          # Require dropping CAP_NET_RAW with a PSP
          apiversion: extensions/v1beta1
          kind: PodSecurityPolicy
          metadata:
            name: no-cap-net-raw
          spec:
            requiredDropCapabilities:
              -NET_RAW
               ...
               # Unrelated fields omitted
    • Oder indem Sie Policy Controller oder Gatekeeper mit diesem Einschränkung Vorlage und wenden sie an. Beispiel:
          # Dropping CAP_NET_RAW with Gatekeeper
          # (requires the K8sPSPCapabilities template)
          apiversion: constraints.gatekeeper.sh/v1beta1
          kind:  K8sPSPCapabilities
          metadata:
            name: forbid-cap-net-raw
          spec:
            match:
              kinds:
                - apiGroups: [""]
                kinds: ["Pod"]
              namespaces:
                #List of namespaces to enforce this constraint on
                - default
              # If running gatekeeper >= v3.1.0-beta.5,
              # you can exclude namespaces rather than including them above.
              excludedNamespaces:
                - kube-system
            parameters:
              requiredDropCapabilities:
                - "NET_RAW"
    • Oder durch Aktualisieren der Pod-Spezifikationen:
          # Dropping CAP_NET_RAW from a Pod:
          apiVersion: v1
          kind: Pod
          metadata:
            name: no-cap-net-raw
          spec:
            containers:
              -name: my-container
               ...
              securityContext:
                capabilities:
                  drop:
                    -NET_RAW

    Welche Sicherheitslücke wird mit diesem Patch behoben?

    Dieser Patch dient zur Abschwächung der folgenden Sicherheitslücke:

    Die Sicherheitslücke CVE-2020-14386, über die Container mit CAP_NET_RAW 1 bis 10 Byte des Kernel-Arbeitsspeichers schreiben und den Container möglicherweise maskieren können, um Root-Berechtigungen auf dem Hostknoten zu erhalten. Der Schweregrad dieser Sicherheitslücke ist "Hoch".

    Hoch

    GKE-Cluster auf

    Aktualisiert: 17.09.2020

    Beschreibung Schweregrad

    Im Linux-Kernel wurde eine Sicherheitslücke entdeckt, die unter CVE-2020-14386 beschrieben ist. Damit kann Container-Escape Root-Berechtigungen für den Hostknoten erhalten.

    Alle GKE on VMware-Knoten sind betroffen.

    Wie gehe ich am besten vor?

    Um diese Sicherheitslücke zu schließen, aktualisieren Sie Ihren Cluster auf eine Patchversion. Die Sicherheitslücken werden in den folgenden {gke_on_prem_name}}-Versionen behoben. Dieses Bulletin wird aktualisiert, sobald die Patchversionen verfügbar sind:

    • GKE on VMware 1.4.3, jetzt verfügbar.
    • GKE on VMware 1.3.4, jetzt verfügbar.

    e Ausnutzung dieser Sicherheitslücke erfordert CAP_NET_RAW, aber nur sehr wenige Container benötigen normalerweise CAP_NET_RAW. Diese und andere leistungsstarke Funktionen sollten standardmäßig über PodSecurityPolicy oder den Policy Controller blockiert werden:

    Entfernen Sie die Funktion CAP_NET_RAW mit einer der folgenden Methoden aus Containern:

    • Erzwingen Sie das Blockieren dieser Funktionen mit PodSecurityPolicy, Beispiel:
          # Require dropping CAP_NET_RAW with a PSP
          apiversion: extensions/v1beta1
          kind: PodSecurityPolicy
          metadata:
            name: no-cap-net-raw
          spec:
            requiredDropCapabilities:
              -NET_RAW
               ...
               # Unrelated fields omitted
    • Oder indem Sie Policy Controller oder Gatekeeper mit diesem Einschränkung Vorlage und wenden sie an. Beispiel:
          # Dropping CAP_NET_RAW with Gatekeeper
          # (requires the K8sPSPCapabilities template)
          apiversion: constraints.gatekeeper.sh/v1beta1
          kind:  K8sPSPCapabilities
          metadata:
            name: forbid-cap-net-raw
          spec:
            match:
              kinds:
                - apiGroups: [""]
                kinds: ["Pod"]
              namespaces:
                #List of namespaces to enforce this constraint on
                - default
              # If running gatekeeper >= v3.1.0-beta.5,
              # you can exclude namespaces rather than including them above.
              excludedNamespaces:
                - kube-system
            parameters:
              requiredDropCapabilities:
                - "NET_RAW"
    • Oder durch Aktualisieren der Pod-Spezifikationen:
          # Dropping CAP_NET_RAW from a Pod:
          apiVersion: v1
          kind: Pod
          metadata:
            name: no-cap-net-raw
          spec:
            containers:
              -name: my-container
               ...
              securityContext:
                capabilities:
                  drop:
                    -NET_RAW

    Welche Sicherheitslücke wird mit diesem Patch behoben?

    Dieser Patch dient zur Abschwächung der folgenden Sicherheitslücke:

    Die Sicherheitslücke CVE-2020-14386, über die Container mit CAP_NET_RAW 1 bis 10 Byte des Kernel-Arbeitsspeichers schreiben und den Container möglicherweise maskieren können, um Root-Berechtigungen auf dem Hostknoten zu erhalten. Der Schweregrad dieser Sicherheitslücke ist "Hoch".

    Hoch

    GKE-Cluster auf

    Aktualisiert: 13.10.2020

    Beschreibung Schweregrad

    Im Linux-Kernel wurde eine Sicherheitslücke entdeckt, die unter CVE-2020-14386 beschrieben ist. Damit kann Container-Escape Root-Berechtigungen für den Hostknoten erhalten.

    Alle GKE on AWS-Knoten sind betroffen.

    Wie gehe ich am besten vor?

    Um diese Sicherheitslücke zu schließen, aktualisieren Sie Ihren Verwaltungsdienst und Ihre Nutzercluster auf eine Patchversion. Die folgenden zukünftigen GKE on AWS-Versionen oder höher enthalten die Fehlerkorrektur für und dieses Bulletin wird aktualisiert, sobald sie verfügbar sind:

    • 1.5.0-gke.6
    • 1.4.3-gke.7

    Entfernen Sie die Funktion CAP_NET_RAW mit einer der folgenden Methoden aus Containern:

    • Erzwingen Sie das Blockieren dieser Funktionen mit PodSecurityPolicy, Beispiel:
          # Require dropping CAP_NET_RAW with a PSP
          apiversion: extensions/v1beta1
          kind: PodSecurityPolicy
          metadata:
            name: no-cap-net-raw
          spec:
            requiredDropCapabilities:
              -NET_RAW
               ...
               # Unrelated fields omitted
    • Oder indem Sie Policy Controller oder Gatekeeper mit diesem Einschränkung Vorlage und wenden sie an. Beispiel:
          # Dropping CAP_NET_RAW with Gatekeeper
          # (requires the K8sPSPCapabilities template)
          apiversion: constraints.gatekeeper.sh/v1beta1
          kind:  K8sPSPCapabilities
          metadata:
            name: forbid-cap-net-raw
          spec:
            match:
              kinds:
                - apiGroups: [""]
                kinds: ["Pod"]
              namespaces:
                #List of namespaces to enforce this constraint on
                - default
              # If running gatekeeper >= v3.1.0-beta.5,
              # you can exclude namespaces rather than including them above.
              excludedNamespaces:
                - kube-system
            parameters:
              requiredDropCapabilities:
                - "NET_RAW"
    • Oder durch Aktualisieren der Pod-Spezifikationen:
          # Dropping CAP_NET_RAW from a Pod:
          apiVersion: v1
          kind: Pod
          metadata:
            name: no-cap-net-raw
          spec:
            containers:
              -name: my-container
               ...
              securityContext:
                capabilities:
                  drop:
                    -NET_RAW

    Welche Sicherheitslücke wird mit diesem Patch behoben?

    Dieser Patch dient zur Abschwächung der folgenden Sicherheitslücke:

    Die Sicherheitslücke CVE-2020-14386, über die Container mit CAP_NET_RAW 1 bis 10 Byte des Kernel-Arbeitsspeichers schreiben und den Container möglicherweise maskieren können, um Root-Berechtigungen auf dem Hostknoten zu erhalten. Der Schweregrad dieser Sicherheitslücke ist "Hoch".

    Hoch

    GCP-2020-011

    Veröffentlicht: 24.07.2020
    Referenz: CVE-2020-8558

    GKE

    Beschreibung Schweregrad

    Bei Kubernetes wurde vor Kurzem eine Sicherheitslücke im Netzwerk, CVE-2020-8558, entdeckt. Dienste kommunizieren manchmal über die lokale Loopback-Schnittstelle (127.0.0.1) mit anderen Anwendungen, die im gleichen Pod ausgeführt werden. Diese Sicherheitslücke ermöglicht einem Angreifer mit Zugriff auf das Netzwerk des Clusters, Traffic an die Loopback-Schnittstelle von angrenzenden Pods und Knoten zu senden. Dienste, die darauf angewiesen sind, dass die Loopback-Schnittstelle außerhalb ihres Pods nicht zugänglich ist, könnten ausgenutzt werden.

    Damit ein Angreifer diese Sicherheitslücke in GKE-Clustern ausnutzen kann, muss er Netzwerkadministratorberechtigungen für die Google Cloud haben, in der die VPC des Clusters gehostet wird. Die Sicherheitslücke allein verleiht einem Angreifer keine Netzwerkadministratorberechtigungen. Aus diesem Grund wurde dieser Sicherheitslücke in GKE ein niedriger Schweregrad zugewiesen.

    Was soll ich tun?

    Führen Sie zum Beheben dieser Sicherheitslücke ein Upgrade für die Knotenpools Ihres Clusters auf die folgenden GKE-Versionen (oder höher) aus:

    • 1.17.7-gke.0
    • 1.16.11-gke.0
    • 1.16.10-gke.11
    • 1.16.9-gke.14

    Welche Sicherheitslücke wird mit diesem Patch behoben?

    Mit diesem Patch wird die folgende Sicherheitslücke behoben: CVE-2020-8558.

    Niedrig

    GKE-Cluster auf

    Beschreibung Schweregrad

    Bei Kubernetes wurde vor Kurzem eine Sicherheitslücke im Netzwerk, CVE-2020-8558, entdeckt. Dienste kommunizieren manchmal über die lokale Loopback-Schnittstelle (127.0.0.1) mit anderen Anwendungen, die im gleichen Pod ausgeführt werden. Diese Sicherheitslücke ermöglicht einem Angreifer mit Zugriff auf das Netzwerk des Clusters, Traffic an die Loopback-Schnittstelle von angrenzenden Pods und Knoten zu senden. Dienste, die darauf angewiesen sind, dass die Loopback-Schnittstelle außerhalb ihres Pods nicht zugänglich ist, könnten ausgenutzt werden.

    Was soll ich tun?

    Aktualisieren Sie Ihren Cluster auf eine Patchversion, um diese Sicherheitslücke zu schließen. Die folgenden zukünftigen GKE on VMware-Versionen oder höher enthält die Fehlerkorrektur für diese Sicherheitslücke:

    • GKE on VMware 1.4.1

    Welche Sicherheitslücke wird mit diesem Patch behoben?

    Mit diesem Patch wird die folgende Sicherheitslücke behoben: CVE-2020-8558.

    Mittel

    GKE-Cluster auf

    Beschreibung Schweregrad

    Bei Kubernetes wurde vor Kurzem eine Sicherheitslücke im Netzwerk, CVE-2020-8558, entdeckt. Dienste kommunizieren manchmal über die lokale Loopback-Schnittstelle (127.0.0.1) mit anderen Anwendungen, die im gleichen Pod ausgeführt werden. Diese Sicherheitslücke ermöglicht einem Angreifer mit Zugriff auf das Netzwerk des Clusters, Traffic an die Loopback-Schnittstelle von angrenzenden Pods und Knoten zu senden. Dienste, die darauf angewiesen sind, dass die Loopback-Schnittstelle außerhalb ihres Pods nicht zugänglich ist, könnten ausgenutzt werden.

    Damit diese Sicherheitslücken in Nutzerclustern behoben werden können, muss ein Angreifer Quellzielprüfungen auf den EC2-Instanzen im Cluster deaktivieren. Dazu muss der Angreifer auf den EC2-Instanzen AWS-IAM-Berechtigungen für ModifyInstanceAttribute oder ModifyNetworkInterfaceAttribute haben. Aus diesem Grund wird dieser Sicherheitslücke GKE on AWS

    Wie gehe ich am besten vor?

    Aktualisieren Sie Ihren Cluster auf eine Patchversion, um diese Sicherheitslücke zu schließen. Bei den folgenden geplanten Versionen von GKE on AWS oder neueren Versionen soll diese Sicherheitslücke behoben werden:

    • GKE on AWS 1.4.1-gke.17

    Welche Sicherheitslücke wird mit diesem Patch behoben?

    Mit diesem Patch wird die folgende Sicherheitslücke behoben: CVE-2020-8558.

    Niedrig

    GCP-2020-009

    Veröffentlicht: 15.07.2020
    Referenz: CVE-2020-8559

    GKE

    Beschreibung Schweregrad

    Vor Kurzem wurde in Kubernetes eine Sicherheitslücke zur Rechteausweitung, CVE-2020-8559, entdeckt. Diese Sicherheitslücke ermöglicht es einem Angreifer, der bereits einen Knoten manipuliert hat, in jedem Pod im Cluster einen Befehl auszuführen. Der Angreifer kann dadurch mit dem bereits manipulierten Knoten andere Knoten manipulieren und potenziell Informationen lesen oder destruktive Aktionen ausführen.

    Damit ein Angreifer diese Sicherheitslücke ausnutzen kann, muss bereits ein Knoten im Cluster manipuliert worden sein. Diese Sicherheitslücke allein lässt also nicht die Manipulation von Knoten in Ihrem Cluster zu.

    Was soll ich tun?

    Führen Sie ein Upgrade des Clusters auf eine Patchversion aus. Cluster werden in den nächsten Wochen automatisch aktualisiert und die Patchversionen werden bis zum 19. Juli 2020 verfügbar sein, um den Plan für ein manuelles Upgrade zu beschleunigen. Die folgenden (oder neueren) Versionen der GKE-Steuerungsebene enthalten die Fehlerkorrektur für diese Sicherheitslücke:

    • v1.14.10-gke.46
    • v1.15.12-gke.8
    • v1.16.9-gke.11
    • v1.16.10-gke.9
    • v1.16.11-gke.3+
    • v1.17.7-gke.6+

    Welche Sicherheitslücke wird mit diesem Patch behoben?

    Diese Patches beheben die Sicherheitslücke CVE-2020-8559. Diese Sicherheitslücke wird für GKE mit dem Schweregrad "Mittel" eingestuft, da der Angreifer Informationen aus erster Hand über den Cluster, die Knoten und Arbeitslasten benötigt, um diesen Angriff wirksam zu nutzen, und bereits ein anderer Knoten manipuliert worden sein muss. Diese Sicherheitslücke selbst bietet dem Angreifer keinen manipulierten Knoten.

    Mittel

    GKE-Cluster auf

    Beschreibung Schweregrad

    Vor Kurzem wurde in Kubernetes eine Sicherheitslücke zur Rechteausweitung, CVE-2020-8559, entdeckt. Diese Sicherheitslücke ermöglicht es einem Angreifer, der bereits einen Knoten manipuliert hat, in jedem Pod im Cluster einen Befehl auszuführen. Der Angreifer kann dadurch mit dem bereits manipulierten Knoten andere Knoten manipulieren und potenziell Informationen lesen oder destruktive Aktionen ausführen.

    Damit ein Angreifer diese Sicherheitslücke ausnutzen kann, muss bereits ein Knoten im Cluster manipuliert worden sein. Diese Sicherheitslücke allein lässt also nicht die Manipulation von Knoten in Ihrem Cluster zu.

    Was soll ich tun?

    Aktualisieren Sie Ihr Cluster auf eine Patchversion. GKE on VMware Versionen oder höher enthalten die Fehlerkorrektur für diese Sicherheitslücke:

    • Anthos 1.3.3
    • Anthos 1.4.1

    Welche Sicherheitslücke wird mit diesem Patch behoben?

    Diese Patches beheben die Sicherheitslücke CVE-2020-8559. Diese Sicherheitslücke wird für GKE mit dem Schweregrad "Mittel" eingestuft, da der Angreifer Informationen aus erster Hand über den Cluster, die Knoten und Arbeitslasten benötigt, um diesen Angriff wirksam zu nutzen, und bereits ein anderer Knoten manipuliert worden sein muss. Diese Sicherheitslücke selbst bietet dem Angreifer keinen manipulierten Knoten.

    Mittel

    GKE-Cluster auf

    Beschreibung Schweregrad

    Vor Kurzem wurde in Kubernetes eine Sicherheitslücke zur Rechteausweitung, CVE-2020-8559, entdeckt. Diese Sicherheitslücke ermöglicht es einem Angreifer, der bereits einen Knoten manipuliert hat, in jedem Pod im Cluster einen Befehl auszuführen. Der Angreifer kann dadurch mit dem bereits manipulierten Knoten andere Knoten manipulieren und potenziell Informationen lesen oder destruktive Aktionen ausführen.

    Damit ein Angreifer diese Sicherheitslücke ausnutzen kann, muss bereits ein Knoten im Cluster manipuliert worden sein. Diese Sicherheitslücke allein lässt also nicht die Manipulation von Knoten in Ihrem Cluster zu.

    Was soll ich tun?

    GKE on AWS GA (1.4.1, verfügbar ab Ende Juli 2020) oder höher enthält den Patch für diese Sicherheitslücke. Wenn Sie eine ältere Version verwenden, laden Sie eine neue Version des anthos-gke-Befehlszeilentools herunter und erstellen Sie Ihre Verwaltungs- und Nutzercluster neu.

    Welche Sicherheitslücke wird mit diesem Patch behoben?

    Diese Patches beheben die Sicherheitslücke CVE-2020-8559. Diese Sicherheitslücke wird für GKE mit dem Schweregrad "Mittel" eingestuft, da der Angreifer Informationen aus erster Hand über den Cluster, die Knoten und Arbeitslasten benötigt, um diesen Angriff wirksam zu nutzen, und bereits ein anderer Knoten manipuliert worden sein muss. Diese Sicherheitslücke selbst bietet dem Angreifer keinen manipulierten Knoten.

    Mittel

    GCP-2020-007

    Veröffentlicht: 01.06.2020
    Referenz: CVE-2020-8555

    GKE

    Beschreibung Schweregrad

    Serverseitige Anfragefälschung (Server Side Request Forgery, SSRF), CVE-2020-8555, wurde kürzlich in Kubernetes entdeckt und ermöglicht bestimmten autorisierten Nutzern, bis zu 500 Byte vertraulicher Informationen aus dem Hostnetzwerk der Steuerungsebene abzurufen. Die Google Kubernetes Engine-Steuerungsebene (GKE) verwendet Controller von Kubernetes und ist daher von dieser Sicherheitslücke betroffen. Wir empfehlen Ihnen, die Steuerungsebene wie unten beschrieben auf die neueste Patchversion zu aktualisieren. Ein Knotenupgrade ist nicht erforderlich.

    Was soll ich tun?

    Bei den meisten Kunden sind keine weiteren Maßnahmen erforderlich. Die überwiegende Mehrheit der Cluster führt bereits eine Patchversion aus. Bei den folgenden GKE-Versionen sowie alle neueren Versionen wurde diese Sicherheitslücke behoben:
    • 1.14.7-gke.39
    • 1.14.8-gke.32
    • 1.14.9-gke.17
    • 1.14.10-gke.12
    • 1.15.7-gke.17
    • 1.16.4-gke.21
    • 1.17.0-gke.0

    Cluster mit Release-Versionen verwenden bereits Versionen der Steuerungsebene mit Risikominderung.

    Welche Sicherheitslücke wird mit diesem Patch behoben?

    Diese Patches beheben die Sicherheitslücke CVE-2020-8555. Diese Sicherheitslücke wird in GKE mit dem Schweregrad "Mittel" bewertet, da sie aufgrund verschiedener Härtungsmaßnahmen der Steuerungsebene nur schwer ausgenutzt werden konnte.

    Ein Angreifer mit Berechtigungen zum Erstellen eines Pods mit bestimmten integrierten Volume-Typen (GlusterFS, Quobyte, StorageFS, ScaleIO) oder Berechtigungen zum Erstellen einer StorageClass kann kube-controller-manager dazu veranlassen, GET-Anfragen oder POST-Anfragen ohne von ihm kontrolliertem Anfragetext über das Master-Hostnetzwerk zu senden. Diese Volume-Typen werden selten auf GKE verwendet. Neue Nutzungsfälle dieser Volume-Typen können also ein hilfreiches Signal zur Angriffserkennung sein.

    Wird der Angriff mit einer Methode kombiniert, um die Ergebnisse von GET/POST beispielsweise durch Logs zurück an den Angreifer zu senden, kann das zur Offenlegung von vertraulichen Informationen führen. Wir haben die entsprechenden Speichertreiber aktualisiert, um das Risiko von Schwachstellen zu beheben.

    Mittel

    GKE-Cluster auf

    Beschreibung Schweregrad

    Serverseitige Anfragefälschung (Server Side Request Forgery, SSRF), CVE-2020-8555, wurde kürzlich in Kubernetes entdeckt und ermöglicht bestimmten autorisierten Nutzern, bis zu 500 Byte vertraulicher Informationen aus dem Hostnetzwerk der Steuerungsebene abzurufen. Die Google Kubernetes Engine-Steuerungsebene (GKE) verwendet Controller von Kubernetes und ist daher von dieser Sicherheitslücke betroffen. Wir empfehlen Ihnen, die Steuerungsebene wie unten beschrieben auf die neueste Patchversion zu aktualisieren. Ein Knotenupgrade ist nicht erforderlich.

    Wie gehe ich am besten vor?

    Die folgenden GKE on VMware-Versionen oder höher enthält die Fehlerkorrektur für diese Sicherheitslücke:

    • Anthos 1.3.0

    Wenn Sie eine frühere Version verwenden, aktualisieren Sie Ihren vorhandenen Cluster auf eine Version, die diese Fehlerkorrektur enthält.

    Welche Sicherheitslücke wird mit diesem Patch behoben?

    Diese Patches beheben die Sicherheitslücke CVE-2020-8555. Diese Sicherheitslücke wird in GKE mit dem Schweregrad "Mittel" bewertet, da sie aufgrund verschiedener Härtungsmaßnahmen der Steuerungsebene nur schwer ausgenutzt werden konnte.

    Ein Angreifer mit Berechtigungen zum Erstellen eines Pods mit bestimmten integrierten Volume-Typen (GlusterFS, Quobyte, StorageFS, ScaleIO) oder Berechtigungen zum Erstellen einer StorageClass kann kube-controller-manager dazu veranlassen, GET-Anfragen oder POST-Anfragen ohne von ihm kontrolliertem Anfragetext über das Master-Hostnetzwerk zu senden. Diese Volume-Typen werden selten auf GKE verwendet. Neue Nutzungsfälle dieser Volume-Typen können also ein hilfreiches Signal zur Angriffserkennung sein.

    Wird der Angriff mit einer Methode kombiniert, um die Ergebnisse von GET/POST beispielsweise durch Logs zurück an den Angreifer zu senden, kann das zur Offenlegung von vertraulichen Informationen führen. Wir haben die entsprechenden Speichertreiber aktualisiert, um das Risiko von Schwachstellen zu beheben.

    Mittel

    GKE-Cluster auf

    Beschreibung Schweregrad

    Serverseitige Anfragefälschung (Server Side Request Forgery, SSRF), CVE-2020-8555, wurde kürzlich in Kubernetes entdeckt und ermöglicht bestimmten autorisierten Nutzern, bis zu 500 Byte vertraulicher Informationen aus dem Hostnetzwerk der Steuerungsebene abzurufen. Die Google Kubernetes Engine-Steuerungsebene (GKE) verwendet Controller von Kubernetes und ist daher von dieser Sicherheitslücke betroffen. Wir empfehlen Ihnen, die Steuerungsebene wie unten beschrieben auf die neueste Patchversion zu aktualisieren. Ein Knotenupgrade ist nicht erforderlich.

    Was soll ich tun?

    GKE on AWS v0.2.0 oder höher enthält den Patch für diese Sicherheitslücke bereits. Wenn Sie eine ältere Version verwenden, laden Sie eine neue Version des anthos-gke-Befehlszeilentools herunter und erstellen Sie Ihre Verwaltungs- und Nutzercluster neu.

    Welche Sicherheitslücke wird mit diesem Patch behoben?

    Diese Patches beheben die Sicherheitslücke CVE-2020-8555. Diese Sicherheitslücke wird in GKE mit dem Schweregrad "Mittel" bewertet, da sie aufgrund verschiedener Härtungsmaßnahmen der Steuerungsebene nur schwer ausgenutzt werden konnte.

    Ein Angreifer mit Berechtigungen zum Erstellen eines Pods mit bestimmten integrierten Volume-Typen (GlusterFS, Quobyte, StorageFS, ScaleIO) oder Berechtigungen zum Erstellen einer StorageClass kann kube-controller-manager dazu veranlassen, GET-Anfragen oder POST-Anfragen ohne von ihm kontrolliertem Anfragetext über das Master-Hostnetzwerk zu senden. Diese Volume-Typen werden selten auf GKE verwendet. Neue Nutzungsfälle dieser Volume-Typen können also ein hilfreiches Signal zur Angriffserkennung sein.

    Wird der Angriff mit einer Methode kombiniert, um die Ergebnisse von GET/POST beispielsweise durch Logs zurück an den Angreifer zu senden, kann das zur Offenlegung von vertraulichen Informationen führen. Wir haben die entsprechenden Speichertreiber aktualisiert, um das Risiko von Schwachstellen zu beheben.

    Mittel

    GCP-2020-006

    Veröffentlicht: 01.06.2020
    Referenz: Kubernetes-Problem 91507

    GKE

    Beschreibung Schweregrad

    Kubernetes hat eine Sicherheitslücke entdeckt, die es einem berechtigten Container ermöglicht, Knoten-Traffic an einen anderen Container weiterzuleiten. Gegenseitiger TLS/SSH-Traffic, z. B. zwischen dem Kubelet und dem API-Server oder Traffic von Anwendungen, die mTLS verwenden, kann durch diesen Angriff nicht gelesen oder geändert werden. Alle GKE-Knoten (Google Kubernetes Engine) sind die von dieser Sicherheitslücke betroffen sind, Upgrade bis die neueste Patchversion, wie unten beschrieben.

    Wie gehe ich am besten vor?

    Sie können als Gegenmaßnahme für diese Sicherheitslücke ein Upgrade Ihrer Steuerungsebene durchführen. Aktualisieren Sie dann Ihre Knoten auf eine der unten aufgelisteten Patchversionen. Cluster mit Release-Versionen führen sowohl auf der Steuerungsebene als auch auf Knoten bereits Patchversionen aus:
    • 1.14.10-gke.36
    • 1.15.11-gke.15
    • 1.16.8-gke.15

    Sehr wenige Container benötigen normalerweise CAP_NET_RAW. Diese und andere leistungsstarke Funktionen sollten standardmäßig durch PodSecurityPolicy-Controller oder Anthos Policy Controller blockiert werden.

    Entfernen Sie die Funktion CAP_NET_RAW mit einer der folgenden Methoden aus Containern:

    • Erzwingen Sie das Blockieren dieser Funktionen mit PodSecurityPolicy, Beispiel:
          # Require dropping CAP_NET_RAW with a PSP
          apiversion: extensions/v1beta1
          kind: PodSecurityPolicy
          metadata:
            name: no-cap-net-raw
          spec:
            requiredDropCapabilities:
              -NET_RAW
               ...
               # Unrelated fields omitted
    • Oder indem Sie Policy Controller oder Gatekeeper mit diesem Einschränkung Vorlage und wenden sie an. Beispiel:
          # Dropping CAP_NET_RAW with Gatekeeper
          # (requires the K8sPSPCapabilities template)
          apiversion: constraints.gatekeeper.sh/v1beta1
          kind:  K8sPSPCapabilities
          metadata:
            name: forbid-cap-net-raw
          spec:
            match:
              kinds:
                - apiGroups: [""]
                kinds: ["Pod"]
              namespaces:
                #List of namespaces to enforce this constraint on
                - default
              # If running gatekeeper >= v3.1.0-beta.5,
              # you can exclude namespaces rather than including them above.
              excludedNamespaces:
                - kube-system
            parameters:
              requiredDropCapabilities:
                - "NET_RAW"
    • Oder durch Aktualisieren der Pod-Spezifikationen:
          # Dropping CAP_NET_RAW from a Pod:
          apiVersion: v1
          kind: Pod
          metadata:
            name: no-cap-net-raw
          spec:
            containers:
              -name: my-container
               ...
              securityContext:
                capabilities:
                  drop:
                    -NET_RAW

    Welche Sicherheitslücke wird mit diesem Patch behoben?

    Dieser Patch dient zur Entschärfung der folgenden Sicherheitslücke:

    Die Sicherheitslücke, die unter Kubernetes-Problem 91507 beschrieben ist. Dabei kann die CAP_NET_RAW-Funktion (im standardmäßigen Container-Funktionsset enthalten) den IPv6-Stack auf dem Knoten schädlich konfigurieren und den Knoten-Traffic an den vom Angreifer kontrollierten Container weiterleiten. Dadurch kann der Angreifer ausgehenden und eingehenden Traffic des Knotens abfangen und ändern. Gegenseitiger TLS/SSH-Traffic, z. B. zwischen dem Kubelet und dem API-Server oder Traffic von Anwendungen, die mTLS verwenden, kann durch diesen Angriff nicht gelesen oder geändert werden.

    Mittel

    GKE-Cluster auf

    Beschreibung Schweregrad

    Kubernetes hat eine Sicherheitslücke entdeckt, die es einem berechtigten Container ermöglicht, Knoten-Traffic an einen anderen Container weiterzuleiten. Gegenseitiger TLS/SSH-Traffic, z. B. zwischen dem Kubelet und dem API-Server oder Traffic von Anwendungen, die mTLS verwenden, kann durch diesen Angriff nicht gelesen oder geändert werden. Alle GKE-Knoten (Google Kubernetes Engine) sind die von dieser Sicherheitslücke betroffen sind, Upgrade auf die neueste Patchversion, wie unten beschrieben.

    Wie gehe ich am besten vor?

    Um diese Sicherheitslücke für GKE on VMware zu minimieren, Cluster aktualisieren auf die folgende Version oder höher: <ph type="x-smartling-placeholder">
      </ph>
    • Anthos 1.3.2

    Normalerweise benötigen nur sehr wenige Container CAP_NET_RAW. Diese und andere leistungsstarke Funktionen sollten standardmäßig über Anthos Policy Controller oder durch Aktualisieren Ihrer Pod-Spezifikationen blockiert werden:

    Entfernen Sie die Funktion CAP_NET_RAW mit einer der folgenden Methoden aus Containern:

    • Erzwingen Sie das Blockieren dieser Funktionen mit PodSecurityPolicy, Beispiel:
          # Require dropping CAP_NET_RAW with a PSP
          apiversion: extensions/v1beta1
          kind: PodSecurityPolicy
          metadata:
            name: no-cap-net-raw
          spec:
            requiredDropCapabilities:
              -NET_RAW
               ...
               # Unrelated fields omitted
    • Oder indem Sie Policy Controller oder Gatekeeper mit diesem Einschränkung Vorlage und wenden sie an. Beispiel:
          # Dropping CAP_NET_RAW with Gatekeeper
          # (requires the K8sPSPCapabilities template)
          apiversion: constraints.gatekeeper.sh/v1beta1
          kind:  K8sPSPCapabilities
          metadata:
            name: forbid-cap-net-raw
          spec:
            match:
              kinds:
                - apiGroups: [""]
                kinds: ["Pod"]
              namespaces:
                #List of namespaces to enforce this constraint on
                - default
              # If running gatekeeper >= v3.1.0-beta.5,
              # you can exclude namespaces rather than including them above.
              excludedNamespaces:
                - kube-system
            parameters:
              requiredDropCapabilities:
                - "NET_RAW"
    • Oder durch Aktualisieren der Pod-Spezifikationen:
          # Dropping CAP_NET_RAW from a Pod:
          apiVersion: v1
          kind: Pod
          metadata:
            name: no-cap-net-raw
          spec:
            containers:
              -name: my-container
               ...
              securityContext:
                capabilities:
                  drop:
                    -NET_RAW

    Welche Sicherheitslücke wird mit diesem Patch behoben?

    Dieser Patch dient zur Entschärfung der folgenden Sicherheitslücke:

    Die Sicherheitslücke, die unter Kubernetes-Problem 91507 beschrieben ist. Dabei kann die CAP_NET_RAW-Funktion (im standardmäßigen Container-Funktionsset enthalten) den IPv6-Stack auf dem Knoten schädlich konfigurieren und den Knoten-Traffic an den vom Angreifer kontrollierten Container weiterleiten. Dadurch kann der Angreifer ausgehenden und eingehenden Traffic des Knotens abfangen und ändern. Gegenseitiger TLS/SSH-Traffic, z. B. zwischen dem Kubelet und dem API-Server oder Traffic von Anwendungen, die mTLS verwenden, kann durch diesen Angriff nicht gelesen oder geändert werden.

    Mittel

    GKE-Cluster auf

    Beschreibung Schweregrad

    Kubernetes hat eine Sicherheitslücke entdeckt, die es einem berechtigten Container ermöglicht, Knoten-Traffic an einen anderen Container weiterzuleiten. Gegenseitiger TLS/SSH-Traffic, z. B. zwischen dem Kubelet und dem API-Server oder Traffic von Anwendungen, die mTLS verwenden, kann durch diesen Angriff nicht gelesen oder geändert werden. Alle GKE-Knoten (Google Kubernetes Engine) sind die von dieser Sicherheitslücke betroffen sind, Upgrade auf die neueste Patchversion, wie unten beschrieben.

    Wie gehe ich am besten vor?

    Laden Sie das anthos-gke-Befehlszeilentool herunter, das die folgende Version oder eine neuere Version enthält und erstellen Sie Ihre Verwaltungs- und Nutzercluster neu:

    • aws-0.2.1-gke.7

    Sehr wenige Container benötigen normalerweise CAP_NET_RAW. Diese und andere leistungsstarke Funktionen sollten standardmäßig über Anthos Policy Controller oder durch Aktualisieren Ihrer Pod-Spezifikationen blockiert werden:

    Entfernen Sie die Funktion CAP_NET_RAW mit einer der folgenden Methoden aus Containern:

    • Erzwingen Sie das Blockieren dieser Funktionen mit PodSecurityPolicy, Beispiel:
          # Require dropping CAP_NET_RAW with a PSP
          apiversion: extensions/v1beta1
          kind: PodSecurityPolicy
          metadata:
            name: no-cap-net-raw
          spec:
            requiredDropCapabilities:
              -NET_RAW
               ...
               # Unrelated fields omitted
    • Oder indem Sie Policy Controller oder Gatekeeper mit diesem Einschränkung Vorlage und wenden sie an. Beispiel:
          # Dropping CAP_NET_RAW with Gatekeeper
          # (requires the K8sPSPCapabilities template)
          apiversion: constraints.gatekeeper.sh/v1beta1
          kind:  K8sPSPCapabilities
          metadata:
            name: forbid-cap-net-raw
          spec:
            match:
              kinds:
                - apiGroups: [""]
                kinds: ["Pod"]
              namespaces:
                #List of namespaces to enforce this constraint on
                - default
              # If running gatekeeper >= v3.1.0-beta.5,
              # you can exclude namespaces rather than including them above.
              excludedNamespaces:
                - kube-system
            parameters:
              requiredDropCapabilities:
                - "NET_RAW"
    • Oder durch Aktualisieren der Pod-Spezifikationen:
          # Dropping CAP_NET_RAW from a Pod:
          apiVersion: v1
          kind: Pod
          metadata:
            name: no-cap-net-raw
          spec:
            containers:
              -name: my-container
               ...
              securityContext:
                capabilities:
                  drop:
                    -NET_RAW

    Welche Sicherheitslücke wird mit diesem Patch behoben?

    Dieser Patch dient zur Entschärfung der folgenden Sicherheitslücke:

    Die Sicherheitslücke, die unter Kubernetes-Problem 91507 beschrieben ist. Dabei kann die CAP_NET_RAW-Funktion (im standardmäßigen Container-Funktionsset enthalten) den IPv6-Stack auf dem Knoten schädlich konfigurieren und den Knoten-Traffic an den vom Angreifer kontrollierten Container weiterleiten. Dadurch kann der Angreifer ausgehenden und eingehenden Traffic des Knotens abfangen und ändern. Gegenseitiger TLS/SSH-Traffic, z. B. zwischen dem Kubelet und dem API-Server oder Traffic von Anwendungen, die mTLS verwenden, kann durch diesen Angriff nicht gelesen oder geändert werden.

    Mittel

    GCP-2020-005

    Veröffentlicht: 07.05.2020
    Zuletzt aktualisiert: 07.05.2020
    Referenz: CVE-2020-8835

    GKE

    Beschreibung Schweregrad

    Vor Kurzem wurde im Linux-Kernel eine Sicherheitslücke entdeckt, die unter CVE-2020-8835 beschrieben wird. Sie ermöglicht Container-Escape, Root-Berechtigungen auf dem Hostknoten zu erhalten.

    GKE-Ubuntu-Knoten (Google Kubernetes Engine) mit GKE 1.16 oder 1.17 sind von dieser Sicherheitslücke betroffen. Wir empfehlen Ihnen, so bald wie möglich wie unten beschrieben ein Upgrade auf die neueste Patchversion durchzuführen.

    Knoten mit Container-Optimized OS sind nicht betroffen. Knoten auf GKE on VMware ausgeführt, sind nicht betroffen.

    Wie gehe ich am besten vor?

    Bei den meisten Kunden sind keine weiteren Maßnahmen erforderlich. Nur GKE-Ubuntu-Knoten mit GKE 1.16 oder 1.17 sind betroffen.

    Führen Sie zuerst ein Upgrade auf die neueste Version für den Master durch. Dieser Patch ist in Kubernetes 1.16.8-gke.12, 1.17.4-gke.10 und neueren Releases verfügbar. Informationen zur Verfügbarkeit der Patches finden Sie in den Versionshinweisen.

    Welche Sicherheitslücke wird mit diesem Patch behoben?

    Dieser Patch dient zur Abschwächung der folgenden Sicherheitslücke:

    In CVE-2020-8835 wird eine Sicherheitslücke in der Linux Kernel-Version 5.5.0 und neueren Versionen beschrieben, die es einem schädlichen Container mit minimaler Nutzerinteraktion in Form eines ausführbaren Befehls ermöglicht, Lese- und Schreibvorgänge im Kernel-Speicher durchzuführen und so auf dem Hostknoten Code auf Root-Ebene auszuführen. Der Schweregrad dieser Sicherheitslücke ist "Hoch".

    Hoch

    GCP-2020-004

    Veröffentlicht: 07.05.2020
    Aktualisiert: 20.05.2020
    Referenz: CVE-2019-11254

    GKE-Cluster auf

    Beschreibung Schweregrad

    In Kubernetes wurde kürzlich eine in CVE-2019-11254 beschriebene Sicherheitslücke festgestellt. Sie erlaubt Nutzern, die POST-Anfragen stellen dürfen, DoS-Remoteangriffe auf Kubernetes API-Server. Das Kubernetes Product Security Committee (PSC) hat zusätzliche Informationen zu dieser Sicherheitslücke veröffentlicht.

    Sie können diese Sicherheitslücke minimieren, indem Sie beschränken, welche Clients Netzwerkzugriff auf Ihre Kubernetes API-Server haben.

    Was soll ich tun?

    Wir empfehlen Ihnen, Ihre Cluster so bald wie möglich auf eine Patchversion zu aktualisieren, die diese Fehlerkorrektur enthält.

    Die Patchversionen, mit denen die Sicherheitslücke behoben wird, sind unten aufgeführt:

    • Anthos 1.3.0, auf dem die Kubernetes-Version 1.15.7-gke.32 ausgeführt wird

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    Mit dem Patch wird die folgende DoS-Sicherheitslücke (Denial of Service) behoben:

    CVE-2019-11254

    Mittel

    GCP-2020-003

    Veröffentlicht: 31.03.2020
    Aktualisiert: 20.03.2020
    Referenz: CVE-2019-11254

    GKE

    Beschreibung Schweregrad

    In Kubernetes wurde kürzlich eine in CVE-2019-11254 beschriebene Sicherheitslücke festgestellt. Sie erlaubt Nutzern, die POST-Anfragen stellen dürfen, DoS-Remoteangriffe auf Kubernetes API-Server. Das Kubernetes Product Security Committee (PSC) hat zusätzliche Informationen zu dieser Sicherheitslücke veröffentlicht.

    In GKE-Clustern, die autorisierte Masternetzwerke verwenden, und privaten Clustern ohne öffentlichen Endpunkt tritt diese Sicherheitslücke seltener auf.

    Was soll ich tun?

    Wir empfehlen ein Upgrade Ihres Clusters auf eine Patchversion, mit der diese Sicherheitslücke behoben wird.

    Die Patchversionen, mit denen die Sicherheitslücke behoben wird, sind unten aufgeführt:

    • 1.13.12-gke.29
    • 1.14.9-gke.27
    • 1.14.10-gke.24
    • 1.15.9-gke.20
    • 1.16.6-gke.1

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    Mit dem Patch wird die folgende DoS-Sicherheitslücke (Denial of Service) behoben:

    CVE-2019-11254

    Mittel

    GCP-2020-002

    Veröffentlicht: 23.03.2020
    Aktualisiert: 23.03.2020
    Referenz: CVE-2020-8551, CVE-2020-8552

    GKE

    Beschreibung Schweregrad

    Es wurden zwei DoS-Sicherheitslücken in Kubernetes offengelegt. Die eine betrifft den API-Server, die andere Kubelets. Weitere Einzelheiten finden Sie in den Kubernetes-Problemen 89377 und 89378.

    Was soll ich tun?

    GKE-Nutzer sind vor CVE-2020-8551 geschützt, sofern nur vertrauenswürdige Nutzer Anfragen innerhalb des internen Netzwerks des Clusters senden dürfen. Bei Verwendung autorisierter Masternetzwerke tritt CVE-2020-8552 außerdem seltener auf.

    Wann gibt es einen Patch?

    Patches für CVE-2020-8551 erfordern ein Upgrade des Knotens. Die Patchversionen, mit denen die Sicherheitslücke entschärft wird, sind unten aufgeführt:

    • 1.15.10-gke.*
    • 1.16.7-gke.*

    Patches für CVE-2020-8552 erfordern ein Masterupgrade. Die Patchversionen, mit denen die Sicherheitslücke entschärft wird, sind unten aufgeführt:

    • 1.14.10-gke.32
    • 1.15.10-gke.*
    • 1.16.7-gke.*
    Mittel

    GCP-january_21_2020

    Veröffentlicht: 20.01.2020
    Aktualisiert: 24.01.2020
    Referenz: CVE-2019-11254

    GKE

    Beschreibung Schweregrad

    Aktualisierung vom 24. Januar 2020: Die Einführung von Patchversionen hat bereits begonnen und wird bis zum 25. Januar 2020 abgeschlossen.


    Microsoft hat eine Sicherheitslücke in der Windows Crypto API und ihrer Validierung von Elliptische-Kurven-Signaturen offengelegt. Weitere Informationen finden Sie in der Offenlegung von Microsoft.

    Was soll ich tun?

    Bei den meisten Kunden sind keine weiteren Maßnahmen erforderlich. Es sind nur Knoten betroffen, die Windows Server ausführen.

    Kunden, die Windows Server-Knoten verwenden, müssen sowohl die Knoten als auch die containerisierten Arbeitslasten, die auf diesen Knoten ausgeführt werden, auf gepatchte Versionen aktualisieren, um diese Sicherheitslücke zu verringern.

    So aktualisieren Sie die Container:

    Erstellen Sie Ihre Container mit den aktuellen Basis-Container-Images von Microsoft und wählen Sie dabei ein servercore- oder nanoserver-Tag mit LastUpdated-Zeit vom 14. Januar 2020 oder später aus.

    So aktualisieren Sie die Knoten:

    Die Einführung von Patchversionen hat bereits begonnen und wird bis zum 24. Januar 2020 abgeschlossen.

    Sie können entweder bis zu diesem Zeitpunkt warten und ein Knotenupgrade für eine GKE-Patchversion vornehmen oder mit Windows Update jederzeit den aktuellen Windows-Patch manuell bereitstellen.

    Die Sicherheitslücke wurde in folgenden Patchversionen entschärft:

    • 1.14.7-gke.40
    • 1.14.8-gke.33
    • 1.14.9-gke.23
    • 1.14.10-gke.17
    • 1.15.7-gke.23
    • 1.16.4-gke.22

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    Dieser Patch dient zur Entschärfung der folgenden Sicherheitslücken:

    CVE-2020-0601 – Diese Sicherheitslücke wird auch als Windows Crypto API-Spoofing-Sicherheitslücke bezeichnet. Sie könnte dazu genutzt werden, bösartige ausführbare Dateien vertrauenswürdig zu machen oder dem Angreifer Man-in-the-Middle-Angriffe zu ermöglichen und vertrauliche Informationen über TLS-Nutzerverbindungen mit der betroffenen Software zu entschlüsseln.

    NVD Base Score: 8,1 (hoch)

    Archivierte Sicherheitsbulletins

    Sicherheitsbulletins vor 2020 finden Sie im Sicherheitsbulletin-Archiv.