보안 게시판

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2024-36978

GKE Standard 클러스터가 영향을 받습니다. 기본 구성의 GKE Autopilot 클러스터는 영향을 받지 않지만, 명시적으로 seccomp Unconfined 프로필을 설정하거나 CAP_NET_ADMIN을 허용하는 경우 취약점이 발생할 수 있습니다.

GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다.

어떻게 해야 하나요?

영향을 받는 마이너 버전은 다음과 같습니다. Container-Optimized OS 노드 풀을 다음 패치 버전 중 하나로 업그레이드하세요.

• 1.27.16-gke.1008000
• 1.28.12-gke.1052000
• 1.29.7-gke.1008000
• 1.30.3-gke.1225000
• 1.31.0-gke.1058000

클러스터가 자체 출시 채널에서 동일한 부 버전을 실행하는 경우 최신 출시 채널의 패치 버전을 적용할 수 있습니다. 이 기능을 사용하면 패치 버전이 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 자세한 내용은 최신 채널에서 패치 버전 실행을 참조하세요.

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2024-36978

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2024-36978

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2024-36978

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2024-36978

어떻게 해야 하나요?

별도로 취해야 할 조치는 없습니다. 베어메탈용 GDC 소프트웨어는 배포 시 운영체제를 번들로 제공하지 않으므로 영향을 받지 않습니다.

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2024-41009

GKE Standard 및 Autopilot 클러스터가 영향을 받습니다.

GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다.

어떻게 해야 하나요?

영향을 받는 마이너 버전은 다음과 같습니다. Container-Optimized OS 노드 풀을 다음 패치 버전 중 하나로 업그레이드하세요.

• 1.27.16-gke.1008000
• 1.28.12-gke.1052000
• 1.29.7-gke.1008000
• 1.30.3-gke.1225000
• 1.31.0-gke.1058000

클러스터가 자체 출시 채널에서 동일한 부 버전을 실행하는 경우 최신 출시 채널의 패치 버전을 적용할 수 있습니다. 이 기능을 사용하면 패치 버전이 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 자세한 내용은 최신 채널에서 패치 버전 실행을 참조하세요.

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2024-41009

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2024-41009

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2024-41009

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2024-41009

어떻게 해야 하나요?

별도로 취해야 할 조치는 없습니다. 베어메탈용 GDC 소프트웨어는 배포 시 운영체제를 번들로 제공하지 않으므로 영향을 받지 않습니다.

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2024-39503

GKE Standard 클러스터가 영향을 받습니다. 기본 구성의 GKE Autopilot 클러스터는 영향을 받지 않지만, 명시적으로 seccomp Unconfined 프로필을 설정하거나 CAP_NET_ADMIN을 허용하는 경우 취약점이 발생할 수 있습니다.

GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다.

어떻게 해야 하나요?

영향을 받는 마이너 버전은 다음과 같습니다. Container-Optimized OS 노드 풀을 다음 패치 버전 중 하나로 업그레이드하세요.

• 1.27.15-gke.1125000
• 1.28.11-gke.1170000
• 1.29.6-gke.1137000
• 1.30.3-gke.1225000

클러스터가 자체 출시 채널에서 동일한 부 버전을 실행하는 경우 최신 출시 채널의 패치 버전을 적용할 수 있습니다. 이 기능을 사용하면 패치 버전이 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 자세한 내용은 최신 채널에서 패치 버전 실행을 참조하세요.

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2024-39503

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2024-39503

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2024-39503

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2024-39503

어떻게 해야 하나요?

별도로 취해야 할 조치는 없습니다. 베어메탈용 GDC 소프트웨어는 배포 시 운영체제를 번들로 제공하지 않으므로 영향을 받지 않습니다.

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2024-26925

GKE Standard 클러스터가 영향을 받습니다. 기본 구성의 GKE Autopilot 클러스터는 영향을 받지 않지만, 명시적으로 seccomp Unconfined 프로필을 설정하거나 CAP_NET_ADMIN을 허용하는 경우 취약점이 발생할 수 있습니다.

GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다.

어떻게 해야 하나요?

2024년 8월 21일 업데이트: Ubuntu에서 이 취약점을 해결하기 위한 코드로 다음 GKE 버전이 업데이트됩니다. Ubuntu 노드 풀을 다음 버전 이상으로 업그레이드하세요.

• 1.27.16-gke.1051000
• 1.28.12-gke.1052000
• 1.29.7-gke.1174000
• 1.30.3-gke.1225000

영향을 받는 마이너 버전은 다음과 같습니다. Container-Optimized OS 노드 풀을 다음 패치 버전 중 하나로 업그레이드하세요.

• 1.27.14-gke.1093000
• 1.28.10-gke.1141000
• 1.29.5-gke.1192000
• 1.30.2-gke.1394000

클러스터가 자체 출시 채널에서 동일한 부 버전을 실행하는 경우 최신 출시 채널의 패치 버전을 적용할 수 있습니다. 이 기능을 사용하면 패치 버전이 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 자세한 내용은 최신 채널에서 패치 버전 실행을 참조하세요.

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2024-26925

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2024-26925

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2024-26925

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2024-26925

어떻게 해야 하나요?

별도로 취해야 할 조치는 없습니다. 베어메탈용 GDC 소프트웨어는 배포 시 운영체제를 번들로 제공하지 않으므로 영향을 받지 않습니다.

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2024-36972

GKE Standard 및 Autopilot 클러스터가 영향을 받습니다.

GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다.

어떻게 해야 하나요?

영향을 받는 마이너 버전은 다음과 같습니다. Container-Optimized OS 노드 풀을 다음 패치 버전 중 하나로 업그레이드하세요.

• 1.27.14-gke.1093000
• 1.28.10-gke.1141000
• 1.29.5-gke.1192000
• 1.30.2-gke.1394000

클러스터가 자체 출시 채널에서 동일한 부 버전을 실행하는 경우 최신 출시 채널의 패치 버전을 적용할 수 있습니다. 이 기능을 사용하면 패치 버전이 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 자세한 내용은 최신 채널에서 패치 버전 실행을 참조하세요.

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2024-36972

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2024-36972

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2024-36972

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2024-36972

어떻게 해야 하나요?

별도로 취해야 할 조치는 없습니다. 베어메탈용 GDC 소프트웨어는 배포 시 운영체제를 번들로 제공하지 않으므로 영향을 받지 않습니다.

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2024-26921

GKE Standard 클러스터가 영향을 받습니다. 기본 구성의 GKE Autopilot 클러스터는 영향을 받지 않지만, 명시적으로 seccomp Unconfined 프로필을 설정하거나 CAP_NET_ADMIN을 허용하는 경우 취약점이 발생할 수 있습니다.

GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다.

어떻게 해야 하나요?

영향을 받는 마이너 버전은 다음과 같습니다. Container-Optimized OS 노드 풀을 다음 패치 버전 중 하나로 업그레이드하세요.

• 1.26.15-gke.1360000
• 1.27.14-gke.1022000
• 1.28.9-gke.1209000
• 1.29.4-gke.1542000
• 1.30.2-gke.1394000

클러스터가 자체 출시 채널에서 동일한 부 버전을 실행하는 경우 최신 출시 채널의 패치 버전을 적용할 수 있습니다. 이 기능을 사용하면 패치 버전이 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 자세한 내용은 최신 채널에서 패치 버전 실행을 참조하세요.

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2024-26921

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2024-26921

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2024-26921

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2024-26921

어떻게 해야 하나요?

별도로 취해야 할 조치는 없습니다. 베어메탈용 GDC 소프트웨어는 배포 시 운영체제를 번들로 제공하지 않으므로 영향을 받지 않습니다.

2024년 7월 18일 업데이트: 이 게시판의 원본 버전에는 Autopilot 클러스터가 영향을 받았다고 잘못 명시되어 있습니다. 기본 구성의 Autopilot 클러스터는 영향을 받지 않지만 명시적으로 seccomp Unconfined 프로필을 설정하거나 CAP_NET_ADMIN 기능을 허용하는 경우 취약점이 발생할 수 있습니다.

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2024-26809

GKE Standard 및 Autopilot 클러스터가 영향을 받습니다.

GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다.

어떻게 해야 하나요?

영향을 받는 마이너 버전은 다음과 같습니다. Container-Optimized OS 노드 풀을 다음 패치 버전 중 하나로 업그레이드하세요.

• 1.27.13-gke.1166000
• 1.28.9-gke.1209000
• 1.29.4-gke.1542000

영향을 받는 마이너 버전은 다음과 같습니다. Ubuntu 노드 풀을 다음 패치 버전 이상 중 하나로 업그레이드하세요.

• 1.26.15-gke.1469000
• 1.27.14-gke.1100000
• 1.28.10-gke.1148000
• 1.29.6-gke.1038000

클러스터가 자체 출시 채널에서 동일한 부 버전을 실행하는 경우 최신 출시 채널의 패치 버전을 적용할 수 있습니다. 이 기능을 사용하면 패치 버전이 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 자세한 내용은 최신 채널에서 패치 버전 실행을 참조하세요.

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2024-26809

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2024-26809

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2024-26809

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2024-26809

어떻게 해야 하나요?

별도로 취해야 할 조치는 없습니다. 베어메탈용 GDC 소프트웨어는 배포 시 운영체제를 번들로 제공하지 않으므로 영향을 받지 않습니다.

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-52654
• CVE-2023-52656

GKE Standard 및 Autopilot 클러스터가 영향을 받습니다.

GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다.

어떻게 해야 하나요?

2024년 7월 19일 업데이트: 다음 GKE 버전에는 Ubuntu에서 이 취약점을 해결하는 코드가 포함되어 있습니다. Ubuntu 노드 풀을 다음 패치 버전 이상 중 하나로 업그레이드하세요.

• 1.26.15-gke.1469000
• 1.27.14-gke.1100000
• 1.28.10-gke.1148000
• 1.29.6-gke.1038000
• 1.30.2-gke.1394000

영향을 받는 마이너 버전은 다음과 같습니다. Container-Optimized OS 노드 풀을 다음 패치 버전 중 하나로 업그레이드하세요.

• 1.26.15-gke.1300000
• 1.27.13-gke.1166000
• 1.28.9-gke.1209000
• 1.29.4-gke.1542000

클러스터가 자체 출시 채널에서 동일한 부 버전을 실행하는 경우 최신 출시 채널의 패치 버전을 적용할 수 있습니다. 이 기능을 사용하면 패치 버전이 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 자세한 내용은 최신 채널에서 패치 버전 실행을 참조하세요.

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-52654
• CVE-2023-52656

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-52654
• CVE-2023-52656

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-52654
• CVE-2023-52656

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-52654
• CVE-2023-52656

어떻게 해야 하나요?

별도로 취해야 할 조치는 없습니다. 베어메탈용 GDC 소프트웨어는 배포 시 운영체제를 번들로 제공하지 않으므로 영향을 받지 않습니다.

2024년 7월 3일 업데이트: 신속한 출시가 진행 중이며 2024년 7월 3일 오후 5시(미국 및 캐나다 태평양 일광절약시간(UTC-7))까지 모든 영역에서 새 패치 버전을 사용할 수 있게 될 것으로 예상됩니다. 특정 클러스터에 대한 패치가 제공되는 즉시 알림을 받으려면 클러스터 알림을 사용하세요.

2024년 7월 2일 업데이트: 이 취약점은 Autopilot 모드와 Standard 모드 클러스터 모두에 영향을 미칩니다. 이어지는 각 섹션에서는 해당 섹션이 적용되는 모드를 알려줍니다.

최근 OpenSSH에서 원격 코드 실행 취약점 CVE-2024-6387이 발견되었습니다. 이 취약점은 원격 셸에 대한 액세스 권한을 얻는 경합 상태를 악용하여 공격자가 GKE 노드에 대한 루트 액세스 권한을 얻을 수 있게 합니다. 현재 발표 시점 기준으로, 익스플로잇이 어렵고 공격이 이루어지는 데 머신당 몇 시간이 걸리는 것으로 판단됩니다. 익스플로잇 시도는 확인되지 않았습니다.

GKE에서 지원되는 모든 버전의 Container Optimized OS 및 Ubuntu 이미지가 이 문제에 취약할 수 있는 OpenSSH 버전을 실행합니다.

공개 노드 IP 주소를 사용하고 SSH가 인터넷에 노출된 GKE 클러스터가 가장 시급한 완화 조치 대상입니다.

GKE 컨트롤 플레인은 이 문제에 취약하지 않습니다.

어떻게 해야 하나요?

2024년 7월 3일 업데이트: GKE 패치 버전

신속한 출시가 진행 중이며 2024년 7월 3일 오후 5시(미국 및 캐나다 태평양 일광절약시간(UTC-7))까지 모든 영역에서 새 패치 버전을 사용할 수 있게 될 것으로 예상됩니다.

자동 업그레이드가 활성화된 클러스터와 노드는 한 주가 진행됨에 따라 업그레이드가 시작되지만 취약점의 심각도로 인해 가능한 한 빨리 패치를 받으려면 다음과 같이 수동으로 업그레이드하는 것이 좋습니다.

Autopilot 클러스터와 Standard 클러스터 모두에서 컨트롤 플레인을 패치 버전으로 업그레이드합니다. 또한 Standard 모드 클러스터의 경우 노드 풀을 패치 버전으로 업그레이드합니다. Autopilot 클러스터가 최대한 빨리 컨트롤 플레인 버전과 일치하도록 노드 업그레이드를 시작합니다.

패치 적용에 필요한 변경사항을 최소화하기 위해 지원되는 모든 버전에 패치가 적용된 GKE 버전을 사용할 수 있습니다. 각 새 버전의 버전 번호는 해당 기존 버전의 버전 번호 마지막 숫자만큼 증가합니다. 예를 들어 1.27.14-gke.1100000을 사용 중인 경우 1.27.14-gke.1100002로 업그레이드하여 가능한 가장 작은 변경 사항으로 수정합니다. 다음과 같은 패치된 GKE 버전을 사용할 수 있습니다.

• 1.26.15-gke.1090004
• 1.26.15-gke.1191001
• 1.26.15-gke.1300001
• 1.26.15-gke.1320002
• 1.26.15-gke.1381001
• 1.26.15-gke.1390001
• 1.26.15-gke.1404002
• 1.26.15-gke.1469001
• 1.27.13-gke.1070002
• 1.27.13-gke.1166001
• 1.27.13-gke.1201002
• 1.27.14-gke.1022001
• 1.27.14-gke.1042001
• 1.27.14-gke.1059002
• 1.27.14-gke.1100002
• 1.27.15-gke.1012003
• 1.28.9-gke.1069002
• 1.28.9-gke.1209001
• 1.28.9-gke.1289002
• 1.28.10-gke.1058001
• 1.28.10-gke.1075001
• 1.28.10-gke.1089002
• 1.28.10-gke.1148001
• 1.28.11-gke.1019001
• 1.29.4-gke.1043004
• 1.29.5-gke.1060001
• 1.29.5-gke.1091002
• 1.29.6-gke.1038001
• 1.30.1-gke.1329003
• 1.30.2-gke.1023004

클러스터 영역 또는 리전에서 패치를 사용할 수 있는지 확인하려면 다음 명령어를 실행합니다.

gcloud container get-server-config --location=LOCATION

LOCATION을 현재 영역 또는 리전으로 바꿉니다.

2024년 7월 2일 업데이트: Autopilot 모드와 Standard 모드 클러스터는 패치 버전이 출시된 후 가능한 한 빨리 업그레이드해야 합니다.

업데이트된 OpenSSH를 포함하며 패치가 적용된 GKE 버전을 최대한 빨리 제공할 예정입니다. 패치가 제공되면 이 게시판은 업데이트됩니다. 채널에 패치가 제공될 때 Pub/Sub 알림을 받으시려면 클러스터 알림을 사용 설정하세요. 다음 단계를 따라 클러스터의 노출을 확인하고 필요한 경우 설명된 완화 방법을 적용하시기 바랍니다.

노드에 공개 IP 주소가 있는지 확인

2024년 7월 2일 업데이트: 이 섹션은 Autopilot 및 Standard 클러스터 모두에 적용됩니다.

클러스터가 enable-private-nodes로 생성된 경우, 노드는 비공개 상태가 되므로 인터넷에 대한 노출을 제거하여 취약점을 완화합니다. 다음 명령어를 실행하여 클러스터에 비공개 노드가 사용 설정되어 있는지 확인합니다.

gcloud container clusters describe $CLUSTER_NAME \
--format="value(privateClusterConfig.enablePrivateNodes)"

반환 값이 true이면 모든 노드가 이 클러스터의 비공개 노드이며 취약점이 완화됩니다. 값이 비어 있거나 false이면 계속해서 다음 섹션의 완화 방법 중 하나를 적용합니다.

원래 공개 노드로 만든 모든 클러스터를 찾으려면 프로젝트 또는 조직에서 다음 Cloud 애셋 인벤토리 쿼리를 사용합니다.

SELECT
  resource.data.name AS cluster_name,
  resource.parent AS project_name,
  resource.data.privateClusterConfig.enablePrivateNodes
FROM
  `container_googleapis_com_Cluster`
WHERE
  resource.data.privateClusterConfig.enablePrivateNodes is null OR
  resource.data.privateClusterConfig.enablePrivateNodes = false

클러스터 노드에 대한 SSH 허용 안함

2024년 7월 2일 업데이트: 이 섹션은 Autopilot 및 Standard 클러스터 모두에 적용됩니다.

기본 네트워크에는 공개 인터넷에서 SSH 액세스를 허용하기 위한 default-allow-ssh 방화벽 규칙이 자동 입력되어 있습니다. 이 액세스 권한을 삭제하려면 다음 안내를 따르세요.

• 원하는 경우 신뢰할 수 있는 네트워크에서 프로젝트의 GKE 노드 또는 다른 Compute Engine VM으로의 필요한 모든 SSH 액세스를 허용하는 규칙을 만듭니다.
• 다음 명령어를 사용하여 기본 방화벽 규칙을 사용 중지합니다.
  gcloud compute firewall-rules update default-allow-ssh --disabled --project=$PROJECT

포트 22에서 TCP를 통해 SSH를 허용할 수 있는 다른 방화벽 규칙을 만든 경우 이를 사용 중지하거나 소스 IP를 신뢰할 수 있는 네트워크로 제한합니다.

더 이상 인터넷에서 클러스터 노드에 SSH를 통해 연결할 수 없는지 확인합니다. 이 방화벽 구성은 취약점을 완화합니다.

공개 노드 풀을 비공개로 변환

2024년 7월 2일 업데이트: 원래 공개 클러스터로 만든 Autopilot 클러스터의 경우 nodeSelector를 사용하여 프라이빗 노드에 워크로드를 배치할 수 있습니다. 그러나 원래 공개 클러스터로 만든 클러스터에서 시스템 워크로드를 실행하는 Autopilot 노드는 여전히 공개 노드이므로 이전 섹션에 설명된 방화벽 변경 사항으로 보호해야 합니다.

원래 공개 노드로 만든 클러스터를 가장 효과적으로 보호하려면 먼저 앞서 설명한 대로 방화벽을 통한 SSH를 허용하지 않는 것이 좋습니다. 방화벽 규칙을 통해 SSH를 사용 중지할 수 없는 우 이 안내에 따라 노드 풀을 격리하여 GKE Standard 클러스터의 공개 노드 풀을 비공개로 전환할 수 있습니다.

SSHD 구성 변경

2024년 7월 2일 업데이트: 이 섹션은 Standard 클러스터에만 적용됩니다. Autopilot 워크로드는 노드 구성을 수정하도록 허용되지 않습니다.

이러한 완화 방법을 적용할 수 없는 경우 SSHD LoginGraceTime을 0으로 설정하고 SSH 데몬을 다시 시작하는 daemonset도 게시되었습니다. 이 daemonSet를 클러스터에 적용하여 공격을 완화할 수 있습니다. 이 구성으로 인해 서비스 거부 공격의 위험이 증가할 수 있으며 합법적인 SSH 액세스에 문제가 발생할 수 있음에 유의하세요. 패치가 적용된 후 이 daemonset를 삭제해야 합니다.

2024년 7월 11일 업데이트: 다음 VMware용 GDC 소프트웨어 버전은 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 관리자 워크스테이션, 관리자 클러스터, 사용자 클러스터(노드 풀 포함)를 다음 버전 이후 중 하나로 업그레이드합니다. 자세한 내용은 클러스터 또는 노드 풀 업그레이드를 참조하세요.

• 1.16.10-gke.36
• 1.28.700-gke.151
• 1.29.200-gke.245

이 게시판의 2024년 7월 2일 업데이트에서 VMware용 GDC 소프트웨어에서 지원되는 모든 버전의 Ubuntu 이미지가 이 문제에 취약한 OpenSSH 버전을 실행한다고 잘못 언급했습니다. VMware 버전 1.16 클러스터용 GDC 소프트웨어의 Ubuntu 이미지는 이 문제에 취약하지 않은 OpenSSH 버전을 실행합니다. VMware 1.28 및 1.29용 GDC 소프트웨어의 Ubuntu 이미지가 취약합니다. 지원되는 모든 VMware용 GDC 소프트웨어 버전의 Container-Optimized OS 이미지는 이 문제에 취약합니다.

2024년 7월 2일 업데이트: 지원되는 모든 버전의 Container-Optimized OS 및 VMware용 GDC 소프트웨어의 Ubuntu 이미지는 이 문제에 취약한 OpenSSH 버전을 실행합니다.

공용 노드 IP 주소와 SSH가 인터넷에 노출된 VMware 클러스터용 GDC 소프트웨어는 완화를 위해 가장 높은 우선순위로 처리되어야 합니다.

최근 OpenSSH에서 원격 코드 실행 취약점 CVE-2024-6387이 발견되었습니다. 이 취약점은 원격 셸에 대한 액세스 권한을 얻는 경합 상태를 악용하여 공격자가 GKE 노드에 대한 루트 액세스 권한을 얻을 수 있게 합니다. 현재 발표 시점 기준으로, 익스플로잇이 어렵고 공격이 이루어지는 데 머신당 몇 시간이 걸리는 것으로 판단됩니다. 익스플로잇 시도는 확인되지 않았습니다.

어떻게 해야 하나요?

2024년 7월 2일 업데이트: 업데이트된 OpenSSH를 포함하는 VMware 버전용 패치 GDC 소프트웨어가 가능한 한 빨리 제공될 예정입니다. 패치가 제공되면 이 게시판은 업데이트됩니다. 필요에 따라 다음 완화 조치를 적용하는 것이 좋습니다.

클러스터 노드에 대한 SSH 허용 안함

공개 인터넷과 같이 신뢰할 수 없는 소스의 SSH 연결을 허용하지 않도록 인프라 네트워크 설정을 변경할 수 있습니다.

sshd 구성 변경

이전 완화 조치를 적용할 수 없는 경우 sshd LoginGraceTime를 0으로 설정하고 SSH 데몬을 다시 시작하는 DaemonSet를 게시했습니다. 이 DaemonSet를 클러스터에 적용하여 공격을 완화할 수 있습니다. 이 구성으로 인해 서비스 거부 공격의 위험이 증가할 수 있으며 합법적인 SSH 액세스에 문제가 발생할 수 있음에 유의하세요. 패치가 적용된 후 이 DaemonSet를 삭제합니다.

2024년 7월 11일 업데이트: 다음 AWS용 GKE 버전은 이 취약점을 해결하기 위한 코드로 업데이트되었습니다.

• 1.27.14-gke.1200
• 1.28.10-gke.1300
• 1.29.5-gke.1100

AWS용 GKE 컨트롤 플레인과 노드 풀을 이러한 패치 버전 이상 중 하나로 업그레이드합니다. 자세한 내용은 AWS 클러스터 버전 업그레이드 및 노드 풀 업데이트를 참조하세요.

2024년 7월 2일 업데이트: AWS용 GKE에서 지원되는 모든 Ubuntu 이미지 버전은 이 문제에 취약한 OpenSSH 버전을 실행합니다.

공개 노드 IP 주소를 사용하고 SSH가 인터넷에 노출된 AWS용 GKE 클러스터가 가장 시급한 완화 조치 대상입니다.

최근 OpenSSH에서 원격 코드 실행 취약점 CVE-2024-6387이 발견되었습니다. 이 취약점은 원격 셸에 대한 액세스 권한을 얻는 경합 상태를 악용하여 공격자가 GKE 노드에 대한 루트 액세스 권한을 얻을 수 있게 합니다. 현재 발표 시점 기준으로, 익스플로잇이 어렵고 공격이 이루어지는 데 머신당 몇 시간이 걸리는 것으로 판단됩니다. 익스플로잇 시도는 확인되지 않았습니다.

어떻게 해야 하나요?

2024년 7월 2일 업데이트: 업데이트된 OpenSSH가 포함된 패치된 AWS용 GKE 버전이 최대한 빨리 출시될 예정입니다. 패치가 제공되면 이 게시판은 업데이트됩니다. 다음 단계를 수행하여 클러스터의 노출을 확인하고 필요에 따라 설명된 완화 조치를 적용하는 것이 좋습니다.

노드에 공개 IP 주소가 있는지 확인

AWS용 GKE는 기본적으로 포트 22에 대한 트래픽을 허용하는 공개 IP 주소나 방화벽 규칙이 있는 머신을 프로비저닝하지 않습니다. 그러나 서브넷 구성에 따라 머신은 프로비저닝 중에 공개 IP 주소를 자동으로 얻을 수 있습니다.

노드가 공개 IP 주소로 프로비저닝되었는지 확인하려면 AWS 노드 풀 리소스와 연결된 서브넷 구성을 살펴보세요.

클러스터 노드에 대한 SSH 허용 안함

AWS용 GKE는 기본적으로 모든 노드의 포트 22에서 트래픽을 허용하지 않지만 고객은 추가 보안 그룹을 노드 풀에 연결하여 인바운드 SSH 트래픽을 활성화할 수 있습니다.

제공된 보안 그룹에서 해당 규칙을 제거하거나 범위를 줄이는 것이 좋습니다.

공개 노드 풀을 비공개로 변환

공개 노드가 있는 클러스터를 보호하기 위해서는 먼저 이전 섹션의 설명대로 보안 그룹을 통해 SSH를 허용하지 않는 것이 좋습니다. 보안 그룹 규칙을 통해 SSH를 허용하지 않을 수 없는 경우 서브넷 내 머신에 공개 IP를 자동으로 할당하는 옵션을 비활성화하고 노드 풀을 다시 프로비저닝하여 공개 노드 풀을 비공개로 변환할 수 있습니다.

2024년 7월 11일 업데이트: 다음 버전의 Azure용 GKE는 이 취약점을 해결하기 위한 코드로 업데이트되었습니다.

• 1.27.14-gke.1200
• 1.28.10-gke.1300
• 1.29.5-gke.1100

Azure용 GKE 컨트롤 플레인과 노드 풀을 이러한 패치 버전 이상 중 하나로 업그레이드합니다. 자세한 내용은 Azure 클러스터 버전 업그레이드 및 노드 풀 업데이트를 참조하세요.

2024년 7월 2일 업데이트: Azure용 GKE에서 지원되는 모든 Ubuntu 이미지 버전은 이 문제에 취약한 OpenSSH 버전을 실행합니다.

공개 노드 IP 주소를 사용하고 SSH가 인터넷에 노출된 Azure용 GKE 클러스터가 가장 시급한 완화 조치 대상입니다.

최근 OpenSSH에서 원격 코드 실행 취약점 CVE-2024-6387이 발견되었습니다. 이 취약점은 원격 셸에 대한 액세스 권한을 얻는 경합 상태를 악용하여 공격자가 GKE 노드에 대한 루트 액세스 권한을 얻을 수 있게 합니다. 현재 발표 시점 기준으로, 익스플로잇이 어렵고 공격이 이루어지는 데 머신당 몇 시간이 걸리는 것으로 판단됩니다. 익스플로잇 시도는 확인되지 않았습니다.

어떻게 해야 하나요?

2024년 7월 2일 업데이트: 업데이트된 OpenSSH가 포함된 패치된 Azure용 GKE 버전이 최대한 빨리 출시될 예정입니다. 패치가 제공되면 이 게시판은 업데이트됩니다. 다음 단계를 수행하여 클러스터의 노출을 확인하고 필요에 따라 설명된 완화 조치를 적용하는 것이 좋습니다.

노드에 공개 IP 주소가 있는지 확인

Azure용 GKE는 기본적으로 포트 22에 대한 트래픽을 허용하는 공개 IP 주소나 방화벽 규칙이 있는 머신을 프로비저닝하지 않습니다. Azure 구성을 검토하여 Azure용 GKE 클러스터에 구성된 공개 IP 주소가 있는지 확인하려면 다음 명령어를 실행하세요.

az network public-ip list -g CLUSTER_RESOURCE_GROUP_NAME -o tsv

클러스터 노드에 대한 SSH 허용 안함

Azure용 GKE는 기본적으로 포트 22에서 트래픽을 허용하지 않지만 고객은 NetworkSecurityGroup 규칙을 노드 풀로 업데이트하여 공개 인터넷에서 인바운드 SSH 트래픽을 사용 설정할 수 있습니다.

Kubernetes 클러스터와 연결된 네트워크 보안 그룹(NSG)을 검토하는 것이 좋습니다. 포트 22(SSH)에서 무제한 인바운드 트래픽을 허용하는 NSG 규칙이 있는 경우 다음 중 하나를 수행합니다.

• 규칙 완전히 삭제: 인터넷에서 클러스터 노드에 대한 SSH 액세스가 필요하지 않으면 규칙을 삭제하여 잠재적 공격 벡터를 제거합니다.
• 규칙 범위 좁히기: 포트 22의 인바운드 액세스를 필요한 특정 IP 주소 또는 범위로만 제한합니다. 이렇게 하면 잠재적인 공격에 노출된 표면이 최소화됩니다.

공개 노드 풀을 비공개로 변환

공개 노드가 있는 클러스터를 보호하기 위해서는 먼저 이전 섹션의 설명대로 보안 그룹을 통해 SSH를 허용하지 않는 것이 좋습니다. 보안 그룹 규칙을 통해 SSH를 허용하지 않을 수 없는 경우 VM과 연결된 공개 IP 주소를 제거하여 공개 노드 풀을 비공개로 변환할 수 있습니다.

VM에서 공개 IP 주소를 삭제하고 비공개 IP 주소 구성으로 바꾸려면 Azure VM에서 공개 IP 주소 연결 해제를 참조하세요.

영향: 공개 IP 주소를 사용하는 기존 연결은 모두 중단됩니다. VPN 또는 Azure 배스천과 같은 대체 액세스 방법이 있는지 확인하세요.

2024년 7월 2일 업데이트: 베어메탈용 GDC 소프트웨어에 대한 이 게시판의 원본 버전에는 패치 버전이 진행 중이라고 잘못 명시되어 있습니다. 베어메탈용 GDC 소프트웨어는 운영체제 SSH 데몬 또는 구성을 관리하지 않으므로 직접적인 영향을 받지 않습니다. 따라서 패치 버전은 어떻게 해야 하나요? 섹션의 설명에 따라 운영체제 제공업체의 책임입니다.

최근 OpenSSH에서 원격 코드 실행 취약점 CVE-2024-6387이 발견되었습니다. 이 취약점은 원격 셸에 대한 액세스 권한을 얻는 경합 상태를 악용하여 공격자가 GKE 노드에 대한 루트 액세스 권한을 얻을 수 있게 합니다. 현재 발표 시점 기준으로, 익스플로잇이 어렵고 공격이 이루어지는 데 머신당 몇 시간이 걸리는 것으로 판단됩니다. 익스플로잇 시도는 확인되지 않았습니다.

어떻게 해야 하나요?

2024년 7월 2일 업데이트: 베어메탈용 GDC 소프트웨어와 함께 사용되는 운영체제에 대한 패치를 얻으려면 OS 제공업체에 문의하세요.

OS 공급업체 패치를 적용할 때까지 공개 연결 가능 시스템이 인터넷에서 SSH 연결을 허용하지 않는지 확인하세요. 이것이 가능하지 않은 경우 대안은 LoginGraceTime를 0으로 설정하고 sshd 서버를 다시 시작하는 것입니다.

grep "^LoginGraceTime" /etc/ssh/sshd_config
            LoginGraceTime 0

이 구성 변경으로 인해 서비스 거부 공격의 위험이 증가할 수 있으며 합법적인 SSH 액세스에 문제가 발생할 수 있음에 유의하세요.

2024년 7월 1일 원본 텍스트(수정은 2024년 7월 2일 이전 업데이트 참고):

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2024-26923

GKE Standard 및 Autopilot 클러스터가 영향을 받습니다.

GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다.

어떻게 해야 하나요?

2024년 8월 20일 업데이트: Ubuntu에서 이 취약점을 해결하기 위한 코드로 다음 GKE 버전이 업데이트됩니다. Ubuntu 노드 풀을 다음 버전 이상으로 업그레이드하세요.

• 1.27.16-gke.1051000
• 1.28.12-gke.1052000
• 1.29.7-gke.1174000
• 1.30.3-gke.1225000

영향을 받는 마이너 버전은 다음과 같습니다. Container-Optimized OS 노드 풀을 다음 패치 버전 중 하나로 업그레이드하세요.

• 1.26.15-gke.1360000
• 1.27.14-gke.1022000
• 1.28.9-gke.1289000
• 1.29.5-gke.1010000

클러스터가 자체 출시 채널에서 동일한 부 버전을 실행하는 경우 최신 출시 채널의 패치 버전을 적용할 수 있습니다. 이 기능을 사용하면 패치 버전이 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 자세한 내용은 최신 채널에서 패치 버전 실행을 참조하세요.

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2024-26923

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2024-26923

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2024-26923

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2024-26923

어떻게 해야 하나요?

별도로 취해야 할 조치는 없습니다. 베어메탈용 GDC 소프트웨어는 배포 시 운영체제를 번들로 제공하지 않으므로 영향을 받지 않습니다.

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2024-26924

GKE Standard 클러스터가 영향을 받습니다. 기본 구성의 GKE Autopilot 클러스터는 영향을 받지 않지만, 명시적으로 seccomp Unconfined 프로필을 설정하거나 CAP_NET_ADMIN을 허용하는 경우 취약점이 발생할 수 있습니다.

GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다.

어떻게 해야 하나요?

2024년 8월 6일 업데이트: GKE의 Ubuntu 노드 풀 패치 버전이 추가되었습니다.

다음 GKE 버전은 Ubuntu에서 이 취약점을 해결하기 위한 코드로 업데이트됩니다. Ubuntu 노드 풀을 다음 버전 이상으로 업그레이드하세요.

• 1.27.15-gke.1252000
• 1.28.11-gke.1260000
• 1.29.6-gke.1326000
• 1.30.2-gke.1394003

영향을 받는 마이너 버전은 다음과 같습니다. Container-Optimized OS 노드 풀을 다음 패치 버전 중 하나로 업그레이드하세요.

• 1.26.15-gke.1360000
• 1.27.14-gke.1022000
• 1.28.9-gke.1289000
• 1.29.5-gke.1010000

클러스터가 자체 출시 채널에서 동일한 부 버전을 실행하는 경우 최신 출시 채널의 패치 버전을 적용할 수 있습니다. 이 기능을 사용하면 패치 버전이 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 자세한 내용은 최신 채널에서 패치 버전 실행을 참조하세요.

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2024-26924

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2024-26924

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2024-26924

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2024-26924

어떻게 해야 하나요?

별도로 취해야 할 조치는 없습니다. 베어메탈용 GDC 소프트웨어는 배포 시 운영체제를 번들로 제공하지 않으므로 영향을 받지 않습니다.

다음 취약점은 Linux 커널에서 Container-Optimized OS 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2024-26584

GKE Standard 및 Autopilot 클러스터가 영향을 받습니다.

GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다.

어떻게 해야 하나요?

영향을 받는 마이너 버전은 다음과 같습니다. Container-Optimized OS 노드 풀을 다음 패치 버전 중 하나로 업그레이드하세요.

• 1.28.9-gke.1209000
• 1.29.4-gke.1542000

클러스터가 자체 출시 채널에서 동일한 부 버전을 실행하는 경우 최신 출시 채널의 패치 버전을 적용할 수 있습니다. 이 기능을 사용하면 패치 버전이 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 자세한 내용은 최신 채널에서 패치 버전 실행을 참조하세요.

다음 취약점은 Linux 커널에서 Container-Optimized OS 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2024-26584

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2024-26584

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2024-26584

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2024-26584

어떻게 해야 하나요?

별도로 취해야 할 조치는 없습니다. 베어메탈용 GKE는 배포 시 운영체제를 번들로 제공하지 않으므로 영향을 받지 않습니다.

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2024-26584

GKE Standard 및 Autopilot 클러스터가 영향을 받습니다.

GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다.

어떻게 해야 하나요?

2024년 7월 18일 업데이트: Ubuntu에서 이 취약점을 해결하기 위한 코드로 다음 GKE 버전이 업데이트됩니다. Ubuntu 노드 풀을 다음 패치 버전 이상 중 하나로 업그레이드하세요.

• 1.26.15-gke.1469000
• 1.27.14-gke.1100000
• 1.28.10-gke.1148000
• 1.29.6-gke.1038000
• 1.30.2-gke.1394000

다음 GKE 버전은 Container-Optimized OS에서 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. Container-Optimized OS 노드 풀을 다음 패치 버전 이상으로 업그레이드하세요.

• 1.27.15-gke.1125000

영향을 받는 마이너 버전은 다음과 같습니다. Container-Optimized OS 노드 풀을 다음 패치 버전 중 하나로 업그레이드하세요.

• 1.28.9-gke.1209000
• 1.29.4-gke.1542000

다음 부 버전이 영향을 받지만 사용 가능한 패치 버전이 없습니다. 패치 버전이 제공되면 이 게시판이 업데이트됩니다.

• 1.26
• 1.27

클러스터가 자체 출시 채널에서 동일한 부 버전을 실행하는 경우 최신 출시 채널의 패치 버전을 적용할 수 있습니다. 이 기능을 사용하면 패치 버전이 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 자세한 내용은 최신 채널에서 패치 버전 실행을 참조하세요.

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2024-26584

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2024-26584

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2024-26584

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2024-26584

어떻게 해야 하나요?

별도로 취해야 할 조치는 없습니다. 베어메탈용 GKE는 배포 시 운영체제를 번들로 제공하지 않으므로 영향을 받지 않습니다.

다음 취약점은 Linux 커널에서 Container-Optimized OS 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2024-26583

GKE Standard 및 Autopilot 클러스터가 영향을 받습니다.

GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다.

어떻게 해야 하나요?

2024년 7월 10일 업데이트: 다음 GKE 버전은 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. Ubuntu 노드 풀을 다음 패치 버전 이상 중 하나로 업그레이드합니다.

• 1.26.15-gke.1444000
• 1.27.14-gke.1096000
• 1.28.10-gke.1148000
• 1.29.5-gke.1041001
• 1.30.1-gke.1156001

부 버전 1.26 및 1.27의 경우 Container-Optimized OS 노드 풀을 다음 패치 버전 이상 중 하나로 업그레이드합니다.

• 1.26.15-gke.1404002
• 1.27.14-gke.1059002

영향을 받는 마이너 버전은 다음과 같습니다. Container-Optimized OS 노드 풀을 다음 패치 버전 중 하나로 업그레이드하세요.

• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

클러스터가 자체 출시 채널에서 동일한 부 버전을 실행하는 경우 최신 출시 채널의 패치 버전을 적용할 수 있습니다. 이 기능을 사용하면 패치 버전이 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 자세한 내용은 최신 채널에서 패치 버전 실행을 참조하세요.

다음 취약점은 Linux 커널에서 Container-Optimized OS 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2024-26583

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2024-26583

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2024-26583

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2024-26583

어떻게 해야 하나요?

별도로 취해야 할 조치는 없습니다. 베어메탈용 GKE는 배포 시 운영체제를 번들로 제공하지 않으므로 영향을 받지 않습니다.

다음 취약점은 Linux 커널에서 Container-Optimized OS 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2022-23222

GKE Standard 및 Autopilot 클러스터가 영향을 받습니다.

GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다.

어떻게 해야 하나요?

영향을 받는 마이너 버전은 다음과 같습니다. Container-Optimized OS 노드 풀을 다음 패치 버전 중 하나로 업그레이드하세요.

• 1.26.15-gke.1381000
• 1.27.14-gke.1022000

클러스터가 자체 출시 채널에서 동일한 부 버전을 실행하는 경우 최신 출시 채널의 패치 버전을 적용할 수 있습니다. 이 기능을 사용하면 패치 버전이 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 자세한 내용은 최신 채널에서 패치 버전 실행을 참조하세요.

다음 취약점은 Linux 커널에서 Container-Optimized OS 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2022-23222

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2022-23222

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2022-23222

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2022-23222

어떻게 해야 하나요?

별도로 취해야 할 조치는 없습니다. 베어메탈용 GKE는 배포 시 운영체제를 번들로 제공하지 않으므로 영향을 받지 않습니다.

Fluent Bit에서 원격 코드 실행이 발생할 수 있는 새로운 취약점(CVE-2024-4323)이 발견되었습니다. Fluent Bit 버전 2.0.7부터 3.0.3까지 영향을 받습니다.

GKE는 Fluent Bit의 취약 버전을 사용하지 않으며 영향을 받지 않습니다.

어떻게 해야 하나요?

GKE는 이 취약점의 영향을 받지 않습니다. 별도의 조치가 필요하지 않습니다.

Fluent Bit에서 원격 코드 실행이 발생할 수 있는 새로운 취약점(CVE-2024-4323)이 발견되었습니다. Fluent Bit 버전 2.0.7부터 3.0.3까지 영향을 받습니다.

VMware용 GKE는 Fluent Bit의 취약 버전을 사용하지 않으며 영향을 받지 않습니다.

어떻게 해야 하나요?

VMware용 GKE는 이 취약점의 영향을 받지 않습니다. 별도의 조치가 필요하지 않습니다.

Fluent Bit에서 원격 코드 실행이 발생할 수 있는 새로운 취약점(CVE-2024-4323)이 발견되었습니다. Fluent Bit 버전 2.0.7부터 3.0.3까지 영향을 받습니다.

AWS용 GKE는 Fluent Bit의 취약 버전을 사용하지 않으며 영향을 받지 않습니다.

어떻게 해야 하나요?

AWS용 GKE는 이 취약점의 영향을 받지 않으며 별도의 작업이 필요하지 않습니다.

Fluent Bit에서 원격 코드 실행이 발생할 수 있는 새로운 취약점(CVE-2024-4323)이 발견되었습니다. Fluent Bit 버전 2.0.7부터 3.0.3까지 영향을 받습니다.

Azure용 GKE는 Fluent Bit의 취약 버전을 사용하지 않으며 영향을 받지 않습니다.

어떻게 해야 하나요?

Azure용 GKE는 이 취약점의 영향을 받지 않으므로 별도의 조치가 필요하지 않습니다.

Fluent Bit에서 원격 코드 실행이 발생할 수 있는 새로운 취약점(CVE-2024-4323)이 발견되었습니다. Fluent Bit 버전 2.0.7부터 3.0.3까지 영향을 받습니다.

베어메탈용 GKE는 Fluent Bit의 취약 버전을 사용하지 않으며 영향을 받지 않습니다.

어떻게 해야 하나요?

베어메탈용 GKE는 이 취약점의 영향을 받지 않습니다. 별도의 조치가 필요하지 않습니다.

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-52620

GKE Standard 클러스터가 영향을 받습니다. 기본 구성의 GKE Autopilot 클러스터는 영향을 받지 않지만, 명시적으로 seccomp Unconfined 프로필을 설정하거나 CAP_NET_ADMIN을 허용하는 경우 취약점이 발생할 수 있습니다.

GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다.

어떻게 해야 하나요?

2024년 7월 18일 업데이트: Ubuntu에서 이 취약점을 해결하기 위한 코드로 다음 GKE 버전이 업데이트됩니다. Ubuntu 노드 풀을 다음 패치 버전 이상 중 하나로 업그레이드하세요.

• 1.26.15-gke.1469000
• 1.27.14-gke.1100000
• 1.28.10-gke.1148000
• 1.29.6-gke.1038000
• 1.30.2-gke.1394000

영향을 받는 마이너 버전은 다음과 같습니다. Container-Optimized OS 노드 풀을 다음 패치 버전 중 하나로 업그레이드하세요.

• 1.27.13-gke.1166000
• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

클러스터가 자체 출시 채널에서 동일한 부 버전을 실행하는 경우 최신 출시 채널의 패치 버전을 적용할 수 있습니다. 이 기능을 사용하면 패치 버전이 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 자세한 내용은 최신 채널에서 패치 버전 실행을 참조하세요.

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-52620

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-52620

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-52620

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-52620

어떻게 해야 하나요?

별도로 취해야 할 조치는 없습니다. 베어메탈용 GKE는 배포 시 운영체제를 번들로 제공하지 않으므로 영향을 받지 않습니다.

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2024-26642

GKE Standard 클러스터가 영향을 받습니다. 기본 구성의 GKE Autopilot 클러스터는 영향을 받지 않지만, 명시적으로 seccomp Unconfined 프로필을 설정하거나 CAP_NET_ADMIN을 허용하는 경우 취약점이 발생할 수 있습니다.

GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다.

어떻게 해야 하나요?

2024년 8월 19일 업데이트: Ubuntu에서 이 취약점을 해결하기 위한 코드로 다음 GKE 버전이 업데이트됩니다. Ubuntu 노드 풀을 다음 버전 이상으로 업그레이드하세요.

• 1.27.16-gke.1051000
• 1.28.12-gke.1052000
• 1.29.7-gke.1174000
• 1.30.3-gke.1225000

영향을 받는 마이너 버전은 다음과 같습니다. Container-Optimized OS 노드 풀을 다음 패치 버전 중 하나로 업그레이드하세요.

• 1.27.13-gke.1166000
• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

클러스터가 자체 출시 채널에서 동일한 부 버전을 실행하는 경우 최신 출시 채널의 패치 버전을 적용할 수 있습니다. 이 기능을 사용하면 패치 버전이 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 자세한 내용은 최신 채널에서 패치 버전 실행을 참조하세요.

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2024-26642

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2024-26642

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2024-26642

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2024-26642

어떻게 해야 하나요?

별도로 취해야 할 조치는 없습니다. 베어메탈용 GKE는 배포 시 운영체제를 번들로 제공하지 않으므로 영향을 받지 않습니다.

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2024-26581

GKE Standard 클러스터가 영향을 받습니다. 기본 구성의 GKE Autopilot 클러스터는 영향을 받지 않지만, 명시적으로 seccomp Unconfined 프로필을 설정하거나 CAP_NET_ADMIN을 허용하는 경우 취약점이 발생할 수 있습니다.

GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다.

어떻게 해야 하나요?

2024년 5월 22일 업데이트: Ubuntu에서 이 취약점을 해결하기 위한 코드로 다음 GKE 버전이 업데이트됩니다. Ubuntu 노드 풀을 다음 버전 이상으로 업그레이드하세요.

• 1.26.15-gke.1300000
• 1.27.13-gke.1011000
• 1.28.9-gke.1209000
• 1.29.4-gke.1542000
• 1.30.0-gke.1712000

영향을 받는 마이너 버전은 다음과 같습니다. Container-Optimized OS 노드 풀을 다음 패치 버전 중 하나로 업그레이드하세요.

• 1.25.16-gke.1596000
• 1.26.14-gke.1076000
• 1.27.11-gke.1202000
• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

영향을 받는 마이너 버전은 다음과 같습니다. Ubuntu 노드 풀을 다음 패치 버전 이상 중 하나로 업그레이드하세요.

• 1.26.15-gke.1300000
• 1.28.9-gke.1209000

클러스터가 자체 출시 채널에서 동일한 부 버전을 실행하는 경우 최신 출시 채널의 패치 버전을 적용할 수 있습니다. 이 기능을 사용하면 패치 버전이 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 자세한 내용은 최신 채널에서 패치 버전 실행을 참조하세요.

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2024-26581

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2024-26581

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2024-26581

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2024-26581

어떻게 해야 하나요?

별도로 취해야 할 조치는 없습니다. 베어메탈용 GKE는 배포 시 운영체제를 번들로 제공하지 않으므로 영향을 받지 않습니다.

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2024-26808

2024년 5월 9일 업데이트: 심각도가 중간에서 높음으로 수정되었습니다. 원본 게시판에서 Autopilot 클러스터가 영향을 받았다고 설명했지만 잘못된 내용이었습니다. 기본 구성의 GKE Autopilot 클러스터는 영향을 받지 않지만, 명시적으로 seccomp Unconfined 프로필을 설정하거나 CAP_NET_ADMIN을 허용하는 경우 취약점이 발생할 수 있습니다.

GKE Standard 및 Autopilot 클러스터가 영향을 받습니다.

GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다.

어떻게 해야 하나요?

2024년 5월 15일 업데이트: Ubuntu에서 이 취약점을 해결하기 위한 코드로 다음 GKE 버전이 업데이트됩니다. Ubuntu 노드 풀을 다음 버전 이상으로 업그레이드하세요.

• 1.26.15-gke.1323000
• 1.27.13-gke.1206000
• 1.28.10-gke.1000000
• 1.29.3-gke.1282004
• 1.30.0-gke.1584000

영향을 받는 마이너 버전은 다음과 같습니다. Container-Optimized OS 노드 풀을 다음 패치 버전 중 하나로 업그레이드하세요.

• 1.27.8-gke.1067000
• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

클러스터가 자체 출시 채널에서 동일한 부 버전을 실행하는 경우 최신 출시 채널의 패치 버전을 적용할 수 있습니다. 이 기능을 사용하면 패치 버전이 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 자세한 내용은 최신 채널에서 패치 버전 실행을 참조하세요.

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2024-26808

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2024-26808

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2024-26808

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2024-26808

어떻게 해야 하나요?

별도로 취해야 할 조치는 없습니다. 베어메탈용 GKE는 배포 시 운영체제를 번들로 제공하지 않으므로 영향을 받지 않습니다.

2024년 5월 9일 업데이트: 심각도가 중간에서 높음으로 수정되었습니다.

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2024-26643

GKE Standard 클러스터가 영향을 받습니다. 기본 구성의 GKE Autopilot 클러스터는 영향을 받지 않지만, 명시적으로 seccomp Unconfined 프로필을 설정하거나 CAP_NET_ADMIN을 허용하는 경우 취약점이 발생할 수 있습니다.

GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다.

어떻게 해야 하나요?

2024년 8월 6일 업데이트: GKE의 Ubuntu 노드 풀 패치 버전이 추가되었습니다.

다음 GKE 버전은 Ubuntu에서 이 취약점을 해결하기 위한 코드로 업데이트됩니다. Ubuntu 노드 풀을 다음 버전 이상으로 업그레이드하세요.

• 1.27.15-gke.1252000
• 1.28.11-gke.1260000
• 1.29.6-gke.1326000
• 1.30.2-gke.1394003

영향을 받는 마이너 버전은 다음과 같습니다. Container-Optimized OS 노드 풀을 다음 패치 버전 중 하나로 업그레이드하세요.

• 1.27.8-gke.1067000
• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

클러스터가 자체 출시 채널에서 동일한 부 버전을 실행하는 경우 최신 출시 채널의 패치 버전을 적용할 수 있습니다. 이 기능을 사용하면 패치 버전이 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 자세한 내용은 최신 채널에서 패치 버전 실행을 참조하세요.

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2024-26643

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2024-26643

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2024-26643

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2024-26643

어떻게 해야 하나요?

별도로 취해야 할 조치는 없습니다. 베어메탈용 GKE는 배포 시 운영체제를 번들로 제공하지 않으므로 영향을 받지 않습니다.

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2024-26585

GKE Standard 및 Autopilot 클러스터가 영향을 받습니다.

GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다.

어떻게 해야 하나요?

2024년 7월 18일 업데이트: Ubuntu에서 이 취약점을 해결하기 위한 코드로 다음 GKE 버전이 업데이트됩니다. Ubuntu 노드 풀을 다음 패치 버전 이상 중 하나로 업그레이드하세요.

• 1.26.15-gke.1469000
• 1.27.14-gke.1100000
• 1.28.10-gke.1148000
• 1.29.6-gke.1038000
• 1.30.2-gke.1394000

영향을 받는 마이너 버전은 다음과 같습니다. Container-Optimized OS 노드 풀을 다음 패치 버전 중 하나로 업그레이드하세요.

• 1.25.16-gke.1759000
• 1.26.15-gke.1158000
• 1.27.12-gke.1190000
• 1.28.8-gke.1175000
• 1.29.3-gke.1282000

클러스터가 자체 출시 채널에서 동일한 부 버전을 실행하는 경우 최신 출시 채널의 패치 버전을 적용할 수 있습니다. 이 기능을 사용하면 패치 버전이 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 자세한 내용은 최신 채널에서 패치 버전 실행을 참조하세요.

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2024-26585

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2024-26585

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2024-26585

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2024-26585

어떻게 해야 하나요?

별도로 취해야 할 조치는 없습니다. 베어메탈용 GKE는 배포 시 운영체제를 번들로 제공하지 않으므로 영향을 받지 않습니다.

최근 서비스 거부(DoS) 취약점(CVE-2023-45288)이 Kubernetes에서 사용하는 golang HTTP 서버를 포함하여 HTTP/2 프로토콜의 여러 구현에서 발견되었습니다. 이 취약점으로 인해 Google Kubernetes Engine(GKE) 컨트롤 플레인에 대한 DoS가 발생할 수 있습니다. 승인된 네트워크가 구성된 GKE 클러스터는 네트워크 액세스 제한을 통해 보호되지만 다른 모든 클러스터는 영향을 받습니다.

GKE Autopilot 및 Standard 클러스터가 영향을 받습니다.

어떻게 해야 하나요?

2024년 4월 24일 업데이트: GKE의 패치 버전이 추가되었습니다.

다음 GKE 버전에는 이 취약점을 해결하기 위한 Golang 보안 패치가 포함되어 있습니다. GKE 클러스터를 다음 버전 이상으로 업그레이드합니다.

• 1.25.16-gke.1759000
• 1.26.15-gke.1158000
• 1.27.12-gke.1190000
• 1.28.8-gke.1175000
• 1.29.3-gke.1282000

golang 프로젝트는 2024년 4월 3일에 패치가 출시되었습니다. 이러한 패치가 포함된 GKE 버전이 제공되면 이 게시판이 업데이트됩니다. 단축된 일정에 따라 패치를 요청하려면 지원팀에 문의하세요.

컨트롤 플레인 액세스를 위해 승인된 네트워크를 구성하여 완화:

승인된 네트워크를 구성하여 이 공격 클래스로부터 클러스터를 완화할 수 있습니다. 안내에 따라 기존 클러스터에 승인된 네트워크를 사용 설정합니다.

승인된 네트워크 제어로 컨트롤 플레인에 액세스하는 방법은 승인된 네트워크 작동 방법을 참조하세요. 기본 승인된 네트워크 액세스를 보려면 컨트롤 플레인 엔드포인트에 대한 액세스 섹션의 표를 참고하세요.

이 패치로 어떤 취약점이 해결되나요?

취약점(CVE-2023-45288)을 통해 공격자가 Kubernetes 컨트롤 플레인에서 DoS 공격을 실행할 수 있습니다.

최근 서비스 거부(DoS) 취약점(CVE-2023-45288)이 Kubernetes에서 사용하는 golang HTTP 서버를 포함하여 HTTP/2 프로토콜의 여러 구현에서 발견되었습니다. 이 취약점으로 인해 Google Kubernetes Engine(GKE) 컨트롤 플레인에 대한 DoS가 발생할 수 있습니다.

어떻게 해야 하나요?

2024년 7월 17일 업데이트: VMware용 GKE 패치 버전이 추가되었습니다.

다음 VMware용 GKE 버전에는 이 취약점을 해결하기 위한 코드가 포함되어 있습니다. VMware용 GKE 클러스터를 다음 버전 이상으로 업그레이드합니다.

• 1.29.0
• 1.28.500
• 1.16.8

golang 프로젝트는 2024년 4월 3일에 패치가 출시되었습니다. 이러한 패치가 포함된 VMware용 GKE 버전이 제공되면 이 게시판이 업데이트됩니다. 단축된 일정에 따라 패치를 요청하려면 지원팀에 문의하세요.

이 패치로 어떤 취약점이 해결되나요?

취약점(CVE-2023-45288)을 통해 공격자가 Kubernetes 컨트롤 플레인에서 DoS 공격을 실행할 수 있습니다.

최근 서비스 거부(DoS) 취약점(CVE-2023-45288)이 Kubernetes에서 사용하는 golang HTTP 서버를 포함하여 HTTP/2 프로토콜의 여러 구현에서 발견되었습니다. 이 취약점으로 인해 Google Kubernetes Engine(GKE) 컨트롤 플레인에 대한 DoS가 발생할 수 있습니다.

어떻게 해야 하나요?

golang 프로젝트는 2024년 4월 3일에 패치가 출시되었습니다. 이러한 패치가 포함된 AWS용 GKE 버전이 제공되면 이 게시판이 업데이트됩니다. 단축된 일정에 따라 패치를 요청하려면 지원팀에 문의하세요.

이 패치로 어떤 취약점이 해결되나요?

취약점(CVE-2023-45288)을 통해 공격자가 Kubernetes 컨트롤 플레인에서 DoS 공격을 실행할 수 있습니다.

최근 서비스 거부(DoS) 취약점(CVE-2023-45288)이 Kubernetes에서 사용하는 golang HTTP 서버를 포함하여 HTTP/2 프로토콜의 여러 구현에서 발견되었습니다. 이 취약점으로 인해 Google Kubernetes Engine(GKE) 컨트롤 플레인에 대한 DoS가 발생할 수 있습니다.

어떻게 해야 하나요?

golang 프로젝트는 2024년 4월 3일에 패치가 출시되었습니다. 이러한 패치가 포함된 Azure용 GKE 버전이 제공되면 이 게시판이 업데이트됩니다. 단축된 일정에 따라 패치를 요청하려면 지원팀에 문의하세요.

이 패치로 어떤 취약점이 해결되나요?

취약점(CVE-2023-45288)을 통해 공격자가 Kubernetes 컨트롤 플레인에서 DoS 공격을 실행할 수 있습니다.

최근 서비스 거부(DoS) 취약점(CVE-2023-45288)이 Kubernetes에서 사용하는 golang HTTP 서버를 포함하여 HTTP/2 프로토콜의 여러 구현에서 발견되었습니다. 이 취약점으로 인해 Google Kubernetes Engine(GKE) 컨트롤 플레인에 대한 DoS가 발생할 수 있습니다.

어떻게 해야 하나요?

2024년 7월 9일 업데이트: 베어메탈용 GKE 패치 버전이 추가되었습니다.

다음 베어메탈용 GKE 버전에는 이 취약점을 해결하기 위한 코드가 포함되어 있습니다. 베어메탈용 GKE 클러스터를 다음 버전 이상으로 업그레이드합니다.

• 1.29.100
• 1.28.600
• 1.16.9

golang 프로젝트는 2024년 4월 3일에 패치가 출시되었습니다. 이러한 패치가 포함된 베어메탈용 GKE 버전이 제공되면 이 게시판이 업데이트됩니다. 단축된 일정에 따라 패치를 요청하려면 지원팀에 문의하세요.

이 패치로 어떤 취약점이 해결되나요?

취약점(CVE-2023-45288)을 통해 공격자가 Kubernetes 컨트롤 플레인에서 DoS 공격을 실행할 수 있습니다.

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2024-1085

GKE Standard 클러스터가 영향을 받습니다. 기본 구성의 GKE Autopilot 클러스터는 영향을 받지 않지만, 명시적으로 seccomp Unconfined 프로필을 설정하거나 CAP_NET_ADMIN을 허용하는 경우 취약점이 발생할 수 있습니다.

GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다.

어떻게 해야 하나요?

2024년 5월 6일 업데이트: Ubuntu에서 이 취약점을 해결하기 위한 코드로 다음 GKE 버전이 업데이트됩니다. Ubuntu 노드 풀을 다음 버전 이상으로 업그레이드하세요.

• 1.26.15-gke.1158000
• 1.27.12-gke.1190000
• 1.28.8-gke.1175000
• 1.29.3-gke.1093000

2024년 4월 4일 업데이트: GKE Container-Optimized OS 노드 풀의 최소 버전이 수정되었습니다.

이전에 나열된 Container-Optimized OS 수정사항이 포함된 최소 GKE 버전이 잘못되었습니다. Container-Optimized OS에서 이 취약점을 해결하기 위한 코드로 다음 GKE 버전이 업데이트됩니다. Container-Optimized OS 노드 풀을 다음 버전 이상으로 업그레이드합니다.

• 1.25.16-gke.1520000
• 1.26.13-gke.1221000
• 1.27.10-gke.1243000
• 1.28.8-gke.1083000
• 1.29.3-gke.1054000

영향을 받는 마이너 버전은 다음과 같습니다. Container-Optimized OS 노드 풀을 다음 패치 버전 중 하나로 업그레이드하세요.

• 1.25.16-gke.1518000
• 1.26.13-gke.1219000
• 1.27.10-gke.1240000
• 1.28.6-gke.1433000
• 1.29.1-gke.1716000

클러스터가 자체 출시 채널에서 동일한 부 버전을 실행하는 경우 최신 출시 채널의 패치 버전을 적용할 수 있습니다. 이 기능을 사용하면 패치 버전이 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 자세한 내용은 최신 채널에서 패치 버전 실행을 참조하세요.

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2024-1085

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2024-1085

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2024-1085

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2024-1085

어떻게 해야 하나요?

별도로 취해야 할 조치는 없습니다. 베어메탈용 GKE는 배포 시 운영체제를 번들로 제공하지 않으므로 영향을 받지 않습니다.

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-3611

GKE Standard 클러스터가 영향을 받습니다. 기본 구성의 GKE Autopilot 클러스터는 영향을 받지 않지만, 명시적으로 seccomp Unconfined 프로필을 설정하거나 CAP_NET_ADMIN을 허용하는 경우 취약점이 발생할 수 있습니다.

GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다.

어떻게 해야 하나요?

영향을 받는 마이너 버전은 다음과 같습니다. Container-Optimized OS 노드 풀을 다음 패치 버전 중 하나로 업그레이드하세요.

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

영향을 받는 마이너 버전은 다음과 같습니다. Ubuntu 노드 풀을 다음 패치 버전 이상 중 하나로 업그레이드하세요.

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

클러스터가 자체 출시 채널에서 동일한 부 버전을 실행하는 경우 최신 출시 채널의 패치 버전을 적용할 수 있습니다. 이 기능을 사용하면 패치 버전이 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 자세한 내용은 최신 채널에서 패치 버전 실행을 참조하세요.

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-3611

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-3611

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-3611

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-3611

어떻게 해야 하나요?

별도로 취해야 할 조치는 없습니다. 베어메탈용 GKE는 배포 시 운영체제를 번들로 제공하지 않으므로 영향을 받지 않습니다.

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-3776

GKE Standard 클러스터가 영향을 받습니다. 기본 구성의 GKE Autopilot 클러스터는 영향을 받지 않지만, 명시적으로 seccomp Unconfined 프로필을 설정하거나 CAP_NET_ADMIN을 허용하는 경우 취약점이 발생할 수 있습니다.

GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다.

어떻게 해야 하나요?

영향을 받는 마이너 버전은 다음과 같습니다. Container-Optimized OS 노드 풀을 다음 패치 버전 중 하나로 업그레이드하세요.

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1014001
• 1.27.3-gke.1001002
• 1.28.0-gke.100

영향을 받는 마이너 버전은 다음과 같습니다. Ubuntu 노드 풀을 다음 패치 버전 이상 중 하나로 업그레이드하세요.

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

클러스터가 자체 출시 채널에서 동일한 부 버전을 실행하는 경우 최신 출시 채널의 패치 버전을 적용할 수 있습니다. 이 기능을 사용하면 패치 버전이 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 자세한 내용은 최신 채널에서 패치 버전 실행을 참조하세요.

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-3776

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-3776

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-3776

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-3776

어떻게 해야 하나요?

별도로 취해야 할 조치는 없습니다. 베어메탈용 GKE는 배포 시 운영체제를 번들로 제공하지 않으므로 영향을 받지 않습니다.

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-3610

GKE Standard 클러스터가 영향을 받습니다. 기본 구성의 GKE Autopilot 클러스터는 영향을 받지 않지만, 명시적으로 seccomp Unconfined 프로필을 설정하거나 CAP_NET_ADMIN을 허용하는 경우 취약점이 발생할 수 있습니다.

GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다.

어떻게 해야 하나요?

영향을 받는 마이너 버전은 다음과 같습니다. Container-Optimized OS 노드 풀을 다음 패치 버전 중 하나로 업그레이드하세요.

• 1.27.3-gke.1001002
• 1.28.0-gke.100

영향을 받는 마이너 버전은 다음과 같습니다. Ubuntu 노드 풀을 다음 패치 버전 이상 중 하나로 업그레이드하세요.

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

클러스터가 자체 출시 채널에서 동일한 부 버전을 실행하는 경우 최신 출시 채널의 패치 버전을 적용할 수 있습니다. 이 기능을 사용하면 패치 버전이 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 자세한 내용은 최신 채널에서 패치 버전 실행을 참조하세요.

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-3610

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-3610

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-3610

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-3610

어떻게 해야 하나요?

별도로 취해야 할 조치는 없습니다. 베어메탈용 GKE는 배포 시 운영체제를 번들로 제공하지 않으므로 영향을 받지 않습니다.

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2024-0193

GKE Standard 클러스터가 영향을 받습니다. 기본 구성의 GKE Autopilot 클러스터는 영향을 받지 않지만, 명시적으로 seccomp Unconfined 프로필을 설정하거나 CAP_NET_ADMIN을 허용하는 경우 취약점이 발생할 수 있습니다.

GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다.

어떻게 해야 하나요?

영향을 받는 마이너 버전은 다음과 같습니다. Container-Optimized OS 노드 풀을 다음 패치 버전 중 하나로 업그레이드하세요.

• 1.27.10-gke.1149000
• 1.28.6-gke.1274000
• 1.29.1-gke.1388000

영향을 받는 마이너 버전은 다음과 같습니다. Ubuntu 노드 풀을 다음 패치 버전 이상 중 하나로 업그레이드하세요.

• 1.25.16-gke.1412001
• 1.26.6-gke.1017002
• 1.27.10-gke.1055001
• 1.28.6-gke.1276000
• 1.29.1-gke.1392000

클러스터가 자체 출시 채널에서 동일한 부 버전을 실행하는 경우 최신 출시 채널의 패치 버전을 적용할 수 있습니다. 이 기능을 사용하면 패치 버전이 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 자세한 내용은 최신 채널에서 패치 버전 실행을 참조하세요.

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2024-0193

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2024-0193

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2024-0193

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2024-0193

어떻게 해야 하나요?

별도로 취해야 할 조치는 없습니다. 베어메탈용 GKE는 배포 시 운영체제를 번들로 제공하지 않으므로 영향을 받지 않습니다.

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-6932

GKE Standard 클러스터가 영향을 받습니다. 기본 구성의 GKE Autopilot 클러스터는 영향을 받지 않지만, 명시적으로 seccomp Unconfined 프로필을 설정하거나 CAP_NET_ADMIN을 허용하는 경우 취약점이 발생할 수 있습니다.

GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다.

어떻게 해야 하나요?

영향을 받는 마이너 버전은 다음과 같습니다. Container-Optimized OS 노드 풀을 다음 패치 버전 중 하나로 업그레이드하세요.

• 1.24.17-gke.2364001
• 1.25.16-gke.1229000
• 1.26.6-gke.1017002
• 1.27.3-gke.1001003
• 1.28.5-gke.1194000
• 1.29.0-gke.1340000

영향을 받는 마이너 버전은 다음과 같습니다. Ubuntu 노드 풀을 다음 패치 버전 이상 중 하나로 업그레이드하세요.

• 1.25.16-gke.1412001
• 1.26.6-gke.1017002
• 1.27.10-gke.1055001
• 1.28.6-gke.1276000
• 1.29.1-gke.1221000

클러스터가 자체 출시 채널에서 동일한 부 버전을 실행하는 경우 최신 출시 채널의 패치 버전을 적용할 수 있습니다. 이 기능을 사용하면 패치 버전이 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 자세한 내용은 최신 채널에서 패치 버전 실행을 참조하세요.

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-6932

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-6932

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-6932

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-6932

어떻게 해야 하나요?

별도로 취해야 할 조치는 없습니다. 베어메탈용 GKE는 배포 시 운영체제를 번들로 제공하지 않으므로 영향을 받지 않습니다.

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-6931

GKE Standard 클러스터가 영향을 받습니다. 기본 구성의 GKE Autopilot 클러스터는 영향을 받지 않지만, 명시적으로 seccomp Unconfined 프로필을 설정하거나 CAP_NET_ADMIN을 허용하는 경우 취약점이 발생할 수 있습니다.

GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다.

어떻게 해야 하나요?

영향을 받는 마이너 버전은 다음과 같습니다. Container-Optimized OS 노드 풀을 다음 패치 버전 중 하나로 업그레이드하세요.

• 1.24.17-gke.2364001
• 1.25.16-gke.1229000
• 1.26.6-gke.1017002
• 1.27.3-gke.1001003
• 1.28.5-gke.1194000
• 1.29.0-gke.1340000

영향을 받는 마이너 버전은 다음과 같습니다. Ubuntu 노드 풀을 다음 패치 버전 이상 중 하나로 업그레이드하세요.

• 1.25.16-gke.1412001
• 1.26.6-gke.1017002
• 1.27.10-gke.1055001
• 1.28.6-gke.1276000
• 1.29.1-gke.1221000

클러스터가 자체 출시 채널에서 동일한 부 버전을 실행하는 경우 최신 출시 채널의 패치 버전을 적용할 수 있습니다. 이 기능을 사용하면 패치 버전이 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 자세한 내용은 최신 채널에서 패치 버전 실행을 참조하세요.

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-6931

어떻게 해야 하나요?

2024년 4월 17일 업데이트: VMware용 GKE의 패치 버전이 추가되었습니다.

이 취약점을 해결하기 위한 코드로 다음 VMware용 GKE 버전이 업데이트됩니다. 클러스터를 다음 버전 이상으로 업그레이드합니다.

• 1.28.200
• 1.16.6
• 1.15.10

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-6931

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-6931

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-6931

어떻게 해야 하나요?

별도로 취해야 할 조치는 없습니다. 베어메탈용 GKE는 배포 시 운영체제를 번들로 제공하지 않으므로 영향을 받지 않습니다.

CVE-2023-5528을 사용하면 공격자가 이러한 노드에서 관리자 권한 에스컬레이션을 사용 설정하는 방식으로 Windows 노드에 포드 및 영구 볼륨을 만들 수 있습니다.

Windows Server 노드를 실행하고 트리 내 스토리지 플러그인을 사용하는 GKE Standard 클러스터가 영향을 받을 수 있습니다.

GKE Sandbox를 사용하는 GKE Autopilot 클러스터 및 GKE 노드 풀은 Windows Server 노드를 지원하지 않으므로 영향을 받지 않습니다.

어떻게 해야 하나요?

클러스터에서 사용 중인 Windows Server 노드가 있는지 확인합니다.

kubectl get nodes -l kubernetes.io/os=windows

감사 로그에서 악용 증거를 확인합니다. Kubernetes 감사 로그를 감사하여 이 취약점이 악용되고 있는지 확인할 수 있습니다. 특수문자가 포함된 로컬 경로 필드를 사용하는 영구 볼륨 만들기 이벤트는 강력한 악용 지표입니다.

GKE 클러스터 및 노드 풀을 패치 버전으로 업데이트하세요. 이 취약점을 해결하기 위해 다음 GKE 버전이 업데이트되었습니다. 노드 자동 업그레이드가 사용 설정된 경우에도 클러스터와 Windows Server 노드 풀을 다음 GKE 버전 이상 중 하나로 직접 업그레이드하는 것이 좋습니다.

• 1.24.17-gke.6100
• 1.25.15-gke.2000
• 1.26.10-gke.2000
• 1.27.7-gke.2000
• 1.28.3-gke.1600

클러스터가 자체 출시 채널에서 동일한 부 버전을 실행하는 경우 최신 출시 채널의 패치 버전을 적용할 수 있습니다. 이 기능을 사용하면 패치 버전이 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 자세한 내용은 최신 채널에서 패치 버전 실행을 참조하세요.

이 패치로 어떤 취약점이 해결되나요?

CVE-2023-5528을 사용하면 공격자가 이러한 노드에서 관리자 권한 에스컬레이션을 사용 설정하는 방식으로 Windows 노드에 포드 및 영구 볼륨을 만들 수 있습니다.

CVE-2023-5528을 사용하면 공격자가 이러한 노드에서 관리자 권한 에스컬레이션을 사용 설정하는 방식으로 Windows 노드에 포드 및 영구 볼륨을 만들 수 있습니다.

Windows Server 노드를 실행하고 트리 내 스토리지 플러그인을 사용하는 VMware용 GKE 클러스터가 영향을 받을 수 있습니다.

어떻게 해야 하나요?

클러스터에서 사용 중인 Windows Server 노드가 있는지 확인합니다.

kubectl get nodes -l kubernetes.io/os=windows

감사 로그에서 악용 증거를 확인합니다. Kubernetes 감사 로그를 감사하여 이 취약점이 악용되고 있는지 확인할 수 있습니다. 특수문자가 포함된 로컬 경로 필드를 사용하는 영구 볼륨 만들기 이벤트는 강력한 악용 지표입니다.

VMware용 GKE 클러스터와 노드 풀을 패치 버전으로 업데이트하세요. 이 취약점을 해결하기 위해 다음 VMware용 GKE 버전이 업데이트되었습니다. 노드 자동 업그레이드가 사용 설정된 경우에도 클러스터와 Windows Server 노드 풀을 다음 VMware용 GKE 버전 이상 중 하나로 직접 업그레이드하는 것이 좋습니다.

• 1.28.100-gke.131
• 1.16.5-gke.28
• 1.15.8-gke.41

이 패치로 어떤 취약점이 해결되나요?

CVE-2023-5528을 사용하면 공격자가 이러한 노드에서 관리자 권한 에스컬레이션을 사용 설정하는 방식으로 Windows 노드에 포드 및 영구 볼륨을 만들 수 있습니다.

CVE-2023-5528을 사용하면 공격자가 이러한 노드에서 관리자 권한 에스컬레이션을 사용 설정하는 방식으로 Windows 노드에 포드 및 영구 볼륨을 만들 수 있습니다.

AWS용 GKE 클러스터는 영향을 받지 않습니다.

어떻게 해야 하나요?

조치 필요 없음

CVE-2023-5528을 사용하면 공격자가 이러한 노드에서 관리자 권한 에스컬레이션을 사용 설정하는 방식으로 Windows 노드에 포드 및 영구 볼륨을 만들 수 있습니다.

Azure용 GKE 클러스터는 영향을 받지 않습니다.

어떻게 해야 하나요?

조치 필요 없음

CVE-2023-5528을 사용하면 공격자가 이러한 노드에서 관리자 권한 에스컬레이션을 사용 설정하는 방식으로 Windows 노드에 포드 및 영구 볼륨을 만들 수 있습니다.

베어메탈용 GKE 클러스터는 영향을 받지 않습니다.

어떻게 해야 하나요?

조치 필요 없음

Container-Optimized OS 및 Ubuntu 노드에서 포드를 만들 수 있는 권한이 있는 사용자가 노드 파일 시스템에 대한 전체 액세스 권한을 얻을 수 있는 runc에서 보안 취약점 CVE-2024-21626이 발견되었습니다.

GKE Standard 및 Autopilot 클러스터가 영향을 받습니다.

GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다.

어떻게 해야 하나요?

2024년 2월 28일 업데이트: 다음 GKE 버전은 Ubuntu에서 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. Ubuntu 노드 풀을 다음 패치 버전 중 하나 또는 그 이상으로 업그레이드하세요.

• 1.25.16-gke.1537000
• 1.26.14-gke.1006000

2024년 2월 15일 업데이트: 문제로 인해 2024년 2월 14일 업데이트에서 다음 Ubuntu 패치 버전들이 노드를 비정상 상태가 되도록 할 수 있습니다. 다음 패치 버전으로 업그레이드하지 마세요. Ubuntu용 최신 패치 버전이 1.25 및 1.26에 제공되면 이 게시판이 업데이트됩니다.

• 1.25.16-gke.1497000
• 1.26.13-gke.1189000

이러한 패치 버전 중 하나로 이미 업그레이드한 경우 출시 채널에서 노드 풀을 이전 버전으로 수동으로 다운그레이드합니다.

2024년 2월 14일 업데이트: 다음 GKE 버전은 Ubuntu에서 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. Ubuntu 노드 풀을 다음 패치 버전 중 하나 또는 그 이상으로 업그레이드하세요.

• 1.25.16-gke.1497000
• 1.26.13-gke.1189000
• 1.27.10-gke.1207000
• 1.28.6-gke.1369000
• 1.29.1-gke.1575000

2024년 2월 6일 업데이트: 다음 GKE 버전은 Container-Optimized OS에서 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 보안을 위해 노드 자동 업그레이드가 사용 설정된 경우에도 클러스터와 Container-Optimized OS 노드 풀을 다음 GKE 버전 이상 중 하나로 직접 업그레이드하는 것이 좋습니다.

• 1.25.16-gke.1460000
• 1.26.13-gke.1144000
• 1.27.10-gke.1152000
• 1.28.6-gke.1289000
• 1.29.1-gke.1425000

클러스터가 자체 출시 채널에서 동일한 부 버전을 실행하는 경우 최신 출시 채널의 패치 버전을 적용할 수 있습니다. 이 기능을 사용하면 패치 버전이 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 자세한 내용은 최신 채널에서 패치 버전 실행을 참조하세요.

이 취약점을 해결하기 위한 코드로 GKE가 업데이트됩니다. 패치 버전이 제공되면 이 게시판이 업데이트됩니다.

이 패치로 어떤 취약점이 해결되나요?

runc는 Kubernetes 포드에 사용되는 Linux 컨테이너를 생성하고 실행하기 위한 하위 수준 도구입니다. 이 보안 게시판에 출시된 패치 이전의 runc 버전에서는 여러 파일 설명자가 컨테이너 내에서 실행되는 runc init 프로세스로 의도치 않게 유출되었습니다. 또한 runc는 컨테이너의 최종 작업 디렉터리가 컨테이너의 마운트 네임스페이스 내에 있는지 확인하지 않았습니다. 악의적인 컨테이너 이미지 또는 임의의 포드를 실행할 수 있는 권한이 있는 사용자는 유출된 파일 설명자와 작업 디렉터리 검증 부족을 조합하여 노드의 호스트 마운트 네임스페이스에 액세스하고 전체 호스트 파일 시스템에 액세스하여 노드의 임의의 바이너리를 덮어쓸 수 있습니다.

Container-Optimized OS 및 Ubuntu 노드에서 포드를 만들 수 있는 권한이 있는 사용자가 노드 파일 시스템에 대한 전체 액세스 권한을 얻을 수 있는 runc에서 보안 취약점 CVE-2024-21626이 발견되었습니다.

어떻게 해야 하나요?

2024년 3월 6일 업데이트: 다음 VMware용 GKE 버전은 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 클러스터를 다음 버전 이상으로 업그레이드합니다.

• 1.28.200
• 1.16.6
• 1.15.9

VMware용 GKE의 패치 버전과 심각도 평가가 진행 중입니다. 해당 정보가 제공되면 이 정보로 게시판을 업데이트합니다.

이 패치로 어떤 취약점이 해결되나요?

runc는 Kubernetes 포드에 사용되는 Linux 컨테이너를 생성하고 실행하기 위한 하위 수준 도구입니다. 이 보안 게시판에 출시된 패치 이전의 runc 버전에서는 여러 파일 설명자가 컨테이너 내에서 실행되는 runc init 프로세스로 의도치 않게 유출되었습니다. 또한 runc는 컨테이너의 최종 작업 디렉터리가 컨테이너의 마운트 네임스페이스 내에 있는지 확인하지 않았습니다. 악의적인 컨테이너 이미지 또는 임의의 포드를 실행할 수 있는 권한이 있는 사용자는 유출된 파일 설명자와 작업 디렉터리 검증 부족을 조합하여 노드의 호스트 마운트 네임스페이스에 액세스하고 전체 호스트 파일 시스템에 액세스하여 노드의 임의의 바이너리를 덮어쓸 수 있습니다.

Container-Optimized OS 및 Ubuntu 노드에서 포드를 만들 수 있는 권한이 있는 사용자가 노드 파일 시스템에 대한 전체 액세스 권한을 얻을 수 있는 runc에서 보안 취약점 CVE-2024-21626이 발견되었습니다.

어떻게 해야 하나요?

2024년 5월 6일 업데이트: CVE-2024-21626용 패치로 다음 버전의 AWS용 GKE가 업데이트되었습니다.

• 1.28.5-gke.1200
• 1.27.10-gke.500
• 1.26.13-gke.400

AWS용 GKE의 패치 버전과 심각도 평가가 진행 중입니다. 해당 정보가 제공되면 이 정보로 게시판을 업데이트합니다.

이 패치로 어떤 취약점이 해결되나요?

runc는 Kubernetes 포드에 사용되는 Linux 컨테이너를 생성하고 실행하기 위한 하위 수준 도구입니다. 이 보안 게시판에 출시된 패치 이전의 runc 버전에서는 여러 파일 설명자가 컨테이너 내에서 실행되는 runc init 프로세스로 의도치 않게 유출되었습니다. 또한 runc는 컨테이너의 최종 작업 디렉터리가 컨테이너의 마운트 네임스페이스 내에 있는지 확인하지 않았습니다. 악의적인 컨테이너 이미지 또는 임의의 포드를 실행할 수 있는 권한이 있는 사용자는 유출된 파일 설명자와 작업 디렉터리 검증 부족을 조합하여 노드의 호스트 마운트 네임스페이스에 액세스하고 전체 호스트 파일 시스템에 액세스하여 노드의 임의의 바이너리를 덮어쓸 수 있습니다.

Container-Optimized OS 및 Ubuntu 노드에서 포드를 만들 수 있는 권한이 있는 사용자가 노드 파일 시스템에 대한 전체 액세스 권한을 얻을 수 있는 runc에서 보안 취약점 CVE-2024-21626이 발견되었습니다.

어떻게 해야 하나요?

2024년 5월 6일 업데이트: CVE-2024-21626용 패치로 다음 버전의 Azure용 GKE가 업데이트되었습니다.

• 1.28.5-gke.1200
• 1.27.10-gke.500
• 1.26.13-gke.400

Azure용 GKE의 패치 버전과 심각도 평가가 진행 중입니다. 해당 정보가 제공되면 이 정보로 게시판을 업데이트합니다.

이 패치로 어떤 취약점이 해결되나요?

runc는 Kubernetes 포드에 사용되는 Linux 컨테이너를 생성하고 실행하기 위한 하위 수준 도구입니다. 이 보안 게시판에 출시된 패치 이전의 runc 버전에서는 여러 파일 설명자가 컨테이너 내에서 실행되는 runc init 프로세스로 의도치 않게 유출되었습니다. 또한 runc는 컨테이너의 최종 작업 디렉터리가 컨테이너의 마운트 네임스페이스 내에 있는지 확인하지 않았습니다. 악의적인 컨테이너 이미지 또는 임의의 포드를 실행할 수 있는 권한이 있는 사용자는 유출된 파일 설명자와 작업 디렉터리 검증 부족을 조합하여 노드의 호스트 마운트 네임스페이스에 액세스하고 전체 호스트 파일 시스템에 액세스하여 노드의 임의의 바이너리를 덮어쓸 수 있습니다.

포드를 만들 수 있는 권한이 있는 사용자가 노드 파일 시스템에 대해 전체 액세스 권한을 얻을 수 있는 runc에서 보안 취약점 CVE-2024-21626이 발견되었습니다.

어떻게 해야 하나요?

2024년 4월 2일 업데이트: 이 취약점을 해결하기 위한 코드로 다음 버전의 베어메탈용 GKE가 업데이트되었습니다. 클러스터를 다음 버전 이상으로 업그레이드합니다.

• 1.28.200-gke.118
• 1.16.6
• 1.15.10

베어메탈용 GKE의 패치 버전과 심각도 평가가 진행 중입니다. 해당 정보가 제공되면 이 정보로 게시판을 업데이트합니다.

이 패치로 어떤 취약점이 해결되나요?

runc는 Kubernetes 포드에 사용되는 Linux 컨테이너를 생성하고 실행하기 위한 하위 수준 도구입니다. 이 보안 게시판에 출시된 패치 이전의 runc 버전에서는 여러 파일 설명자가 컨테이너 내에서 실행되는 runc init 프로세스로 의도치 않게 유출되었습니다. 또한 runc는 컨테이너의 최종 작업 디렉터리가 컨테이너의 마운트 네임스페이스 내에 있는지 확인하지 않았습니다. 악의적인 컨테이너 이미지 또는 임의의 포드를 실행할 수 있는 권한이 있는 사용자는 유출된 파일 설명자와 작업 디렉터리 검증 부족을 조합하여 노드의 호스트 마운트 네임스페이스에 액세스하고 전체 호스트 파일 시스템에 액세스하여 노드의 임의의 바이너리를 덮어쓸 수 있습니다.

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-6817

GKE Standard 클러스터가 영향을 받습니다. 기본 구성의 GKE Autopilot 클러스터는 영향을 받지 않지만, 명시적으로 seccomp Unconfined 프로필을 설정하거나 CAP_NET_ADMIN을 허용하는 경우 취약점이 발생할 수 있습니다.

GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다.

어떻게 해야 하나요?

2024년 2월 7일 업데이트: 영향을 받는 마이너 버전은 다음과 같습니다. Ubuntu 노드 풀을 다음 패치 버전 이상 중 하나로 업그레이드하세요.

• 1.25.16-gke.1458000
• 1.26.13-gke.1143000
• 1.27.10-gke.1152000
• 1.28.6-gke.1276000
• 1.29.1-gke.1221000

영향을 받는 마이너 버전은 다음과 같습니다. Container-Optimized OS 노드 풀을 다음 패치 버전 중 하나로 업그레이드하세요.

• 1.25.16-gke.1229000
• 1.26.12-gke.1087000
• 1.27.3-gke.1001003
• 1.28.5-gke.1194000
• 1.29.0-gke.1340000

클러스터가 자체 출시 채널에서 동일한 부 버전을 실행하는 경우 최신 출시 채널의 패치 버전을 적용할 수 있습니다. 이 기능을 사용하면 패치 버전이 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 자세한 내용은 최신 채널에서 패치 버전 실행을 참조하세요.

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-6817

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-6817

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-6817

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-6817

어떻게 해야 하나요?

별도로 취해야 할 조치는 없습니다. 베어메탈용 GKE는 배포 시 운영체제를 번들로 제공하지 않으므로 영향을 받지 않습니다.

2024년 1월 26일 업데이트: 일부 클러스터에서 system:authenticated 그룹과 관련된 고객 생성 구성 오류를 확인한 보안 연구가 이제 게시되었습니다. 이 연구원의 블로그 게시물에서는 바인딩 구성 오류가 있는 1,300개 클러스터와 권한이 높게 설정된 108개 클러스터가 언급되어 있습니다. Google은 영향을 받은 고객들의 긴밀한 협력을 통해 바인딩 구성 오류를 식별하고 삭제를 도왔습니다.

Google 계정을 가진 모든 사용자를 포함하는 system:authenticated 그룹에 대한 Kubernetes 권한이 사용자에게 부여된 클러스터가 여러 개 식별되었습니다. 이러한 유형의 바인딩은 최소 권한의 원칙을 위반하고 대규모 사용자 그룹에 액세스 권한을 부여하므로 권장되지 않습니다. 이러한 유형의 바인딩을 찾는 방법은 '어떻게 해야 하나요'의 안내를 참고하세요.

최근 Google 취약점 보고 프로그램을 통해 RBAC 구성 오류가 있는 클러스터가 발견되었다는 연구원의 보고가 있었습니다.

Google의 인증 접근 방식은 복잡한 구성 단계를 추가하지 않고 Google Cloud 및 GKE에 대한 인증을 가능한 한 간단하고 안전하게 만드는 것입니다. 인증은 사용자가 누구인지 알려줄 뿐이며, 액세스는 승인을 통해 결정됩니다. 따라서 Google의 ID 공급업체를 통해 인증된 모든 사용자가 포함된 GKE의 system:authenticated 그룹은 정상적으로 작동하며 IAM allAuthenticatedUsers 식별자와 동일한 방식으로 기능합니다.

사용자가 system:anonymous, system:authenticated, system:unauthenticated를 포함한 Kubernetes 기본 제공 사용자 및 그룹의 승인 오류를 초래할 위험을 줄이기 위해 이를 감안한 몇 가지 조치를 취했습니다. 이러한 모든 사용자/그룹은 권한이 부여될 경우 클러스터에 위험을 초래할 수 있습니다. 2023년 11월에 개최된 Kubecon에서 RBAC 구성 오류를 노리는 공격자 활동 요소와 사용 가능한 방어 조치에 관해 논의했습니다.

시스템 사용자/그룹의 우발적인 승인 오류로부터 사용자를 보호하기 위해 다음과 같이 조치했습니다.

• GKE 버전 1.28에서 권한이 높은 cluster-admin ClusterRole을 system:anonymous 사용자, system:authenticated 그룹 또는 system:unauthenticated 그룹에 새로 바인딩하는 것을 기본적으로 차단했습니다.
• Event Threat Detection에 감지 규칙(GKE_CONTROL_PLANE_CREATE_SENSITIVE_BINDING)을 빌드해 Security Command Center에 추가했습니다.
• K8sRestrictRoleBindings를 사용해 정책 컨트롤러에 구성 가능한 방지 규칙을 빌드했습니다.
• 사용자/그룹에 바인딩된 모든 GKE 사용자에게 이메일 알림을 전송하여 해당 구성을 검토하도록 요청했습니다.
• 네트워크 승인 기능을 빌드하고 1차 방어 레이어로 클러스터에 대한 네트워크 액세스를 제한하는 추천을 만들었습니다.
• 2023년 11월 Kubecon에서 강연하여 이 문제에 대한 인식을 높였습니다.

승인된 네트워크 제한을 적용하는 클러스터에는 1차 방어 레이어가 있으며 인터넷에서 직접 공격을 받을 수 없습니다. 하지만 여전히 심층 방어와 네트워크 제어 오류 방지를 위해서는 이러한 바인딩을 삭제하는 것이 좋습니다.
참고로 Kubernetes 시스템 사용자 또는 그룹에 대한 바인딩을 의도적으로 사용하는 경우가 많이 있습니다(예: kubeadm 부트스트래핑, Rancher Dashboard, Bitnami Sealed Secrets). Goolge Cloud는 이러한 바인딩이 정상적으로 작동하는지 소프트웨어 공급업체에 확인했습니다.

Google은 예방 및 감지를 통해 이러한 시스템 사용자/그룹에 대한 사용자 RBAC 구성 오류를 방지하기 위한 추가 방법을 조사하고 있습니다.

어떻게 해야 하나요?

system:anonymous 사용자, system:authenticated 그룹 또는 system:unauthenticated 그룹 사용자에 대한 cluster-admin의 새 바인딩을 방지하려면 해당 바인딩 생성이 차단되는 GKE v1.28 또는 그 이후 버전으로 업그레이드하면 됩니다(출시 노트).

기존 바인딩은 이 안내에 따라 검토해야 합니다.

다음 취약점은 Linux 커널에서 Container-Optimized OS 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-6111

GKE Standard 클러스터가 영향을 받습니다. 기본 구성의 GKE Autopilot 클러스터는 영향을 받지 않지만, 명시적으로 seccomp Unconfined 프로필을 설정하거나 CAP_NET_ADMIN을 허용하는 경우 취약점이 발생할 수 있습니다.

GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다.

어떻게 해야 하나요?

영향을 받는 마이너 버전은 다음과 같습니다. Container-Optimized OS 노드 풀을 다음 패치 버전 중 하나로 업그레이드하세요.

• 1.27.7-gke.1063001
• 1.28.5-gke.1194000
• 1.29.0-gke.1340000

클러스터가 자체 출시 채널에서 동일한 부 버전을 실행하는 경우 최신 출시 채널의 패치 버전을 적용할 수 있습니다. 이 기능을 사용하면 패치 버전이 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 자세한 내용은 최신 채널에서 패치 버전 실행을 참조하세요.

다음 취약점은 Linux 커널에서 Container-Optimized OS 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-6111

어떻게 해야 하나요?

2024년 2월 20일 업데이트: 이 취약점을 해결하기 위한 코드로 다음 VMware용 GKE 버전이 업데이트되었습니다. 클러스터를 1.28.100 이상 버전으로 업그레이드합니다.

다음 취약점은 Linux 커널에서 Container-Optimized OS 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-6111

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-6111

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-6111

어떻게 해야 하나요?

별도로 취해야 할 조치는 없습니다. 베어메탈용 GKE는 배포 시 운영체제를 번들로 제공하지 않으므로 영향을 받지 않습니다.

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-3609

GKE Standard 클러스터가 영향을 받습니다. 기본 구성의 GKE Autopilot 클러스터는 영향을 받지 않지만, 명시적으로 seccomp Unconfined 프로필을 설정하거나 CAP_NET_ADMIN을 허용하는 경우 취약점이 발생할 수 있습니다.

GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다.

어떻게 해야 하나요?

영향을 받는 마이너 버전은 다음과 같습니다. Container-Optimized OS 노드 풀을 다음 패치 버전 중 하나로 업그레이드하세요.

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1014001
• 1.27.3-gke.1001002
• 1.28.0-gke.100

영향을 받는 마이너 버전은 다음과 같습니다. Ubuntu 노드 풀을 다음 패치 버전 이상 중 하나로 업그레이드하세요.

• 1.24.14-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

클러스터가 자체 출시 채널에서 동일한 부 버전을 실행하는 경우 최신 출시 채널의 패치 버전을 적용할 수 있습니다. 이 기능을 사용하면 패치 버전이 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 자세한 내용은 최신 채널에서 패치 버전 실행을 참조하세요.

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-3609

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-3609

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-3609

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-3609

어떻게 해야 하나요?

별도로 취해야 할 조치는 없습니다. 베어메탈용 GKE는 배포 시 운영체제를 번들로 제공하지 않으므로 영향을 받지 않습니다.

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-3389

GKE Standard 및 Autopilot 클러스터가 영향을 받습니다.

GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다.

어떻게 해야 하나요?

영향을 받는 마이너 버전은 다음과 같습니다. Container-Optimized OS 노드 풀을 다음 패치 버전 중 하나로 업그레이드하세요.

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1014001
• 1.27.3-gke.1001002
• 1.28.0-gke.100

영향을 받는 마이너 버전은 다음과 같습니다. Ubuntu 노드 풀을 다음 패치 버전 이상 중 하나로 업그레이드하세요.

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1014001
• 1.27.3-gke.1001002
• 1.28.1-gke.1002003

클러스터가 자체 출시 채널에서 동일한 부 버전을 실행하는 경우 최신 출시 채널의 패치 버전을 적용할 수 있습니다. 이 기능을 사용하면 패치 버전이 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 자세한 내용은 최신 채널에서 패치 버전 실행을 참조하세요.

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-3389

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-3389

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-3389

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-3389

어떻게 해야 하나요?

별도로 취해야 할 조치는 없습니다. 베어메탈용 GKE는 배포 시 운영체제를 번들로 제공하지 않으므로 영향을 받지 않습니다.

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-3090

GKE Standard 클러스터가 영향을 받습니다. 기본 구성의 GKE Autopilot 클러스터는 영향을 받지 않지만, 명시적으로 seccomp Unconfined 프로필을 설정하거나 CAP_NET_ADMIN을 허용하는 경우 취약점이 발생할 수 있습니다.

GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다.

어떻게 해야 하나요?

영향을 받는 마이너 버전은 다음과 같습니다. Container-Optimized OS 노드 풀을 다음 패치 버전 중 하나로 업그레이드하세요.

• 1.24.14-gke.1027001
• 1.25.12-gke.900
• 1.26.5-gke.1014001
• 1.27.4-gke.400
• 1.28.0-gke.100

영향을 받는 마이너 버전은 다음과 같습니다. Ubuntu 노드 풀을 다음 패치 버전 이상 중 하나로 업그레이드하세요.

• 1.24.14-gke.1027001
• 1.25.12-gke.900
• 1.26.5-gke.1014001
• 1.27.4-gke.900
• 1.28.1-gke.1050000

클러스터가 자체 출시 채널에서 동일한 부 버전을 실행하는 경우 최신 출시 채널의 패치 버전을 적용할 수 있습니다. 이 기능을 사용하면 패치 버전이 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 자세한 내용은 최신 채널에서 패치 버전 실행을 참조하세요.

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-3090

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-3090

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-3090

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-3090

어떻게 해야 하나요?

별도로 취해야 할 조치는 없습니다. 베어메탈용 GKE는 배포 시 운영체제를 번들로 제공하지 않으므로 영향을 받지 않습니다.

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-3390

2023년 12월 21일 업데이트: 원본 게시판에서 Autopilot 클러스터가 영향을 받았다고 설명했지만 잘못된 내용이었습니다. 기본 구성의 GKE Autopilot 클러스터는 영향을 받지 않지만, 명시적으로 seccomp Unconfined 프로필을 설정하거나 CAP_NET_ADMIN을 허용하는 경우 취약점이 발생할 수 있습니다.

GKE Standard 및 Autopilot 클러스터가 영향을 받습니다.

GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다.

어떻게 해야 하나요?

영향을 받는 마이너 버전은 다음과 같습니다. Container-Optimized OS 노드 풀을 다음 패치 버전 중 하나로 업그레이드하세요.

• 1.27.4-gke.400
• 1.28.0-gke.100

영향을 받는 마이너 버전은 다음과 같습니다. Ubuntu 노드 풀을 다음 패치 버전 이상 중 하나로 업그레이드하세요.

• 1.24.14-gke.1027001
• 1.25.12-gke.900
• 1.26.5-gke.1014001
• 1.27.4-gke.900
• 1.28.1-gke.1050000

클러스터가 자체 출시 채널에서 동일한 부 버전을 실행하는 경우 최신 출시 채널의 패치 버전을 적용할 수 있습니다. 이 기능을 사용하면 패치 버전이 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 자세한 내용은 최신 채널에서 패치 버전 실행을 참조하세요.

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-3390

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-3390

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-3390

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-3390

어떻게 해야 하나요?

별도로 취해야 할 조치는 없습니다. 베어메탈용 GKE는 배포 시 운영체제를 번들로 제공하지 않으므로 영향을 받지 않습니다.

Fluent Bit 로깅 컨테이너를 손상시킨 공격자가 Cloud Service Mesh(사용 설정된 클러스터에서)에서 클러스터에 권한을 에스컬레이션하기 위해 필요한 고급 권한과 해당 액세스 권한을 결합할 수 있습니다. Fluent Bit 및 Cloud Service Mesh 관련 문제가 해결되었고 이제 수정 사항이 제공됩니다. 이러한 취약점은 GKE에서 자체적인 악용이 불가능하며 초기 손상이 필요합니다. Google에서는 이러한 취약점의 악용 사례가 확인되지 않았습니다.

이러한 문제는 취약점 발견 보상 프로그램을 통해 보고되었습니다.

어떻게 해야 하나요?

Fluent Bit에서 이러한 취약점을 해결하고 관리형 Cloud Service Mesh 사용자를 위해 다음 버전의 GKE가 업데이트되었습니다. 보안을 위해 노드 자동 업그레이드가 사용 설정된 경우에도 클러스터와 노드 풀을 다음 GKE 버전 이상 중 하나로 직접 업그레이드하는 것이 좋습니다.

• 1.25.16-gke.1020000
• 1.26.10-gke.1235000
• 1.27.7-gke.1293000
• 1.28.4-gke.1083000

출시 채널의 최근 기능을 사용하면 채널을 구독 취소하지 않고도 패치를 적용할 수 있습니다. 이렇게 하면 새 버전이 특정 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다.

클러스터에 클러스터 내 Cloud Service Mesh가 사용되는 경우 다음 버전 중 하나로 수동으로 업그레이드해야 합니다(출시 노트).

• 1.17.8-asm.8
• 1.18.6-asm.2
• 1.19.5-asm.4

이 패치로 어떤 취약점이 해결되나요?

이 게시판에서 논의된 취약점을 악용하기 위해서는 공격자가 Fluent Bit 로깅 컨테이너를 손상시켜야 합니다. Fluent Bit에서 이러한 권한 에스컬레이션 필요 조건으로 어이질 수 있는 기존 취약점은 발견되지 않았습니다. 향후 발생 가능한 완전한 연쇄 공격을 방지하기 위한 보안 조치로 이러한 취약점에 패치가 적용되었습니다.

GKE는 Fluent Bit을 사용해서 클러스터에서 실행되는 워크로드의 로그를 처리합니다. GKE 기반 Fluent Bit은 또한 Cloud Run 워크로드의 로그를 수집하도록 구성되었습니다. 이러한 로그를 수집하도록 구성된 볼륨 마운트는 노드에서 실행 중인 다른 포드의 Kubernetes 서비스 계정 토큰에 대한 액세스 권한을 Fluent Bit에 제공했습니다. 연구원은 이 액세스를 사용해서 Cloud Service Mesh를 사용 설정한 클러스터에 대해 높은 권한의 서비스 계정 토큰을 발견했습니다.

Cloud Service Mesh는 포드 만들기 및 삭제 기능을 포함하여 필요에 따라 클러스터 구성을 변경하기 위해 높은 권한이 필요했습니다. 연구원은 Cloud Service Mesh의 권한이 부여된 Kubernetes 서비스 계정 토큰을 사용해서 클러스터 관리자 권한으로 새 포드를 만들어 초기 손상된 권한을 에스컬레이션했습니다.

Google은 서비스 계정 토큰에 대한 Fluent Bit의 액세스 권한을 삭제하고 과도한 권한을 삭제할 수 있도록 Cloud Service Mesh 기능을 다시 설계했습니다.

Cloud Service Mesh를 사용하는 VMware용 GKE만 영향을 받습니다.

어떻게 해야 하나요?

클러스터에 클러스터 내 Cloud Service Mesh가 사용되는 경우 다음 버전 중 하나로 수동으로 업그레이드해야 합니다(출시 노트).

• 1.17.8-asm.8
• 1.18.6-asm.2
• 1.19.5-asm.4

이 패치로 어떤 취약점이 해결되나요?

이 게시판에서 논의된 취약점을 악용하기 위해서는 공격자가 먼저 컨테이너를 손상시키거나 컨테이너에 침입하거나 클러스터 노드에서 루트 권한을 획득해야 합니다. 이러한 권한 에스컬레이션 필요 조건으로 이어질 수 있는 기존 취약점은 발견되지 않았습니다. 향후 발생 가능한 완전한 연쇄 공격을 방지하기 위한 보안 조치로 이러한 취약점에 패치가 적용되었습니다.

Cloud Service Mesh는 포드 만들기 및 삭제를 기능을 포함하여 필요에 따라 클러스터 구성을 변경하기 위해 높은 권한이 필요했습니다. 연구원은 Cloud Service Mesh의 권한이 부여된 Kubernetes 서비스 계정 토큰을 사용해서 클러스터 관리자 권한으로 새 포드를 만들어 초기 손상된 권한을 에스컬레이션했습니다.

Google은 과도한 권한을 삭제할 수 있도록 Cloud Service Mesh 기능을 다시 설계했습니다.

Cloud Service Mesh를 사용하는 AWS용 GKE만 영향을 받습니다.

어떻게 해야 하나요?

클러스터에 클러스터 내 Cloud Service Mesh가 사용되는 경우 다음 버전 중 하나로 수동으로 업그레이드해야 합니다(출시 노트).

• 1.17.8-asm.8
• 1.18.6-asm.2
• 1.19.5-asm.4

이 패치로 어떤 취약점이 해결되나요?

이 게시판에서 논의된 취약점을 악용하기 위해서는 공격자가 먼저 컨테이너를 손상시키거나 컨테이너에 침입하거나 클러스터 노드에서 루트 권한을 획득해야 합니다. 이러한 권한 에스컬레이션 필요 조건으로 이어질 수 있는 기존 취약점은 발견되지 않았습니다. 향후 발생 가능한 완전한 연쇄 공격을 방지하기 위한 보안 조치로 이러한 취약점에 패치가 적용되었습니다.

Cloud Service Mesh는 포드 만들기 및 삭제를 기능을 포함하여 필요에 따라 클러스터 구성을 변경하기 위해 높은 권한이 필요했습니다. 연구원은 Cloud Service Mesh의 권한이 부여된 Kubernetes 서비스 계정 토큰을 사용해서 클러스터 관리자 권한으로 새 포드를 만들어 초기 손상된 권한을 에스컬레이션했습니다.

Google은 과도한 권한을 삭제할 수 있도록 Cloud Service Mesh 기능을 다시 설계했습니다.

Cloud Service Mesh를 사용하는 Azure용 GKE 클러스터만 영향을 받습니다.

어떻게 해야 하나요?

클러스터에 클러스터 내 Cloud Service Mesh가 사용되는 경우 다음 버전 중 하나로 수동으로 업그레이드해야 합니다(출시 노트).

• 1.17.8-asm.8
• 1.18.6-asm.2
• 1.19.5-asm.4

이 패치로 어떤 취약점이 해결되나요?

이 게시판에서 논의된 취약점을 악용하기 위해서는 공격자가 먼저 컨테이너를 손상시키거나 컨테이너에 침입하거나 클러스터 노드에서 루트 권한을 획득해야 합니다. 이러한 권한 에스컬레이션 필요 조건으로 이어질 수 있는 기존 취약점은 발견되지 않았습니다. 향후 발생 가능한 완전한 연쇄 공격을 방지하기 위한 보안 조치로 이러한 취약점에 패치가 적용되었습니다.

Cloud Service Mesh는 포드 만들기 및 삭제를 기능을 포함하여 필요에 따라 클러스터 구성을 변경하기 위해 높은 권한이 필요했습니다. 연구원은 Cloud Service Mesh의 권한이 부여된 Kubernetes 서비스 계정 토큰을 사용해서 클러스터 관리자 권한으로 새 포드를 만들어 초기 손상된 권한을 에스컬레이션했습니다.

Google은 과도한 권한을 삭제할 수 있도록 Cloud Service Mesh 기능을 다시 설계했습니다.

Cloud Service Mesh를 사용하는 베어메탈용 GKE 클러스터만 영향을 받습니다.

어떻게 해야 하나요?

클러스터에 클러스터 내 Cloud Service Mesh가 사용되는 경우 다음 버전 중 하나로 수동으로 업그레이드해야 합니다(출시 노트).

• 1.17.8-asm.8
• 1.18.6-asm.2
• 1.19.5-asm.4

이 패치로 어떤 취약점이 해결되나요?

이 게시판에서 논의된 취약점을 악용하기 위해서는 공격자가 먼저 컨테이너를 손상시키거나 컨테이너에 침입하거나 클러스터 노드에서 루트 권한을 획득해야 합니다. 이러한 권한 에스컬레이션 필요 조건으로 이어질 수 있는 기존 취약점은 발견되지 않았습니다. 향후 발생 가능한 완전한 연쇄 공격을 방지하기 위한 보안 조치로 이러한 취약점에 패치가 적용되었습니다.

Anthos Service Mesh는 포드 만들기 및 삭제를 기능을 포함하여 필요에 따라 클러스터 구성을 변경하기 위해 높은 권한이 필요했습니다. 연구원은 Cloud Service Mesh의 권한이 부여된 Kubernetes 서비스 계정 토큰을 사용해서 클러스터 관리자 권한으로 새 포드를 만들어 초기 손상된 권한을 에스컬레이션했습니다.

Google은 과도한 권한을 삭제할 수 있도록 Cloud Service Mesh 기능을 다시 설계했습니다.

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-5717

GKE Standard 및 Autopilot 클러스터가 영향을 받습니다.

GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다.

어떻게 해야 하나요?

2024년 1월 22일 업데이트: 영향을 받는 마이너 버전은 다음과 같습니다. Ubuntu 노드 풀을 다음 패치 버전 이상 중 하나로 업그레이드하세요.

• 1.24.17-gke.2472000
• 1.25.16-gke.1268000
• 1.26.12-gke.1111000
• 1.27.9-gke.1092000
• 1.28.5-gke.1217000
• 1.29.0-gke.138100

영향을 받는 마이너 버전은 다음과 같습니다. Container-Optimized OS 노드 풀을 다음 패치 버전 중 하나로 업그레이드하세요.

• 1.24.17-gke.2113000
• 1.25.14-gke.1421000
• 1.25.15-gke.1083000
• 1.26.10-gke.1073000
• 1.27.7-gke.1088000
• 1.28.3-gke.1203000

클러스터가 자체 출시 채널에서 동일한 부 버전을 실행하는 경우 최신 출시 채널의 패치 버전을 적용할 수 있습니다. 이 기능을 사용하면 패치 버전이 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 자세한 내용은 최신 채널에서 패치 버전 실행을 참조하세요.

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-5717

어떻게 해야 하나요?

2024년 3월 4일 업데이트: 이 취약점을 해결하기 위한 코드로 다음 VMware용 GKE 버전이 업데이트되었습니다. 클러스터를 다음 버전 이상으로 업그레이드합니다.

• 1.28.200
• 1.16.5
• 1.15.8

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-5717

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-5717

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-5717

어떻게 해야 하나요?

별도로 취해야 할 조치는 없습니다. 베어메탈용 GKE는 배포 시 운영체제를 번들로 제공하지 않으므로 영향을 받지 않습니다.

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-5197

2023년 12월 21일 업데이트: 원본 게시판에서 Autopilot 클러스터가 영향을 받았다고 설명했지만 잘못된 내용이었습니다. 기본 구성의 GKE Autopilot 클러스터는 영향을 받지 않지만, 명시적으로 seccomp Unconfined 프로필을 설정하거나 CAP_NET_ADMIN을 허용하는 경우 취약점이 발생할 수 있습니다.

GKE Standard 및 Autopilot 클러스터가 영향을 받습니다.

GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다.

어떻게 해야 하나요?

영향을 받는 마이너 버전은 다음과 같습니다. Container-Optimized OS 노드 풀을 다음 패치 버전 중 하나로 업그레이드하세요.

• 1.25.13-gke.1002003
• 1.26.9-gke.1514000
• 1.27.6-gke.1513000
• 1.28.2-gke.1164000

영향을 받는 마이너 버전은 다음과 같습니다. Ubuntu 노드 풀을 다음 패치 버전 이상 중 하나로 업그레이드하세요.

• 1.24.16-gke.1005001
• 1.25.13-gke.1002003
• 1.26.9-gke.1548000
• 1.27.7-gke.1039000
• 1.28.3-gke.1061000

클러스터가 자체 출시 채널에서 동일한 부 버전을 실행하는 경우 최신 출시 채널의 패치 버전을 적용할 수 있습니다. 이 기능을 사용하면 패치 버전이 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 자세한 내용은 최신 채널에서 패치 버전 실행을 참조하세요.

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-5197

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-5197

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-5197

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-5197

어떻게 해야 하나요?

별도로 취해야 할 조치는 없습니다. 베어메탈용 GKE는 배포 시 운영 체제를 번들로 제공하지 않으므로 영향을 받지 않습니다.

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-4147

GKE Standard 클러스터가 영향을 받습니다. GKE Autopilot 클러스터는 영향을 받지 않습니다.

GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다.

어떻게 해야 하나요?

2023년 11월 15일 업데이트: 노드에서 해당 마이너 버전을 사용하는 경우 이 게시판에 나열된 패치 버전 중 하나로만 업그레이드하면 됩니다. 예를 들어 GKE 버전 1.27을 사용하는 경우 해당 패치 버전으로 업그레이드해야 합니다. 하지만 GKE 버전 1.24를 사용하는 경우 패치 버전으로 업그레이드할 필요가 없습니다.

Container-Optimized OS 노드 풀을 다음 버전 중 하나로 업그레이드하세요.

• 1.27.5-gke.200
• 1.28.2-gke.1157000

Ubuntu 노드 풀을 다음 버전 이상 중 하나로 업그레이드하세요.

• 1.25.14-gke.1421000
• 1.26.9-gke.1437000
• 1.27.6-gke.1248000
• 1.28.2-gke.1157000

클러스터가 자체 출시 채널에서 동일한 부 버전을 실행하는 경우 최신 출시 채널의 패치 버전을 적용할 수 있습니다. 이 기능을 사용하면 패치 버전이 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 자세한 내용은 최신 채널에서 패치 버전 실행을 참조하세요.

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-4147

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-4147

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-4147

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-4147

어떻게 해야 하나요?

별도로 취해야 할 조치는 없습니다. 베어메탈용 GKE는 배포 시 운영 체제를 번들로 제공하지 않으므로 영향을 받지 않습니다.

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-4004

2023년 12월 21일 업데이트: 원본 게시판에서 Autopilot 클러스터가 영향을 받았다고 설명했지만 잘못된 내용이었습니다. 기본 구성의 GKE Autopilot 클러스터는 영향을 받지 않지만, 명시적으로 seccomp Unconfined 프로필을 설정하거나 CAP_NET_ADMIN을 허용하는 경우 취약점이 발생할 수 있습니다.

Autopilot 클러스터가 영향을 받습니다.

GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다.

어떻게 해야 하나요?

2023년 12월 5일 업데이트: 이전에 일부 GKE 버전이 누락되었습니다. 다음은 Container-Optimized OS를 업데이트할 수 있는 GKE 버전의 업데이트된 목록입니다.

• 1.24.17-gke.200 이상
• 1.25.13-gke.200 이상
• 1.26.8-gke.200 이상
• 1.27.4-gke.2300 이상
• 1.28.1-gke.1257000 이상

2023년 11월 21일 업데이트: 노드에서 해당 부 버전을 사용하는 경우 이 게시판에 나열된 패치 버전 중 하나로만 업그레이드하면 됩니다. 목록에 없는 부 버전은 영향을 받지 않습니다.

Container-Optimized OS 노드 풀을 다음 버전 중 하나로 업그레이드하세요.

• 1.27.4-gke.2300
• 1.28.1-gke.1257000

Ubuntu 노드 풀을 다음 버전 이상 중 하나로 업그레이드하세요.

• 1.24.14-gke.1027001
• 1.25.13-gke.700
• 1.26.8-gke.700
• 1.27.5-gke.700
• 1.28.1-gke.1050000

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-4004

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-4004

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-4004

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-4004

어떻게 해야 하나요?

별도로 취해야 할 조치는 없습니다. 베어메탈용 GKE는 배포 시 운영 체제를 번들로 제공하지 않으므로 영향을 받지 않습니다.

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-4921

2023년 12월 21일 업데이트: 원본 게시판에서 Autopilot 클러스터가 영향을 받았다고 설명했지만 잘못된 내용이었습니다. 기본 구성의 GKE Autopilot 클러스터는 영향을 받지 않지만, 명시적으로 seccomp Unconfined 프로필을 설정하거나 CAP_NET_ADMIN을 허용하는 경우 취약점이 발생할 수 있습니다.

Autopilot 클러스터가 영향을 받습니다.

GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다.

어떻게 해야 하나요?

2023년 11월 21일 업데이트: 노드에서 해당 부 버전을 사용하는 경우 이 게시판에 나열된 패치 버전 중 하나로만 업그레이드하면 됩니다. 목록에 없는 부 버전은 영향을 받지 않습니다.

Container-Optimized OS 노드 풀을 다음 버전 중 하나로 업그레이드하세요.

• 1.24.14-gke.1027001
• 1.25.14-gke.1351000
• 1.26.9-gke.1345000
• 1.27.6-gke.1389000

Ubuntu 노드 풀을 다음 버전 이상 중 하나로 업그레이드하세요.

• 1.24.17-gke.2186000
• 1.25.15-gke.1016000
• 1.26.9-gke.1548000
• 1.27.6-gke.1551000
• 1.28.2-gke.1256000

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-4921

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-4921

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-4921

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-4921

어떻게 해야 하나요?

별도로 취해야 할 조치는 없습니다. 베어메탈용 GKE는 배포 시 운영 체제를 번들로 제공하지 않으므로 영향을 받지 않습니다.

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-4623

Autopilot 클러스터가 영향을 받습니다.

GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다.

어떻게 해야 하나요?

2023년 11월 21일 업데이트: 노드에서 해당 부 버전을 사용하는 경우 이 게시판에 나열된 패치 버전 중 하나로만 업그레이드하면 됩니다. 목록에 없는 부 버전은 영향을 받지 않습니다.

Container-Optimized OS 노드 풀을 다음 버전 중 하나로 업그레이드하세요.

• 1.24.14-gke.1027001
• 1.25.14-gke.1351000
• 1.26.9-gke.1345000
• 1.27.5-gke.1647000

Ubuntu 노드 풀을 다음 버전 이상 중 하나로 업그레이드하세요.

• 1.24.17-gke.2186000
• 1.25.15-gke.1016000
• 1.26.9-gke.1548000
• 1.27.6-gke.1551000
• 1.28.2-gke.1256000

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-4623

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-4623

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-4623

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-4623

어떻게 해야 하나요?

별도로 취해야 할 조치는 없습니다. 베어메탈용 GKE는 배포 시 운영 체제를 번들로 제공하지 않으므로 영향을 받지 않습니다.

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-4623

2023년 12월 21일 업데이트: 원본 게시판에서 Autopilot 클러스터가 영향을 받았다고 설명했지만 잘못된 내용이었습니다. 기본 구성의 GKE Autopilot 클러스터는 영향을 받지 않지만, 명시적으로 seccomp Unconfined 프로필을 설정하거나 CAP_NET_ADMIN을 허용하는 경우 취약점이 발생할 수 있습니다.

Autopilot 클러스터가 영향을 받습니다.

GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다.

어떻게 해야 하나요?

2023년 11월 21일 업데이트: 노드에서 해당 부 버전을 사용하는 경우 이 게시판에 나열된 패치 버전 중 하나로만 업그레이드하면 됩니다. 목록에 없는 부 버전은 영향을 받지 않습니다.

Container-Optimized OS 노드 풀을 다음 버전 중 하나로 업그레이드하세요.

• 1.24.14-gke.1027001
• 1.25.14-gke.1351000
• 1.26.9-gke.1345000
• 1.27.6-gke.1389000

Ubuntu 노드 풀을 다음 버전 이상 중 하나로 업그레이드하세요.

• 1.24.17-gke.2186000
• 1.25.15-gke.1016000
• 1.26.9-gke.1548000
• 1.27.6-gke.1551000
• 1.28.2-gke.1256000

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-4623

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-4623

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-4623

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-4623

어떻게 해야 하나요?

별도로 취해야 할 조치는 없습니다. 베어메탈용 GKE는 배포 시 운영 체제를 번들로 제공하지 않으므로 영향을 받지 않습니다.

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-4015

2023년 12월 21일 업데이트: 원본 게시판에서 Autopilot 클러스터가 영향을 받았다고 설명했지만 잘못된 내용이었습니다. 기본 구성의 GKE Autopilot 클러스터는 영향을 받지 않지만, 명시적으로 seccomp Unconfined 프로필을 설정하거나 CAP_NET_ADMIN을 허용하는 경우 취약점이 발생할 수 있습니다.

Autopilot 클러스터가 영향을 받습니다.

GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다.

어떻게 해야 하나요?

2023년 11월 21일 업데이트: 노드에서 해당 부 버전을 사용하는 경우 이 게시판에 나열된 패치 버전 중 하나로만 업그레이드하면 됩니다. 목록에 없는 부 버전은 영향을 받지 않습니다.

Container-Optimized OS 노드 풀을 다음 버전 중 하나로 업그레이드하세요.

• 1.27.5-gke.1647000

Ubuntu 노드 풀을 다음 버전 이상 중 하나로 업그레이드하세요.

• 1.24.14-gke.1027001
• 1.25.13-gke.700
• 1.26.8-gke.700
• 1.27.5-gke.700
• 1.28.1-gke.1050000

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-4015

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-4015

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-4015

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-4015

어떻게 해야 하나요?

별도로 취해야 할 조치는 없습니다. 베어메탈용 GKE는 배포 시 운영 체제를 번들로 제공하지 않으므로 영향을 받지 않습니다.

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-4206
• CVE-2023-4207
• CVE-2023-4208
• CVE-2023-4128

2023년 12월 21일 업데이트: 원본 게시판에서 Autopilot 클러스터가 영향을 받았다고 설명했지만 잘못된 내용이었습니다. 기본 구성의 GKE Autopilot 클러스터는 영향을 받지 않지만, 명시적으로 seccomp Unconfined 프로필을 설정하거나 CAP_NET_ADMIN을 허용하는 경우 취약점이 발생할 수 있습니다.

Autopilot 클러스터가 영향을 받습니다.

GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다.

어떻게 해야 하나요?

2023년 11월 21일 업데이트: 노드에서 해당 부 버전을 사용하는 경우 이 게시판에 나열된 패치 버전 중 하나로만 업그레이드하면 됩니다. 목록에 없는 부 버전은 영향을 받지 않습니다.

Container-Optimized OS 노드 풀을 다음 버전 중 하나로 업그레이드하세요.

• 1.24.14-gke.1027001
• 1.25.13-gke.1008000
• 1.26.8-gke.1647000
• 1.27.5-gke.200

Ubuntu 노드 풀을 다음 버전 이상 중 하나로 업그레이드하세요.

• 1.24.14-gke.1027001
• 1.25.13-gke.1706000
• 1.26.8-gke.1647000
• 1.27.5-gke.1648000
• 1.28.1-gke.1050000

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-4206
• CVE-2023-4207
• CVE-2023-4208
• CVE-2023-4128

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-4206
• CVE-2023-4207
• CVE-2023-4208
• CVE-2023-4128

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-4206
• CVE-2023-4207
• CVE-2023-4208
• CVE-2023-4128

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-4206
• CVE-2023-4207
• CVE-2023-4208
• CVE-2023-4128

어떻게 해야 하나요?

별도로 취해야 할 조치는 없습니다. 베어메탈용 GKE는 배포 시 운영 체제를 번들로 제공하지 않으므로 영향을 받지 않습니다.

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-3777

2023년 12월 21일 업데이트: 원본 게시판에서 Autopilot 클러스터가 영향을 받았다고 설명했지만 잘못된 내용이었습니다. 기본 구성의 GKE Autopilot 클러스터는 영향을 받지 않지만, 명시적으로 seccomp Unconfined 프로필을 설정하거나 CAP_NET_ADMIN을 허용하는 경우 취약점이 발생할 수 있습니다. GKE Sandbox 워크로드도 영향을 받지 않습니다.

Autopilot 클러스터가 영향을 받습니다.

GKE Sandbox를 사용하는 클러스터가 영향을 받습니다.

어떻게 해야 하나요?

2023년 11월 21일 업데이트: 노드에서 해당 부 버전을 사용하는 경우 이 게시판에 나열된 패치 버전 중 하나로만 업그레이드하면 됩니다. 목록에 없는 부 버전은 영향을 받지 않습니다.

Container-Optimized OS 노드 풀을 다음 버전 중 하나로 업그레이드하세요.

• 1.24.16-gke.2200
• 1.25.12-gke.2200
• 1.26.7-gke.2200
• 1.27.4-gke.2300

Ubuntu 노드 풀을 다음 버전 이상 중 하나로 업그레이드하세요.

• 1.24.17-gke.700
• 1.25.13-gke.700
• 1.26.8-gke.700
• 1.27.5-gke.700
• 1.28.0-gke.100

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-3777

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-3777

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-3777

어떻게 해야 하나요?

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-3777

어떻게 해야 하나요?

별도로 취해야 할 조치는 없습니다. 베어메탈용 GKE는 배포 시 운영 체제를 번들로 제공하지 않으므로 영향을 받지 않습니다.

최근 서비스 거부(DoS) 취약점이 Kubernetes에서 사용하는 golang HTTP 서버를 포함하여 HTTP/2 프로토콜(CVE-2023-44487)의 여러 구현에서 발견되었습니다. 이 취약점으로 인해 Google Kubernetes Engine(GKE) 컨트롤 플레인에 대한 DoS가 발생할 수 있습니다. 승인된 네트워크가 구성된 GKE 클러스터는 네트워크 액세스 제한을 통해 보호되지만 다른 모든 클러스터는 영향을 받습니다.

어떻게 해야 하나요?

2023년 11월 9일 업데이트: Go 및 Kubernetes 보안 패치가 포함된 새로운 GKE 버전이 출시되어, 이제 클러스터를 업데이트할 수 있습니다. 이 문제를 더욱 완화하기 위해 앞으로 몇 주 내에 GKE 컨트롤 플레인에 대한 추가 변경사항이 출시될 예정입니다.

다음 GKE 버전이 CVE-2023-44487 및 CVE-2023-39325용 패치로 업데이트되었습니다.

• 1.24.17-gke.2155000
• 1.25.14-gke.1474000
• 1.26.10-gke.1024000
• 1.27.7-gke.1038000
• 1.28.3-gke.1090000

가능한 한 빨리 다음 완화 방법을 적용하고 가능한 경우 최신 패치 버전으로 업그레이드하는 것이 좋습니다.

Golang 패치는 10월 10일에 출시됩니다. 패치가 제공되면 해당 패치가 포함된 새 Kubernetes API 서버를 빌드 및 검증하고 GKE 패치 출시 버전을 만들 예정입니다. GKE 출시 버전이 제공되면 이 게시판을 업데이트하여 컨트롤 플레인을 업그레이드할 버전에 대한 안내를 제공하고 클러스터에서 사용 가능한 경우 GKE 보안 상황 내에서 패치를 표시되도록 합니다. 채널에 패치가 제공될 때 Pub/Sub 알림을 받으려면 클러스터 알림을 사용 설정합니다.

출시 채널의 최근 기능을 사용하면 채널을 구독 취소하지 않고도 패치를 적용할 수 있습니다. 이렇게 하면 새 버전이 출시 특정 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다.

컨트롤 플레인 액세스를 위해 승인된 네트워크를 구성하여 완화:

기존 클러스터의 승인된 네트워크를 추가할 수 있습니다. 자세한 내용은 기존 클러스터에 대해 승인된 네트워크를 참조하세요.

승인된 네트워크 외에도 GKE 컨트롤 플레인에 액세스할 수 있는 사전 설정된 IP 주소가 있습니다. 이러한 주소에 대한 자세한 내용은 컨트롤 플레인 엔드포인트에 대한 액세스를 참조하세요. 다음 항목은 클러스터 격리를 요약해서 보여줍니다.

• --master-authorized-networks가 포함된 비공개 클러스터와 --master-authorized-networks 및 --no-enable-google-cloud가 구성된 PSC 기반 클러스터가 가장 격리된 위치에 있습니다.
• --master-authorized-networks가 포함된 기존 공개 클러스터와 --master-authorized-networks 및 --enable-google-cloud(기본값)가 구성된 PSC 기반 클러스터는 다음을 통해 추가로 액세스할 수 있습니다.
  • Google Cloud에 있는 모든 Compute Engine VM의 공개 IP 주소
  • Google Cloud Platform IP 주소

이 패치로 어떤 취약점이 해결되나요?

취약점 CVE-2023-44487을 통해 공격자가 GKE 컨트롤 플레인 노드에서 서비스 거부(Dos) 공격을 실행할 수 있습니다.

최근 서비스 거부(DoS) 취약점이 Kubernetes에서 사용하는 golang HTTP 서버를 포함하여 HTTP/2 프로토콜(CVE-2023-44487)의 여러 구현에서 발견되었습니다. 이 취약점으로 인해 Kubernetes 컨트롤 플레인에 대한 DoS가 발생할 수 있습니다. VMware용 GKE는 기본적으로 인터넷에 직접 액세스할 수 없고 이 취약점으로부터 보호되는 Kubernetes 클러스터를 만듭니다.

어떻게 해야 하나요?

2024년 2월 14일 업데이트: 이 취약점을 해결하기 위한 코드로 다음 VMware용 GKE 버전이 업데이트되었습니다. 클러스터를 다음 패치 버전 이상으로 업그레이드합니다.

• 1.28.100
• 1.16.6
• 1.15.8

인터넷 또는 기타 신뢰할 수 없는 네트워크에 직접 액세스할 수 있도록 VMware용 GKE Kubernetes 클러스터를 구성한 경우 방화벽 관리자와 협력하여 해당 액세스를 차단하거나 제한하는 것이 좋습니다.

가능한 한 빨리 최신 패치 버전으로 업그레이드하는 것이 좋습니다.

Golang 패치는 10월 10일에 출시됩니다. 패치가 제공되면 해당 패치가 포함된 새 Kubernetes API 서버를 빌드 및 검증하고 GKE 패치 출시 버전을 만들 예정입니다. GKE 출시 버전이 제공되면 이 게시판에 컨트롤 플레인을 업그레이드할 버전에 대한 안내가 업데이트됩니다.

이 패치로 어떤 취약점이 해결되나요?

취약점 CVE-2023-44487을 통해 공격자가 Kubernetes 컨트롤 플레인 노드에서 서비스 거부(DoS) 공격을 실행할 수 있습니다.

최근 서비스 거부(DoS) 취약점이 Kubernetes에서 사용하는 golang HTTP 서버를 포함하여 HTTP/2 프로토콜(CVE-2023-44487)의 여러 구현에서 발견되었습니다. 이 취약점으로 인해 Kubernetes 컨트롤 플레인에 대한 DoS가 발생할 수 있습니다. AWS 기반 GKE는 기본적으로 인터넷에 직접 액세스할 수 없고 이 취약점으로부터 보호되는 비공개 Kubernetes 클러스터를 만듭니다.

어떻게 해야 하나요?

2024년 3월 20일 업데이트: 다음 AWS용 GKE 버전은 CVE-2023-44487용 패치로 업데이트되었습니다.

• 1.26.10-gke.600
• 1.27.7-gke.600
• 1.28.3-gke.700

인터넷 또는 기타 신뢰할 수 없는 네트워크에 직접 액세스할 수 있도록 AWS 기반 GKE를 구성한 경우 방화벽 관리자와 협력하여 해당 액세스를 차단하거나 제한하는 것이 좋습니다.

가능한 한 빨리 최신 패치 버전으로 업그레이드하는 것이 좋습니다.

Golang 패치는 10월 10일에 출시됩니다. 패치가 제공되면 해당 패치가 포함된 새 Kubernetes API 서버를 빌드 및 검증하고 GKE 패치 출시 버전을 만들 예정입니다. GKE 출시 버전이 제공되면 이 게시판에 컨트롤 플레인을 업그레이드할 버전에 대한 안내가 업데이트됩니다.

이 패치로 어떤 취약점이 해결되나요?

취약점 CVE-2023-44487을 통해 공격자가 Kubernetes 컨트롤 플레인 노드에서 서비스 거부(DoS) 공격을 실행할 수 있습니다.

최근 서비스 거부(DoS) 취약점이 Kubernetes에서 사용하는 golang HTTP 서버를 포함하여 HTTP/2 프로토콜(CVE-2023-44487)의 여러 구현에서 발견되었습니다. 이 취약점으로 인해 Kubernetes 컨트롤 플레인에 대한 DoS가 발생할 수 있습니다. Azure 기반 GKE는 기본적으로 인터넷에 직접 액세스할 수 없고 이 취약점으로부터 보호되는 비공개 Kubernetes 클러스터를 만듭니다.

어떻게 해야 하나요?

2024년 3월 20일 업데이트: 다음 Azure용 GKE 버전은 CVE-2023-44487용 패치로 업데이트되었습니다.

• 1.26.10-gke.600
• 1.27.7-gke.600
• 1.28.3-gke.700

인터넷 또는 기타 신뢰할 수 없는 네트워크에 직접 액세스할 수 있도록 Azure용 GKE를 구성한 경우 방화벽 관리자와 협력하여 해당 액세스를 차단하거나 제한하는 것이 좋습니다.

가능한 한 빨리 최신 패치 버전으로 업그레이드하는 것이 좋습니다.

이 패치로 어떤 취약점이 해결되나요?

취약점 CVE-2023-44487을 통해 공격자가 Kubernetes 컨트롤 플레인 노드에서 서비스 거부(DoS) 공격을 실행할 수 있습니다.

최근 서비스 거부(DoS) 취약점이 Kubernetes에서 사용하는 golang HTTP 서버를 포함하여 HTTP/2 프로토콜(CVE-2023-44487)의 여러 구현에서 발견되었습니다. 이 취약점으로 인해 Kubernetes 컨트롤 플레인에 대한 DoS가 발생할 수 있습니다. 베어메탈용 Anthos는 기본적으로 인터넷에 직접 액세스할 수 없고 이 취약점으로부터 보호되는 Kubernetes 클러스터를 만듭니다.

어떻게 해야 하나요?

인터넷 또는 기타 신뢰할 수 없는 네트워크에 직접 액세스할 수 있도록 베어메탈용 Anthos Kubernetes 클러스터를 구성한 경우 방화벽 관리자와 협력하여 해당 액세스를 차단하거나 제한하는 것이 좋습니다. 자세한 내용은 베어메탈용 GKE 보안 개요를 참조하세요.

가능한 한 빨리 최신 패치 버전으로 업그레이드하는 것이 좋습니다.

Golang 패치는 10월 10일에 출시됩니다. 패치가 제공되면 해당 패치가 포함된 새 Kubernetes API 서버를 빌드 및 검증하고 GKE 패치 출시 버전을 만들 예정입니다. GKE 출시 버전이 제공되면 이 게시판에 컨트롤 플레인을 업그레이드할 버전에 대한 안내가 업데이트됩니다.

이 패치로 어떤 취약점이 해결되나요?

취약점 CVE-2023-44487을 통해 공격자가 Kubernetes 컨트롤 플레인 노드에서 서비스 거부(DoS) 공격을 실행할 수 있습니다.

Windows 노드에 포드를 만들 수 있는 사용자가 해당 노드의 관리자 권한으로 에스컬레이션할 수 있는 3가지 취약점(CVE-2023-3676, CVE-2023-3955, CVE-2023-3893)이 Kubernetes에서 발견되었습니다. 이러한 취약점은 Kubelet 및 Kubernetes CSI 프록시의 Windows 버전에 영향을 줍니다.

GKE 클러스터는 Windows 노드를 포함하는 경우에만 영향을 받습니다.

어떻게 해야 하나요?

다음 GKE 버전은 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 보안을 위해 노드 자동 업그레이드가 사용 설정된 경우에도 클러스터와 노드 풀을 다음 GKE 버전 중 하나로 직접 업그레이드하는 것이 좋습니다.

• 1.24.17-gke.200
• 1.25.13-gke.200
• 1.26.8-gke.200
• 1.27.5-gke.200
• 1.28.1-gke.200

GKE 컨트롤 플레인은 2023년 9월 4일 주에 업데이트되어 csi-proxy를 버전 1.1.3으로 업데이트합니다. 컨트롤 플레인 업데이트 전에 노드를 업데이트하는 경우 새 프록시를 활용하려면 업데이트 후 노드를 다시 업데이트해야 합니다. gcloud container clusters upgrade 명령어를 실행하고 노드 풀이 이미 실행 중인 동일한 GKE 버전으로 --cluster-version 플래그를 전달하면 노드 버전을 변경하지 않고도 노드를 다시 업데이트할 수 있습니다. 이 해결 방법을 위해서는 gcloud CLI를 사용해야 합니다. 그러면 유지보수 기간에 관계없이 업데이트가 수행됩니다.

출시 채널의 최근 기능을 사용하면 채널을 구독 취소하지 않고도 패치를 적용할 수 있습니다. 이렇게 하면 새 버전이 특정 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다.

이 패치로 어떤 취약점이 해결되나요?

CVE-2023-3676을 사용하면 악의적인 행위자가 PowerShell 명령어를 포함하는 호스트 경로 문자열로 포드 사양을 작성할 수 있습니다. Kubelet은 입력 정리를 지원하지 않으며 명령어 실행자에게 조작된 경로 문자열을 해당 문자열 일부를 별도의 명령어로 실행하는 인수로 전달합니다. 이러한 명령어는 Kubelet과 동일한 관리 권한으로 실행됩니다.

CVE-2023-3955에서 Kubelet은 포드를 만들 수 있는 사용자에게 Kubelet 에이전트와 동일한 권한 수준으로 코드를 실행할 수 있는 권한을 부여합니다.

CVE-2023-3893의 경우 유사하게 입력 정리가 지원되지 않으므로 kubernetes-csi-proxy를 실행하는 Windows 노드에서 포드를 생성할 수 있는 사용자가 해당 노드의 관리자 권한으로 에스컬레이션할 수 있습니다.

Kubernetes 감사 로그를 사용하여 이 취약점이 악용되고 있는지 감지할 수 있습니다. 삽입된 PowerShell 명령어를 사용한 포드 생성 이벤트는 악용을 나타내는 강력한 지표입니다. 삽입된 PowerShell 명령어를 포함하고 포드에 마운트된 ConfigMap 및 보안 비밀 역시 악용을 나타내는 강력한 지표입니다.

Windows 노드에 포드를 만들 수 있는 사용자가 해당 노드의 관리자 권한으로 에스컬레이션할 수 있는 3가지 취약점(CVE-2023-3676, CVE-2023-3955, CVE-2023-3893)이 Kubernetes에서 발견되었습니다. 이러한 취약점은 Kubelet 및 Kubernetes CSI 프록시의 Windows 버전에 영향을 줍니다.

클러스터는 Windows 노드를 포함하는 경우에만 영향을 받습니다.

어떻게 해야 하나요?

이 패치로 어떤 취약점이 해결되나요?

CVE-2023-3676을 사용하면 악의적인 행위자가 PowerShell 명령어를 포함하는 호스트 경로 문자열로 포드 사양을 조작할 수 있습니다. Kubelet은 입력 정리를 지원하지 않으며 명령어 실행자에게 조작된 경로 문자열을 해당 문자열 일부를 별도의 명령어로 실행하는 인수로 전달합니다. 이러한 명령어는 Kubelet과 동일한 관리 권한으로 실행됩니다.

CVE-2023-3955에서 Kubelet은 포드를 만들 수 있는 사용자에게 Kubelet 에이전트와 동일한 권한 수준으로 코드를 실행할 수 있는 권한을 부여합니다.

CVE-2023-3893의 경우 유사하게 입력 정리가 지원되지 않으므로 kubernetes-csi-proxy를 실행하는 Windows 노드에서 포드를 생성할 수 있는 사용자가 해당 노드의 관리자 권한으로 에스컬레이션할 수 있습니다.

Kubernetes 감사 로그를 사용하여 이 취약점이 악용되고 있는지 감지할 수 있습니다. 삽입된 PowerShell 명령어를 사용한 포드 생성 이벤트는 악용을 나타내는 강력한 지표입니다. 삽입된 PowerShell 명령어를 포함하고 포드에 마운트된 ConfigMap 및 보안 비밀 역시 악용을 나타내는 강력한 지표입니다.

Windows 노드에 포드를 만들 수 있는 사용자가 해당 노드의 관리자 권한으로 에스컬레이션할 수 있는 3가지 취약점(CVE-2023-3676, CVE-2023-3955, CVE-2023-3893)이 Kubernetes에서 발견되었습니다. 이러한 취약점은 Kubelet 및 Kubernetes CSI 프록시의 Windows 버전에 영향을 줍니다.

어떻게 해야 하나요?

AWS 기반 GKE는 이 CVE의 영향을 받지 않습니다. 별도의 조치가 필요하지 않습니다.

Windows 노드에 포드를 만들 수 있는 사용자가 해당 노드의 관리자 권한으로 에스컬레이션할 수 있는 3가지 취약점(CVE-2023-3676, CVE-2023-3955, CVE-2023-3893)이 Kubernetes에서 발견되었습니다. 이러한 취약점은 Kubelet 및 Kubernetes CSI 프록시의 Windows 버전에 영향을 줍니다.

어떻게 해야 하나요?

Azure 기반 GKE는 이러한 CVE의 영향을 받지 않습니다. 별도의 조치가 필요하지 않습니다.

Windows 노드에 포드를 만들 수 있는 사용자가 해당 노드의 관리자 권한으로 에스컬레이션할 수 있는 3가지 취약점(CVE-2023-3676, CVE-2023-3955, CVE-2023-3893)이 Kubernetes에서 발견되었습니다. 이러한 취약점은 Kubelet 및 Kubernetes CSI 프록시의 Windows 버전에 영향을 줍니다.

어떻게 해야 하나요?

베어메탈용 GKE는 이 CVE의 영향을 받지 않습니다. 별도의 조치가 필요하지 않습니다.

Linux 커널에서 노드의 권한 에스컬레이션이 발생할 수 있는 새로운 취약점(CVE-2023-2235)이 발견되었습니다. GKE Autopilot 노드에서 항상 Container-Optimized OS 노드 이미지를 사용하므로 GKE Autopilot 클러스터가 영향을 받습니다. Container-Optimized OS 노드 이미지를 실행하는 버전 1.25 이상의 GKE Standard 클러스터가 영향을 받습니다.

GKE 클러스터는 Ubuntu 노드 이미지만 실행하거나 1.25 이전 버전을 실행하거나 GKE Sandbox를 사용하는 경우에는 영향을 받지 않습니다.

어떻게 해야 하나요?

다음 GKE 버전은 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 보안을 위해 노드 자동 업그레이드가 사용 설정된 경우에도 클러스터와 노드 풀을 다음 GKE 버전 중 하나로 직접 업그레이드하는 것이 좋습니다.

• 1.25.9-gke.1400
• 1.26.4-gke.1500
• 1.27.1-gke.2400

출시 채널의 최근 기능을 사용하면 채널을 구독 취소하지 않고도 패치를 적용할 수 있습니다. 이렇게 하면 새 버전이 출시 특정 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다.

해결되는 취약점은 무엇인가요?

CVE-2023-2235에서는 perf_group_delimiter 함수가 add_event_to_groups()를 호출하기 전에 이벤트의 동위 attach_state를 확인하지 않았지만 remove_on_exec가 그룹에서 분리하기 전에 list_del_event()를 호출할 수 있었습니다. 이로 인해 허상 포인터를 사용하면use-after-free 취약점이 발생할 수 있습니다.

Linux 커널에서 노드의 권한 에스컬레이션이 발생할 수 있는 새로운 취약점(CVE-2023-2235)이 발견되었습니다. VMware용 GKE 클러스터가 영향을 받습니다.

어떻게 해야 하나요?

해결되는 취약점은 무엇인가요?

CVE-2023-2235에서는 perf_group_delimiter 함수가 add_event_to_groups()를 호출하기 전에 이벤트의 동위 attach_state를 확인하지 않았지만 remove_on_exec가 그룹에서 분리하기 전에 list_del_event()를 호출할 수 있었습니다. 이로 인해 허상 포인터를 사용하면use-after-free 취약점이 발생할 수 있습니다.

Linux 커널에서 노드의 권한 에스컬레이션이 발생할 수 있는 새로운 취약점(CVE-2023-2235)이 발견되었습니다. AWS 기반 GKE 클러스터가 영향을 받습니다.

어떻게 해야 하나요?

이 패치로 어떤 취약점이 해결되나요?

CVE-2023-2235에서는 perf_group_delimiter 함수가 add_event_to_groups()를 호출하기 전에 이벤트의 동위 attach_state를 확인하지 않았지만 remove_on_exec가 그룹에서 분리하기 전에 list_del_event()를 호출할 수 있었습니다. 이로 인해 허상 포인터를 사용하면use-after-free 취약점이 발생할 수 있습니다.

Linux 커널에서 노드의 권한 에스컬레이션이 발생할 수 있는 새로운 취약점(CVE-2023-2235)이 발견되었습니다. Azure 기반 GKE 클러스터가 영향을 받습니다.

어떻게 해야 하나요?

이 패치로 어떤 취약점이 해결되나요?

CVE-2023-2235에서는 perf_group_delimiter 함수가 add_event_to_groups()를 호출하기 전에 이벤트의 동위 attach_state를 확인하지 않았지만 remove_on_exec가 그룹에서 분리하기 전에 list_del_event()를 호출할 수 있었습니다. 이로 인해 허상 포인터를 사용하면use-after-free 취약점이 발생할 수 있습니다.

Linux 커널에서 노드의 권한 에스컬레이션이 발생할 수 있는 새로운 취약점(CVE-2023-2235)이 발견되었습니다.

베어메탈용 Google Distributed Cloud Virtual은 이 CVE의 영향을 받지 않습니다.

어떻게 해야 하나요?

별도의 조치가 필요하지 않습니다.

Linux 커널에서 노드의 권한 에스컬레이션이 발생할 수 있는 새로운 취약점(CVE-2023-31436)이 발견되었습니다. Autopilot 클러스터를 포함한 GKE 클러스터가 영향을 받습니다.

GKE Sandbox를 사용하는 GKE 클러스터는 영향을 받지 않습니다.

어떻게 해야 하나요?

2023년 7월 11일 업데이트: Ubuntu 패치 버전이 제공됩니다.

CVE-2023-31436 패치를 적용하는 최신 Ubuntu 버전이 포함되도록 다음 GKE 버전이 업데이트되었습니다.

• 1.23.17-gke.8200
• 1.24.14-gke.2600
• 1.25.10-gke.2700
• 1.26.5-gke.2700
• 1.27.2-gke.2700

다음 GKE 버전은 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 보안을 위해 노드 자동 업그레이드가 사용 설정된 경우에도 클러스터와 노드 풀을 다음 GKE 버전 중 하나로 직접 업그레이드하는 것이 좋습니다.

• 1.22.17-gke.11400
• 1.23.17-gke.6800
• 1.24.14-gke.1200
• 1.25.10-gke.1200
• 1.26.5-gke.1200
• 1.27.2-gke.1200

출시 채널의 최근 기능을 사용하면 채널을 구독 취소하지 않고도 패치를 적용할 수 있습니다. 이렇게 하면 새 버전이 출시 특정 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다.

해결되는 취약점은 무엇인가요?

CVE-2023-31436에서는 Linux 커널의 트래픽 제어(QoS) 하위 시스템에서 사용자가 lmax로 사용되는 네트워크 기기의 잘못된 MTU 값으로 qfq_change_class 함수를 트리거하는 방법에서 범위를 벗어난 메모리 액세스 결점이 발견되었습니다. 이 결함으로 인해 로컬 사용자가 비정상 종료되거나 시스템에 대한 권한을 에스컬레이션할 수 있습니다.

Linux 커널에서 노드의 권한 에스컬레이션이 발생할 수 있는 새로운 취약점(CVE-2023-31436)이 발견되었습니다. VMware용 GKE 클러스터가 영향을 받습니다.

어떻게 해야 하나요?

해결되는 취약점은 무엇인가요?

CVE-2023-31436에서는 Linux 커널의 트래픽 제어(QoS) 하위 시스템에서 사용자가 lmax로 사용되는 네트워크 기기의 잘못된 MTU 값으로 qfq_change_class 함수를 트리거하는 방법에서 범위를 벗어난 메모리 액세스 결점이 발견되었습니다. 이 결함으로 인해 로컬 사용자가 비정상 종료되거나 시스템에 대한 권한을 에스컬레이션할 수 있습니다.

Linux 커널에서 노드의 권한 에스컬레이션이 발생할 수 있는 새로운 취약점(CVE-2023-31436)이 발견되었습니다. AWS 기반 GKE 클러스터가 영향을 받습니다.

어떻게 해야 하나요?

이 패치로 어떤 취약점이 해결되나요?

CVE-2023-31436에서는 Linux 커널의 트래픽 제어(QoS) 하위 시스템에서 사용자가 lmax로 사용되는 네트워크 기기의 잘못된 MTU 값으로 qfq_change_class 함수를 트리거하는 방법에서 범위를 벗어난 메모리 액세스 결점이 발견되었습니다. 이 결함으로 인해 로컬 사용자가 비정상 종료되거나 시스템에 대한 권한을 에스컬레이션할 수 있습니다.

Linux 커널에서 노드의 권한 에스컬레이션이 발생할 수 있는 새로운 취약점(CVE-2023-31436)이 발견되었습니다. Azure 기반 GKE 클러스터가 영향을 받습니다.

어떻게 해야 하나요?

이 패치로 어떤 취약점이 해결되나요?

CVE-2023-31436에서는 Linux 커널의 트래픽 제어(QoS) 하위 시스템에서 사용자가 lmax로 사용되는 네트워크 기기의 잘못된 MTU 값으로 qfq_change_class 함수를 트리거하는 방법에서 범위를 벗어난 메모리 액세스 결점이 발견되었습니다. 이 결함으로 인해 로컬 사용자가 비정상 종료되거나 시스템에 대한 권한을 에스컬레이션할 수 있습니다.

Linux 커널에서 노드의 권한 에스컬레이션이 발생할 수 있는 새로운 취약점(CVE-2023-31436)이 발견되었습니다.

베어메탈용 Google Distributed Cloud Virtual은 이 CVE의 영향을 받지 않습니다.

어떻게 해야 하나요?

별도의 조치가 필요하지 않습니다.

Cloud Service Mesh(ASM)에 사용되는 Envoy에서 여러 취약점이 발견되었습니다. 각각 GCP-2023-002로 보고되었습니다.

GKE는 ASM과 함께 제공되지 않으며 이러한 취약점의 영향을 받지 않습니다.

어떻게 해야 하나요?

GKE 클러스터용으로 ASM을 별도로 설치했으면 GCP-2023-002를 참조하세요.

VMware용 GKE의 Cloud Service Mesh에서 사용되는 Envoy에서 여러 취약점(CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487)이 발견되었습니다. 이러한 취약점을 통해 악의적인 공격자가 서비스 거부를 일으키거나 Envoy를 비정상 종료할 수 있습니다. 이러한 취약점은 각각 GCP-2023-002로 보고되었지만 GKE Enterprise 고객이 ASM을 포함하는 버전을 업데이트하도록 하려고 합니다.

어떻게 해야 하나요?

다음 VMware용 GKE 버전은 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 관리자 및 사용자 클러스터를 다음 VMware용 GKE 버전 중 하나로 업그레이드하는 것이 좋습니다.

• 1.13.8
• 1.14.5
• 1.15.1

이 패치로 어떤 취약점이 해결되나요?

CVE-2023-27496: Envoy에서 활성화된 OAuth 필터가 노출된 상태로 실행 중인 경우 악의적인 행위자가 Envoy를 비정상 종료하여 서비스 거부를 일으킬 수 있는 요청을 생성할 수 있습니다.

CVE-2023-27488: 공격자는 이 취약점을 사용하여 ext_authz가 사용될 때 인증 검사를 우회할 수 있습니다.

CVE-2023-27493: Envoy 구성에 피어 인증서 SAN과 같은 요청의 입력을 통해 생성된 요청 헤더를 추가하는 옵션도 포함되어야 합니다.

CVE-2023-27492: 공격자는 Lua 필터가 사용 설정된 경로에 대해 대규모 요청 본문을 전송하고 비정상 종료를 트리거할 수 있습니다.

CVE-2023-27491: 공격자는 HTTP/1 업스트림 서비스에서 파싱 오류를 트리거하도록 특별히 제작된 HTTP/2 또는 HTTP/3 요청을 전송할 수 있습니다.

CVE-2023-27487: x-envoy-original-path 헤더는 내부 헤더여야 하지만, Envoy는 신뢰할 수 없는 클라이언트에서 보낸 요청 처리 시작 시 요청에서 이 헤더를 삭제하지 않습니다.

Cloud Service Mesh에서 사용되는 Envoy에서 여러 취약점(CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487)이 발견되었습니다. 이러한 취약점은 각각 GCP-2023-002로 보고되었습니다.

AWS 기반 GKE는 ASM과 함께 제공되지 않으며 영향을 받지 않습니다.

어떻게 해야 하나요?

별도의 조치가 필요하지 않습니다.

Cloud Service Mesh에서 사용되는 Envoy에서 여러 취약점(CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487)이 발견되었습니다. 이러한 취약점은 각각 GCP-2023-002로 보고되었습니다.

Azure 기반 GKE는 ASM과 함께 제공되지 않으며 영향을 받지 않습니다.

어떻게 해야 하나요?

별도의 조치가 필요하지 않습니다.

베어메탈용 GKE의 Cloud Service Mesh에서 사용되는 Envoy에서 여러 취약점(CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487)이 발견되었습니다. 이러한 취약점을 통해 악의적인 공격자가 서비스 거부를 일으키거나 Envoy를 비정상 종료할 수 있습니다. 이러한 취약점은 각각 GCP-2023-002로 보고되었지만 GKE Enterprise 고객이 ASM을 포함하는 버전을 업데이트하도록 하려고 합니다.

어떻게 해야 하나요?

다음 베어메탈용 GKE 버전은 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 관리자 및 사용자 클러스터를 다음 베어메탈용 GKE 버전 중 하나로 업그레이드하는 것이 좋습니다.

• 1.13.9
• 1.14.6
• 1.15.2

이 패치로 어떤 취약점이 해결되나요?

CVE-2023-27496: Envoy에서 활성화된 OAuth 필터가 노출된 상태로 실행 중인 경우 악의적인 행위자가 Envoy를 비정상 종료하여 서비스 거부를 일으킬 수 있는 요청을 생성할 수 있습니다.

CVE-2023-27488: 공격자는 이 취약점을 사용하여 ext_authz가 사용될 때 인증 검사를 우회할 수 있습니다.

CVE-2023-27493: Envoy 구성에 피어 인증서 SAN과 같은 요청의 입력을 통해 생성된 요청 헤더를 추가하는 옵션도 포함되어야 합니다.

CVE-2023-27492: 공격자는 Lua 필터가 사용 설정된 경로에 대해 대규모 요청 본문을 전송하고 비정상 종료를 트리거할 수 있습니다.

CVE-2023-27491: 공격자는 HTTP/1 업스트림 서비스에서 파싱 오류를 트리거하도록 특별히 제작된 HTTP/2 또는 HTTP/3 요청을 전송할 수 있습니다.

CVE-2023-27487: x-envoy-original-path 헤더는 내부 헤더여야 하지만, Envoy는 신뢰할 수 없는 클라이언트에서 보낸 요청 처리 시작 시 요청에서 이 헤더를 삭제하지 않습니다.

노드에서 서비스 거부를 일으킬 수 있는 새로운 취약점(CVE-2023-0468)이 Linux 커널 버전 5.15에서 발견되었습니다. Autopilot 클러스터를 포함한 GKE 클러스터가 영향을 받습니다.

GKE Sandbox를 사용하는 GKE 클러스터는 영향을 받지 않습니다.

어떻게 해야 하나요?

다음 GKE 버전은 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 보안을 위해 노드 자동 업그레이드가 사용 설정된 경우에도 클러스터와 노드 풀을 다음 GKE 버전 중 하나로 직접 업그레이드하는 것이 좋습니다.

• 1.25.7-gke.1200
• 1.26.2-gke.1200

출시 채널의 최근 기능을 사용하면 채널을 구독 취소하지 않고도 패치를 적용할 수 있습니다. 이렇게 하면 새 버전이 출시 특정 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다.

해결되는 취약점은 무엇인가요?

CVE-2023-0468에서 Linux 커널에 있는 io_uring 하위 구성요소의 io_poll_check_events의 io_uring/poll.c에서 use-after-free 결함이 발견되었습니다. 이 결함으로 인해 NULL 포인터가 역참조될 수 있으며 시스템 비정상 종료로 인해 서비스 거부가 발생할 수 있습니다.

노드에서 서비스 거부를 일으킬 수 있는 새로운 취약점(CVE-2023-0468)이 Linux 커널 버전 5.15에서 발견되었습니다.

VMware용 GKE는 Linux 커널 버전 5.4를 사용하며 이 CVE의 영향을 받지 않습니다.

어떻게 해야 하나요?

• 이와 관련해 별도의 조치를 취할 필요는 없습니다.

노드에서 서비스 거부를 일으킬 수 있는 새로운 취약점(CVE-2023-0468)이 Linux 커널 버전 5.15에서 발견되었습니다.

AWS 기반 GKE는 이 CVE의 영향을 받지 않습니다.

어떻게 해야 하나요?

• 이와 관련해 별도의 조치를 취할 필요는 없습니다.

노드에서 서비스 거부를 일으킬 수 있는 새로운 취약점(CVE-2023-0468)이 Linux 커널 버전 5.15에서 발견되었습니다.

Azure 기반 GKE는 이 CVE의 영향을 받지 않습니다.

어떻게 해야 하나요?

• 이와 관련해 별도의 조치를 취할 필요는 없습니다.

노드에서 서비스 거부를 일으킬 수 있는 새로운 취약점(CVE-2023-0468)이 Linux 커널 버전 5.15에서 발견되었습니다.

베어메탈용 Google Distributed Cloud Virtual은 이 CVE의 영향을 받지 않습니다.

어떻게 해야 하나요?

• 이와 관련해 별도의 조치를 취할 필요는 없습니다.

Kubernetes에서 사용자가 임시 컨테이너와 ImagePolicyWebhook(CVE-2023-2727) 또는 ServiceAccount 허용 플러그인(CVE-2023-2728)을 사용할 때 정책 제한을 우회하는 컨테이너를 실행할 수 있는 두 가지 새로운 보안 문제가 발견되었습니다.

GKE는 ImagePolicyWebhook을 사용하지 않으며 CVE-2023-2727의 영향을 받지 않습니다.

어떻게 해야 하나요?

다음 GKE 버전은 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 보안을 위해 노드 자동 업그레이드가 사용 설정된 경우에도 클러스터와 노드 풀을 다음 GKE 버전 중 하나로 직접 업그레이드하는 것이 좋습니다.

• 1.27.2-gke.1200
• 1.26.5-gke.1200
• 1.25.10-gke.1200
• 1.24.14-gke.1200
• 1.23.17-gke.6800

출시 채널의 최근 기능을 사용하면 채널을 구독 취소하지 않고도 패치를 적용할 수 있습니다. 이렇게 하면 새 버전이 특정 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다.

해결되는 취약점은 무엇인가요?

CVE-2023-2727에서는 사용자가 임시 컨테이너를 사용할 때 ImagePolicyWebhook으로 제한된 이미지를 사용하여 컨테이너를 실행할 수 있습니다. Kubernetes 클러스터는 ImagePolicyWebhook 허용 플러그인이 임시 컨테이너와 함께 사용될 때에만 영향을 받습니다. 또한 게이트키퍼 및 Kyverno와 같은 유효성 검사 웹훅을 사용하여 동일한 제약조건을 시행하면 이 CVE를 완화할 수 있습니다.

CVE-2023-2728에서 사용자는 임시 컨테이너를 사용할 때 ServiceAccount 허용 플러그인에서 시행하는 마운트 가능 보안 비밀 정책을 우회하는 컨테이너를 실행할 수 있습니다. 이 정책은 서비스 계정으로 실행되는 포드가 서비스 계정의 보안 비밀 필드에 지정된 보안 비밀만 참조할 수 있도록 합니다. 다음과 같은 경우 클러스터는 이 취약점의 영향을 받습니다.

• ServiceAccount 허용 플러그인이 사용됩니다.
• kubernetes.io/enforce-mountable-secrets 주석은 서비스 계정에서 사용됩니다. 이 주석은 기본적으로 추가되지 않습니다.
• 포드에서 임시 컨테이너를 사용하고 있습니다.

Kubernetes에서 사용자가 임시 컨테이너와 ImagePolicyWebhook(CVE-2023-2727) 또는 ServiceAccount 허용 플러그인(CVE-2023-2728)을 사용할 때 정책 제한을 우회하는 컨테이너를 실행할 수 있는 두 가지 새로운 보안 문제가 발견되었습니다. VMware용 Anthos는 ImagePolicyWebhook을 사용하지 않으며 CVE-2023-2727의 영향을 받지 않습니다.

모든 버전의 VMware용 Anthos는 CVE-2023-2728에 취약할 수 있습니다.

어떻게 해야 하나요?

2023년 8월 11일 업데이트: 다음 VMware용 GKE 버전은 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 관리자 클러스터와 사용자 클러스터를 다음 VMware용 GKE 버전 중 하나로 업그레이드합니다.

• 1.13.10
• 1.14.6
• 1.15.3

해결되는 취약점은 무엇인가요?

CVE-2023-2727에서는 사용자가 임시 컨테이너를 사용할 때 ImagePolicyWebhook으로 제한된 이미지를 사용하여 컨테이너를 실행할 수 있습니다. Kubernetes 클러스터는 ImagePolicyWebhook 허용 플러그인이 임시 컨테이너와 함께 사용될 때에만 영향을 받습니다. 또한 게이트키퍼 및 Kyverno와 같은 유효성 검사 웹훅을 사용하여 동일한 제약조건을 시행하면 이 CVE를 완화할 수 있습니다.

CVE-2023-2728에서 사용자는 임시 컨테이너를 사용할 때 ServiceAccount 허용 플러그인에서 시행하는 마운트 가능 보안 비밀 정책을 우회하는 컨테이너를 실행할 수 있습니다. 이 정책은 서비스 계정으로 실행되는 포드가 서비스 계정의 보안 비밀 필드에 지정된 보안 비밀만 참조할 수 있도록 합니다. 다음과 같은 경우 클러스터는 이 취약점의 영향을 받습니다.

• ServiceAccount 허용 플러그인이 사용됩니다.
• kubernetes.io/enforce-mountable-secrets 주석은 서비스 계정에서 사용됩니다. 이 주석은 기본적으로 추가되지 않습니다.
• 포드에서 임시 컨테이너를 사용하고 있습니다.

Kubernetes에서 사용자가 임시 컨테이너와 ImagePolicyWebhook(CVE-2023-2727) 또는 ServiceAccount 허용 플러그인(CVE-2023-2728)을 사용할 때 정책 제한을 우회하는 컨테이너를 실행할 수 있는 두 가지 새로운 보안 문제가 발견되었습니다.
AWS용 Anthos는 ImagePolicyWebhook을 사용하지 않으며 CVE-2023-2727의 영향을 받지 않습니다.
모든 버전의 AWS용 Anthos는 CVE-2023-2728에 취약할 수 있습니다.

어떻게 해야 하나요?

2023년 8월 11일 업데이트: 다음 버전의 AWS 기반 GKE는 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 노드를 다음 AWS 기반 GKE 버전으로 업그레이드합니다.

• 1.15.2

해결되는 취약점은 무엇인가요?

CVE-2023-2727에서는 사용자가 임시 컨테이너를 사용할 때 ImagePolicyWebhook으로 제한된 이미지를 사용하여 컨테이너를 실행할 수 있습니다. Kubernetes 클러스터는 ImagePolicyWebhook 허용 플러그인이 임시 컨테이너와 함께 사용될 때에만 영향을 받습니다. 또한 게이트키퍼 및 Kyverno와 같은 유효성 검사 웹훅을 사용하여 동일한 제약조건을 시행하면 이 CVE를 완화할 수 있습니다.

CVE-2023-2728에서 사용자는 임시 컨테이너를 사용할 때 ServiceAccount 허용 플러그인에서 시행하는 마운트 가능 보안 비밀 정책을 우회하는 컨테이너를 실행할 수 있습니다. 이 정책은 서비스 계정으로 실행되는 포드가 서비스 계정의 보안 비밀 필드에 지정된 보안 비밀만 참조할 수 있도록 합니다. 다음과 같은 경우 클러스터는 이 취약점의 영향을 받습니다.

• ServiceAccount 허용 플러그인이 사용됩니다.
• kubernetes.io/enforce-mountable-secrets 주석은 서비스 계정에서 사용됩니다. 이 주석은 기본적으로 추가되지 않습니다.
• 포드에서 임시 컨테이너를 사용하고 있습니다.

Kubernetes에서 사용자가 임시 컨테이너와 ImagePolicyWebhook(CVE-2023-2727) 또는 ServiceAccount 허용 플러그인(CVE-2023-2728)을 사용할 때 정책 제한을 우회하는 컨테이너를 실행할 수 있는 두 가지 새로운 보안 문제가 발견되었습니다.
Azure용 Anthos는 ImagePolicyWebhook을 사용하지 않으며 CVE-2023-2727의 영향을 받지 않습니다.
모든 버전의 Azure용 Anthos는 CVE-2023-2728에 취약할 수 있습니다.

어떻게 해야 하나요?

2023년 8월 11일 업데이트: 다음 버전의 Azure 기반 GKE는 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 노드를 다음 Azure 기반 GKE 버전으로 업그레이드합니다.

• 1.15.2

해결되는 취약점은 무엇인가요?

CVE-2023-2727에서는 사용자가 임시 컨테이너를 사용할 때 ImagePolicyWebhook으로 제한된 이미지를 사용하여 컨테이너를 실행할 수 있습니다. Kubernetes 클러스터는 ImagePolicyWebhook 허용 플러그인이 임시 컨테이너와 함께 사용될 때에만 영향을 받습니다. 또한 게이트키퍼 및 Kyverno와 같은 유효성 검사 웹훅을 사용하여 동일한 제약조건을 시행하면 이 CVE를 완화할 수 있습니다.

CVE-2023-2728에서 사용자는 임시 컨테이너를 사용할 때 ServiceAccount 허용 플러그인에서 시행하는 마운트 가능 보안 비밀 정책을 우회하는 컨테이너를 실행할 수 있습니다. 이 정책은 서비스 계정으로 실행되는 포드가 서비스 계정의 보안 비밀 필드에 지정된 보안 비밀만 참조할 수 있도록 합니다. 다음과 같은 경우 클러스터는 이 취약점의 영향을 받습니다.

• ServiceAccount 허용 플러그인이 사용됩니다.
• kubernetes.io/enforce-mountable-secrets 주석은 서비스 계정에서 사용됩니다. 이 주석은 기본적으로 추가되지 않습니다.
• 포드에서 임시 컨테이너를 사용하고 있습니다.

Kubernetes에서 사용자가 임시 컨테이너와 ImagePolicyWebhook(CVE-2023-2727) 또는 ServiceAccount 허용 플러그인(CVE-2023-2728)을 사용할 때 정책 제한을 우회하는 컨테이너를 실행할 수 있는 두 가지 새로운 보안 문제가 발견되었습니다.
베어메탈용 Anthos는 ImagePolicyWebhook을 사용하지 않으며 CVE-2023-2727의 영향을 받지 않습니다.
모든 버전의 베어메탈용 Anthos는 CVE-2023-2728에 취약할 수 있습니다.

어떻게 해야 하나요?

2023년 8월 11일 업데이트: 다음 버전의 베어메탈용 Google Distributed Cloud Virtual는 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 노드를 다음 베어메탈용 Google Distributed Cloud Virtual 버전 중 하나로 업그레이드합니다.

• 1.13.9
• 1.14.7
• 1.15.3

해결되는 취약점은 무엇인가요?

CVE-2023-2727에서는 사용자가 임시 컨테이너를 사용할 때 ImagePolicyWebhook으로 제한된 이미지를 사용하여 컨테이너를 실행할 수 있습니다. Kubernetes 클러스터는 ImagePolicyWebhook 허용 플러그인이 임시 컨테이너와 함께 사용될 때에만 영향을 받습니다. 또한 게이트키퍼 및 Kyverno와 같은 유효성 검사 웹훅을 사용하여 동일한 제약조건을 시행하면 이 CVE를 완화할 수 있습니다.

CVE-2023-2728에서 사용자는 임시 컨테이너를 사용할 때 ServiceAccount 허용 플러그인에서 시행하는 마운트 가능 보안 비밀 정책을 우회하는 컨테이너를 실행할 수 있습니다. 이 정책은 서비스 계정으로 실행되는 포드가 서비스 계정의 보안 비밀 필드에 지정된 보안 비밀만 참조할 수 있도록 합니다. 다음과 같은 경우 클러스터는 이 취약점의 영향을 받습니다.

• ServiceAccount 허용 플러그인이 사용됩니다.
• kubernetes.io/enforce-mountable-secrets 주석은 서비스 계정에서 사용됩니다. 이 주석은 기본적으로 추가되지 않습니다.
• 포드에서 임시 컨테이너를 사용하고 있습니다.

드라이버 로그에 액세스할 수 있는 행위자가 서비스 계정 토큰을 관찰할 수 있는 secret-store-csi-driver에서 새 취약점(CVE-2023-2878)이 발견되었습니다. 그러면 이러한 토큰이 외부 클라우드 제공업체와 교환되어 Cloud Vault 솔루션에 저장된 보안 비밀에 액세스할 수 있습니다.

GKE는 이 CVE의 영향을 받지 않습니다.

어떻게 해야 하나요?

GKE는 영향을 받지 않지만 secret-store-csi-driver 구성요소를 설치했으면 패치 버전으로 설치를 업데이트해야 합니다.

이 패치로 어떤 취약점이 해결되나요?

드라이버 로그에 액세스할 수 있는 행위자가 서비스 계정 토큰을 관찰할 수 있는 secret-store-csi-driver에서 취약점(CVE-2023-2878)이 발견되었습니다. 그러면 이러한 토큰이 외부 클라우드 제공업체와 교환되어 Cloud Vault 솔루션에 저장된 보안 비밀에 액세스할 수 있습니다. 토큰은 TokenRequest가 CSIDriver 객체에 구성되고 드라이버가 -v 플래그를 통해 로그 수준 2 이상에서 실행되도록 설정된 경우에만 로깅됩니다.

드라이버 로그에 액세스할 수 있는 행위자가 서비스 계정 토큰을 관찰할 수 있는 secret-store-csi-driver에서 새 취약점(CVE-2023-2878)이 발견되었습니다. 그러면 이러한 토큰이 외부 클라우드 제공업체와 교환되어 Cloud Vault 솔루션에 저장된 보안 비밀에 액세스할 수 있습니다.

VMware용 GKE는 이 CVE의 영향을 받지 않습니다.

어떻게 해야 하나요?

VMware용 GKE는 영향을 받지 않지만 secret-store-csi-driver 구성요소를 설치했으면 패치 버전으로 설치를 업데이트해야 합니다.

이 패치로 어떤 취약점이 해결되나요?

드라이버 로그에 액세스할 수 있는 행위자가 서비스 계정 토큰을 관찰할 수 있는 secret-store-csi-driver에서 취약점(CVE-2023-2878)이 발견되었습니다. 그러면 이러한 토큰이 외부 클라우드 제공업체와 교환되어 Cloud Vault 솔루션에 저장된 보안 비밀에 액세스할 수 있습니다. 토큰은 TokenRequest가 CSIDriver 객체에 구성되고 드라이버가 -v 플래그를 통해 로그 수준 2 이상에서 실행되도록 설정된 경우에만 로깅됩니다.

드라이버 로그에 액세스할 수 있는 행위자가 서비스 계정 토큰을 관찰할 수 있는 secret-store-csi-driver에서 새 취약점(CVE-2023-2878)이 발견되었습니다. 그러면 이러한 토큰이 외부 클라우드 제공업체와 교환되어 Cloud Vault 솔루션에 저장된 보안 비밀에 액세스할 수 있습니다.

AWS 기반 GKE는 이 CVE의 영향을 받지 않습니다.

어떻게 해야 하나요?

AWS 기반 GKE는 영향을 받지 않지만 secret-store-csi-driver 구성요소를 설치했으면 패치 버전으로 설치를 업데이트해야 합니다.

이 패치로 어떤 취약점이 해결되나요?

드라이버 로그에 액세스할 수 있는 행위자가 서비스 계정 토큰을 관찰할 수 있는 secret-store-csi-driver에서 취약점(CVE-2023-2878)이 발견되었습니다. 그러면 이러한 토큰이 외부 클라우드 제공업체와 교환되어 Cloud Vault 솔루션에 저장된 보안 비밀에 액세스할 수 있습니다. 토큰은 TokenRequest가 CSIDriver 객체에 구성되고 드라이버가 -v 플래그를 통해 로그 수준 2 이상에서 실행되도록 설정된 경우에만 로깅됩니다.

드라이버 로그에 액세스할 수 있는 행위자가 서비스 계정 토큰을 관찰할 수 있는 secret-store-csi-driver에서 새 취약점(CVE-2023-2878)이 발견되었습니다. 그러면 이러한 토큰이 외부 클라우드 제공업체와 교환되어 Cloud Vault 솔루션에 저장된 보안 비밀에 액세스할 수 있습니다.

Azure 기반 GKE는 이 CVE의 영향을 받지 않습니다.

어떻게 해야 하나요?

Azure 기반 GKE는 영향을 받지 않지만 secret-store-csi-driver 구성요소를 설치했으면 패치 버전으로 설치를 업데이트해야 합니다.

이 패치로 어떤 취약점이 해결되나요?

드라이버 로그에 액세스할 수 있는 행위자가 서비스 계정 토큰을 관찰할 수 있는 secret-store-csi-driver에서 취약점(CVE-2023-2878)이 발견되었습니다. 그러면 이러한 토큰이 외부 클라우드 제공업체와 교환되어 Cloud Vault 솔루션에 저장된 보안 비밀에 액세스할 수 있습니다. 토큰은 TokenRequest가 CSIDriver 객체에 구성되고 드라이버가 -v 플래그를 통해 로그 수준 2 이상에서 실행되도록 설정된 경우에만 로깅됩니다.

드라이버 로그에 액세스할 수 있는 행위자가 서비스 계정 토큰을 관찰할 수 있는 secret-store-csi-driver에서 새 취약점(CVE-2023-2878)이 발견되었습니다. 그러면 이러한 토큰이 외부 클라우드 제공업체와 교환되어 Cloud Vault 솔루션에 저장된 보안 비밀에 액세스할 수 있습니다.

베어메탈용 GKE는 이 CVE의 영향을 받지 않습니다.

어떻게 해야 하나요?

베어메탈용 GKE는 영향을 받지 않지만 secrets-store-csi-driver 구성요소를 설치했으면 패치 버전으로 설치를 업데이트해야 합니다.

이 패치로 어떤 취약점이 해결되나요?

드라이버 로그에 액세스할 수 있는 행위자가 서비스 계정 토큰을 관찰할 수 있는 secret-store-csi-driver에서 취약점(CVE-2023-2878)이 발견되었습니다. 그러면 이러한 토큰이 외부 클라우드 제공업체와 교환되어 Cloud Vault 솔루션에 저장된 보안 비밀에 액세스할 수 있습니다. 토큰은 TokenRequest가 CSIDriver 객체에 구성되고 드라이버가 -v 플래그를 통해 로그 수준 2 이상에서 실행되도록 설정된 경우에만 로깅됩니다.

Linux 커널에서 노드 루트로 권한 에스컬레이션을 일으킬 수 있는 새로운 취약점(CVE-2023-1872)이 발견되었습니다. GKE Standard 및 Autopilot 클러스터가 영향을 받습니다.

GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다.

어떻게 해야 하나요?

다음 GKE 버전은 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 보안을 위해 노드 자동 업그레이드가 사용 설정된 경우에도 클러스터와 노드 풀을 다음 GKE 버전 중 하나로 직접 업그레이드하는 것이 좋습니다.

• 1.22.17-gke.11400
• 1.23.17-gke.5600
• 1.24.13-gke.2500
• 1.25.9-gke.2300
• 1.26.5-gke.1200

출시 채널의 최근 기능을 사용하면 채널을 구독 취소하지 않고도 패치를 적용할 수 있습니다. 이렇게 하면 새 버전이 출시 특정 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다.

이 패치로 어떤 취약점이 해결되나요?

CVE-2023-1872는 로컬 권한 에스컬레이션을 위해 악용될 수 있는 Linux 커널 io_uring 하위 시스템의 use-after-free 취약점입니다. io_file_get_fixed 함수에는 ctx->uring_lock이 없으므로 고정 파일이 등록되지 않은 경합 상태로 인해 use-after-free 취약점이 발생할 수 있습니다.

Linux 커널에서 노드 루트로 권한 에스컬레이션을 일으킬 수 있는 새로운 취약점(CVE-2023-1872)이 발견되었습니다.

어떻게 해야 하나요?

이 패치로 어떤 취약점이 해결되나요?

CVE-2023-1872는 로컬 권한 에스컬레이션을 위해 악용될 수 있는 Linux 커널 io_uring 하위 시스템의 use-after-free 취약점입니다. io_file_get_fixed 함수에는 ctx->uring_lock이 없으므로 고정 파일이 등록되지 않은 경합 상태로 인해 use-after-free 취약점이 발생할 수 있습니다.

Linux 커널에서 노드 루트로 권한 에스컬레이션을 일으킬 수 있는 새로운 취약점(CVE-2023-1872)이 발견되었습니다.

어떻게 해야 하나요?

다음 AWS 기반 GKE 버전은 이 취약점을 해결하기 위한 코드로 업데이트되었습니다.

이 패치로 어떤 취약점이 해결되나요?

CVE-2023-1872는 로컬 권한 에스컬레이션을 위해 악용될 수 있는 Linux 커널 io_uring 하위 시스템의 use-after-free 취약점입니다. io_file_get_fixed 함수에는 ctx->uring_lock이 없으므로 고정 파일이 등록되지 않은 경합 상태로 인해 use-after-free 취약점이 발생할 수 있습니다.

Linux 커널에서 노드 루트로 권한 에스컬레이션을 일으킬 수 있는 새로운 취약점(CVE-2023-1872)이 발견되었습니다.

어떻게 해야 하나요?

다음 Azure 기반 GKE 버전은 이러한 취약점을 해결하기 위한 코드로 업데이트되었습니다.

이 패치로 어떤 취약점이 해결되나요?

CVE-2023-1872는 로컬 권한 에스컬레이션을 위해 악용될 수 있는 Linux 커널 io_uring 하위 시스템의 use-after-free 취약점입니다. io_file_get_fixed 함수에는 ctx->uring_lock이 없으므로 고정 파일이 등록되지 않은 경합 상태로 인해 use-after-free 취약점이 발생할 수 있습니다.

Linux 커널에서 노드 루트로 권한 에스컬레이션을 일으킬 수 있는 새로운 취약점(CVE-2023-1872)이 발견되었습니다.

베어메탈용 GKE는 이 CVE의 영향을 받지 않습니다.

어떻게 해야 하나요?

어떤 조치도 필요하지 않습니다.

Linux 커널에서 노드의 루트에 권한 에스컬레이션이 발생할 수 있는 두 가지 새로운 취약점(CVE-2023-1281 및 CVE-2023-1829)이 발견되었습니다. GKE Standard 클러스터가 영향을 받습니다.

GKE Autopilot 클러스터와 GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다.

어떻게 해야 하나요?

2023년 6월 6일 업데이트: Ubuntu 패치 버전이 제공됩니다.

CVE-2023-1281 및 CVE-2023-1829를 패치를 적용하는 최신 Ubuntu 버전이 포함되도록 다음 GKE 버전이 업데이트되었습니다.

• 1.23.17-gke.6800
• 1.24.14-gke.1200
• 1.25.10-gke.1200
• 1.26.5-gke.1200

다음 GKE 버전은 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 보안을 위해 노드 자동 업그레이드가 사용 설정된 경우에도 클러스터와 노드 풀을 다음 GKE 버전 중 하나로 직접 업그레이드하는 것이 좋습니다.

• 1.22.17-gke.8100
• 1.23.17-gke.2300
• 1.24.12-gke.1100
• 1.25.8-gke.1000
• 1.26.3-gke.1000

출시 채널의 최근 기능을 사용하면 채널을 구독 취소하지 않고도 패치를 적용할 수 있습니다. 이렇게 하면 새 버전이 출시 특정 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다.

이 패치로 어떤 취약점이 해결되나요?

CVE-2023-1281 및 CVE-2023-1829 모두 로컬 권한 에스컬레이션을 위해 악용될 수 있는 Linux 커널 트래픽 제어 색인 필터(tcindex)의 use-after-free 취약점입니다.

CVE-2023-1829에서는 tcindex_delete 함수가 나중에 데이터 구조가 해제될 수 있는 특정한 경우에 필터를 올바르게 비활성화하지 않습니다.

CVE-2023-1281에서는 패킷이 통과하는 동안 불완전한 해시 영역이 업데이트될 수 있으므로 폐기된 tcf_ext로 tcf_exts_exec()를 호출하면 use-after-free가 발생합니다. 로컬 공격자가 이 취약점을 사용하여 권한을 루트로 승격할 수 있습니다.

Linux 커널에서 노드의 루트에 권한 에스컬레이션이 발생할 수 있는 두 가지 새로운 취약점(CVE-2023-1281 및 CVE-2023-1829)이 발견되었습니다.

어떻게 해야 하나요?

이 패치로 어떤 취약점이 해결되나요?

CVE-2023-1281 및 CVE-2023-1829 모두 로컬 권한 에스컬레이션을 위해 악용될 수 있는 Linux 커널 트래픽 제어 색인 필터(tcindex)의 use-after-free 취약점입니다.

CVE-2023-1829에서는 tcindex_delete 함수가 나중에 데이터 구조가 해제될 수 있는 특정한 경우에 필터를 올바르게 비활성화하지 않습니다.

CVE-2023-1281에서는 패킷이 통과하는 동안 불완전한 해시 영역이 업데이트될 수 있으므로 폐기된 tcf_ext로 tcf_exts_exec()를 호출하면 use-after-free가 발생합니다. 로컬 공격자가 이 취약점을 사용하여 권한을 루트로 승격할 수 있습니다.

Linux 커널에서 노드의 루트에 권한 에스컬레이션이 발생할 수 있는 두 가지 새로운 취약점(CVE-2023-1281 및 CVE-2023-1829)이 발견되었습니다.

어떻게 해야 하나요?

이 패치로 어떤 취약점이 해결되나요?

CVE-2023-1281 및 CVE-2023-1829 모두 로컬 권한 에스컬레이션을 위해 악용될 수 있는 Linux 커널 트래픽 제어 색인 필터(tcindex)의 use-after-free 취약점입니다.

CVE-2023-1829에서는 tcindex_delete 함수가 나중에 데이터 구조가 해제될 수 있는 특정한 경우에 필터를 올바르게 비활성화하지 않습니다.

CVE-2023-1281에서는 패킷이 통과하는 동안 불완전한 해시 영역이 업데이트될 수 있으므로 폐기된 tcf_ext로 tcf_exts_exec()를 호출하면 use-after-free가 발생합니다. 로컬 공격자가 이 취약점을 사용하여 권한을 루트로 승격할 수 있습니다.

Linux 커널에서 노드의 루트에 권한 에스컬레이션이 발생할 수 있는 두 가지 새로운 취약점(CVE-2023-1281 및 CVE-2023-1829)이 발견되었습니다.

어떻게 해야 하나요?

이 패치로 어떤 취약점이 해결되나요?

CVE-2023-1281 및 CVE-2023-1829 모두 로컬 권한 에스컬레이션을 위해 악용될 수 있는 Linux 커널 트래픽 제어 색인 필터(tcindex)의 use-after-free 취약점입니다.

CVE-2023-1829에서는 tcindex_delete 함수가 나중에 데이터 구조가 해제될 수 있는 특정한 경우에 필터를 올바르게 비활성화하지 않습니다.

CVE-2023-1281에서는 패킷이 통과하는 동안 불완전한 해시 영역이 업데이트될 수 있으므로 폐기된 tcf_ext로 tcf_exts_exec()를 호출하면 use-after-free가 발생합니다. 로컬 공격자가 이 취약점을 사용하여 권한을 루트로 승격할 수 있습니다.

Linux 커널에서 노드의 루트에 권한 에스컬레이션이 발생할 수 있는 두 가지 새로운 취약점(CVE-2023-1281 및 CVE-2023-1829)이 발견되었습니다.

베어메탈용 GKE는 이 CVE의 영향을 받지 않습니다.

어떻게 해야 하나요?

어떤 조치도 필요하지 않습니다.

2023년 12월 21일 업데이트: 원본 게시판에서 Autopilot 클러스터가 영향을 받았다고 설명했지만 잘못된 내용이었습니다. 기본 구성의 GKE Autopilot 클러스터는 영향을 받지 않지만, 명시적으로 seccomp Unconfined 프로필을 설정하거나 CAP_NET_ADMIN을 허용하는 경우 취약점이 발생할 수 있습니다.

Linux 커널에서 권한이 없는 사용자가 권한을 에스컬레이션할 수 있는 두 가지 새로운 취약점 CVE-2023-0240 및 CVE-2023-23586이 발견되었습니다. Linux 커널 버전 5.10~5.10.162를 사용하는 COS가 있는 Autopilot 클러스터 등 GKE 클러스터가 영향을 받습니다. Ubuntu 이미지를 사용하거나 GKE Sandbox를 사용하는 GKE 클러스터는 영향을 받지 않습니다.

어떻게 해야 하나요?

다음 GKE 버전은 취약점이 해결되도록 코드로 업데이트되었습니다. 보안을 위해 노드 자동 업그레이드가 사용 설정된 경우에도 노드 풀을 다음 GKE 버전 중 하나로 직접 업그레이드하는 것이 좋습니다.

• 1.22.17-gke.4000
• 1.23.16-gke.1100
• 1.24.10-gke.1200

출시 채널의 최근 기능을 사용하면 채널을 구독 취소하지 않고도 패치를 적용할 수 있습니다. 이렇게 하면 새 버전이 출시 특정 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다.

이 패치로 어떤 취약점이 해결되나요?

취약점 1(CVE-2023-0240): io_uring의 경합 상태로 인해 전체 컨테이너가 노드의 루트로 침입할 수 있습니다. Linux 커널 버전 5.10은 5.10.162까지 영향을 받습니다.

취약점 2(CVE-2023-23586): io_uring/time_ns에서 use-after-free(UAF)를 사용하면 전체 컨테이너가 노드의 루트로 침입할 수 있습니다. Linux 커널 버전 5.10은 5.10.162까지 영향을 받습니다.

Linux 커널에서 권한이 없는 사용자가 권한을 에스컬레이션할 수 있는 두 가지 새로운 취약점 CVE-2023-0240 및 CVE-2023-23586이 발견되었습니다. Linux 커널 버전 5.10~5.10.162를 사용하는 COS가 있는 VMware용 GKE 클러스터가 영향을 받습니다. Ubuntu 이미지를 사용하는 GKE Enterprise 클러스터는 영향을 받지 않습니다.

어떻게 해야 하나요?

다음 VMware용 GKE 버전은 이러한 취약점을 해결하기 위한 코드로 업데이트되었습니다.

• 1.12.6
• 1.13.5

이 패치로 어떤 취약점이 해결되나요?

취약점 1(CVE-2023-0240): io_uring의 경합 상태로 인해 전체 컨테이너가 노드의 루트로 침입할 수 있습니다. Linux 커널 버전 5.10은 5.10.162까지 영향을 받습니다.

취약점 2(CVE-2023-23586): io_uring/time_ns에서 use-after-free(UAF)를 사용하면 전체 컨테이너가 노드의 루트로 침입할 수 있습니다. Linux 커널 버전 5.10은 5.10.162까지 영향을 받습니다.

Linux 커널에서 권한이 없는 사용자가 권한을 에스컬레이션할 수 있는 두 가지 새로운 취약점 CVE-2023-0240 및 CVE-2023-23586이 발견되었습니다. AWS 기반 GKE는 이 CVE의 영향을 받지 않습니다.

어떻게 해야 하나요?

어떤 조치도 필요하지 않습니다.

Linux 커널에서 권한이 없는 사용자가 권한을 에스컬레이션할 수 있는 두 가지 새로운 취약점 CVE-2023-0240 및 CVE-2023-23586이 발견되었습니다. Azure 기반 GKE는 이러한 CVE의 영향을 받지 않습니다.

어떻게 해야 하나요?

어떤 조치도 필요하지 않습니다.

Linux 커널에서 권한이 없는 사용자가 권한을 에스컬레이션할 수 있는 두 가지 새로운 취약점 CVE-2023-0240 및 CVE-2023-23586이 발견되었습니다. 베어메탈용 GKE는 이 CVE의 영향을 받지 않습니다.

어떻게 해야 하나요?

어떤 조치도 필요하지 않습니다.

2023년 12월 21일 업데이트: 원본 게시판에서 Autopilot 클러스터가 영향을 받았다고 설명했지만 잘못된 내용이었습니다. 기본 구성의 GKE Autopilot 클러스터는 영향을 받지 않지만, 명시적으로 seccomp Unconfined 프로필을 설정하거나 CAP_NET_ADMIN을 허용하는 경우 취약점이 발생할 수 있습니다.

Linux 커널에서 노드의 권한 에스컬레이션이 발생할 수 있는 새로운 취약점(CVE-2022-4696)이 발견되었습니다. Autopilot 클러스터를 포함한 GKE 클러스터가 영향을 받습니다. GKE Sandbox를 사용하는 GKE 클러스터는 영향을 받지 않습니다.

어떻게 해야 하나요?

다음 GKE 버전은 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 보안을 위해 노드 자동 업그레이드가 사용 설정된 경우에도 다음 GKE 버전 중 하나로 클러스터와 노드 풀을 수동으로 업그레이드하는 것이 좋습니다.

• 1.22.17-gke.3100
• 1.23.16-gke.200
• 1.24.9-gke.3200

출시 채널의 최근 기능을 사용하면 채널을 구독 취소하지 않고도 패치를 적용할 수 있습니다. 이렇게 하면 새 버전이 출시 특정 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다.

이 패치로 어떤 취약점이 해결되나요?

CVE-2022-4696에서는 Linux 커널의 io_uring 및 ioring_op_splice에서 use-after-free 결함이 발견되었습니다. 이 결함으로 인해 로컬 사용자가 로컬 권한 에스컬레이션을 만들 수 있습니다.

Linux 커널에서 노드의 권한 에스컬레이션이 발생할 수 있는 새로운 취약점(CVE-2022-4696)이 발견되었습니다. v1.12 및 v1.13을 실행하는 VMware용 GKE가 영향을 받습니다. v1.14 이상을 실행하는 VMware용 GKE는 영향을 받지 않습니다.

어떻게 해야 하나요?

다음 VMware용 GKE 버전은 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 관리자 및 사용자 클러스터를 다음 VMware용 GKE 버전 중 하나로 업그레이드하는 것이 좋습니다.

• 1.12.5
• 1.13.5

이 패치로 어떤 취약점이 해결되나요?

CVE-2022-4696에서는 Linux 커널의 io_uring 및 ioring_op_splice에서 use-after-free 결함이 발견되었습니다. 이 결함으로 인해 로컬 사용자가 로컬 권한 에스컬레이션을 만들 수 있습니다.

Linux 커널에서 노드의 권한 에스컬레이션이 발생할 수 있는 새로운 취약점(CVE-2022-4696)이 발견되었습니다. AWS 기반 GKE는 이 취약점의 영향을 받지 않습니다.

어떻게 해야 하나요?

별도의 조치가 필요하지 않습니다.

Linux 커널에서 노드의 권한 에스컬레이션이 발생할 수 있는 새로운 취약점(CVE-2022-4696)이 발견되었습니다. Azure 기반 GKE는 이 취약점의 영향을 받지 않습니다.

어떻게 해야 하나요?

별도의 조치가 필요하지 않습니다.

Linux 커널에서 노드의 권한 에스컬레이션이 발생할 수 있는 새로운 취약점(CVE-2022-4696)이 발견되었습니다. 베어메탈용 GKE는 이 취약점의 영향을 받지 않습니다.

어떻게 해야 하나요?

별도의 조치가 필요하지 않습니다.

OpenSSL v3.0.6에서 비정상 종료를 일으킬 수 있는 두 가지 새로운 취약점(CVE-2022-3786 및 CVE-2022-3602)이 발견되었습니다. NVD 데이터베이스에서 높음으로 평가되었지만 GKE 엔드포인트는 boringSSL 또는 영향을 받지 않는 이전 버전의 OpenSSL을 사용하므로, GKE에 대해 평점이 보통으로 낮아졌습니다.

어떻게 해야 하나요?

다음 GKE 버전은 이 취약점을 해결하기 위한 코드로 업데이트되었습니다.

• 1.25.4-gke.1600
• 1.24.8-gke.401
• 1.23.14-gke.401
• 1.22.16-gke.1300
• 1.21.14-gke.14100

출시 채널의 최근 기능을 사용하면 채널을 구독 취소하지 않고도 패치를 적용할 수 있습니다. 이렇게 하면 새 버전이 출시 특정 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다.

이 패치로 어떤 취약점이 해결되나요?

CVE-2022-3786 및 CVE-2022-3602를 사용하면 X.509 인증서 확인에서 버퍼 오버런이 트리거되어 비정상 종료를 초래함으로써 서비스 거부가 발생할 수 있습니다. 이 취약점을 악용하려면 CA가 악의적인 인증서에 서명했거나 신뢰할 수 있는 발급자에 대한 경로를 구성하지 못하더라도 애플리케이션이 인증서 확인을 계속 진행해야 합니다.

OpenSSL v3.0.6에서 충돌을 일으킬 수 있는 두 가지 새로운 취약점(CVE-2022-3786 및 CVE-2022-3602)이 발견되었습니다.

어떻게 해야 하나요?

VMware용 GKE는 영향을 받는 OpenSSL 버전을 사용하지 않으므로 이 CVE의 영향을 받지 않습니다.

이 패치로 어떤 취약점이 해결되나요?

어떤 조치도 필요하지 않습니다.

OpenSSL v3.0.6에서 충돌을 일으킬 수 있는 두 가지 새로운 취약점(CVE-2022-3786 및 CVE-2022-3602)이 발견되었습니다.

어떻게 해야 하나요?

AWS 기반 GKE는 영향을 받는 OpenSSL 버전을 사용하지 않으므로 이 CVE의 영향을 받지 않습니다.

이 패치로 어떤 취약점이 해결되나요?

어떤 조치도 필요하지 않습니다.

OpenSSL v3.0.6에서 충돌을 일으킬 수 있는 두 가지 새로운 취약점(CVE-2022-3786 및 CVE-2022-3602)이 발견되었습니다.

어떻게 해야 하나요?

Azure 기반 GKE는 영향을 받는 OpenSSL 버전을 사용하지 않으므로 이 CVE의 영향을 받지 않습니다.

이 패치로 어떤 취약점이 해결되나요?

어떤 조치도 필요하지 않습니다.

OpenSSL v3.0.6에서 충돌을 일으킬 수 있는 두 가지 새로운 취약점(CVE-2022-3786 및 CVE-2022-3602)이 발견되었습니다.

어떻게 해야 하나요?

베어메탈용 GKE는 영향을 받는 OpenSSL 버전을 사용하지 않으므로 이 CVE의 영향을 받지 않습니다.

이 패치로 어떤 취약점이 해결되나요?

어떤 조치도 필요하지 않습니다.

2023년 12월 21일 업데이트: 원본 게시판에서 Autopilot 클러스터가 영향을 받았다고 설명했지만 잘못된 내용이었습니다. 기본 구성의 GKE Autopilot 클러스터는 영향을 받지 않지만, 명시적으로 seccomp Unconfined 프로필을 설정하거나 CAP_NET_ADMIN을 허용하는 경우 취약점이 발생할 수 있습니다.

Linux 커널의 io_uring 하위 시스템에서 공격자가 임의의 코드를 실행할 수 있는 새로운 취약점(CVE-2022-2602)이 발견되었습니다. Autopilot 클러스터를 포함한 GKE 클러스터가 영향을 받습니다.

GKE Sandbox를 사용하는 GKE 클러스터는 영향을 받지 않습니다.

어떻게 해야 하나요?

2023년 1월 19일 업데이트: 버전 1.21.14-gke.14100을 사용할 수 있습니다. 노드 풀을 이 버전 이상으로 업그레이드하세요.

다음 버전의 GKE는 향후 버전에서 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 보안을 위해 노드 자동 업그레이드가 사용 설정된 경우에도 다음 GKE 버전 중 하나로 노드 풀을 수동으로 업그레이드하는 것이 좋습니다.

• Container-Optimized OS:
  • 1.22.16-gke.1300 이상
  • 1.23.14-gke.401 이상
  • 1.24.7-gke.900 이상
  • 1.25.4-gke.1600 이상
• Ubuntu:
• 1.22.15-gke.2500 이상
• 1.23.13-gke.900 이상
• 1.24.7-gke.900 이상
• 1.25.3-gke.800 이상

출시 채널의 최근 기능을 사용하면 채널을 구독 취소하지 않고도 패치를 적용할 수 있습니다. 이렇게 하면 새 버전이 출시 특정 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다.

이 패치로 어떤 취약점이 해결되나요?

CVE-2022-2602에서는 io_uring 요청 처리와 Unix 소켓 가비지 컬렉션 간의 경합 상태로 인해 use-after-free 취약점이 발생할 수 있습니다. 로컬 공격자가 이를 악용해서 서비스 거부를 트리거하거나 임의 코드를 실행할 수 있습니다.

Linux 커널의 io_uring 하위 시스템에서 공격자가 임의의 코드를 실행할 수 있는 새로운 취약점(CVE-2022-2602)이 발견되었습니다.

VMware용 GKE 버전 1.11, 1.12, 1.13이 영향을 받습니다.

어떻게 해야 하나요?

클러스터를 패치 버전으로 업그레이드합니다. 다음 VMware용 GKE 버전에 이 취약점을 해결하는 코드가 포함되어 있습니다.

• 1.13.2
• 1.12.4
• 1.11.5

이 패치로 어떤 취약점이 해결되나요?

CVE-2022-2602에서는 io_uring 요청 처리와 Unix 소켓 가비지 컬렉션 간의 경합 상태로 인해 use-after-free 취약점이 발생할 수 있습니다. 로컬 공격자가 이를 악용해서 서비스 거부를 트리거하거나 임의 코드를 실행할 수 있습니다.

Linux 커널의 io_uring 하위 시스템에서 공격자가 임의의 코드를 실행할 수 있는 새로운 취약점(CVE-2022-2602)이 발견되었습니다.

어떻게 해야 하나요?

다음과 같은 AWS 기반 GKE의 현재 및 이전 세대 버전이 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 노드를 다음 AWS 기반 GKE 버전 중 하나로 업그레이드하는 것이 좋습니다.

• 현재 세대:
  • 1.22.15-gke.100
  • 1.23.11-gke.300
  • 1.24.5-gke.200
• 이전 세대:
• 1.22.15-gke.1400
• 1.23.12-gke.1400
• 1.24.6-gke.1300

이 패치로 어떤 취약점이 해결되나요?

CVE-2022-2602에서는 io_uring 요청 처리와 Unix 소켓 가비지 컬렉션 간의 경합 상태로 인해 use-after-free 취약점이 발생할 수 있습니다. 로컬 공격자가 이를 악용해서 서비스 거부를 트리거하거나 임의 코드를 실행할 수 있습니다.