Bollettini sulla sicurezza

In questa pagina sono descritti tutti i bollettini sulla sicurezza per i prodotti seguenti:

  • Google Kubernetes Engine (GKE)
  • Google Distributed Cloud (solo software) su VMware
  • GKE su AWS
  • GKE su Azure
  • Google Distributed Cloud (solo software) on bare metal

Spesso le vulnerabilità sono segrete sotto embargo finché le parti colpite non hanno abbiamo avuto l'opportunità di affrontarli. In questi casi, le note di rilascio del prodotto fai riferimento agli "aggiornamenti della sicurezza" fino a quando l'embargo non sarà stato revocato. A quel punto le note verranno aggiornate per riflettere la vulnerabilità affrontata dalla patch.

Quando GKE pubblica un bollettino sulla sicurezza direttamente correlato configurazione o versione del tuo cluster, potremmo inviarti un SecurityBulletinEvent notifica sul cluster che fornisce informazioni sulla vulnerabilità e sulle azioni che puoi eseguire, se applicabile. Per informazioni sulla configurazione del cluster per le notifiche dei cluster, fai riferimento a Notifiche dei cluster.

Per maggiori informazioni su come Google gestisce le vulnerabilità e le patch di sicurezza per GKE e GKE Enterprise, consulta Applicazione di patch di sicurezza.

Le piattaforme GKE e GKE Enterprise non utilizzano componenti come ingress-nginx e il runtime del container CRI-O, e non sono interessati eventuali vulnerabilità in tali componenti. Se installi componenti da ad altre fonti, fai riferimento agli aggiornamenti di sicurezza e ai consigli sulle patch componenti all'origine.

Utilizza questo feed XML per iscriverti ai bollettini sulla sicurezza per questa pagina. Iscriviti

GCP-2024-045

Pubblicato il 17/07/2024
Riferimento: CVE-2024-26925

GKE

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2024-26925

I cluster GKE Standard ne sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo Unconfined seccomp o consenti CAP_NET_ADMIN.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade del tuo Pool di nodi Container-Optimized OS in una delle seguenti versioni di patch o versioni successive:

  • 1.27.14-gke.1093000
  • 1.28.10-gke.1141000
  • 1.29.5-gke.1192000
  • 1.30.2-gke.1394000

Puoi applicare versioni patch da canali di rilascio più recenti se il cluster viene eseguito lo stesso una versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi la versione patch diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Esegui le versioni delle patch da un canale più recente.

Alta

GDC (VMware)

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2024-26925

Che cosa devo fare?

In attesa

GKE su AWS

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2024-26925

Che cosa devo fare?

In attesa

GKE su Azure

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2024-26925

Che cosa devo fare?

In attesa

GDC (bare metal)

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2024-26925

Che cosa devo fare?

Non sono necessarie ulteriori azioni. Il software GDC per bare metal non è interessato perché non include un sistema operativo nella sua distribuzione.

Nessuno

GCP-2024-044

Pubblicato il 16/07/2024
Riferimento: CVE-2024-36972

GKE

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2024-36972

Sono interessati i cluster GKE Standard e Autopilot.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade del tuo Pool di nodi Container-Optimized OS in una delle seguenti versioni di patch o versioni successive:

  • 1.27.14-gke.1093000
  • 1.28.10-gke.1141000
  • 1.29.5-gke.1192000
  • 1.30.2-gke.1394000

Puoi applicare versioni patch da canali di rilascio più recenti se il cluster viene eseguito lo stesso una versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi la versione patch diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Esegui le versioni delle patch da un canale più recente.

Alta

GDC (VMware)

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2024-36972

Che cosa devo fare?

In attesa

GKE su AWS

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2024-36972

Che cosa devo fare?

In attesa

GKE su Azure

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2024-36972

Che cosa devo fare?

In attesa

GDC (bare metal)

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2024-36972

Che cosa devo fare?

Non sono necessarie ulteriori azioni. Il software GDC per bare metal non è interessato perché non include un sistema operativo nella sua distribuzione.

Nessuno

GCP-2024-043

Pubblicato il 16/07/2024
Riferimento: CVE-2024-26921

GKE

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2024-26921

I cluster GKE Standard ne sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo Unconfined seccomp o consenti CAP_NET_ADMIN.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade del tuo Pool di nodi Container-Optimized OS in una delle seguenti versioni di patch o versioni successive:

  • 1.26.15-gke.1360000
  • 1.27.14-gke.1022000
  • 1.28.9-gke.1209000
  • 1.29.4-gke.1542000
  • 1.30.2-gke.1394000

Puoi applicare versioni patch da canali di rilascio più recenti se il cluster viene eseguito lo stesso una versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi la versione patch diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Esegui le versioni delle patch da un canale più recente.

Alta

GDC (VMware)

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2024-26921

Che cosa devo fare?

In attesa

GKE su AWS

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2024-26921

Che cosa devo fare?

In attesa

GKE su Azure

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2024-26921

Che cosa devo fare?

In attesa

GDC (bare metal)

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2024-26921

Che cosa devo fare?

Non sono necessarie ulteriori azioni. Il software GDC per bare metal non è interessato perché non include un sistema operativo nella sua distribuzione.

Nessuno

GCP-2024-042

Pubblicato il 15/07/2024
Ultimo aggiornamento: 18/07/2024
Riferimento: CVE-2024-26809

Aggiornamento del 18/07/2024: è stato chiarito che i cluster Autopilot nell'impostazione predefinita configurazione non è influenzata.

GKE

Ultimo aggiornamento: 18/07/2024

Descrizione Gravità

Aggiornamento 18/07/2024: la versione originale di questo bollettino è stata erroneamente ha dichiarato che ne risentivano l'impatto sui cluster Autopilot. Autopilot configurazione predefinita non è interessata, ma potrebbe essere vulnerabile se decidi di imposta il profilo seccomp Unconfined o consenti la funzionalità CAP_NET_ADMIN.


Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2024-26809

Sono interessati i cluster GKE Standard e Autopilot.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade del tuo Pool di nodi Container-Optimized OS in una delle seguenti versioni di patch o versioni successive:

  • 1.27.13-gke.1166000
  • 1.28.9-gke.1209000
  • 1.29.4-gke.1542000

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade del tuo Pool di nodi Ubuntu in una delle seguenti versioni di patch o versioni successive:

  • 1.26.15-gke.1469000
  • 1.27.14-gke.1100000
  • 1.28.10-gke.1148000
  • 1.29.6-gke.1038000

Puoi applicare versioni patch da canali di rilascio più recenti se il cluster viene eseguito lo stesso una versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi la versione patch diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Esegui le versioni delle patch da un canale più recente.

Alta

GDC (VMware)

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2024-26809

Che cosa devo fare?

In attesa

GKE su AWS

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2024-26809

Che cosa devo fare?

In attesa

GKE su Azure

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2024-26809

Che cosa devo fare?

In attesa

GDC (bare metal)

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2024-26809

Che cosa devo fare?

Non sono necessarie ulteriori azioni. Il software GDC per bare metal non è interessato perché non include un sistema operativo nella sua distribuzione.

Nessuno

GCP-2024-041

Pubblicato: 08/07/2024
Ultimo aggiornamento: 19/07/2024
Riferimento: CVE-2023-52654, CVE-2023-52656

Aggiornamento 19/07/2024: sono state aggiunte versioni patch per i pool di nodi Ubuntu su GKE.

GKE

Ultimo aggiornamento: 19/07/2024

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2023-52654
  • CVE-2023-52656

Sono interessati i cluster GKE Standard e Autopilot.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento 19/07/2024: le seguenti versioni di GKE contengono per correggere questa vulnerabilità su Ubuntu. Esegui l'upgrade del tuo Pool di nodi Ubuntu in una delle seguenti versioni di patch o versioni successive:

  • 1.26.15-gke.1469000
  • 1.27.14-gke.1100000
  • 1.28.10-gke.1148000
  • 1.29.6-gke.1038000
  • 1.30.2-gke.1394000

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade del tuo Pool di nodi Container-Optimized OS in una delle seguenti versioni di patch o versioni successive:

  • 1.26.15-gke.1300000
  • 1.27.13-gke.1166000
  • 1.28.9-gke.1209000
  • 1.29.4-gke.1542000

Puoi applicare versioni patch da canali di rilascio più recenti se il cluster viene eseguito lo stesso una versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi la versione patch diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Esegui le versioni delle patch da un canale più recente.

Alta

GDC (VMware)

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2023-52654
  • CVE-2023-52656

Che cosa devo fare?

In attesa

GKE su AWS

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2023-52654
  • CVE-2023-52656

Che cosa devo fare?

In attesa

GKE su Azure

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2023-52654
  • CVE-2023-52656

Che cosa devo fare?

In attesa

GDC (bare metal)

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2023-52654
  • CVE-2023-52656

Che cosa devo fare?

Non sono necessarie ulteriori azioni. Il software GDC per bare metal non è interessato perché non include un sistema operativo nella sua distribuzione.

Nessuno

GCP-2024-040

Pubblicato il 01/07/2024
Ultimo aggiornamento: 11/07/2024
Riferimento: CVE-2024-6387

Aggiornamento dell'11/07/2024: sono state aggiunte le versioni patch del software GDC per VMware, GKE su AWS e GKE su Azure.

Aggiornamento 03/07/2024: sono state aggiunte le versioni patch per GKE

Aggiornamenti 2024-07-02:

  • È stato chiarito che i cluster Autopilot sono interessati e richiederà un'azione da parte dell'utente.
  • Sono state aggiunte valutazioni d'impatto e misure di mitigazione per GDC (VMware), GKE su AWS e GKE su Azure.
  • È stato corretto il bollettino sulla sicurezza GDC (bare metal) per chiarire che la GDC (bare metal) non è direttamente interessati e che i clienti debbano contattare i fornitori del sistema operativo per verificare le patch.

GKE

Ultimo aggiornamento: 03/07/2024

Descrizione Gravità

Aggiornamento 03/07/2024: è in corso un'implementazione rapida ed è dovrebbe rendere disponibili nuove versioni delle patch in tutte le zone 3 luglio 2024 alle 17:00 UTC-7 (Ora legale del Pacifico - USA e Canada). A ricevi una notifica non appena è disponibile una patch per il tuo cluster specifico, notifiche di cluster.


Aggiornamento 02/07/2024: questa vulnerabilità interessa entrambe le modalità Autopilot e in modalità Standard. Ciascuna sezione che segue ti indicherà le modalità per a cui si applica questa sezione.


Una vulnerabilità di esecuzione di codice remoto, CVE-2024-6387, è stato rilevato di recente in OpenSSH. La vulnerabilità sfrutta una race condition che potrebbe essere usata per ottenere l’accesso a una shell remota, consentendo agli aggressori di ottenere l’accesso root ai nodi GKE. Al momento della pubblicazione, si ritiene che lo sfruttamento difficili e richiedono diverse ore per ogni macchina attaccata. Non siamo a conoscenza di tentativi di sfruttamento.

Tutte le versioni supportate di Container Optimized OS e immagini Ubuntu su GKE eseguire versioni di OpenSSH vulnerabili a questo problema.

Cluster GKE con indirizzi IP dei nodi pubblici e SSH esposti a internet devono essere trattati con la massima priorità per la mitigazione.

Il piano di controllo GKE non è vulnerabile a questo problema.

Che cosa devo fare?

Aggiornamento 03/07/2024: versioni patch per GKE

È in corso un'implementazione rapida e si prevede che verranno create nuove versioni delle patch Disponibile in tutte le zone entro il 3 luglio 2024 alle 17:00 UTC-7 (Ora legale del Pacifico - USA).

L'upgrade dei cluster e dei nodi in cui è abilitato l'upgrade automatico inizierà nel corso della settimana. ma data la gravità della vulnerabilità consigliamo di eseguire l'upgrade manualmente come segue: ottenere le patch il più velocemente possibile.

Sia per i cluster Autopilot che per quelli Standard, eseguire l'upgrade del piano di controllo a una versione con patch. Inoltre, per i cluster in modalità Standard, eseguire l'upgrade dei pool di nodi a una versione con patch. I cluster Autopilot inizieranno a eseguire l'upgrade dei nodi in modo che corrispondano la versione del piano di controllo il prima possibile.

Le versioni GKE con patch sono disponibili per ogni versione supportata le modifiche necessarie per applicare la patch. Il numero di versione di ogni nuova versione è l'incremento dell'ultima cifra nel numero di versione di una versione esistente corrispondente. Ad esempio, se il tuo indirizzo è 1.27.14-gke.1100000, eseguirai l'upgrade a 1.27.14-gke.1100002 per ottenere la correzione con la modifica più piccola possibile. Il seguente GKE con patch sono disponibili le seguenti versioni:

  • 1.26.15-gke.1090004
  • 1.26.15-gke.1191001
  • 1.26.15-gke.1300001
  • 1.26.15-gke.1320002
  • 1.26.15-gke.1381001
  • 1.26.15-gke.1390001
  • 1.26.15-gke.1404002
  • 1.26.15-gke.1469001
  • 1.27.13-gke.1070002
  • 1.27.13-gke.1166001
  • 1.27.13-gke.1201002
  • 1.27.14-gke.1022001
  • 1.27.14-gke.1042001
  • 1.27.14-gke.1059002
  • 1.27.14-gke.1100002
  • 1.27.15-gke.1012003
  • 1.28.9-gke.1069002
  • 1.28.9-gke.1209001
  • 1.28.9-gke.1289002
  • 1.28.10-gke.1058001
  • 1.28.10-gke.1075001
  • 1.28.10-gke.1089002
  • 1.28.10-gke.1148001
  • 1.28.11-gke.1019001
  • 1.29.4-gke.1043004
  • 1.29.5-gke.1060001
  • 1.29.5-gke.1091002
  • 1.29.6-gke.1038001
  • 1.30.1-gke.1329003
  • 1.30.2-gke.1023004

Per verificare se una patch è disponibile nella zona o nella regione del cluster, esegui questo comando: :

gcloud container get-server-config --location=LOCATION

Sostituisci LOCATION con la tua zona o regione.


Aggiornamento 02/07/2024: sia la modalità Autopilot che quella Standard l'upgrade dei cluster deve essere eseguito il prima possibile dopo che sono disponibili le versioni patch.


Verrà creata una versione GKE con patch che include un OpenSSH aggiornato disponibili il prima possibile. Questo bollettino verrà aggiornato quando saranno disponibili le patch. Per ricevere una notifica Pub/Sub quando è disponibile una patch per il tuo canale: abilitare le notifiche relative al cluster. Ti consigliamo di seguire questi passaggi per verificare l'esposizione del cluster. applicando le mitigazioni descritte, se necessario.

Determina se i nodi hanno indirizzi IP pubblici

Aggiornamento 02/07/2024: questa sezione si applica sia ad Autopilot sia di cluster standard.


Se viene creato un cluster con enable-private-nodes, che i nodi saranno privati, il che mitiga la vulnerabilità rimuovendo l'esposizione Internet. Esegui questo comando per determinare se nel cluster sono abilitati nodi privati:

gcloud container clusters describe $CLUSTER_NAME \
--format="value(privateClusterConfig.enablePrivateNodes)"

Se il valore restituito è True, tutti i nodi sono nodi privati per questo cluster e la vulnerabilità è mitigata. Se il valore è vuoto o falso, continua con l'applicazione di uno dei seguenti valori: le mitigazioni descritte nelle sezioni seguenti.

Per trovare tutti i cluster creati originariamente con nodi pubblici, utilizza questa query di Cloud Asset Inventory nel progetto o nell'organizzazione:

SELECT
  resource.data.name AS cluster_name,
  resource.parent AS project_name,
  resource.data.privateClusterConfig.enablePrivateNodes
FROM
  `container_googleapis_com_Cluster`
WHERE
  resource.data.privateClusterConfig.enablePrivateNodes is null OR
  resource.data.privateClusterConfig.enablePrivateNodes = false

Non consentire l'accesso SSH ai nodi del cluster

Aggiornamento 02/07/2024: questa sezione si applica sia ad Autopilot sia di cluster standard.


La rete predefinita è precompilata con una regola firewall default-allow-ssh per consentire l'accesso SSH dalla rete internet pubblica. Per rimuovere questo accesso, puoi:

  • (Facoltativo) Crea regole per consentire agli accessi SSH di cui hai bisogno dalle reti attendibili ai nodi GKE di Compute Engine o altre VM di Compute Engine nel progetto.
  • Disattiva la regola firewall predefinita con il seguente comando:
    gcloud compute firewall-rules update default-allow-ssh --disabled --project=$PROJECT

Se hai creato altre regole firewall che potrebbero consentire l'accesso tramite SSH tramite TCP sulla porta 22, disabilitarle o limitare gli IP di origine alle reti attendibili.

Verifica di non poter più eseguire l'accesso tramite SSH ai nodi del cluster. da internet. Questa configurazione del firewall attenua la vulnerabilità.

Converti i pool di nodi pubblici in privati

Aggiornamento 02/07/2024: per i cluster Autopilot creati originariamente come pubblici, puoi posizionare i carichi di lavoro su nodi privati utilizzando nodeSelector. Tuttavia, i nodi Autopilot che eseguono carichi di lavoro di sistema su cluster creati come cluster pubblici saranno ancora nodi pubblici e dovrebbero tramite le modifiche al firewall descritte nella sezione precedente.


Per proteggere al meglio i cluster creati originariamente con nodi pubblici, consigliamo prima impedendo l'accesso tramite SSH attraverso il firewall, come già descritto. Se non puoi impedire tramite SSH mediante le regole firewall, puoi convertire pool di nodi pubblici su GKE Cluster standard da rendere privati seguendo queste indicazioni per isolare i pool di nodi.

Modifica configurazione SSHD

Aggiornamento 02/07/2024: questa sezione si applica solo agli standard cluster. Ai carichi di lavoro Autopilot non è consentito modificare la configurazione del nodo.


Se nessuna di queste mitigazioni può essere applicata, abbiamo anche pubblicato un daemonset che imposta SSHD LoginGraceTime su zero e riavvia il daemon SSH. Questo il daemonset può essere applicato al cluster per mitigare l'attacco. Tieni presente che questa configurazione potrebbe aumentare il rischio di attacchi DoS e causare problemi con le Accesso SSH. Questo daemonset deve essere rimosso dopo l'applicazione di una patch.

Critico

GDC (VMware)

Ultimo aggiornamento: 11/07/2024

Descrizione Gravità

Aggiornamento dell'11/07/2024: le seguenti versioni del software GDC per VMware sono stati aggiornati con il codice per correggere questa vulnerabilità. Esegui l'upgrade della workstation di amministrazione, cluster di amministrazione e cluster utente (inclusi i pool di nodi) a uno dei seguenti o versioni successive. Per istruzioni, vedi Esegui l'upgrade di un cluster o di un pool di nodi.

  • 1.16.10-gke.36
  • 1.28.700-gke.151
  • 1.29.200-gke.245

L'aggiornamento del 2 luglio 2024 a questo bollettino indicava erroneamente che tutte le versioni supportate delle immagini Ubuntu sul software GDC per VMware esegue versioni di OpenSSH che vulnerabile a questo problema. Immagini Ubuntu su software GDC per VMware versione 1.16 I cluster eseguono versioni di OpenSSH che non sono vulnerabili a questo problema. Ubuntu le immagini nel software GDC per VMware 1.28 e 1.29 sono vulnerabili. Immagini Container-Optimized OS su tutte le versioni supportate di Il software GDC per VMware è vulnerabile a questo problema.


Aggiornamento 02/07/2024: tutte le versioni supportate di Container-Optimized OS e le immagini Ubuntu sul software GDC per VMware eseguono versioni di OpenSSH vulnerabili a questo problema.

il software GDC per i cluster VMware con indirizzi IP dei nodi pubblici e SSH esposto al Internet deve essere trattata con la massima priorità per la mitigazione.


Una vulnerabilità di esecuzione di codice remoto, CVE-2024-6387, è stato rilevato di recente in OpenSSH. La vulnerabilità sfrutta una race condition che potrebbe essere usata per ottenere l’accesso a una shell remota, consentendo agli aggressori di ottenere l’accesso root ai nodi GKE. Al momento della pubblicazione, si ritiene che lo sfruttamento difficili e richiedono diverse ore per ogni macchina attaccata. Non siamo a conoscenza di tentativi di sfruttamento.

Che cosa devo fare?

Aggiornamento 02/07/2024: un software GDC con patch per la versione VMware che include un aggiornamento OpenSSH che sarà reso disponibile il prima possibile. Questo bollettino verrà aggiornato quando saranno disponibili le patch. Ti consigliamo di applicare quanto segue mitigazioni necessarie.

Non consentire l'accesso SSH ai nodi del cluster

Puoi modificare la configurazione della rete dell'infrastruttura in modo da non consentire la connettività SSH da da fonti non attendibili, come la rete internet pubblica.

Modifica configurazione SSH

Se non riesci ad applicare la mitigazione precedente, abbiamo ha pubblicato un oggetto DaemonSet che imposta l'sshd LoginGraceTime su zero e riavvia il daemon SSH. Questo Il DaemonSet può essere applicato al cluster per mitigare l'attacco. Tieni presente che potrebbe aumentare il rischio di attacchi DoS e causare problemi con accesso SSH legittimo. Rimuovi questo DaemonSet dopo l'applicazione di una patch.


Critico

GKE su AWS

Ultimo aggiornamento: 11/07/2024

Descrizione Gravità

Aggiornamento 11/07/2024: le seguenti versioni di GKE su AWS Sono stati aggiornati con il codice per correggere questa vulnerabilità:

  • 1.27.14-gke.1200
  • 1.28.10-gke.1300
  • 1.29.5-gke.1100

Esegui l'upgrade di GKE su piano di controllo e pool di nodi di GKE a uno di questi o versioni successive con patch. Per istruzioni, vedi Esegui l'upgrade della versione del cluster AWS e Aggiorna un pool di nodi.


Aggiornamento 02/07/2024: tutte le versioni supportate delle immagini Ubuntu su GKE su AWS esegue versioni di OpenSSH vulnerabili a questo problema.

GKE su cluster AWS con indirizzi IP dei nodi pubblici e SSH esposto al Internet deve essere trattata con la massima priorità per la mitigazione.


Una vulnerabilità di esecuzione di codice remoto, CVE-2024-6387, è stato rilevato di recente in OpenSSH. La vulnerabilità sfrutta una race condition che potrebbe essere usata per ottenere l’accesso a una shell remota, consentendo agli aggressori di ottenere l’accesso root ai nodi GKE. Al momento della pubblicazione, si ritiene che lo sfruttamento difficili e richiedono diverse ore per ogni macchina attaccata. Non siamo a conoscenza di tentativi di sfruttamento.

Che cosa devo fare?

Aggiornamento 02/07/2024: una versione GKE con patch su AWS che include un aggiornamento OpenSSH che sarà reso disponibile il prima possibile. Questo bollettino verrà aggiornato quando saranno disponibili le patch. Ti consigliamo di esaminare le seguendo i passaggi per verificare l'esposizione del cluster e applicare le mitigazioni descritte come necessaria.

Determina se i nodi hanno indirizzi IP pubblici

GKE su AWS non esegue il provisioning di nessuna macchina con indirizzi IP pubblici o con regole firewall che consentono il traffico sulla porta 22 per impostazione predefinita. Tuttavia, a seconda la configurazione della subnet, possono ottenere automaticamente un indirizzo IP pubblico durante il provisioning.

Per verificare se viene eseguito il provisioning dei nodi con indirizzi IP pubblici, guarda la configurazione della subnet associato alla risorsa del pool di nodi AWS.

Non consentire l'accesso SSH ai nodi del cluster

Anche se GKE su AWS non consente il traffico sulla porta 22 su nessun nodo per impostazione predefinita, i clienti possono collegare gruppi di sicurezza aggiuntivi ai pool di nodi, consentendo Traffico SSH.

Ti consigliamo di rimuovi o riduci l'ambito regole corrispondenti dei gruppi di sicurezza forniti.

Converti i pool di nodi pubblici in privati

Per proteggere al meglio i cluster con nodi pubblici, consigliamo prima di non consentire l'accesso tramite SSH gruppo di sicurezza, come descritto nella sezione precedente. Se non è possibile consentire l'accesso tramite SSH le regole del gruppo di sicurezza, puoi convertire i pool di nodi pubblici in privati disabilitando l'opzione di assegnazione automatica di IP pubblici alle macchine all'interno di una subnet ed eseguire nuovamente il provisioning del pool di nodi.


Critico

GKE su Azure

Ultimo aggiornamento: 11/07/2024

Descrizione Gravità

Aggiornamento dell'11/07/2024: le seguenti versioni di GKE su Azure Sono stati aggiornati con il codice per correggere questa vulnerabilità:

  • 1.27.14-gke.1200
  • 1.28.10-gke.1300
  • 1.29.5-gke.1100

Esegui l'upgrade del piano di controllo e dei pool di nodi GKE su Azure a uno di questi o versioni successive con patch. Per istruzioni, vedi Esegui l'upgrade della versione del cluster Azure e Aggiorna un pool di nodi.


Aggiornamento 02/07/2024: tutte le versioni supportate delle immagini Ubuntu su GKE su Azure esegue versioni di OpenSSH vulnerabili a questo problema.

GKE su cluster Azure con indirizzi IP dei nodi pubblici e SSH esposto al Internet deve essere trattata con la massima priorità per la mitigazione.


Una vulnerabilità di esecuzione di codice remoto, CVE-2024-6387, è stato rilevato di recente in OpenSSH. La vulnerabilità sfrutta una race condition che potrebbe essere usata per ottenere l’accesso a una shell remota, consentendo agli aggressori di ottenere l’accesso root ai nodi GKE. Al momento della pubblicazione, si ritiene che lo sfruttamento difficili e richiedono diverse ore per ogni macchina attaccata. Non siamo a conoscenza di tentativi di sfruttamento.

Che cosa devo fare?

Aggiornamento 02/07/2024: una versione GKE su Azure con patch include un aggiornamento OpenSSH che sarà reso disponibile il prima possibile. Questo bollettino verrà aggiornato quando saranno disponibili le patch. Ti consigliamo di esaminare le seguendo i passaggi per verificare l'esposizione del cluster e applicare le mitigazioni descritte come necessaria.

Determina se i nodi hanno indirizzi IP pubblici

GKE su Azure non esegue il provisioning di alcuna macchina indirizzi IP pubblici o con regole firewall che consentono il traffico sulla porta 22 per impostazione predefinita. Per esaminare Configurazione di Azure per verificare se esistono indirizzi IP pubblici configurati. del tuo cluster GKE on Azure, esegui questo comando:

az network public-ip list -g CLUSTER_RESOURCE_GROUP_NAME -o tsv
Non consentire l'accesso SSH ai nodi del cluster

Anche se GKE su Azure non consente il traffico sulla porta 22 su nessun nodo per impostazione predefinita, i clienti possono aggiornare le regole NetworkSecurityGroup in pool di nodi, consentendo Traffico SSH dalla rete internet pubblica.

Ti consigliamo vivamente di esaminare i gruppi di sicurezza di rete (NSG) associati a dei tuoi cluster Kubernetes. Se esiste una regola NSG che consente il traffico in entrata senza restrizioni sulla porta 22 (SSH), esegui una delle seguenti operazioni:

  • Rimuovi completamente la regola: se l'accesso SSH ai nodi del cluster non viene richiesta da internet, rimuovi la regola per eliminare potenziali vettori di attacco.
  • Restringi l'ambito della regola: limita l'accesso in entrata sulla porta 22 solo alle da indirizzi IP o intervalli specifici che lo richiedono. In questo modo si riduce al minimo la superficie esposta e potenziali attacchi.
Converti i pool di nodi pubblici in privati

Per proteggere al meglio i cluster con nodi pubblici, consigliamo prima di non consentire l'accesso tramite SSH gruppo di sicurezza, come descritto nella sezione precedente. Se non è possibile consentire l'accesso tramite SSH le regole del gruppo di sicurezza, puoi convertire i pool di nodi pubblici in privati e rimuovendo gli indirizzi IP pubblici associati alle VM.

Per rimuovere un indirizzo IP pubblico da una VM e sostituirlo con un indirizzo IP privato per la configurazione, consulta Dissociare un indirizzo IP pubblico da una VM Azure.

Impatto: tutte le connessioni esistenti che utilizzano l'indirizzo IP pubblico verranno disastrose. Assicurati di disporre di metodi di accesso alternativi, come VPN o Azure Bastion.


Critico

GDC (bare metal)

Ultimo aggiornamento: 02/07/2024

Descrizione Gravità

Aggiornamento 02/07/2024: la versione originale di questo bollettino per Il software GDC per bare metal indicava erroneamente che erano in corso versioni delle patch. Il software GDC per bare metal non è interessato direttamente perché non gestisce il il daemon o la configurazione SSH del sistema operativo. Le versioni patch sono quindi responsabilità del fornitore del sistema operativo, come descritto Che cosa devo fare?.


Una vulnerabilità di esecuzione di codice remoto, CVE-2024-6387, è stato rilevato di recente in OpenSSH. La vulnerabilità sfrutta una race condition che potrebbe essere usata per ottenere l’accesso a una shell remota, consentendo agli aggressori di ottenere l’accesso root ai nodi GKE. Al momento della pubblicazione, si ritiene che lo sfruttamento difficili e richiedono diverse ore per ogni macchina attaccata. Non siamo a conoscenza di tentativi di sfruttamento.

Che cosa devo fare?

Aggiornamento 02/07/2024: contatta il tuo fornitore del sistema operativo per ottenere una patch per e sistemi operativi in uso con il software GDC per bare metal.

Finché non avrai applicato la patch del fornitore del sistema operativo, assicurati che le macchine raggiungibili pubblicamente per consentire le connessioni SSH da internet. Se ciò non è possibile, un'alternativa è imposta LoginGraceTime su zero e riavvia il server SSH:

grep "^LoginGraceTime" /etc/ssh/sshd_config
            LoginGraceTime 0

Tieni presente che questa modifica alla configurazione potrebbe aumentare il rischio di attacchi denial of service. e potrebbe causare problemi con l'accesso SSH legittimo.


Testo originale 01/07/2024 (vedi l'aggiornamento precedente dell'02/07/2024 per una correzione):

Critico

GCP-2024-039

Pubblicato il 28/06/2024
Riferimento: CVE-2024-26923

GKE

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2024-26923

Sono interessati i cluster GKE Standard e Autopilot.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade del tuo Pool di nodi Container-Optimized OS in una delle seguenti versioni di patch o versioni successive:

  • 1.26.15-gke.1360000
  • 1.27.14-gke.1022000
  • 1.28.9-gke.1289000
  • 1.29.5-gke.1010000

Puoi applicare versioni patch da canali di rilascio più recenti se il cluster viene eseguito lo stesso una versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi la versione patch diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Esegui le versioni delle patch da un canale più recente.

Alta

GDC (VMware)

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2024-26923

Che cosa devo fare?

In attesa

GKE su AWS

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2024-26923

Che cosa devo fare?

In attesa

GKE su Azure

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2024-26923

Che cosa devo fare?

In attesa

GDC (bare metal)

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2024-26923

Che cosa devo fare?

Non sono necessarie ulteriori azioni. Il software GDC per bare metal non è interessato perché non include un sistema operativo nella sua distribuzione.

Nessuno

GCP-2024-038

Pubblicato il 26/06/2024
Riferimento: CVE-2024-26924

GKE

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2024-26924

I cluster GKE Standard ne sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo Unconfined seccomp o consenti CAP_NET_ADMIN.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade del tuo Pool di nodi Container-Optimized OS in una delle seguenti versioni di patch o versioni successive:

  • 1.26.15-gke.1360000
  • 1.27.14-gke.1022000
  • 1.28.9-gke.1289000
  • 1.29.5-gke.1010000

Puoi applicare versioni patch da canali di rilascio più recenti se il cluster viene eseguito lo stesso una versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi la versione patch diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Esegui le versioni delle patch da un canale più recente.

Alta

GDC (VMware)

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2024-26924

Che cosa devo fare?

In attesa

GKE su AWS

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2024-26924

Che cosa devo fare?

In attesa

GKE su Azure

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2024-26924

Che cosa devo fare?

In attesa

GDC (bare metal)

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2024-26924

Che cosa devo fare?

Non sono necessarie ulteriori azioni. Il software GDC per bare metal non è interessato perché non include un sistema operativo nella sua distribuzione.

Nessuno

GCP-2024-036

Pubblicato il 18/06/2024
Riferimento: CVE-2024-26584

GKE

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi di Container-Optimized OS:

  • CVE-2024-26584

Sono interessati i cluster GKE Standard e Autopilot.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade del tuo Pool di nodi Container-Optimized OS in una delle seguenti versioni di patch o versioni successive:

  • 1.28.9-gke.1209000
  • 1.29.4-gke.1542000

Puoi applicare versioni patch da canali di rilascio più recenti se il cluster viene eseguito lo stesso una versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi la versione patch diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Esegui le versioni delle patch da un canale più recente.

Alta

GKE su VMware

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi di Container-Optimized OS:

  • CVE-2024-26584

Che cosa devo fare?

In attesa

GKE su AWS

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi di Container-Optimized OS:

  • CVE-2024-26584

Che cosa devo fare?

In attesa

GKE su Azure

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi di Container-Optimized OS:

  • CVE-2024-26584

Che cosa devo fare?

In attesa

GKE su Bare Metal

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi di Container-Optimized OS:

  • CVE-2024-26584

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione.

Nessuno

GCP-2024-035

Pubblicato: 12/06/2024
Ultimo aggiornamento: 18/07/2024
Riferimento: CVE-2024-26584

Aggiornamento 18/07/2024: aggiunte le versioni patch per i pool di nodi Ubuntu su GKE e aggiunto una versione patch per la versione 1.27 sui pool di nodi di Container-Optimized OS.

GKE

Ultimo aggiornamento: 18/07/2024

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2024-26584

Sono interessati i cluster GKE Standard e Autopilot.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento 18/07/2024: le seguenti versioni di GKE sono aggiornato con il codice per correggere questa vulnerabilità su Ubuntu. Esegui l'upgrade del tuo Pool di nodi Ubuntu in una delle seguenti versioni di patch o versioni successive:

  • 1.26.15-gke.1469000
  • 1.27.14-gke.1100000
  • 1.28.10-gke.1148000
  • 1.29.6-gke.1038000
  • 1.30.2-gke.1394000

La seguente versione di GKE viene aggiornata con il codice per correggere questa vulnerabilità su Container-Optimized OS. Esegui l'upgrade del tuo Pool di nodi Container-Optimized OS alla versione di patch seguente o successiva:

  • 1.27.15-gke.1125000

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade del tuo Pool di nodi Container-Optimized OS in una delle seguenti versioni di patch o versioni successive:

  • 1.28.9-gke.1209000
  • 1.29.4-gke.1542000

Le seguenti versioni secondarie sono interessate, ma non dispongono di una versione patch. Lo faremo aggiorna questo bollettino quando sono disponibili versioni patch:

  • 1,26
  • 1,27

Puoi applicare versioni patch da canali di rilascio più recenti se il cluster viene eseguito lo stesso una versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi la versione patch diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Esegui le versioni delle patch da un canale più recente.

Alta

GKE su VMware

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2024-26584

Che cosa devo fare?

In attesa

GKE su AWS

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2024-26584

Che cosa devo fare?

In attesa

GKE su Azure

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2024-26584

Che cosa devo fare?

In attesa

GKE su Bare Metal

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2024-26584

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione.

Nessuno

GCP-2024-034

Pubblicato: 11/06/2024
Ultimo aggiornamento: 10/07/2024
Riferimento: CVE-2024-26583

Aggiornamento 10/07/2024: sono state aggiunte versioni patch per Nodi di Container-Optimized OS che eseguono versione secondaria 1.26 e 1.27 e aggiunte versioni patch per i nodi Ubuntu.

GKE

Ultimo aggiornamento: 10/07/2024

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi di Container-Optimized OS:

  • CVE-2024-26583

Sono interessati i cluster GKE Standard e Autopilot.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento 10/07/2024: le seguenti versioni di GKE sono aggiornato con il codice per correggere questa vulnerabilità. Esegui l'upgrade dei pool di nodi Ubuntu a uno dei le seguenti versioni di patch o successive:

  • 1.26.15-gke.1444000
  • 1.27.14-gke.1096000
  • 1.28.10-gke.1148000
  • 1.29.5-gke.1041001
  • 1.30.1-gke.1156001

Per le versioni secondarie 1.26 e 1.27, esegui l'upgrade dei pool di nodi di Container-Optimized OS a una delle seguenti versioni di patch o versioni successive:

  • 1.26.15-gke.1404002
  • 1.27.14-gke.1059002

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade del tuo Pool di nodi Container-Optimized OS in una delle seguenti versioni di patch o versioni successive:

  • 1.28.8-gke.1095000
  • 1.29.3-gke.1093000

Puoi applicare versioni patch da canali di rilascio più recenti se il cluster viene eseguito lo stesso una versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi la versione patch diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Esegui le versioni delle patch da un canale più recente.

Alta

GKE su VMware

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi di Container-Optimized OS:

  • CVE-2024-26583

Che cosa devo fare?

In attesa

GKE su AWS

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi di Container-Optimized OS:

  • CVE-2024-26583

Che cosa devo fare?

In attesa

GKE su Azure

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi di Container-Optimized OS:

  • CVE-2024-26583

Che cosa devo fare?

In attesa

GKE su Bare Metal

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi di Container-Optimized OS:

  • CVE-2024-26583

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione.

Nessuno

GCP-2024-033

Pubblicato il 10/06/2024
Riferimento: CVE-2022-23222

GKE

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi di Container-Optimized OS:

  • CVE-2022-23222

Sono interessati i cluster GKE Standard e Autopilot.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade del tuo Pool di nodi Container-Optimized OS in una delle seguenti versioni di patch o versioni successive:

  • 1.26.15-gke.1381000
  • 1.27.14-gke.1022000

Puoi applicare versioni patch da canali di rilascio più recenti se il cluster viene eseguito lo stesso una versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi la versione patch diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Esegui le versioni delle patch da un canale più recente.

Alta

GKE su VMware

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi di Container-Optimized OS:

  • CVE-2022-23222

Che cosa devo fare?

In attesa

GKE su AWS

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi di Container-Optimized OS:

  • CVE-2022-23222

Che cosa devo fare?

In attesa

GKE su Azure

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi di Container-Optimized OS:

  • CVE-2022-23222

Che cosa devo fare?

In attesa

GKE su Bare Metal

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi di Container-Optimized OS:

  • CVE-2022-23222

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione.

Nessuno

GCP-2024-031

Pubblicato il 24/05/2024
Riferimento: CVE-2024-4323

GKE

Descrizione Gravità

È stata scoperta una nuova vulnerabilità (CVE-2024-4323) in Fluent Bit che potrebbe comportare l’esecuzione di codice da remoto. Sono interessate le versioni da 2.0.7 a 3.0.3 di Fluent Bit.

GKE non utilizza una versione vulnerabile di Fluent Bit e non è interessato.

Che cosa devo fare?

GKE non è interessato da questa vulnerabilità. Non è richiesta alcuna azione da parte tua.

Nessuno

GKE su VMware

Descrizione Gravità

È stata scoperta una nuova vulnerabilità (CVE-2024-4323) in Fluent Bit che potrebbe comportare l’esecuzione di codice da remoto. Sono interessate le versioni da 2.0.7 a 3.0.3 di Fluent Bit.

GKE on VMware non utilizza una versione vulnerabile di Fluent Bit non interessate.

Che cosa devo fare?

GKE su VMware non è interessato da questa vulnerabilità. Non è richiesta alcuna azione da parte tua.

Nessuno

GKE su AWS

Descrizione Gravità

È stata scoperta una nuova vulnerabilità (CVE-2024-4323) in Fluent Bit che potrebbe comportare l’esecuzione di codice da remoto. Sono interessate le versioni da 2.0.7 a 3.0.3 di Fluent Bit.

GKE su AWS non utilizza una versione vulnerabile di Fluent Bit non interessate.

Che cosa devo fare?

GKE su AWS non è interessato da questa vulnerabilità. Non è richiesta alcuna azione da parte tua.

Nessuno

GKE su Azure

Descrizione Gravità

È stata scoperta una nuova vulnerabilità (CVE-2024-4323) in Fluent Bit che potrebbe comportare l’esecuzione di codice da remoto. Sono interessate le versioni da 2.0.7 a 3.0.3 di Fluent Bit.

GKE su Azure non utilizza una versione vulnerabile di Fluent Bit non interessate.

Che cosa devo fare?

GKE su Azure non è interessato da questa vulnerabilità. Non è richiesta alcuna azione da parte tua.

Nessuno

GKE su Bare Metal

Descrizione Gravità

È stata scoperta una nuova vulnerabilità (CVE-2024-4323) in Fluent Bit che potrebbe comportare l’esecuzione di codice da remoto. Sono interessate le versioni da 2.0.7 a 3.0.3 di Fluent Bit.

GKE on Bare Metal non utilizza una versione vulnerabile di Fluent Bit non interessate.

Che cosa devo fare?

GKE on Bare Metal non è interessato da questa vulnerabilità. Non è richiesta alcuna azione da parte tua.

Nessuno

GCP-2024-030

Pubblicato il 15/05/2024
Ultimo aggiornamento: 18/07/2024
Riferimento: CVE-2023-52620

Aggiornamento 18/07/2024: sono state aggiunte le versioni patch per i pool di nodi Ubuntu su GKE.

GKE

Ultimo aggiornamento: 18/07/2024

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2023-52620

I cluster GKE Standard ne sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo Unconfined seccomp o consenti CAP_NET_ADMIN.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento 18/07/2024: le seguenti versioni di GKE sono aggiornato con il codice per correggere questa vulnerabilità su Ubuntu. Esegui l'upgrade del tuo Pool di nodi Ubuntu in una delle seguenti versioni di patch o versioni successive:

  • 1.26.15-gke.1469000
  • 1.27.14-gke.1100000
  • 1.28.10-gke.1148000
  • 1.29.6-gke.1038000
  • 1.30.2-gke.1394000

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade del tuo Pool di nodi Container-Optimized OS in una delle seguenti versioni di patch o versioni successive:

  • 1.27.13-gke.1166000
  • 1.28.8-gke.1095000
  • 1.29.3-gke.1093000

Puoi applicare versioni patch da canali di rilascio più recenti se il cluster viene eseguito lo stesso una versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi la versione patch diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Esegui le versioni delle patch da un canale più recente.

Alta

GKE su VMware

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2023-52620

Che cosa devo fare?

In attesa

GKE su AWS

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2023-52620

Che cosa devo fare?

In attesa

GKE su Azure

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2023-52620

Che cosa devo fare?

In attesa

GKE su Bare Metal

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2023-52620

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione.

Nessuno

GCP-2024-029

Pubblicato il 14/05/2024
Riferimento: CVE-2024-26642

GKE

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2024-26642

I cluster GKE Standard ne sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo Unconfined seccomp o consenti CAP_NET_ADMIN.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade del tuo Pool di nodi Container-Optimized OS in una delle seguenti versioni di patch o versioni successive:

  • 1.27.13-gke.1166000
  • 1.28.8-gke.1095000
  • 1.29.3-gke.1093000

Puoi applicare versioni patch da canali di rilascio più recenti se il cluster viene eseguito lo stesso una versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi la versione patch diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Esegui le versioni delle patch da un canale più recente.

Alta

GKE su VMware

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2024-26642

Che cosa devo fare?

In attesa

GKE su AWS

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2024-26642

Che cosa devo fare?

In attesa

GKE su Azure

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2024-26642

Che cosa devo fare?

In attesa

GKE su Bare Metal

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2024-26642

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione.

Nessuno

GCP-2024-028

Pubblicato il 13/05/2024
Ultimo aggiornamento: 22/05/2024
Riferimento: CVE-2024-26581

Aggiornamento 22/05/2024: sono state aggiunte le versioni patch per i nodi Ubuntu.

GKE

Ultimo aggiornamento: 22/05/2024

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2024-26581

I cluster GKE Standard ne sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo Unconfined seccomp o consenti CAP_NET_ADMIN.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento 22/05/2024: le seguenti versioni di GKE sono aggiornato con il codice per correggere questa vulnerabilità su Ubuntu. Esegui l'upgrade dei pool di nodi Ubuntu alle versioni seguenti o successive:

  • 1.26.15-gke.1300000
  • 1.27.13-gke.1011000
  • 1.28.9-gke.1209000
  • 1.29.4-gke.1542000
  • 1.30.0-gke.1712000

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade del tuo Pool di nodi Container-Optimized OS in una delle seguenti versioni di patch o versioni successive:

  • 1.25.16-gke.1596000
  • 1.26.14-gke.1076000
  • 1.27.11-gke.1202000
  • 1.28.8-gke.1095000
  • 1.29.3-gke.1093000

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade del tuo Pool di nodi Ubuntu in una delle seguenti versioni di patch o versioni successive:

  • 1.26.15-gke.1300000
  • 1.28.9-gke.1209000

Puoi applicare versioni patch da canali di rilascio più recenti se il cluster viene eseguito lo stesso una versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi la versione patch diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Esegui le versioni delle patch da un canale più recente.

Alta

GKE su VMware

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2024-26581

Che cosa devo fare?

In attesa

GKE su AWS

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2024-26581

Che cosa devo fare?

In attesa

GKE su Azure

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2024-26581

Che cosa devo fare?

In attesa

GKE su Bare Metal

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2024-26581

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione.

Nessuno

GCP-2024-027

Pubblicato: 08/05/2024
Ultimo aggiornamento: 09/05/2024, 15/05/2024
Riferimento: CVE-2024-26808

Aggiornamento 15/05/2024: aggiunte versioni patch per GKE Pool di nodi Ubuntu.

Aggiornamento 09/05/2024: gravità corretta da media ad alta e è stato chiarito che i cluster GKE Autopilot nella configurazione predefinita non interessati.

GKE

Ultimo aggiornamento: 09/05/2024, 15/05/2024

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2024-26808

Aggiornamento 09/05/2024: gravità corretta da media ad alta. Il bollettino originale indicava Autopilot i cluster sono interessati, ma questo errore non è corretto. Autopilot di GKE cluster nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se impostare esplicitamente il profilo seccomp Unconfined consenti CAP_NET_ADMIN.


Sono interessati i cluster GKE Standard e Autopilot.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento 15/05/2024: le seguenti versioni di GKE sono aggiornato con il codice per correggere questa vulnerabilità su Ubuntu. Esegui l'upgrade dei pool di nodi Ubuntu alle versioni seguenti o successive:

  • 1.26.15-gke.1323000
  • 1.27.13-gke.1206000
  • 1.28.10-gke.1000000
  • 1.29.3-gke.1282004
  • 1.30.0-gke.1584000

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade del tuo Pool di nodi Container-Optimized OS in una delle seguenti versioni di patch o versioni successive:

  • 1.27.8-gke.1067000
  • 1.28.8-gke.1095000
  • 1.29.3-gke.1093000

Puoi applicare versioni patch da canali di rilascio più recenti se il cluster viene eseguito lo stesso una versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi la versione patch diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Esegui le versioni delle patch da un canale più recente.

Alta

GKE su VMware

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2024-26808

Che cosa devo fare?

In attesa

GKE su AWS

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2024-26808

Che cosa devo fare?

In attesa

GKE su Azure

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2024-26808

Che cosa devo fare?

In attesa

GKE su Bare Metal

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2024-26808

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione.

Nessuno

GCP-2024-026

Pubblicato il 07/05/2024
Ultimo aggiornamento: 09/05/2024
Riferimento: CVE-2024-26643

Aggiornamento 09/05/2024 : gravità corretta da media ad alta.

GKE

Ultimo aggiornamento: 09/05/2024

Descrizione Gravità

Aggiornamento 09/05/2024: gravità corretta da media ad alta.


Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2024-26643

I cluster GKE Standard ne sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo Unconfined seccomp o consenti CAP_NET_ADMIN.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade del tuo Pool di nodi Container-Optimized OS in una delle seguenti versioni di patch o versioni successive:

  • 1.27.8-gke.1067000
  • 1.28.8-gke.1095000
  • 1.29.3-gke.1093000

Puoi applicare versioni patch da canali di rilascio più recenti se il cluster viene eseguito lo stesso una versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi la versione patch diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Esegui le versioni delle patch da un canale più recente.

Alta

GKE su VMware

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2024-26643

Che cosa devo fare?

In attesa

GKE su AWS

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2024-26643

Che cosa devo fare?

In attesa

GKE su Azure

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2024-26643

Che cosa devo fare?

In attesa

GKE su Bare Metal

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2024-26643

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione.

Nessuno

GCP-2024-024

Pubblicato il 25/04/2024
Ultimo aggiornamento: 18/07/2024
Riferimento: CVE-2024-26585

Aggiornamento 18/07/2024: aggiunte versioni patch per i pool di nodi Ubuntu su GKE.

GKE

Ultimo aggiornamento: 18/07/2024

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2024-26585

Sono interessati i cluster GKE Standard e Autopilot.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento 18/07/2024: le seguenti versioni di GKE sono aggiornato con il codice per correggere questa vulnerabilità su Ubuntu. Esegui l'upgrade del tuo Pool di nodi Ubuntu in una delle seguenti versioni di patch o versioni successive:

  • 1.26.15-gke.1469000
  • 1.27.14-gke.1100000
  • 1.28.10-gke.1148000
  • 1.29.6-gke.1038000
  • 1.30.2-gke.1394000

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade del tuo Pool di nodi Container-Optimized OS in una delle seguenti versioni di patch o versioni successive:

  • 1.25.16-gke.1759000
  • 1.26.15-gke.1158000
  • 1.27.12-gke.1190000
  • 1.28.8-gke.1175000
  • 1.29.3-gke.1282000

Puoi applicare versioni patch da canali di rilascio più recenti se il cluster viene eseguito lo stesso una versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi la versione patch diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Esegui le versioni delle patch da un canale più recente.

Alta

GKE su VMware

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2024-26585

Che cosa devo fare?

In attesa

GKE su AWS

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2024-26585

Che cosa devo fare?

In attesa

GKE su Azure

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2024-26585

Che cosa devo fare?

In attesa

GKE su Bare Metal

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2024-26585

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione.

Nessuno

GCP-2024-022

Pubblicato il 03/04/2024
Ultimo aggiornamento: 17/07/2024
Riferimento: CVE-2023-45288

Aggiornamento 17/07/2024: sono state aggiunte versioni patch per GKE su VMware.
Aggiornamento 09/07/2024: sono state aggiunte versioni patch per GKE on Bare Metal.
Aggiornamento 24/04/2024: sono state aggiunte versioni patch per GKE.

GKE

Ultimo aggiornamento: 24/04/2024

Descrizione Gravità

Di recente è stata scoperta una vulnerabilità DoS (Denial of Service) (CVE-2023-45288) in molteplici implementazioni del protocollo HTTP/2, tra cui il server HTTP golang utilizzato da Kubernetes. La vulnerabilità potrebbe causare un DoS del piano di controllo Google Kubernetes Engine (GKE). I cluster GKE con reti autorizzate configurate sono protetti limitando l'accesso alla rete, ma sono interessati tutti gli altri cluster.

Sono interessati i cluster GKE Autopilot e Standard.

Che cosa devo fare?

Aggiornamento 24/04/2024: sono state aggiunte versioni patch per GKE.

Le seguenti versioni di GKE includono le patch di sicurezza Golang per correggere questa vulnerabilità. Esegui l'upgrade dei cluster GKE alle versioni seguenti o successive:

  • 1.25.16-gke.1759000
  • 1.26.15-gke.1158000
  • 1.27.12-gke.1190000
  • 1.28.8-gke.1175000
  • 1.29.3-gke.1282000

Il progetto golang ha rilasciato patch il 3 aprile 2024. Aggiorneremo questo bollettino quando saranno disponibili versioni di GKE che incorporano queste patch. Per richiedere una patch in una tempistica accelerata, contatta l'assistenza.

Mitigazione configurando reti autorizzate per l'accesso al piano di controllo:

Puoi limitare i tuoi cluster da questa classe di attacchi configurando le reti autorizzate. Segui le istruzioni per abilitare le reti autorizzate per un cluster esistente.

Per saperne di più su come le reti autorizzate controllano l'accesso al piano di controllo, vedi Come funzionano le reti autorizzate. Per visualizzare l'accesso alla rete autorizzato predefinito, visualizza la tabella nella sezione Accesso agli endpoint del piano di controllo.

Quali vulnerabilità vengono affrontate da questa patch?

La vulnerabilità (CVE-2023-45288) consente a un utente malintenzionato di eseguire un attacco DoS sul piano di controllo Kubernetes.

Alta

GKE su VMware

Ultimo aggiornamento: 17/07/2024

Descrizione Gravità

Di recente è stata scoperta una vulnerabilità DoS (Denial of Service) (CVE-2023-45288) in molteplici implementazioni del protocollo HTTP/2, tra cui il server HTTP golang utilizzato da Kubernetes. La vulnerabilità potrebbe causare un DoS del piano di controllo Google Kubernetes Engine (GKE).

Che cosa devo fare?

Aggiornamento del 17/07/2024: sono state aggiunte versioni patch per GKE su VMware.

Le seguenti versioni di GKE su VMware includono il codice per risolvere questo problema vulnerabilità. Esegui l'upgrade dei cluster GKE on VMware alla versione seguente versioni successive o successive:

  • 1.29.0
  • 1.28.500
  • 1.16.8

Il progetto golang ha rilasciato patch il 3 aprile 2024. Aggiorneremo questo bollettino quando saranno disponibili le versioni di GKE on VMware che incorporano queste patch. Per richiedere una patch in una tempistica accelerata, contatta l'assistenza.

Quali vulnerabilità vengono affrontate da questa patch?

La vulnerabilità (CVE-2023-45288) consente a un utente malintenzionato di eseguire un attacco DoS sul piano di controllo Kubernetes.

Alta

GKE su AWS

Descrizione Gravità

Di recente è stata scoperta una vulnerabilità DoS (Denial of Service) (CVE-2023-45288) in molteplici implementazioni del protocollo HTTP/2, tra cui il server HTTP golang utilizzato da Kubernetes. La vulnerabilità potrebbe causare un DoS del piano di controllo Google Kubernetes Engine (GKE).

Che cosa devo fare?

Il progetto golang ha rilasciato patch il 3 aprile 2024. Aggiorneremo questo bollettino quando saranno disponibili le versioni GKE su AWS che incorporano queste patch. Per richiedere una patch in una tempistica accelerata, contatta l'assistenza.

Quali vulnerabilità vengono affrontate da questa patch?

La vulnerabilità (CVE-2023-45288) consente a un utente malintenzionato di eseguire un attacco DoS sul piano di controllo Kubernetes.

Alta

GKE su Azure

Descrizione Gravità

Di recente è stata scoperta una vulnerabilità DoS (Denial of Service) (CVE-2023-45288) in molteplici implementazioni del protocollo HTTP/2, tra cui il server HTTP golang utilizzato da Kubernetes. La vulnerabilità potrebbe causare un DoS del piano di controllo Google Kubernetes Engine (GKE).

Che cosa devo fare?

Il progetto golang ha rilasciato patch il 3 aprile 2024. Aggiorneremo questo bollettino quando saranno disponibili versioni di GKE su Azure che incorporano queste patch. Per richiedere una patch in una tempistica accelerata, contatta l'assistenza.

Quali vulnerabilità vengono affrontate da questa patch?

La vulnerabilità (CVE-2023-45288) consente a un utente malintenzionato di eseguire un attacco DoS sul piano di controllo Kubernetes.

Alta

GKE su Bare Metal

Ultimo aggiornamento: 09/07/2024

Descrizione Gravità

Di recente è stata scoperta una vulnerabilità DoS (Denial of Service) (CVE-2023-45288) in molteplici implementazioni del protocollo HTTP/2, tra cui il server HTTP golang utilizzato da Kubernetes. La vulnerabilità potrebbe causare un DoS del piano di controllo Google Kubernetes Engine (GKE).

Che cosa devo fare?

Aggiornamento 09/07/2024: sono state aggiunte versioni patch per GKE on Bare Metal.

Le seguenti versioni di GKE on Bare Metal includono il codice per risolvere questo problema vulnerabilità. Esegui l'upgrade dei cluster GKE on Bare Metal al seguente versioni successive o successive:

  • 1.29.100
  • 1.28.600
  • 1.16.9

Il progetto golang ha rilasciato patch il 3 aprile 2024. Aggiorneremo questo bollettino quando saranno disponibili le versioni di GKE on Bare Metal che incorporano queste patch. Per richiedere una patch in una tempistica accelerata, contatta l'assistenza.

Quali vulnerabilità vengono affrontate da questa patch?

La vulnerabilità (CVE-2023-45288) consente a un utente malintenzionato di eseguire un attacco DoS sul piano di controllo Kubernetes.

Alta

GCP-2024-018

Pubblicato il 12/03/2024
Ultimo aggiornamento: 06/05/2024
Riferimento: CVE-2024-1085

Aggiornamento 06/05/2024: sono state aggiunte le versioni patch per GKE Ubuntu pool di nodi e rimosso un ulteriore elemento di linea orizzontale dall'aggiornamento 2024/04/04.

Aggiornamento 04-04-2024: sono state corrette le versioni minime per Pool di nodi GKE Container-Optimized OS.

GKE

Ultimo aggiornamento: 06/05/2024

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2024-1085

I cluster GKE Standard ne sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo Unconfined seccomp o consenti CAP_NET_ADMIN.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento 06/05/2024: le seguenti versioni di GKE sono aggiornato con il codice per correggere questa vulnerabilità in Ubuntu. Esegui l'upgrade dei pool di nodi Ubuntu al seguenti o successive.

  • 1.26.15-gke.1158000
  • 1.27.12-gke.1190000
  • 1.28.8-gke.1175000
  • 1.29.3-gke.1093000

Aggiornamento 04/04/2024: sono state corrette le versioni minime per i pool di nodi di GKE Container-Optimized OS.

Le versioni minime di GKE contenenti le correzioni di Container-Optimized OS elencate in precedenza non erano corrette. Le seguenti versioni di GKE vengono aggiornate con il codice per correggere questa vulnerabilità su Container-Optimized OS. Esegui l'upgrade dei pool di nodi di Container-Optimized OS alle versioni seguenti o successive:

  • 1.25.16-gke.1520000
  • 1.26.13-gke.1221000
  • 1.27.10-gke.1243000
  • 1.28.8-gke.1083000
  • 1.29.3-gke.1054000

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade del tuo Pool di nodi Container-Optimized OS in una delle seguenti versioni di patch o versioni successive:

  • 1.25.16-gke.1518000
  • 1.26.13-gke.1219000
  • 1.27.10-gke.1240000
  • 1.28.6-gke.1433000
  • 1.29.1-gke.1716000

Puoi applicare versioni patch da canali di rilascio più recenti se il cluster viene eseguito lo stesso una versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi la versione patch diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Esegui le versioni delle patch da un canale più recente.

Alta

GKE su VMware

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2024-1085

Che cosa devo fare?

In attesa

GKE su AWS

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2024-1085

Che cosa devo fare?

In attesa

GKE su Azure

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2024-1085

Che cosa devo fare?

In attesa

GKE su Bare Metal

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2024-1085

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione.

Nessuno

GCP-2024-017

Pubblicato il 06/03/2024
Riferimento: CVE-2023-3611

GKE

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2023-3611

I cluster GKE Standard ne sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo Unconfined seccomp o consenti CAP_NET_ADMIN.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade del tuo Pool di nodi Container-Optimized OS in una delle seguenti versioni di patch o versioni successive:

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1021001
  • 1.27.3-gke.1001002

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade del tuo Pool di nodi Ubuntu in una delle seguenti versioni di patch o versioni successive:

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1021001
  • 1.27.3-gke.1001002

Puoi applicare versioni patch da canali di rilascio più recenti se il cluster viene eseguito lo stesso una versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi la versione patch diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Esegui le versioni delle patch da un canale più recente.

Alta

GKE su VMware

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2023-3611

Che cosa devo fare?

In attesa

GKE su AWS

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2023-3611

Che cosa devo fare?

In attesa

GKE su Azure

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2023-3611

Che cosa devo fare?

In attesa

GKE su Bare Metal

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2023-3611

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione.

Nessuno

GCP-2024-014

Pubblicato il 26/02/2024
Riferimento: CVE-2023-3776

GKE

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2023-3776

I cluster GKE Standard ne sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo Unconfined seccomp o consenti CAP_NET_ADMIN.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade del tuo Pool di nodi Container-Optimized OS in una delle seguenti versioni di patch o versioni successive:

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1014001
  • 1.27.3-gke.1001002
  • 1.28.0-gke.100

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade del tuo Pool di nodi Ubuntu in una delle seguenti versioni di patch o versioni successive:

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1021001
  • 1.27.3-gke.1001002

Puoi applicare versioni patch da canali di rilascio più recenti se il cluster viene eseguito lo stesso una versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi la versione patch diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Esegui le versioni delle patch da un canale più recente.

Alta

GKE su VMware

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2023-3776

Che cosa devo fare?

In attesa

GKE su AWS

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2023-3776

Che cosa devo fare?

In attesa

GKE su Azure

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2023-3776

Che cosa devo fare?

In attesa

GKE su Bare Metal

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2023-3776

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione.

Nessuno

GCP-2024-013

Pubblicato il 23/02/2024
Riferimento: CVE-2023-3610

GKE

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2023-3610

I cluster GKE Standard ne sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo Unconfined seccomp o consenti CAP_NET_ADMIN.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade del tuo Pool di nodi Container-Optimized OS in una delle seguenti versioni di patch o versioni successive:

  • 1.27.3-gke.1001002
  • 1.28.0-gke.100

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade del tuo Pool di nodi Ubuntu in una delle seguenti versioni di patch o versioni successive:

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1021001
  • 1.27.3-gke.1001002

Puoi applicare versioni patch da canali di rilascio più recenti se il cluster viene eseguito lo stesso una versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi la versione patch diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Esegui le versioni delle patch da un canale più recente.

Alta

GKE su VMware

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2023-3610

Che cosa devo fare?

In attesa

GKE su AWS

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2023-3610

Che cosa devo fare?

In attesa

GKE su Azure

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2023-3610

Che cosa devo fare?

In attesa

GKE su Bare Metal

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2023-3610

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione.

Nessuno

GCP-2024-012

Pubblicato il 20/02/2024
Riferimento: CVE-2024-0193

GKE

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2024-0193

I cluster GKE Standard ne sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo Unconfined seccomp o consenti CAP_NET_ADMIN.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade del tuo Pool di nodi Container-Optimized OS in una delle seguenti versioni di patch o versioni successive:

  • 1.27.10-gke.1149000
  • 1.28.6-gke.1274000
  • 1.29.1-gke.1388000

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade del tuo Pool di nodi Ubuntu in una delle seguenti versioni di patch o versioni successive:

  • 1.25.16-gke.1412001
  • 1.26.6-gke.1017002
  • 1.27.10-gke.1055001
  • 1.28.6-gke.1276000
  • 1.29.1-gke.1392000

Puoi applicare versioni patch da canali di rilascio più recenti se il cluster viene eseguito lo stesso una versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi la versione patch diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Esegui le versioni delle patch da un canale più recente.

Alta

GKE su VMware

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2024-0193

Che cosa devo fare?

In attesa

GKE su AWS

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2024-0193

Che cosa devo fare?

In attesa

GKE su Azure

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2024-0193

Che cosa devo fare?

In attesa

GKE su Bare Metal

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2024-0193

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione.

Nessuno

GCP-2024-011

Pubblicato il 15/02/2024
Riferimento: CVE-2023-6932

GKE

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2023-6932

I cluster GKE Standard ne sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo Unconfined seccomp o consenti CAP_NET_ADMIN

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade del tuo Pool di nodi Container-Optimized OS in una delle seguenti versioni di patch o versioni successive:

  • 1.24.17-gke.2364001
  • 1.25.16-gke.1229000
  • 1.26.6-gke.1017002
  • 1.27.3-gke.1001003
  • 1.28.5-gke.1194000
  • 1.29.0-gke.1340000

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade del tuo Pool di nodi Ubuntu in una delle seguenti versioni di patch o versioni successive:

  • 1.25.16-gke.1412001
  • 1.26.6-gke.1017002
  • 1.27.10-gke.1055001
  • 1.28.6-gke.1276000
  • 1.29.1-gke.1221000

Puoi applicare versioni patch da canali di rilascio più recenti se il cluster viene eseguito lo stesso una versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi la versione patch diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Esegui le versioni delle patch da un canale più recente.

Alta

GKE su VMware

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2023-6932

Che cosa devo fare?

In attesa

GKE su AWS

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2023-6932

Che cosa devo fare?

In attesa

GKE su Azure

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2023-6932

Che cosa devo fare?

In attesa

GKE su Bare Metal

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:

  • CVE-2023-6932

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione.

Nessuno

GCP-2024-010

Pubblicato il 14/02/2024
Ultimo aggiornamento: 17/04/2024
Riferimento: CVE-2023-6931

Aggiornamento 17/04/2024: sono state aggiunte versioni patch per GKE su VMware.

GKE

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

  • CVE-2023-6931

I cluster GKE Standard ne sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo Unconfined seccomp o consenti CAP_NET_ADMIN.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade del tuo Pool di nodi Container-Optimized OS in una delle seguenti versioni di patch o versioni successive:

  • 1.24.17-gke.2364001
  • 1.25.16-gke.1229000
  • 1.26.6-gke.1017002
  • 1.27.3-gke.1001003
  • 1.28.5-gke.1194000
  • 1.29.0-gke.1340000

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade del tuo Pool di nodi Ubuntu in una delle seguenti versioni di patch o versioni successive:

  • 1.25.16-gke.1412001
  • 1.26.6-gke.1017002
  • 1.27.10-gke.1055001
  • 1.28.6-gke.1276000
  • 1.29.1-gke.1221000

Puoi applicare versioni patch da canali di rilascio più recenti se il cluster viene eseguito lo stesso una versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi la versione patch diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Esegui le versioni delle patch da un canale più recente.

Alta

GKE su VMware

Ultimo aggiornamento: 17/04/2024

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

  • CVE-2023-6931

Che cosa devo fare?

Aggiornamento 17/04/2024: sono state aggiunte versioni patch per GKE su VMware.


Le seguenti versioni di GKE on VMware vengono aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade dei cluster alle versioni seguenti o successive:

  • 1.28.200
  • 1.16.6
  • 1.15.10


In attesa

GKE su AWS

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

  • CVE-2023-6931

Che cosa devo fare?

In attesa

GKE su Azure

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

  • CVE-2023-6931

Che cosa devo fare?

In attesa

GKE su Bare Metal

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

  • CVE-2023-6931

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione.

Nessuno

GCP-2024-008

Pubblicato il 12/02/2024
Riferimento: CVE-2023-5528

GKE

Descrizione Gravità

CVE-2023-5528 consente a un utente malintenzionato di creare pod e volumi permanenti sui nodi Windows in modo da consentire l'escalation dei privilegi amministrativi su questi nodi.

Cluster GKE Standard in esecuzione Windows Server nodi e l'utilizzo di un plug-in di archiviazione in-tree.

nei cluster GKE Autopilot e nei pool di nodi GKE GKE Sandbox non sono interessati perché non supportano i nodi Windows Server.

Che cosa devo fare?

Determina se sono in uso nodi Windows Server nei tuoi cluster:

kubectl get nodes -l kubernetes.io/os=windows

Controllare i log di controllo per verificare che non ci siano prove di sfruttamento. Gli audit log di Kubernetes possono essere per stabilire se la vulnerabilità viene sfruttata. Creazione di eventi nel volume permanente con e i campi del percorso locale che contengono caratteri speciali sono un chiaro indice di sfruttamento.

Aggiorna il cluster GKE e i pool di nodi a una versione con patch. La le seguenti versioni di GKE sono state aggiornate per correggere questa vulnerabilità. Anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire l'upgrade manuale il tuo cluster e i pool di nodi Windows Server in uno dei seguenti cluster GKE versioni successive o successive:

  • 1.24.17-gke.6100
  • 1.25.15-gke.2000
  • 1.26.10-gke.2000
  • 1.27.7-gke.2000
  • 1.28.3-gke.1600

Puoi applicare versioni patch da canali di rilascio più recenti se il cluster viene eseguito lo stesso una versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi la versione patch diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Esegui le versioni delle patch da un canale più recente.

Quali vulnerabilità vengono affrontate da questa patch?

CVE-2023-5528 consente a un utente malintenzionato di creare pod e volumi permanenti sui nodi Windows in modo da consentire l'escalation dei privilegi amministrativi su questi nodi.

Alta

GKE su VMware

Descrizione Gravità

CVE-2023-5528 consente a un utente malintenzionato di creare pod e volumi permanenti sui nodi Windows in modo da consentire l'escalation dei privilegi amministrativi su questi nodi.

Cluster GKE on VMware in esecuzione Windows Server nodi e l'utilizzo di un plug-in di archiviazione in-tree.

Che cosa devo fare?

Determina se sono in uso nodi Windows Server nei tuoi cluster:

kubectl get nodes -l kubernetes.io/os=windows

Controllare i log di controllo per verificare che non ci siano prove di sfruttamento. Gli audit log di Kubernetes possono essere per stabilire se la vulnerabilità viene sfruttata. Creazione di eventi nel volume permanente con e i campi del percorso locale che contengono caratteri speciali sono un chiaro indice di sfruttamento.

Aggiorna il cluster GKE on VMware e i pool di nodi a una versione con patch. La le seguenti versioni di GKE on VMware sono state aggiornate per correggere questa vulnerabilità. Anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire l'upgrade manuale il tuo cluster e i pool di nodi Windows Server in uno dei seguenti cluster GKE on VMware versioni successive o successive:

  • 1.28.100-gke.131
  • 1.16.5-gke.28
  • 1.15.8-gke.41

Quali vulnerabilità vengono affrontate da questa patch?

CVE-2023-5528 consente a un utente malintenzionato di creare pod e volumi permanenti sui nodi Windows in modo da consentire l'escalation dei privilegi amministrativi su questi nodi.

Alta

GKE su AWS

Descrizione Gravità

CVE-2023-5528 consente a un utente malintenzionato di creare pod e volumi permanenti sui nodi Windows in modo da consentire l'escalation dei privilegi amministrativi su questi nodi.

I cluster GKE su AWS non sono interessati.

Che cosa devo fare?

Nessuna azione richiesta

Nessuno

GKE su Azure

Descrizione Gravità

CVE-2023-5528 consente a un utente malintenzionato di creare pod e volumi permanenti sui nodi Windows in modo da consentire l'escalation dei privilegi amministrativi su questi nodi.

I cluster GKE on Azure non sono interessati.

Che cosa devo fare?

Nessuna azione richiesta

Nessuno

GKE su Bare Metal

Descrizione Gravità

CVE-2023-5528 consente a un utente malintenzionato di creare pod e volumi permanenti sui nodi Windows in modo da consentire l'escalation dei privilegi amministrativi su questi nodi.

I cluster GKE on Bare Metal non sono interessati.

Che cosa devo fare?

Nessuna azione richiesta

Nessuno

GCP-2024-005

Pubblicato il 31/01/2024
Ultimo aggiornamento: 06/05/2024
Riferimento: CVE-2024-21626

Aggiornamento 06/05/2024: sono state aggiunte le versioni delle patch per GKE su AWS e GKE su Azure.
Aggiornamento 02/04/2024: aggiunte versioni patch per GKE on Bare Metal
Aggiornamento 06/03/2024: aggiunte versioni patch per GKE su VMware
Aggiornamento 28/02/2024: aggiunte versioni patch per Ubuntu
Aggiornamento 15/02/2024: è stato chiarito che le versioni patch 1.25 e 1.26 di Ubuntu nel L'aggiornamento del 14/02/2024 potrebbe causare nodi non integri.
Aggiornamento 14/02/2024: aggiunte versioni patch per Ubuntu
Aggiornamento 06/02/2024: sono state aggiunte versioni patch per Container-Optimized OS.

GKE

Ultimo aggiornamento: 06/03/2024

Descrizione Gravità

In runc è stata scoperta una vulnerabilità di sicurezza, CVE-2024-21626, un utente con l'autorizzazione per creare pod su Container-Optimized OS e nodi Ubuntu potrebbe essere in grado di ottenere l'accesso completo al file system del nodo.

Sono interessati i cluster GKE Standard e Autopilot.

Cluster che utilizzano GKE Sandbox non sono interessate.

Che cosa devo fare?

Aggiornamento 28/02/2024: le seguenti versioni di GKE hanno è stato aggiornato con il codice per correggere questa vulnerabilità in Ubuntu. Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni di patch o a versioni successive:

  • 1.25.16-gke.1537000
  • 1.26.14-gke.1006000

Aggiornamento 15/02/2024: a causa di un problema, le seguenti versioni delle patch di Ubuntu dall'aggiornamento del 14/02/2024 potrebbe causare l'ingresso in uno stato non integro dei nodi. Azioni sconsigliate alle seguenti versioni delle patch. Aggiorneremo questo bollettino quando una nuova patch per Ubuntu sono disponibili per la 1.25 e la 1.26.

  • 1.25.16-gke.1497000
  • 1.26.13-gke.1189000

Se hai già eseguito l'upgrade a una di queste versioni di patch, eseguire il downgrade manuale del pool di nodi a una versione precedente nel canale di rilascio.


Aggiornamento 14/02/2024: le seguenti versioni di GKE hanno è stato aggiornato con il codice per correggere questa vulnerabilità in Ubuntu. Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni di patch o a versioni successive:

  • 1.25.16-gke.1497000
  • 1.26.13-gke.1189000
  • 1.27.10-gke.1207000
  • 1.28.6-gke.1369000
  • 1.29.1-gke.1575000

Aggiornamento 06/02/2024: le seguenti versioni di GKE hanno è stata aggiornata con il codice per correggere questa vulnerabilità in Container-Optimized OS. Per motivi di sicurezza, anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo eseguire l'upgrade manuale il tuo cluster e i pool di nodi di Container-Optimized OS in uno dei seguenti Versioni GKE o successive:

  • 1.25.16-gke.1460000
  • 1.26.13-gke.1144000
  • 1.27.10-gke.1152000
  • 1.28.6-gke.1289000
  • 1.29.1-gke.1425000

Puoi applicare versioni patch da canali di rilascio più recenti se il cluster viene eseguito lo stesso una versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi la versione patch diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Esegui le versioni delle patch da un canale più recente.


Stiamo aggiornando GKE con il codice per correggere questa vulnerabilità. Aggiorneremo bollettino quando sono disponibili le versioni delle patch.

Quali vulnerabilità vengono affrontate da questa patch?

runc è uno strumento di basso livello per generare ed eseguire container Linux utilizzati in Kubernetes. Nelle versioni runc precedenti alle patch rilasciate in questo bollettino sulla sicurezza, sono stati inavvertitamente divulgati diversi descrittori Processo runc init eseguito all'interno di un container. Anche runc ha fatto non verificare che la directory di lavoro finale di un container si trovi all'interno del punto di montaggio del container nello spazio dei nomi. Un'immagine container dannosa o un utente con l'autorizzazione a eseguire pod arbitrari si potrebbe usare una combinazione dei descrittori del file divulgato e la mancanza di directory di lavoro convalida per ottenere l'accesso allo spazio dei nomi di montaggio dell'host di un nodo e accedere all'intero host e sovrascrivere file binari arbitrari sul nodo.

Alta

GKE su VMware

Ultimo aggiornamento: 06/03/2024

Descrizione Gravità

In runc è stata scoperta una vulnerabilità di sicurezza, CVE-2024-21626, un utente con l'autorizzazione per creare pod su Container-Optimized OS e nodi Ubuntu potrebbe essere in grado di ottenere l'accesso completo al file system del nodo.

Che cosa devo fare?

Aggiornamento 06/03/2024: le seguenti versioni di GKE on VMware hanno è stata aggiornata con il codice per correggere questa vulnerabilità. Esegui l'upgrade dei cluster alle versioni seguenti o successive:

  • 1.28.200
  • 1.16.6
  • 1.15.9

Sono in corso versioni patch e una valutazione della gravità per GKE su VMware. Aggiorneremo questo bollettino con queste informazioni non appena saranno disponibili.

Quali vulnerabilità vengono affrontate da questa patch?

runc è uno strumento di basso livello per generare ed eseguire container Linux utilizzati in Kubernetes. Nelle versioni runc precedenti alle patch rilasciate in questo bollettino sulla sicurezza, sono stati inavvertitamente divulgati diversi descrittori Processo runc init eseguito all'interno di un container. Anche runc ha fatto non verificare che la directory di lavoro finale di un container si trovi all'interno del punto di montaggio del container nello spazio dei nomi. Un'immagine container dannosa o un utente con l'autorizzazione a eseguire pod arbitrari si potrebbe usare una combinazione dei descrittori del file divulgato e la mancanza di directory di lavoro convalida per ottenere l'accesso allo spazio dei nomi di montaggio dell'host di un nodo e accedere all'intero host e sovrascrivere file binari arbitrari sul nodo.

Alta

GKE su AWS

Ultimo aggiornamento: 06/05/2024

Descrizione Gravità

In runc è stata scoperta una vulnerabilità di sicurezza, CVE-2024-21626, un utente con l'autorizzazione per creare pod su Container-Optimized OS e nodi Ubuntu potrebbe essere in grado di ottenere l'accesso completo al file system del nodo.

Che cosa devo fare?

Aggiornamento 06/05/2024: le seguenti versioni di GKE su AWS hanno è stato aggiornato con le patch per CVE-2024-21626:

  • 1.28.5-gke.1200
  • 1.27.10-gke.500
  • 1.26.13-gke.400

Sono in corso le versioni delle patch e una valutazione della gravità per GKE su AWS. Aggiorneremo questo bollettino con queste informazioni non appena saranno disponibili.

Quali vulnerabilità vengono affrontate da questa patch?

runc è uno strumento di basso livello per generare ed eseguire container Linux utilizzati in Kubernetes. Nelle versioni runc precedenti alle patch rilasciate in questo bollettino sulla sicurezza, sono stati inavvertitamente divulgati diversi descrittori Processo runc init eseguito all'interno di un container. Anche runc ha fatto non verificare che la directory di lavoro finale di un container si trovi all'interno del punto di montaggio del container nello spazio dei nomi. Un'immagine container dannosa o un utente con l'autorizzazione a eseguire pod arbitrari si potrebbe usare una combinazione dei descrittori del file divulgato e la mancanza di directory di lavoro convalida per ottenere l'accesso allo spazio dei nomi di montaggio dell'host di un nodo e accedere all'intero host e sovrascrivere file binari arbitrari sul nodo.

Alta

GKE su Azure

Ultimo aggiornamento: 06/05/2024

Descrizione Gravità

In runc è stata scoperta una vulnerabilità di sicurezza, CVE-2024-21626, un utente con l'autorizzazione per creare pod su Container-Optimized OS e nodi Ubuntu potrebbe essere in grado di ottenere l'accesso completo al file system del nodo.

Che cosa devo fare?

Aggiornamento 06/05/2024: le seguenti versioni di GKE su Azure hanno è stato aggiornato con le patch per CVE-2024-21626:

  • 1.28.5-gke.1200
  • 1.27.10-gke.500
  • 1.26.13-gke.400

Sono in corso le versioni delle patch e una valutazione della gravità per GKE su Azure. Aggiorneremo questo bollettino con queste informazioni non appena saranno disponibili.

Quali vulnerabilità vengono affrontate da questa patch?

runc è uno strumento di basso livello per generare ed eseguire container Linux utilizzati in Kubernetes. Nelle versioni runc precedenti alle patch rilasciate in questo bollettino sulla sicurezza, sono stati inavvertitamente divulgati diversi descrittori Processo runc init eseguito all'interno di un container. Anche runc ha fatto non verificare che la directory di lavoro finale di un container si trovi all'interno del punto di montaggio del container nello spazio dei nomi. Un'immagine container dannosa o un utente con l'autorizzazione a eseguire pod arbitrari si potrebbe usare una combinazione dei descrittori del file divulgato e la mancanza di directory di lavoro convalida per ottenere l'accesso allo spazio dei nomi di montaggio dell'host di un nodo e accedere all'intero host e sovrascrivere file binari arbitrari sul nodo.

Alta

GKE su Bare Metal

Ultimo aggiornamento: 02/04/2024

Descrizione Gravità

In runc è stata scoperta una vulnerabilità di sicurezza, CVE-2024-21626, un utente con l'autorizzazione per creare pod potrebbe essere in grado di ottenere l'accesso completo al file system del nodo.

Che cosa devo fare?

Aggiornamento 02/04/2024: le seguenti versioni di GKE on Bare Metal hanno è stata aggiornata con il codice per correggere questa vulnerabilità. Esegui l'upgrade dei cluster alle versioni seguenti o successive:

  • 1.28.200-gke.118
  • 1.16.6
  • 1.15.10

Sono in corso le versioni delle patch e una valutazione della gravità per GKE on Bare Metal. Aggiorneremo questo bollettino con queste informazioni non appena saranno disponibili.

Quali vulnerabilità vengono affrontate da questa patch?

runc è uno strumento di basso livello per generare ed eseguire container Linux utilizzati in Kubernetes. Nelle versioni runc precedenti alle patch rilasciate in questo bollettino sulla sicurezza, sono stati inavvertitamente divulgati diversi descrittori Processo runc init eseguito all'interno di un container. Anche runc ha fatto non verificare che la directory di lavoro finale di un container si trovi all'interno del punto di montaggio del container nello spazio dei nomi. Un'immagine container dannosa o un utente con l'autorizzazione a eseguire pod arbitrari si potrebbe usare una combinazione dei descrittori del file divulgato e la mancanza di directory di lavoro convalida per ottenere l'accesso allo spazio dei nomi di montaggio dell'host di un nodo e accedere all'intero host e sovrascrivere file binari arbitrari sul nodo.

Alta

GCP-2024-004

Pubblicato il 24/01/2024
Ultimo aggiornamento: 07/02/2024
Riferimento: CVE-2023-6817

Aggiornamento 07/02/2024: sono state aggiunte versioni patch per Ubuntu.

GKE

Ultimo aggiornamento: 07/02/2024

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

  • CVE-2023-6817

I cluster GKE Standard ne sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo Unconfined seccomp o consenti CAP_NET_ADMIN

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento 07/02/2024: sono interessate le seguenti versioni secondarie. Esegui l'upgrade del tuo Pool di nodi Ubuntu in una delle seguenti versioni di patch o versioni successive:

  • 1.25.16-gke.1458000
  • 1.26.13-gke.1143000
  • 1.27.10-gke.1152000
  • 1.28.6-gke.1276000
  • 1.29.1-gke.1221000

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade del tuo Pool di nodi Container-Optimized OS in una delle seguenti versioni di patch o versioni successive:

  • 1.25.16-gke.1229000
  • 1.26.12-gke.1087000
  • 1.27.3-gke.1001003
  • 1.28.5-gke.1194000
  • 1.29.0-gke.1340000

Puoi applicare versioni patch da canali di rilascio più recenti se il cluster viene eseguito lo stesso una versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi la versione patch diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Esegui le versioni delle patch da un canale più recente.

Alta

GKE su VMware

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

  • CVE-2023-6817

Che cosa devo fare?

In attesa

GKE su AWS

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

  • CVE-2023-6817

Che cosa devo fare?

In attesa

GKE su Azure

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

  • CVE-2023-6817

Che cosa devo fare?

In attesa

GKE su Bare Metal

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

  • CVE-2023-6817

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione.

Nessuno

GCP-2024-003

Pubblicato il 19/01/2024
Ultimo aggiornamento: 26/01/2024
Aggiornamento 26/01/2024: è stato chiarito il numero di cluster interessati e le azioni che che abbiamo adottato per mitigare l'impatto.

GKE

Ultimo aggiornamento: 26/01/2024

Descrizione Gravità

Aggiornamento 26/01/2024: una ricerca sulla sicurezza che ha rilevato un numero ridotto di Cluster GKE con un'errata configurazione creata dal cliente Il gruppo system:authenticated è stato pubblicato. Blog del ricercatore si riferisce a 1300 cluster con alcune associazioni configurate in modo errato e 108 con associazioni privilegiati. Abbiamo lavorato a stretto contatto con i clienti interessati per informarli e fornire loro assistenza rimuovendo le relative associazioni configurate in modo errato.


Abbiamo identificato diversi cluster in cui gli utenti hanno concesso a Kubernetes privilegi al gruppo system:authenticated, che include tutti utenti con un Account Google. Questi tipi di associazioni non sono consigliati, in quanto violano il principio del privilegio minimo e garantiscono e l'accesso a gruppi molto grandi di utenti. Consulta le indicazioni nella sezione "Che cosa devo fare" della istruzioni su come trovare questi tipi di associazioni.

Di recente, un ricercatore della sicurezza ha riferito i risultati di cluster con RBAC tramite il nostro programma di segnalazione delle vulnerabilità.

L'approccio di Google all'autenticazione consiste nel eseguire l'autenticazione su Google Cloud GKE nel modo più semplice e sicuro possibile senza aggiungere passaggi di configurazione complessi. L'autenticazione ci comunica semplicemente chi è l'utente. Autorizzazione è dove viene determinato l'accesso. Quindi il gruppo system:authenticated L'accesso GKE che contiene tutti gli utenti autenticati tramite il provider di identità di Google funziona come previsto e funziona allo stesso modo di IAM Identificatore allAuthenticatedUsers.

Tenendo conto di questo, abbiamo adottato diverse misure per ridurre il rischio errori di autorizzazione con gli utenti integrati in Kubernetes gruppi, tra cui system:anonymous, system:authenticated e system:unauthenticated. Tutti di questi utenti/gruppi rappresentano un rischio per il cluster se vengono concesse le autorizzazioni. Me abbiamo discusso di alcune attività degli aggressori che prendono di mira gli errori di configurazione dell’RBAC e le difese disponibili in Kubecon a novembre 2023.

Per proteggere gli utenti da errori di autorizzazione accidentali con questi sistemi. utenti/gruppi, abbiamo:

Cluster che si applicano autorizzati reti hanno un primo livello di difesa: non possono essere attaccate direttamente da internet. Tuttavia, consigliamo comunque di rimuovere queste associazioni per una difesa approfondita e contro gli errori nei controlli di rete.
Tieni presente che ci sono diversi casi in cui le associazioni a utenti di sistema Kubernetes o gruppi sono utilizzati intenzionalmente: ad es. per kubeadm bootstrapping, Rancher dashboard e Bitnami nascosti. Abbiamo verificato con i fornitori di software che che funzionano come previsto.

Stiamo studiando nuovi modi per proteggere ulteriormente gli utenti RBAC degli errori di configurazione con questi utenti/gruppi di sistema attraverso la prevenzione il rilevamento automatico.

Che cosa devo fare?

Per evitare nuove associazioni di cluster-admin all'utente system:anonymous, Gruppo system:authenticated, o Gruppo Gli utenti di system:unauthenticated possono eseguire l'upgrade a GKE v1.28 oppure in un secondo momento (release note), in cui la creazione di queste associazioni viene bloccata.

Le associazioni esistenti devono essere esaminate seguendo queste indicazioni.

Medio

GKE su VMware

Nessun aggiornamento al momento.

GKE su AWS

Nessun aggiornamento al momento.

GKE su Azure

Nessun aggiornamento al momento.

GKE su Bare Metal

Nessun aggiornamento al momento.

GCP-2024-002

Pubblicato il 17/01/2024
Ultimo aggiornamento: 20/02/2024
Riferimento: CVE-2023-6111

Aggiornamento 20/02/2024: sono state aggiunte le versioni patch per GKE su VMware.

GKE

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi di Container-Optimized OS.

  • CVE-2023-6111

I cluster GKE Standard ne sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo Unconfined seccomp o consenti CAP_NET_ADMIN

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade del tuo Pool di nodi Container-Optimized OS in una delle seguenti versioni di patch o versioni successive:

  • 1.27.7-gke.1063001
  • 1.28.5-gke.1194000
  • 1.29.0-gke.1340000

Puoi applicare versioni patch da canali di rilascio più recenti se il cluster viene eseguito lo stesso una versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi la versione patch diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Esegui le versioni delle patch da un canale più recente.

Alta

GKE su VMware

Ultimo aggiornamento: 20/02/2024

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi di Container-Optimized OS.

  • CVE-2023-6111

Che cosa devo fare?

Aggiornamento 20/02/2024: le seguenti versioni di GKE su VMware vengono aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade dei cluster alle versioni seguenti o successive: 1.28.100


In attesa

GKE su AWS

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi di Container-Optimized OS.

  • CVE-2023-6111

Che cosa devo fare?

In attesa

GKE su Azure

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi di Container-Optimized OS.

  • CVE-2023-6111

Che cosa devo fare?

In attesa

GKE su Bare Metal

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi di Container-Optimized OS.

  • CVE-2023-6111

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione.

Nessuno

GCP-2023-051

Pubblicato il 28/12/2023
Riferimento: CVE-2023-3609

GKE

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

  • CVE-2023-3609

I cluster GKE Standard ne sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo Unconfined seccomp o consenti CAP_NET_ADMIN.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade del tuo Pool di nodi Container-Optimized OS in una delle seguenti versioni di patch o versioni successive:

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1014001
  • 1.27.3-gke.1001002
  • 1.28.0-gke.100

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade del tuo Pool di nodi Ubuntu in una delle seguenti versioni di patch o versioni successive:

  • 1.24.14-gke.1027001
  • 1.26.5-gke.1021001
  • 1.27.3-gke.1001002

Puoi applicare versioni patch da canali di rilascio più recenti se il cluster viene eseguito lo stesso una versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi la versione patch diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Esegui le versioni delle patch da un canale più recente.

Alta

GKE su VMware

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

  • CVE-2023-3609

Che cosa devo fare?

In attesa

GKE su AWS

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

  • CVE-2023-3609

Che cosa devo fare?

In attesa

GKE su Azure

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

  • CVE-2023-3609

Che cosa devo fare?

In attesa

GKE su Bare Metal

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

  • CVE-2023-3609

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione.

Nessuno

GCP-2023-050

Pubblicato il 27/12/2023
Riferimento: CVE-2023-3389

GKE

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

  • CVE-2023-3389

Sono interessati i cluster GKE Standard e Autopilot.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade del tuo Pool di nodi Container-Optimized OS in una delle seguenti versioni di patch o versioni successive:

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1014001
  • 1.27.3-gke.1001002
  • 1.28.0-gke.100

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade del tuo Pool di nodi Ubuntu in una delle seguenti versioni di patch o versioni successive:

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1014001
  • 1.27.3-gke.1001002
  • 1.28.1-gke.1002003

Puoi applicare versioni patch da canali di rilascio più recenti se il cluster viene eseguito lo stesso una versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi la versione patch diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Esegui le versioni delle patch da un canale più recente.

Alta

GKE su VMware

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

  • CVE-2023-3389

Che cosa devo fare?

In attesa

GKE su AWS

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

  • CVE-2023-3389

Che cosa devo fare?

In attesa

GKE su Azure

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

  • CVE-2023-3389

Che cosa devo fare?

In attesa

GKE su Bare Metal

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

  • CVE-2023-3389

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione.

Nessuno

GCP-2023-049

Pubblicato il 20/12/2023
Riferimento: CVE-2023-3090

GKE

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

  • CVE-2023-3090

I cluster GKE Standard ne sono interessati. GKE I cluster Autopilot nella configurazione predefinita non sono interessati, ma potrebbe esserlo vulnerabile se imposti esplicitamente il profilo Unconfined seccomp oppure consenti CAP_NET_ADMIN.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade del tuo Pool di nodi Container-Optimized OS in una delle seguenti versioni di patch o versioni successive:

  • 1.24.14-gke.1027001
  • 1.25.12-gke.900
  • 1.26.5-gke.1014001
  • 1.27.4-gke.400
  • 1.28.0-gke.100

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade del tuo Pool di nodi Ubuntu in una delle seguenti versioni di patch o versioni successive:

  • 1.24.14-gke.1027001
  • 1.25.12-gke.900
  • 1.26.5-gke.1014001
  • 1.27.4-gke.900
  • 1.28.1-gke.1050000

Puoi applicare versioni patch da canali di rilascio più recenti se il cluster viene eseguito lo stesso una versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi la versione patch diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Esegui le versioni delle patch da un canale più recente.

Alta

GKE su VMware

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

  • CVE-2023-3090

Che cosa devo fare?

In attesa

GKE su AWS

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

  • CVE-2023-3090

Che cosa devo fare?

In attesa

GKE su Azure

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

  • CVE-2023-3090

Che cosa devo fare?

In attesa

GKE su Bare Metal

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

  • CVE-2023-3090

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione.

Nessuno

GCP-2023-048

Pubblicato il 15/12/2023
Ultimo aggiornamento: 21/12/2023
Riferimento: CVE-2023-3390

Aggiornamento 21/12/2023: chiarire che i cluster GKE Autopilot non sono interessati dalla configurazione predefinita.

GKE

Ultimo aggiornamento: 21/12/2023

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

  • CVE-2023-3390

Aggiornamento 21/12/2023: il bollettino originale indicava Autopilot i cluster sono interessati, ma questo errore non è corretto. Autopilot di GKE cluster nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se impostare esplicitamente il profilo seccomp Unconfined consenti CAP_NET_ADMIN.

Sono interessati i cluster GKE Standard e Autopilot.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade del tuo Pool di nodi Container-Optimized OS in una delle seguenti versioni di patch o versioni successive:

  • 1.27.4-gke.400
  • 1.28.0-gke.100

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade del tuo Pool di nodi Ubuntu in una delle seguenti versioni di patch o versioni successive:

  • 1.24.14-gke.1027001
  • 1.25.12-gke.900
  • 1.26.5-gke.1014001
  • 1.27.4-gke.900
  • 1.28.1-gke.1050000

Puoi applicare versioni patch da canali di rilascio più recenti se il cluster viene eseguito lo stesso una versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi la versione patch diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Esegui le versioni delle patch da un canale più recente.

Alta

GKE su VMware

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

  • CVE-2023-3390

Che cosa devo fare?

In attesa

GKE su AWS

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

  • CVE-2023-3390

Che cosa devo fare?

In attesa

GKE su Azure

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

  • CVE-2023-3390

Che cosa devo fare?

In attesa

GKE su Bare Metal

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

  • CVE-2023-3390

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione.

Nessuno

GCP-2023-047

Pubblicato: 14/12/2023

GKE

Descrizione Gravità

Un aggressore che ha compromesso il container di logging di Fluent Bit potrebbe combinarlo con privilegi elevati richiesti da Cloud Service Mesh (sui cluster che abilitato) per eseguire l'escalation dei privilegi nel cluster. I problemi relativi a Fluent Bit Cloud Service Mesh è stato ridotto e sono ora disponibili correzioni. Queste vulnerabilità non sono sfruttabili da soli in GKE e richiedono una compromissione iniziale. Non siamo a conoscenza di casi di sfruttamento di queste vulnerabilità.

Questi problemi sono stati segnalati tramite Vulnerability Reward Program.

Che cosa devo fare?

Le seguenti versioni di GKE sono state aggiornate con il codice da correggere queste vulnerabilità in Fluent Bit e per gli utenti di Cloud Service Mesh gestito. Per per motivi di sicurezza, anche se hai abilitato l'upgrade automatico dei nodi, tu eseguire l'upgrade manuale il tuo cluster e i tuoi pool di nodi in una delle seguenti versioni di GKE più tardi:

  • 1.25.16-gke.1020000
  • 1.26.10-gke.1235000
  • 1.27.7-gke.1293000
  • 1.28.4-gke.1083000

Una funzionalità recente di canali di rilascio consente di applicare una patch senza dover annullare l'iscrizione a un canale. Ciò consente i nodi fino a quando la nuova versione non diventa quella predefinita canale di rilascio

Se il cluster utilizza Cloud Service Mesh nel cluster, devi eseguire l'upgrade manuale a uno degli le versioni seguenti (note di rilascio):

  • 1.17.8-asm.8
  • 1.18.6-asm.2
  • 1.19.5-asm.4

Quali vulnerabilità vengono affrontate da questa patch?

Le vulnerabilità affrontate da questo bollettino richiedono che un aggressore comprometta Container di logging dei bit fluido. Non siamo a conoscenza di vulnerabilità esistenti in Bit fluido che causerebbe questa condizione prerequisito per l'escalation dei privilegi. Abbiamo corretto queste vulnerabilità come misure di protezione per prevenire l'intera catena di attacchi in futuro

GKE utilizza Fluent Bit per elaborare i log per i carichi di lavoro in esecuzione sui cluster. Anche Fluent Bit su GKE è stato configurato per raccogliere i log carichi di lavoro Cloud Run. Il montaggio del volume configurato per raccogliere questi log ha fornito Accesso in bit fluido ai token degli account di servizio Kubernetes per gli altri pod in esecuzione nodo. Il ricercatore ha usato questo accesso per scoprire un account di servizio con privilegi elevati per i cluster in cui Cloud Service Mesh è abilitato.

Cloud Service Mesh necessitava di privilegi elevati per apportare le modifiche necessarie a un configurazione del cluster, inclusa la possibilità di creare ed eliminare pod. La il ricercatore ha usato il token dell'account di servizio Kubernetes con privilegi di Cloud Service Mesh di aumentare i privilegi compromessi iniziali creando un nuovo pod con privilegi cluster-admin

Abbiamo rimosso l'accesso di Fluent Bit ai token dell'account di servizio e abbiamo ha riprogettato la funzionalità di Cloud Service Mesh per rimuovere i privilegi in eccesso.

Medio

GKE su VMware

Descrizione Gravità

Sono interessati solo i cluster GKE on VMware che utilizzano Cloud Service Mesh.

Che cosa devo fare?

Se il cluster utilizza Cloud Service Mesh nel cluster, devi eseguire l'upgrade manuale a una delle seguenti versioni (note di rilascio):

  • 1.17.8-asm.8
  • 1.18.6-asm.2
  • 1.19.5-asm.4

Quali vulnerabilità vengono affrontate da questa patch?

Le vulnerabilità affrontate da questo bollettino richiedono che un utente malintenzionato compromettere o altrimenti uscire da un container o avere accesso root su un nodo cluster. Me non sono a conoscenza di vulnerabilità esistenti che porterebbero a questo prerequisito per l'escalation dei privilegi. Abbiamo corretto queste vulnerabilità come misure per prevenire una potenziale catena di attacchi completa in futuro.

Cloud Service Mesh necessitava di privilegi elevati per apportare le modifiche necessarie a un configurazione del cluster, inclusa la possibilità di creare ed eliminare pod. Il ricercatore ha utilizzato il token dell'account di servizio Kubernetes con privilegi di Cloud Service Mesh per riassegnare privilegi iniziali compromessi creando un nuovo pod con privilegi cluster-admin.

Abbiamo riprogettato la funzionalità di Cloud Service Mesh per rimuovere privilegiati.

Medio

GKE su AWS

Descrizione Gravità

È interessato solo GKE su cluster AWS che utilizzano Cloud Service Mesh.

Che cosa devo fare?

Se il cluster utilizza Cloud Service Mesh nel cluster, devi eseguire l'upgrade manuale in una delle seguenti versioni (note di rilascio):

  • 1.17.8-asm.8
  • 1.18.6-asm.2
  • 1.19.5-asm.4

Quali vulnerabilità vengono affrontate da questa patch?

Le vulnerabilità affrontate da questo bollettino richiedono che un utente malintenzionato compromettere o altrimenti uscire da un container o avere accesso root su un nodo cluster. Stiamo non è a conoscenza di vulnerabilità esistenti che porterebbero a questa condizione di prerequisito per l'escalation dei privilegi. Abbiamo corretto queste vulnerabilità come misure di protezione prevenire una potenziale catena di attacchi completa in futuro.

Cloud Service Mesh necessitava di privilegi elevati per apportare le modifiche necessarie a un configurazione del cluster, inclusa la possibilità di creare ed eliminare pod. Il ricercatore ha utilizzato il token dell'account di servizio Kubernetes con privilegi di Cloud Service Mesh per riassegnare privilegi iniziali compromessi creando un nuovo pod con privilegi cluster-admin.

Abbiamo riprogettato la funzionalità di Cloud Service Mesh per rimuovere privilegiati.

Medio

GKE su Azure

Descrizione Gravità

Sono interessati solo i cluster GKE su Azure che utilizzano Cloud Service Mesh.

Che cosa devo fare?

Se il cluster utilizza Cloud Service Mesh nel cluster, devi eseguire l'upgrade manuale in una delle seguenti versioni (note di rilascio):

  • 1.17.8-asm.8
  • 1.18.6-asm.2
  • 1.19.5-asm.4

Quali vulnerabilità vengono affrontate da questa patch?

Le vulnerabilità affrontate da questo bollettino richiedono che un utente malintenzionato compromettere o altrimenti uscire da un container o avere accesso root su un nodo cluster. Stiamo non è a conoscenza di vulnerabilità esistenti che porterebbero a questa condizione di prerequisito per l'escalation dei privilegi. Abbiamo corretto queste vulnerabilità come misure di protezione per prevenire una potenziale catena di attacchi completa in futuro.

Cloud Service Mesh necessitava di privilegi elevati per apportare le modifiche necessarie a un configurazione del cluster, inclusa la possibilità di creare ed eliminare pod. Il ricercatore ha utilizzato il token dell'account di servizio Kubernetes con privilegi di Cloud Service Mesh per riassegnare privilegi iniziali compromessi creando un nuovo pod con privilegi cluster-admin.

Abbiamo riprogettato la funzionalità di Cloud Service Mesh per rimuovere privilegiati.

Medio

GKE su Bare Metal

Descrizione Gravità

Sono interessati solo i cluster GKE on Bare Metal che utilizzano Cloud Service Mesh.

Che cosa devo fare?

Se il cluster utilizza Cloud Service Mesh nel cluster, devi eseguire l'upgrade manuale a una delle seguenti versioni (note di rilascio):

  • 1.17.8-asm.8
  • 1.18.6-asm.2
  • 1.19.5-asm.4

Quali vulnerabilità vengono affrontate da questa patch?

Le vulnerabilità affrontate da questo bollettino richiedono che un utente malintenzionato compromettere o altrimenti uscire da un container o avere accesso root su un nodo cluster. Stiamo non è a conoscenza di vulnerabilità esistenti che porterebbero a questa condizione di prerequisito per l'escalation dei privilegi. Abbiamo corretto queste vulnerabilità come misure di protezione prevenire una potenziale catena di attacchi completa in futuro.

Anthos Service Mesh necessitava di privilegi elevati per apportare le modifiche necessarie a un configurazione del cluster, inclusa la possibilità di creare ed eliminare pod. Il ricercatore ha utilizzato il token dell'account di servizio Kubernetes con privilegi di Cloud Service Mesh per riassegnare privilegi iniziali compromessi creando un nuovo pod con privilegi cluster-admin.

Abbiamo riprogettato la funzionalità di Cloud Service Mesh per rimuovere privilegiati.

Medio

GCP-2023-046

Pubblicato il 22/11/2023
Ultimo aggiornamento: 04/03/2024
Riferimento: CVE-2023-5717

Aggiornamento 04/03/2024: aggiunte le versioni GKE per GKE su VMware.

Aggiornamento 22/01/2024: aggiunte le versioni patch di Ubuntu.

GKE

Ultimo aggiornamento: 22/01/2024

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

  • CVE-2023-5717

Sono interessati i cluster GKE Standard e Autopilot.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento 22/01/2024: sono interessate le seguenti versioni secondarie. Esegui l'upgrade del tuo Pool di nodi Ubuntu in una delle seguenti versioni di patch o versioni successive:

  • 1.24.17-gke.2472000
  • 1.25.16-gke.1268000
  • 1.26.12-gke.1111000
  • 1.27.9-gke.1092000
  • 1.28.5-gke.1217000
  • 1.29.0-gke.138100

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade del tuo Pool di nodi Container-Optimized OS in una delle seguenti versioni di patch o versioni successive:

  • 1.24.17-gke.2113000
  • 1.25.14-gke.1421000
  • 1.25.15-gke.1083000
  • 1.26.10-gke.1073000
  • 1.27.7-gke.1088000
  • 1.28.3-gke.1203000

Puoi applicare versioni patch da canali di rilascio più recenti se il cluster viene eseguito lo stesso una versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi la versione patch diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Esegui le versioni delle patch da un canale più recente.

Alta

GKE su VMware

Ultimo aggiornamento: 29/02/2024

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

  • CVE-2023-5717

Che cosa devo fare?

Aggiornamento 04/03/2024: le seguenti versioni di GKE on VMware vengono aggiornati con il codice per correggere questa vulnerabilità. Esegui l'upgrade dei cluster alle versioni seguenti o successive:

  • 1.28.200
  • 1.16.5
  • 1.15.8
Alta

GKE su AWS

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

  • CVE-2023-5717

Che cosa devo fare?

In attesa

GKE su Azure

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

  • CVE-2023-5717

Che cosa devo fare?

In attesa

GKE su Bare Metal

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

  • CVE-2023-5717

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione.

Nessuno

GCP-2023-045

Pubblicato il 20/11/2023
Ultimo aggiornamento: 21/12/2023
Riferimento: CVE-2023-5197

Aggiornamento 21/12/2023: chiarire che i cluster GKE Autopilot non sono interessati dalla configurazione predefinita.

GKE

Ultimo aggiornamento: 21/12/2023

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

  • CVE-2023-5197

Aggiornamento 21/12/2023: il bollettino originale indicava Autopilot i cluster sono interessati, ma questo errore non è corretto. Autopilot di GKE cluster nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se impostare esplicitamente il profilo seccomp Unconfined consenti CAP_NET_ADMIN.

Sono interessati i cluster GKE Standard e Autopilot.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade del tuo Pool di nodi Container-Optimized OS in una delle seguenti versioni di patch o versioni successive:

  • 1.25.13-gke.1002003
  • 1.26.9-gke.1514000
  • 1.27.6-gke.1513000
  • 1.28.2-gke.1164000

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade del tuo Pool di nodi Ubuntu in una delle seguenti versioni di patch o versioni successive:

  • 1.24.16-gke.1005001
  • 1.25.13-gke.1002003
  • 1.26.9-gke.1548000
  • 1.27.7-gke.1039000
  • 1.28.3-gke.1061000

Puoi applicare versioni patch da canali di rilascio più recenti se il cluster viene eseguito lo stesso una versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi la versione patch diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Esegui le versioni delle patch da un canale più recente.

Alta

GKE su VMware

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

  • CVE-2023-5197

Che cosa devo fare?

In attesa

GKE su AWS

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

  • CVE-2023-5197

Che cosa devo fare?

In attesa

GKE su Azure

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

  • CVE-2023-5197

Che cosa devo fare?

In attesa

GKE su Bare Metal

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

  • CVE-2023-5197

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione.

Nessuno

GCP-2023-042

Pubblicato il 13/11/2023
Ultimo aggiornamento: 15/11/2023
Riferimento: CVE-2023-4147

Aggiornamento del 15/11/2023 : è stato chiarito che è necessario eseguire l'upgrade solo per le versioni secondarie elencate. a una versione con patch corrispondente per GKE.

GKE

Ultimo aggiornamento: 15/11/2023

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

  • CVE-2023-4147

I cluster GKE Standard ne sono interessati. I cluster GKE Autopilot non sono interessati.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento 15/11/2023: devi eseguire solo l'upgrade a una delle versioni con patch elencate in questo bollettino se utilizzi questa versione secondaria nei tuoi nodi. Ad esempio: Se utilizzi GKE versione 1.27, devi eseguire l'upgrade alla corrispondente versione completamente gestita. Tuttavia, se utilizzi GKE versione 1.24, non è necessario eseguire l'upgrade a una versione con patch.


Esegui l'upgrade del tuo Pool di nodi di Container-Optimized OS in una delle seguenti versioni o versioni successive:

  • 1.27.5-gke.200
  • 1.28.2-gke.1157000

Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni o a una versione successiva:

  • 1.25.14-gke.1421000
  • 1.26.9-gke.1437000
  • 1.27.6-gke.1248000
  • 1.28.2-gke.1157000

Puoi applicare versioni patch da canali di rilascio più recenti se il cluster viene eseguito lo stesso una versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi la versione con patch diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Esegui le versioni delle patch da un canale più recente.

Alta

GKE su VMware

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

  • CVE-2023-4147

Che cosa devo fare?

In attesa

GKE su AWS

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

  • CVE-2023-4147

Che cosa devo fare?

In attesa

GKE su Azure

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

  • CVE-2023-4147

Che cosa devo fare?

In attesa

GKE su Bare Metal

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

  • CVE-2023-4147

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione.

Nessuno

GCP-2023-041

Pubblicato il 08/11/2023
Ultimo aggiornamento: 21/11/2023, 05/12/2023, 21/12/2023
Riferimento: CVE-2023-4004

Aggiornamento 21/12/2023: chiarire che i cluster GKE Autopilot non sono interessati dalla configurazione predefinita.

Aggiornamento 05/12/2023 : sono state aggiunte ulteriori versioni GKE per i pool di nodi di Container-Optimized OS.

Aggiornamento 21/11/2023: chiarisci che solo le versioni secondarie elencate devono eseguire l'upgrade a una versione patch corrispondente per GKE.

GKE

Ultimo aggiornamento: 21/11/2023, 05/12/2023, 21/12/2023

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

  • CVE-2023-4004

Aggiornamento 21/12/2023: il bollettino originale indicava Autopilot i cluster sono interessati, ma questo errore non è corretto. Autopilot di GKE cluster nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se impostare esplicitamente il profilo seccomp Unconfined consenti CAP_NET_ADMIN.

Sono interessati i cluster Autopilot.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento 05/12/2023: alcune versioni GKE erano in precedenza mancante. Di seguito è riportato un elenco aggiornato delle versioni GKE che puoi utilizzare aggiorna il tuo Container-Optimized OS per:

  • 1.24.17-gke.200 o versioni successive
  • 1.25.13-gke.200 o versioni successive
  • 1.26.8-gke.200 o versioni successive
  • 1.27.4-gke.2300 o versioni successive
  • 1.28.1-gke.1257000 o versioni successive

Aggiornamento 21/11/2023: devi eseguire l'upgrade a una delle versioni di patch elencate in questo bollettino solo se utilizzi quella versione secondaria nei tuoi nodi. Le versioni secondarie non elencate non sono interessate.

Esegui l'upgrade dei pool di nodi di Container-Optimized OS a una delle seguenti versioni o a una versione successiva:

  • 1.27.4-gke.2300
  • 1.28.1-gke.1257000

Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni o a una versione successiva:

  • 1.24.14-gke.1027001
  • 1.25.13-gke.700
  • 1.26.8-gke.700
  • 1.27.5-gke.700
  • 1.28.1-gke.1050000
Alta

GKE su VMware

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

  • CVE-2023-4004

Che cosa devo fare?

In attesa

GKE su AWS

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

  • CVE-2023-4004

Che cosa devo fare?

In attesa

GKE su Azure

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

  • CVE-2023-4004

Che cosa devo fare?

In attesa

GKE su Bare Metal

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

  • CVE-2023-4004

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione.

Nessuno

GCP-2023-040

Pubblicato il 06/11/2023
Ultimo aggiornamento: 21/11/2023, 21/12/2023
Riferimento: CVE-2023-4921

Aggiornamento 21/12/2023: chiarire che i cluster GKE Autopilot non sono interessati dalla configurazione predefinita.

Aggiornamento 21/11/2023: chiarisci che solo le versioni secondarie elencate devono eseguire l'upgrade a una versione patch corrispondente per GKE.

GKE

Ultimo aggiornamento: 21/11/2023, 21/12/2023

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

  • CVE-2023-4921

Aggiornamento 21/12/2023: il bollettino originale indicava Autopilot i cluster sono interessati, ma questo errore non è corretto. Autopilot di GKE cluster nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se impostare esplicitamente il profilo seccomp Unconfined consenti CAP_NET_ADMIN.

Sono interessati i cluster Autopilot.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento 21/11/2023: devi eseguire l'upgrade a una delle versioni di patch elencate in questo bollettino solo se utilizzi quella versione secondaria nei tuoi nodi. Le versioni secondarie non elencate non sono interessate.

Esegui l'upgrade dei pool di nodi di Container-Optimized OS a una delle seguenti versioni o a una versione successiva:

  • 1.24.14-gke.1027001
  • 1.25.14-gke.1351000
  • 1.26.9-gke.1345000
  • 1.27.6-gke.1389000

Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni o a una versione successiva:

  • 1.24.17-gke.2186000
  • 1.25.15-gke.1016000
  • 1.26.9-gke.1548000
  • 1.27.6-gke.1551000
  • 1.28.2-gke.1256000
Alta

GKE su VMware

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

  • CVE-2023-4921

Che cosa devo fare?

In attesa

GKE su AWS

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

  • CVE-2023-4921

Che cosa devo fare?

In attesa

GKE su Azure

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

  • CVE-2023-4921

Che cosa devo fare?

In attesa

GKE su Bare Metal

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

  • CVE-2023-4921

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione.

Nessuno

GCP-2023-039

Pubblicato il 06/11/2023
Ultimo aggiornamento: 21/11/2023, 16/11/2023
Riferimento: CVE-2023-4622

Aggiornamento 21/11/2023: chiarisci che solo le versioni secondarie elencate devono eseguire l'upgrade a una versione patch corrispondente per GKE.

Aggiornamento 16-11-2023: la vulnerabilità associata a questo bollettino sulla sicurezza è CVE-2023-4622. La vulnerabilità CVE-2023-4623 è stata erroneamente indicata come vulnerabilità in una versione precedente del bollettino sulla sicurezza.

GKE

Ultimo aggiornamento: 21/11/2023, 16/11/2023

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

  • CVE-2023-4623

Sono interessati i cluster Autopilot.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento 21/11/2023: devi eseguire l'upgrade a una delle versioni di patch elencate in questo bollettino solo se utilizzi quella versione secondaria nei tuoi nodi. Le versioni secondarie non elencate non sono interessate.

Esegui l'upgrade dei pool di nodi di Container-Optimized OS a una delle seguenti versioni o a una versione successiva:

  • 1.24.14-gke.1027001
  • 1.25.14-gke.1351000
  • 1.26.9-gke.1345000
  • 1.27.5-gke.1647000

Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni o a una versione successiva:

  • 1.24.17-gke.2186000
  • 1.25.15-gke.1016000
  • 1.26.9-gke.1548000
  • 1.27.6-gke.1551000
  • 1.28.2-gke.1256000
Alta

GKE su VMware

Ultimo aggiornamento: 16/11/2023

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

  • CVE-2023-4623

Che cosa devo fare?

In attesa

GKE su AWS

Ultimo aggiornamento: 16/11/2023

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

  • CVE-2023-4623

Che cosa devo fare?

In attesa

GKE su Azure

Ultimo aggiornamento: 16/11/2023

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

  • CVE-2023-4623

Che cosa devo fare?

In attesa

GKE su Bare Metal

Ultimo aggiornamento: 16/11/2023

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

  • CVE-2023-4623

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione.

Nessuno

GCP-2023-038

Pubblicato il 06/11/2023
Ultimo aggiornamento: 21/11/2023, 21/12/2023
Riferimento: CVE-2023-4623

Aggiornamento 21/12/2023: chiarire che i cluster GKE Autopilot non sono interessati dalla configurazione predefinita.

Aggiornamento 21/11/2023: chiarisci che solo le versioni secondarie elencate devono eseguire l'upgrade a una versione patch corrispondente per GKE.

GKE

Ultimo aggiornamento: 21/11/2023, 21/12/2023

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

  • CVE-2023-4623

Aggiornamento 21/12/2023: il bollettino originale indicava Autopilot i cluster sono interessati, ma questo errore non è corretto. Autopilot di GKE cluster nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se impostare esplicitamente il profilo seccomp Unconfined consenti CAP_NET_ADMIN.

Sono interessati i cluster Autopilot.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento 21/11/2023: devi eseguire l'upgrade a una delle versioni di patch elencate in questo bollettino solo se utilizzi quella versione secondaria nei tuoi nodi. Le versioni secondarie non elencate non sono interessate.

Esegui l'upgrade dei pool di nodi di Container-Optimized OS a una delle seguenti versioni o a una versione successiva:

  • 1.24.14-gke.1027001
  • 1.25.14-gke.1351000
  • 1.26.9-gke.1345000
  • 1.27.6-gke.1389000

Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni o a una versione successiva:

  • 1.24.17-gke.2186000
  • 1.25.15-gke.1016000
  • 1.26.9-gke.1548000
  • 1.27.6-gke.1551000
  • 1.28.2-gke.1256000
Alta

GKE su VMware

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

  • CVE-2023-4623

Che cosa devo fare?

In attesa

GKE su AWS

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

  • CVE-2023-4623

Che cosa devo fare?

In attesa

GKE su Azure

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

  • CVE-2023-4623

Che cosa devo fare?

In attesa

GKE su Bare Metal

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

  • CVE-2023-4623

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione.

Nessuno

GCP-2023-037

Pubblicato il 06/11/2023
Ultimo aggiornamento: 21/11/2023, 21/12/2023
Riferimento: CVE-2023-4015

Aggiornamento 21/12/2023: chiarire che i cluster GKE Autopilot non sono interessati dalla configurazione predefinita.

Aggiornamento 21/11/2023: chiarisci che solo le versioni secondarie elencate devono eseguire l'upgrade a una versione patch corrispondente per GKE.

GKE

Ultimo aggiornamento: 21/11/2023, 21/12/2023

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

  • CVE-2023-4015

Aggiornamento 21/12/2023: il bollettino originale indicava Autopilot i cluster sono interessati, ma questo errore non è corretto. Autopilot di GKE cluster nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se impostare esplicitamente il profilo seccomp Unconfined consenti CAP_NET_ADMIN.

Sono interessati i cluster Autopilot.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento 21/11/2023: devi eseguire l'upgrade a una delle versioni di patch elencate in questo bollettino solo se utilizzi quella versione secondaria nei tuoi nodi. Le versioni secondarie non elencate non sono interessate.

Esegui l'upgrade dei pool di nodi di Container-Optimized OS a una delle seguenti versioni o a una versione successiva:

  • 1.27.5-gke.1647000

Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni o a una versione successiva:

  • 1.24.14-gke.1027001
  • 1.25.13-gke.700
  • 1.26.8-gke.700
  • 1.27.5-gke.700
  • 1.28.1-gke.1050000
Alta

GKE su VMware

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

  • CVE-2023-4015

Che cosa devo fare?

In attesa

GKE su AWS

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

  • CVE-2023-4015

Che cosa devo fare?

In attesa

GKE su Azure

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

  • CVE-2023-4015

Che cosa devo fare?

In attesa

GKE su Bare Metal

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

  • CVE-2023-4015

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione.

Nessuno

GCP-2023-035

Pubblicato il 26/10/2023
Ultimo aggiornamento: 21/11/2023, 21/12/2023
Riferimento: CVE-2023-4206, CVE-2023-4207, CVE-2023-4208, CVE-2023-4128

Aggiornamento 21/12/2023: chiarire che i cluster GKE Autopilot non sono interessati dalla configurazione predefinita.

Aggiornamento 21/11/2023: chiarisci che solo le versioni secondarie elencate devono eseguire l'upgrade a una versione patch corrispondente per GKE.

GKE

Ultimo aggiornamento: 21/11/2023, 21/12/2023

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

  • CVE-2023-4206
  • CVE-2023-4207
  • CVE-2023-4208
  • CVE-2023-4128

Aggiornamento 21/12/2023: il bollettino originale indicava Autopilot i cluster sono interessati, ma questo errore non è corretto. Autopilot di GKE cluster nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se impostare esplicitamente il profilo seccomp Unconfined consenti CAP_NET_ADMIN.

Sono interessati i cluster Autopilot.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento 21/11/2023: devi eseguire l'upgrade a una delle versioni di patch elencate in questo bollettino solo se utilizzi quella versione secondaria nei tuoi nodi. Le versioni secondarie non elencate non sono interessate.

Esegui l'upgrade dei pool di nodi di Container-Optimized OS a una delle seguenti versioni o a una versione successiva:

  • 1.24.14-gke.1027001
  • 1.25.13-gke.1008000
  • 1.26.8-gke.1647000
  • 1.27.5-gke.200

Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni o a una versione successiva:

  • 1.24.14-gke.1027001
  • 1.25.13-gke.1706000
  • 1.26.8-gke.1647000
  • 1.27.5-gke.1648000
  • 1.28.1-gke.1050000
Alta

GKE su VMware

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

  • CVE-2023-4206
  • CVE-2023-4207
  • CVE-2023-4208
  • CVE-2023-4128

Che cosa devo fare?

Alta

GKE su AWS

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

  • CVE-2023-4206
  • CVE-2023-4207
  • CVE-2023-4208
  • CVE-2023-4128

Che cosa devo fare?

Alta

GKE su Azure

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

  • CVE-2023-4206
  • CVE-2023-4207
  • CVE-2023-4208
  • CVE-2023-4128

Che cosa devo fare?

Alta

GKE su Bare Metal

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

  • CVE-2023-4206
  • CVE-2023-4207
  • CVE-2023-4208
  • CVE-2023-4128

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione.

Alta

GCP-2023-033

Pubblicato il 24/10/2023
Ultimo aggiornamento: 21/11/2023, 21/12/2023
Riferimento: CVE-2023-3777

Aggiornamento 21/12/2023: chiarire che i cluster GKE Autopilot e i carichi di lavoro di GKE Sandbox.

Aggiornamento 21/11/2023: chiarisci che solo le versioni secondarie elencate devono eseguire l'upgrade a una versione patch corrispondente per GKE.

GKE

Ultimo aggiornamento: 21/11/2023, 21/12/2023

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

  • CVE-2023-3777

Aggiornamento 21/12/2023: il bollettino originale indicava Autopilot i cluster sono interessati, ma questo errore non è corretto. Autopilot di GKE cluster nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se impostare esplicitamente il profilo seccomp Unconfined consenti CAP_NET_ADMIN. Ciò non influisce sui carichi di lavoro di GKE Sandbox.

Sono interessati i cluster Autopilot.

I cluster che utilizzano GKE Sandbox sono interessati.

Che cosa devo fare?

Aggiornamento 21/11/2023: devi eseguire l'upgrade a una delle versioni di patch elencate in questo bollettino solo se utilizzi quella versione secondaria nei tuoi nodi. Le versioni secondarie non elencate non sono interessate.

Esegui l'upgrade dei pool di nodi di Container-Optimized OS a una delle seguenti versioni o a una versione successiva:

  • 1.24.16-gke.2200
  • 1.25.12-gke.2200
  • 1.26.7-gke.2200
  • 1.27.4-gke.2300

Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni o a una versione successiva:

  • 1.24.17-gke.700
  • 1.25.13-gke.700
  • 1.26.8-gke.700
  • 1.27.5-gke.700
  • 1.28.0-gke.100
Alta

GKE su VMware

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

  • CVE-2023-3777

Che cosa devo fare?

GKE su AWS

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

  • CVE-2023-3777

Che cosa devo fare?

GKE su Azure

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

  • CVE-2023-3777

Che cosa devo fare?

GKE su Bare Metal

Descrizione Gravità

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

  • CVE-2023-3777

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione.

GCP-2023-030

Pubblicato il 10/10/2023
Ultimo aggiornamento: 20/03/2024
Riferimento: CVE-2023-44487CVE-2023-39325

Aggiornamento 20/03/2024: sono state aggiunte le versioni delle patch per GKE su AWS e GKE su Azure
Aggiornamento del 14/02/2024: sono state aggiunte le versioni patch per GKE su VMware
Aggiornamento 09/11/2023: è stato aggiunto CVE-2023-39325. Versioni GKE aggiornate con le ultime patch per CVE-2023-44487 e CVE-2023-39325.

GKE

Ultimo aggiornamento: 09/11/2023

Descrizione Gravità

Di recente è stata scoperta una vulnerabilità DoS (Denial of Service) in diverse implementazioni del protocollo HTTP/2 (CVE-2023-44487), incluso il server HTTP golang utilizzato da Kubernetes. La vulnerabilità potrebbe causare un DoS del piano di controllo Google Kubernetes Engine (GKE). I cluster GKE con reti autorizzate configurate sono protetti limitando l'accesso alla rete, ma sono interessati tutti gli altri cluster.

Che cosa devo fare?

Aggiornamento 09/11/2023: abbiamo rilasciato nuove versioni di GKE che includono le patch di sicurezza Go e Kubernetes, ora puoi aggiornare i tuoi cluster. Nelle prossime settimane rilasceremo modifiche al piano di controllo GKE per mitigare ulteriormente il problema.

Le seguenti versioni di GKE sono state aggiornate con patch per CVE-2023-44487 e CVE-2023-39325:

  • 1.24.17-gke.2155000
  • 1.25.14-gke.1474000
  • 1.26.10-gke.1024000
  • 1.27.7-gke.1038000
  • 1.28.3-gke.1090000

Ti consigliamo di applicare la seguente mitigazione il prima possibile ed eseguire l'upgrade alla versione con patch più recente, quando disponibile.

Le patch di Golang verranno rilasciate il 10 ottobre. Una volta disponibile, creeremo e qualificheremo un nuovo server API Kubernetes con queste patch e creeremo una release GKE con patch. Una volta disponibile la release di GKE, aggiorneremo questo bollettino con indicazioni sulla versione per eseguire l'upgrade del piano di controllo. Inoltre, renderemo visibili le patch all'interno della postura di sicurezza di GKE quando saranno disponibili per il tuo cluster. Per ricevere una notifica Pub/Sub quando è disponibile una patch per il tuo canale, abilita le notifiche del cluster.

Una funzionalità recente dei canali di rilascio consente di applicare una patch senza dover annullare l'iscrizione a un canale. In questo modo puoi proteggere i nodi fino a quando la nuova versione non diventerà quella predefinita per il canale specifico di rilascio.

Attenuazione mediante la configurazione di reti autorizzate per l'accesso al piano di controllo:

Puoi aggiungere reti autorizzate per i cluster esistenti. Per saperne di più, consulta Rete autorizzata per i cluster esistenti.

Oltre alle reti autorizzate che aggiungi, esistono indirizzi IP preimpostati che possono accedere al piano di controllo GKE. Per saperne di più su questi indirizzi, vedi Accesso agli endpoint del piano di controllo. I seguenti elementi riepilogano l'isolamento del cluster:

  • I cluster privati con --master-authorized-networks e i cluster basati su PSC con --master-authorized-networks e --no-enable-google-cloud configurati sono i più isolati.
  • I cluster pubblici legacy con --master-authorized-networks e i cluster basati su PSC con --master-authorized-networks e --enable-google-cloud (impostazione predefinita) configurati sono accessibili anche da quanto segue:
      .
    • Indirizzi IP pubblici di tutte le VM di Compute Engine in Google Cloud
    • Indirizzi IP della piattaforma Google Cloud

Quali vulnerabilità vengono affrontate da questa patch?

La vulnerabilità, CVE-2023-44487, consente a un utente malintenzionato di eseguire un attacco denial-of-service sui nodi del piano di controllo GKE.

Alta

GKE su VMware

Ultimo aggiornamento: 14/02/2024

Descrizione Gravità

Di recente è stata scoperta una vulnerabilità DoS (Denial of Service) in diverse implementazioni del protocollo HTTP/2 (CVE-2023-44487), incluso il server HTTP golang utilizzato da Kubernetes. La vulnerabilità potrebbe causare un DoS del piano di controllo Kubernetes. GKE on VMware crea cluster Kubernetes che non sono direttamente accessibili su internet per impostazione predefinita e sono protetti da questa vulnerabilità.

Che cosa devo fare?

Aggiornamento 14/02/2024: le seguenti versioni di GKE su VMware vengono aggiornati con il codice per correggere questa vulnerabilità. Esegui l'upgrade dei cluster al seguente patch o versioni successive:

  • 1.28.100
  • 1.16.6
  • 1.15.8

Se hai configurato i cluster Kubernetes di GKE on VMware in modo da avere accesso diretto a internet o ad altre reti non attendibili, ti consigliamo di collaborare con l'amministratore del firewall per bloccare o limitare l'accesso.

Ti consigliamo di eseguire l'upgrade alla versione più recente della patch, se disponibile, il prima possibile.

Le patch di Golang verranno rilasciate il 10 ottobre. Una volta disponibile, creeremo e qualificheremo un nuovo server API Kubernetes con queste patch e creeremo una release GKE con patch. Una volta disponibile la release di GKE, aggiorneremo questo bollettino con indicazioni sulla versione a cui eseguire l'upgrade del piano di controllo.

Quali vulnerabilità vengono affrontate da questa patch?

La vulnerabilità, CVE-2023-44487, consente a un utente malintenzionato di eseguire un attacco denial-of-service sui nodi del piano di controllo Kubernetes.

Alta

GKE su AWS

Descrizione Gravità

Di recente è stata scoperta una vulnerabilità DoS (Denial of Service) in diverse implementazioni del protocollo HTTP/2 (CVE-2023-44487), incluso il server HTTP golang utilizzato da Kubernetes. La vulnerabilità potrebbe causare un DoS del piano di controllo Kubernetes. GKE su AWS crea cluster Kubernetes privati che non sono direttamente accessibili su internet per impostazione predefinita e sono protetti da questa vulnerabilità.

Che cosa devo fare?

Aggiornamento 20/03/2024: le seguenti versioni di GKE su AWS sono state aggiornate con le patch per CVE-2023-44487:

  • 1.26.10-gke.600
  • 1.27.7-gke.600
  • 1.28.3-gke.700

Se hai configurato GKE su AWS per avere accesso diretto a internet o ad altre reti non attendibili, ti consigliamo di collaborare con l'amministratore del firewall per bloccare o limitare questo accesso.

Ti consigliamo di eseguire l'upgrade alla versione più recente della patch, se disponibile, il prima possibile.

Le patch di Golang verranno rilasciate il 10 ottobre. Una volta disponibile, creeremo e qualificheremo un nuovo server API Kubernetes con queste patch e creeremo una release GKE con patch. Una volta disponibile la release di GKE, aggiorneremo questo bollettino con indicazioni sulla versione a cui eseguire l'upgrade del piano di controllo.

Quali vulnerabilità vengono affrontate da questa patch?

La vulnerabilità, CVE-2023-44487, consente a un utente malintenzionato di eseguire un attacco denial-of-service sui nodi del piano di controllo Kubernetes.

Alta

GKE su Azure

Descrizione Gravità

Di recente è stata scoperta una vulnerabilità DoS (Denial of Service) in diverse implementazioni del protocollo HTTP/2 (CVE-2023-44487), incluso il server HTTP golang utilizzato da Kubernetes. La vulnerabilità potrebbe causare un DoS del piano di controllo Kubernetes. GKE su Azure crea cluster Kubernetes privati che non sono direttamente accessibili su internet per impostazione predefinita e sono protetti da questa vulnerabilità.

Che cosa devo fare?

Aggiornamento 20/03/2024: le seguenti versioni di GKE su Azure sono state aggiornate con le patch per CVE-2023-44487:

  • 1.26.10-gke.600
  • 1.27.7-gke.600
  • 1.28.3-gke.700

Se hai configurato i cluster GKE su Azure in modo da avere accesso diretto a internet o ad altre reti non attendibili, ti consigliamo di collaborare con l'amministratore del firewall per bloccare o limitare questo accesso.

Ti consigliamo di eseguire l'upgrade alla versione più recente della patch, se disponibile, il prima possibile.

Le patch di Golang verranno rilasciate il 10 ottobre. Una volta disponibile, creeremo e qualificheremo un nuovo server API Kubernetes con queste patch e creeremo una release GKE con patch. Una volta disponibile la release di GKE, aggiorneremo questo bollettino con indicazioni sulla versione a cui eseguire l'upgrade del piano di controllo.

Quali vulnerabilità vengono affrontate da questa patch?

La vulnerabilità, CVE-2023-44487, consente a un utente malintenzionato di eseguire un attacco denial-of-service sui nodi del piano di controllo Kubernetes.

Alta

GKE su Bare Metal

Descrizione Gravità

Di recente è stata scoperta una vulnerabilità DoS (Denial of Service) in diverse implementazioni del protocollo HTTP/2 (CVE-2023-44487), incluso il server HTTP golang utilizzato da Kubernetes. La vulnerabilità potrebbe causare un DoS del piano di controllo Kubernetes. Anthos su Bare Metal crea cluster Kubernetes che non sono direttamente accessibili su internet per impostazione predefinita e sono protetti da questa vulnerabilità.

Che cosa devo fare?

Se hai configurato i cluster Kubernetes Anthos on Bare Metal in modo che abbiano accesso diretto a internet o ad altre reti non attendibili, ti consigliamo di collaborare con l'amministratore del firewall per bloccare o limitare l'accesso. Per saperne di più, consulta la panoramica sulla sicurezza di GKE on Bare Metal.

Ti consigliamo di eseguire l'upgrade alla versione più recente della patch, se disponibile, il prima possibile.

Le patch di Golang verranno rilasciate il 10 ottobre. Una volta disponibile, creeremo e qualificheremo un nuovo server API Kubernetes con queste patch e creeremo una release GKE con patch. Una volta disponibile la release di GKE, aggiorneremo questo bollettino con indicazioni sulla versione a cui eseguire l'upgrade del piano di controllo.

Quali vulnerabilità vengono affrontate da questa patch?

La vulnerabilità, CVE-2023-44487, consente a un utente malintenzionato di eseguire un attacco denial-of-service sui nodi del piano di controllo Kubernetes.

Alta

GCP-2023-026

Pubblicato il 06/09/2023
Riferimento: CVE-2023-3676, CVE-2023-3955, CVE-2023-3893

GKE

Descrizione Gravità

In Kubernetes sono state scoperte tre vulnerabilità (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) in cui un utente che può creare pod sui nodi Windows potrebbe essere in grado di eseguire l’escalation ai privilegi amministrativi su quei nodi. Queste vulnerabilità interessano le versioni Windows di Kubelet e il proxy CSI di Kubernetes.

I cluster GKE sono interessati solo se includono nodi Windows.

Che cosa devo fare?

Le seguenti versioni di GKE sono state aggiornate con il codice per risolvere questo problema vulnerabilità. Per motivi di sicurezza, anche se hai abilitato l'upgrade automatico dei nodi, di consigliarti eseguire l'upgrade manuale cluster e pool di nodi in una delle seguenti versioni di GKE:

  • 1.24.17-gke.200
  • 1.25.13-gke.200
  • 1.26.8-gke.200
  • 1.27.5-gke.200
  • 1.28.1-gke.200

Il piano di controllo GKE verrà aggiornato la settimana del 04/09/2023 per aggiornare csi-proxy alla versione 1.1.3. Se aggiorni i nodi prima dell'aggiornamento del piano di controllo, dovrai aggiornare di nuovo i nodi dopo l'aggiornamento per sfruttare le nuove proxy. Puoi aggiornare nuovamente i nodi, anche senza modificarne la versione, eseguendo il comando gcloud container clusters upgrade e passare --cluster-version con la stessa versione GKE del nodo è già in esecuzione. Per questa soluzione alternativa, devi utilizzare gcloud CLI. Tieni presente che questa operazione causerà l'aggiornamento indipendentemente periodi di manutenzione.

Una funzionalità recente di canali di rilascio consente di applicare una patch senza dover annullare l'iscrizione a un canale. Questo consente di proteggere i nodi finché la nuova versione non diventa quella predefinita canale di rilascio.

Quali vulnerabilità vengono affrontate da questa patch?

Con CVE-2023-3676, un aggressore potrebbe creare una specifica pod con stringhe del percorso host contengono comandi PowerShell. Il kubelet non dispone della sanificazione degli input e lo supera di percorso all'esecutore di comando come argomento per eseguire parti della come comandi separati. Questi comandi vengono eseguiti con lo stesso ruolo di quelli di Kubelet.

Con CVE-2023-3955, Kubelet concede agli utenti che possono creare pod la possibilità di eseguire codice dello stesso livello di autorizzazione dell'agente kubelet, con autorizzazioni con privilegi.

Con CVE-2023-3893, una simile mancanza di sanitizzazione degli input consente a un utente che può creare pod Nodi Windows che eseguono kubernetes-csi-proxy per riassegnarli ai privilegi amministrativi sui nodi.

Gli audit log di Kubernetes possono essere utilizzati per rilevare se questa vulnerabilità viene sfruttata. Pod creare eventi con i comandi PowerShell incorporati sono una forte indicazione dello sfruttamento. oggetti ConfigMap e Secret che contengono comandi PowerShell incorporati e sono montati in I pod sono inoltre un forte indicatore di sfruttamento.

Alta

GKE su VMware

Descrizione Gravità

In Kubernetes sono state scoperte tre vulnerabilità (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) in cui un utente che può creare pod sui nodi Windows potrebbe essere in grado di eseguire l’escalation ai privilegi amministrativi su quei nodi. Queste vulnerabilità interessano le versioni Windows di Kubelet e il proxy CSI di Kubernetes.

I cluster sono interessati solo se includono nodi Windows.

Che cosa devo fare?

Quali vulnerabilità vengono affrontate da questa patch?

Con CVE-2023-3676, un aggressore potrebbe creare una specifica pod con stringhe del percorso host contengono comandi PowerShell. Il kubelet non dispone della sanificazione degli input e lo supera di percorso all'esecutore di comando come argomento per eseguire parti della come comandi separati. Questi comandi vengono eseguiti con lo stesso ruolo di quelli di Kubelet.

Con CVE-2023-3955, Kubelet concede agli utenti che possono creare pod la possibilità di eseguire codice dello stesso livello di autorizzazione dell'agente kubelet, con autorizzazioni con privilegi.

Con CVE-2023-3893, una simile mancanza di sanitizzazione degli input consente a un utente che può creare pod Nodi Windows che eseguono kubernetes-csi-proxy per riassegnarli ai privilegi amministrativi sui nodi.

Gli audit log di Kubernetes possono essere utilizzati per rilevare se questa vulnerabilità viene sfruttata. Pod creare eventi con i comandi PowerShell incorporati sono una forte indicazione dello sfruttamento. oggetti ConfigMap e Secret che contengono comandi PowerShell incorporati e sono montati in I pod sono inoltre un forte indicatore di sfruttamento.

Alta

GKE su AWS

Descrizione Gravità

In Kubernetes sono state scoperte tre vulnerabilità (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) in cui un utente che può creare pod sui nodi Windows potrebbe essere in grado di eseguire l’escalation ai privilegi amministrativi su quei nodi. Queste vulnerabilità interessano le versioni Windows di Kubelet e il proxy CSI di Kubernetes.

Che cosa devo fare?

GKE su AWS non è interessato da queste CVE. Non è richiesta alcuna azione da parte tua.

Nessuno

GKE su Azure

Descrizione Gravità

In Kubernetes sono state scoperte tre vulnerabilità (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) in cui un utente che può creare pod sui nodi Windows potrebbe essere in grado di eseguire l’escalation ai privilegi amministrativi su quei nodi. Queste vulnerabilità interessano le versioni Windows di Kubelet e il proxy CSI di Kubernetes.

Che cosa devo fare?

GKE su Azure non è interessato da queste CVE. Non è richiesta alcuna azione da parte tua.

Nessuno

GKE su Bare Metal

Descrizione Gravità

In Kubernetes sono state scoperte tre vulnerabilità (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) in cui un utente che può creare pod sui nodi Windows potrebbe essere in grado di eseguire l’escalation ai privilegi amministrativi su quei nodi. Queste vulnerabilità interessano le versioni Windows di Kubelet e il proxy CSI di Kubernetes.

Che cosa devo fare?

GKE on Bare Metal non è interessato da queste CVE. Non è richiesta alcuna azione da parte tua.

Nessuno

GCP-2023-018

Pubblicato il 27/06/2023
Riferimento: CVE-2023-2235

GKE

Descrizione Gravità

È stata scoperta una nuova vulnerabilità (CVE-2023-2235) nel kernel Linux che può portare a un'escalation dei privilegi sul nodo. I cluster GKE Autopilot sono interessati perché i nodi GKE Autopilot utilizzano sempre le immagini dei nodi di Container-Optimized OS. Sono interessati i cluster GKE Standard con versione 1.25 o successive che eseguono immagini dei nodi Container-Optimized OS.

I cluster GKE non sono interessati se eseguono solo immagini dei nodi Ubuntu, eseguono versioni precedenti alla 1.25 o utilizzano GKE Sandbox.

Che cosa devo fare?

Le seguenti versioni di GKE sono state aggiornate con il codice per correggere questa vulnerabilità. Per motivi di sicurezza, anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire manualmente l'upgrade del cluster e dei pool di nodi a una delle seguenti versioni di GKE:

  • 1.25.9-gke.1400
  • 1.26.4-gke.1500
  • 1.27.1-gke.2400

Una funzionalità recente dei canali di rilascio consente di applicare una patch senza dover annullare l'iscrizione a un canale. In questo modo puoi proteggere i nodi fino a quando la nuova versione non diventerà quella predefinita per il canale specifico di rilascio.

Quali vulnerabilità vengono affrontate?

Con CVE-2023-2235, la funzione perf_group_Scollega non controllava gli elementi di pari livello dell'evento link_state prima di chiamare add_event_to_groups(), ma remove_on_exec ha permesso di chiamare list_del_event() prima di scollegarsi dal gruppo, consentendo di utilizzare un puntatore pendente che causa una vulnerabilità use-after-free.

Alta

GKE su VMware

Descrizione Gravità

È stata scoperta una nuova vulnerabilità (CVE-2023-2235) nel kernel Linux che può portare a un'escalation dei privilegi sul nodo. I cluster GKE on VMware sono interessati.

Che cosa devo fare?

Quali vulnerabilità vengono affrontate?

Con CVE-2023-2235, la funzione perf_group_Scollega non controllava gli elementi di pari livello dell'evento link_state prima di chiamare add_event_to_groups(), ma remove_on_exec ha permesso di chiamare list_del_event() prima di scollegarsi dal gruppo, consentendo di utilizzare un puntatore pendente che causa una vulnerabilità use-after-free.

Alta

GKE su AWS

Descrizione Gravità

È stata scoperta una nuova vulnerabilità (CVE-2023-2235) nel kernel Linux che può portare a un'escalation dei privilegi sul nodo. La risorsa è interessata da GKE su cluster AWS.

Che cosa devo fare?

Quali vulnerabilità vengono affrontate da questa patch?

Con CVE-2023-2235, la funzione perf_group_Scollega non controllava gli elementi di pari livello dell'evento link_state prima di chiamare add_event_to_groups(), ma remove_on_exec ha permesso di chiamare list_del_event() prima di scollegarsi dal gruppo, consentendo di utilizzare un puntatore pendente che causa una vulnerabilità use-after-free.

Alta

GKE su Azure

Descrizione Gravità

È stata scoperta una nuova vulnerabilità (CVE-2023-2235) nel kernel Linux che può portare a un'escalation dei privilegi sul nodo. I cluster GKE on Azure sono interessati.

Che cosa devo fare?

Quali vulnerabilità vengono affrontate da questa patch?

Con CVE-2023-2235, la funzione perf_group_Scollega non controllava gli elementi di pari livello dell'evento link_state prima di chiamare add_event_to_groups(), ma remove_on_exec ha permesso di chiamare list_del_event() prima di scollegarsi dal gruppo, consentendo di utilizzare un puntatore pendente che causa una vulnerabilità use-after-free.

Alta

GKE su Bare Metal

Descrizione Gravità

È stata scoperta una nuova vulnerabilità (CVE-2023-2235) nel kernel Linux che può portare a un'escalation dei privilegi sul nodo.

Google Distributed Cloud Virtual for Bare Metal non è interessato da questo CVE.

Che cosa devo fare?

Non è richiesta alcuna azione da parte tua.

Nessuno

GCP-2023-017

Pubblicato il 26/06/2023
Ultimo aggiornamento: 11/07/2023
Riferimento: CVE-2023-31436

Aggiornamento dell'11/07/2023: le nuove versioni GKE sono state aggiornate per includere le ultime versioni di Ubuntu con le patch CVE-2023-31436.

GKE

Ultimo aggiornamento: 11/07/2023

Descrizione Gravità

È stata scoperta una nuova vulnerabilità (CVE-2023-31436) nel kernel Linux che può portare a un'escalation dei privilegi sul nodo. Sono interessati i cluster GKE, inclusi i cluster Autopilot.

I cluster GKE che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento 11/07/2023: sono disponibili le versioni patch di Ubuntu.

Le seguenti versioni di GKE sono state aggiornate in modo da includere l'ultima versione di Ubuntu versioni con patch CVE-2023-31436:

  • 1.23.17-gke.8200
  • 1.24.14-gke.2600
  • 1.25.10-gke.2700
  • 1.26.5-gke.2700
  • 1.27.2-gke.2700

Le seguenti versioni di GKE sono state aggiornate con il codice per correggere questa vulnerabilità. Per motivi di sicurezza, anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire manualmente l'upgrade del cluster e dei pool di nodi a una delle seguenti versioni di GKE:

  • 1.22.17-gke.11400
  • 1.23.17-gke.6800
  • 1.24.14-gke.1200
  • 1.25.10-gke.1200
  • 1.26.5-gke.1200
  • 1.27.2-gke.1200

Una funzionalità recente dei canali di rilascio consente di applicare una patch senza dover annullare l'iscrizione a un canale. In questo modo puoi proteggere i nodi fino a quando la nuova versione non diventerà quella predefinita per il canale specifico di rilascio.

Quali vulnerabilità vengono affrontate?

Con CVE-2023-31436, è stato rilevato un difetto di accesso alla memoria fuori dai limiti nel sottosistema di controllo del traffico (QoS) del kernel Linux nel modo in cui un utente attiva la funzione qfq_change_class con un valore MTU errato del dispositivo di rete utilizzato come lmax. Questo difetto consente a un utente locale di arrestarsi in modo anomalo o potenzialmente aumentare i propri privilegi sul sistema.

Alta

GKE su VMware

Descrizione Gravità

È stata scoperta una nuova vulnerabilità (CVE-2023-31436) nel kernel Linux che può portare a un'escalation dei privilegi sul nodo. I cluster GKE on VMware sono interessati.

Che cosa devo fare?

Quali vulnerabilità vengono affrontate?

Con CVE-2023-31436, è stato rilevato un difetto di accesso alla memoria fuori dai limiti nel sottosistema di controllo del traffico (QoS) del kernel Linux nel modo in cui un utente attiva la funzione qfq_change_class con un valore MTU errato del dispositivo di rete utilizzato come lmax. Questo difetto consente a un utente locale di arrestarsi in modo anomalo o potenzialmente aumentare i propri privilegi sul sistema.

Alta

GKE su AWS

Descrizione Gravità

È stata scoperta una nuova vulnerabilità (CVE-2023-31436) nel kernel Linux che può portare a un'escalation dei privilegi sul nodo. La risorsa è interessata da GKE su cluster AWS.

Che cosa devo fare?

Quali vulnerabilità vengono affrontate da questa patch?

Con CVE-2023-31436, è stato rilevato un difetto di accesso alla memoria fuori dai limiti nel sottosistema di controllo del traffico (QoS) del kernel Linux nel modo in cui un utente attiva la funzione qfq_change_class con un valore MTU errato del dispositivo di rete utilizzato come lmax. Questo difetto consente a un utente locale di arrestarsi in modo anomalo o potenzialmente aumentare i propri privilegi sul sistema.

Alta

GKE su Azure

Descrizione Gravità

È stata scoperta una nuova vulnerabilità (CVE-2023-31436) nel kernel Linux che può portare a un'escalation dei privilegi sul nodo. I cluster GKE on Azure sono interessati.

Che cosa devo fare?

Quali vulnerabilità vengono affrontate da questa patch?

Con CVE-2023-31436, è stato rilevato un difetto di accesso alla memoria fuori dai limiti nel sottosistema di controllo del traffico (QoS) del kernel Linux nel modo in cui un utente attiva la funzione qfq_change_class con un valore MTU errato del dispositivo di rete utilizzato come lmax. Questo difetto consente a un utente locale di arrestarsi in modo anomalo o potenzialmente aumentare i propri privilegi sul sistema.

Alta

GKE su Bare Metal

Descrizione Gravità

È stata scoperta una nuova vulnerabilità (CVE-2023-31436) nel kernel Linux che può portare a un'escalation dei privilegi sul nodo.

Google Distributed Cloud Virtual for Bare Metal non è interessato da questo CVE.

Che cosa devo fare?

Non è richiesta alcuna azione da parte tua.

Nessuno

GCP-2023-016

Pubblicato il 26/06/2023
Riferimento: CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487

GKE

Descrizione Gravità

Sono state scoperte diverse vulnerabilità in Envoy, che viene utilizzato in Cloud Service Mesh (ASM). Questi valori sono stati segnalati separatamente come GCP-2023-002.

GKE non viene fornito con ASM e non è interessato da queste vulnerabilità.

Che cosa devo fare?

Se hai installato separatamente ASM per i tuoi cluster GKE, consulta GCP-2023-002.

Nessuno

GKE su VMware

Descrizione Gravità

Una serie di vulnerabilità (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, le CVE-2023-27492, CVE-2023-27491, CVE-2023-27487), sono state scoperte in Envoy, viene utilizzato in Cloud Service Mesh in GKE on VMware, che consente a un utente malintenzionato causare un denial of service o un arresto anomalo di Envoy. Questi valori sono stati segnalati separatamente come GCP-2023-002, ma vogliamo assicurarci che I clienti di GKE Enterprise aggiornano le proprie versioni che includono ASM.

Che cosa devo fare?

Le seguenti versioni di GKE on VMware sono state aggiornate con il codice per risolvere il problema vulnerabilità. Ti consigliamo di eseguire l'upgrade dei cluster di amministrazione e utente a uno dei le seguenti versioni di GKE on VMware:

  • 1.13.8
  • 1.14.5
  • 1.15.1

Quali vulnerabilità vengono affrontate da questa patch?

CVE-2023-27496: se Envoy è in esecuzione con il filtro OAuth abilitato e esposto, viene restituito l'utente potrebbe creare una richiesta che potrebbe causare un denial of service causando l'arresto anomalo di Envoy.

CVE-2023-27488: gli aggressori possono utilizzare questa vulnerabilità per bypassare i controlli di autenticazione quando ext_authz.

CVE-2023-27493: la configurazione di Envoy deve includere anche un'opzione per aggiungere intestazioni delle richieste generati utilizzando gli input della richiesta, ad esempio la SAN del certificato peer.

CVE-2023-27492: gli aggressori possono inviare grandi organismi di richiesta per route con filtro Lua e attivare arresti anomali.

CVE-2023-27491: gli aggressori possono inviare richieste HTTP/2 o HTTP/3 create appositamente attivare gli errori di analisi sul servizio upstream HTTP/1.

CVE-2023-27487: l'intestazione x-envoy-original-path deve essere un indirizzo interno ma Envoy non la rimuove dalla richiesta all'inizio quando viene inviata da un client non attendibile.

Alta

GKE su AWS

Descrizione Gravità

Una serie di vulnerabilità (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, le CVE-2023-27492, CVE-2023-27491, CVE-2023-27487), sono state scoperte in Envoy, viene utilizzato in Cloud Service Mesh. Questi valori sono stati segnalati separatamente come GCP-2023-002.

GKE su AWS non viene fornito con ASM e non è interessato.

Che cosa devo fare?

Non è richiesta alcuna azione da parte tua.

Nessuno

GKE su Azure

Descrizione Gravità

Una serie di vulnerabilità (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, le CVE-2023-27492, CVE-2023-27491, CVE-2023-27487), sono state scoperte in Envoy, viene utilizzato in Cloud Service Mesh. Questi valori sono stati segnalati separatamente come GCP-2023-002.

GKE su Azure non viene fornito con ASM e non è interessato.

Che cosa devo fare?

Non è richiesta alcuna azione da parte tua.

Nessuno

GKE su Bare Metal

Descrizione Gravità

Una serie di vulnerabilità (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, le CVE-2023-27492, CVE-2023-27491, CVE-2023-27487), sono state scoperte in Envoy, viene utilizzato in Cloud Service Mesh in GKE on Bare Metal, che consente un attacco un utente malintenzionato può causare un attacco denial of service o un arresto anomalo di Envoy. Questi valori sono stati segnalati separatamente come GCP-2023-002, ma vogliamo assicurarci che I clienti di GKE Enterprise aggiornano le proprie versioni che includono ASM.

Che cosa devo fare?

Le seguenti versioni di GKE on Bare Metal sono state aggiornate con codice per correggere questa vulnerabilità. Ti consigliamo di eseguire l'upgrade dei cluster di amministrazione e utente a una delle seguenti versioni GKE on Bare Metal:

  • 1.13.9
  • 1.14.6
  • 1.15.2

Quali vulnerabilità vengono affrontate da questa patch?

CVE-2023-27496: se Envoy è in esecuzione con il filtro OAuth abilitato e esposto, viene restituito l'utente potrebbe creare una richiesta che potrebbe causare un denial of service causando l'arresto anomalo di Envoy.

CVE-2023-27488: gli aggressori possono utilizzare questa vulnerabilità per bypassare i controlli di autenticazione quando ext_authz.

CVE-2023-27493: la configurazione di Envoy deve includere anche un'opzione per aggiungere intestazioni delle richieste generati utilizzando gli input della richiesta, ad esempio la SAN del certificato peer.

CVE-2023-27492: gli aggressori possono inviare grandi organismi di richiesta per route con filtro Lua e attivare arresti anomali.

CVE-2023-27491: gli aggressori possono inviare richieste HTTP/2 o HTTP/3 create appositamente attivare gli errori di analisi sul servizio upstream HTTP/1.

CVE-2023-27487: l'intestazione x-envoy-original-path deve essere un indirizzo interno ma Envoy non la rimuove dalla richiesta all'inizio quando viene inviata da un client non attendibile.

Alta

GCP-2023-015

Pubblicato: 20/06/2023
Riferimento: CVE-2023-0468

GKE

Descrizione Gravità

Una nuova vulnerabilità (CVE-2023-0468) è stata scoperta nella versione 5.15 del kernel Linux che può portare a un denial of service sul nodo. Sono interessati i cluster GKE, inclusi i cluster Autopilot.

I cluster GKE che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Le seguenti versioni di GKE sono state aggiornate con il codice per correggere questa vulnerabilità. Per motivi di sicurezza, anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire manualmente l'upgrade del cluster e dei pool di nodi a una delle seguenti versioni di GKE:

  • 1.25.7-gke.1200
  • 1.26.2-gke.1200

Una funzionalità recente dei canali di rilascio consente di applicare una patch senza dover annullare l'iscrizione a un canale. In questo modo puoi proteggere i nodi fino a quando la nuova versione non diventerà quella predefinita per il canale specifico di rilascio.

Quali vulnerabilità vengono affrontate?

In CVE-2023-0468, è stato trovato un difetto use-after-free in io_uring/poll.c in io_poll_check_events nel sottocomponente io_uring nel kernel Linux. Questo difetto potrebbe causare la dereferenza del puntatore NULL e potenzialmente un arresto anomalo del sistema che porta a un denial of service.

Medio

GKE su VMware

Descrizione Gravità

Una nuova vulnerabilità (CVE-2023-0468) è stata scoperta nella versione 5.15 del kernel Linux che può portare a un denial of service sul nodo.

GKE on VMware utilizza la versione 5.4 del kernel Linux e non è interessato da questo CVE.

Che cosa devo fare?

  • Non è necessaria alcuna azione
Nessuno

GKE su AWS

Descrizione Gravità

Una nuova vulnerabilità (CVE-2023-0468) è stata scoperta nella versione 5.15 del kernel Linux che può portare a un denial of service sul nodo.

GKE su AWS non è interessato da questo CVE.

Che cosa devo fare?

  • Non è necessaria alcuna azione
Nessuno

GKE su Azure

Descrizione Gravità

Una nuova vulnerabilità (CVE-2023-0468) è stata scoperta nella versione 5.15 del kernel Linux che può portare a un denial of service sul nodo.

GKE su Azure non è interessato da questo CVE.

Che cosa devo fare?

  • Non è necessaria alcuna azione
Nessuno

GKE su Bare Metal

Descrizione Gravità

Una nuova vulnerabilità (CVE-2023-0468) è stata scoperta nella versione 5.15 del kernel Linux che può portare a un denial of service sul nodo.

Google Distributed Cloud Virtual for Bare Metal non è interessato da questo CVE.

Che cosa devo fare?

  • Non è necessaria alcuna azione
Nessuno

GCP-2023-014

Pubblicato il 15/06/2023
Ultimo aggiornamento: 11/08/2023
Riferimento: CVE-2023-2727, CVE-2023-2728

Aggiornamento dell'11/08/2023: aggiunte versioni patch per GKE on VMware, GKE on AWS, GKE on Azure e GKE on Bare Metal

GKE

Descrizione Gravità

In Kubernetes sono stati scoperti due nuovi problemi di sicurezza in cui gli utenti potrebbero essere in grado di avviare container che aggirano le limitazioni dei criteri quando utilizzano container temporanei e ImagePolicyWebhook (CVE-2023-2727) o il plug-in di ammissione ServiceAccount (CVE-2023-2728).

GKE non utilizza ImagePolicyWebhook e non è interessato da CVE-2023-2727.

Tutte le versioni di GKE sono potenzialmente vulnerabili a CVE-2023-2728.

Che cosa devo fare?

Le seguenti versioni di GKE sono state aggiornate con il codice per correggere questa vulnerabilità. Per motivi di sicurezza, anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire manualmente l'upgrade del cluster e dei pool di nodi a una delle seguenti versioni di GKE:

  • 1.27.2-gke.1200
  • 1.26.5-gke.1200
  • 1.25.10-gke.1200
  • 1.24.14-gke.1200
  • 1.23.17-gke.6800

Una funzionalità recente dei canali di rilascio consente di applicare una patch senza dover annullare l'iscrizione a un canale. In questo modo puoi proteggere i nodi fino a quando la nuova versione non diventa quella predefinita per il tuo canale di rilascio specifico.

Quali vulnerabilità vengono affrontate?

Con CVE-2023-2727, gli utenti potrebbero essere in grado di avviare container utilizzando immagini limitate da ImagePolicyWebhook quando utilizzano contenitori temporanei. I cluster Kubernetes sono interessati solo se il plug-in di ammissione ImagePolicyWebhook viene utilizzato insieme ai container temporanei. Questo CVE può essere mitigato anche utilizzando webhook di convalida, come Gatekeeper e Kyverno, per applicare le stesse restrizioni.

In CVE-2023-2728, gli utenti potrebbero essere in grado di avviare container che ignorano il criterio dei secret montabili applicato dal plug-in di ammissione ServiceAccount quando utilizzano i container temporanei. Il criterio garantisce che i pod in esecuzione con un account di servizio possano fare riferimento solo ai secret specificati nel campo dei secret dell'account di servizio. I cluster sono interessati da questa vulnerabilità se:

  • Viene utilizzato il plug-in di ammissione ServiceAccount.
  • L'annotazione kubernetes.io/enforce-mountable-secrets viene utilizzata da un account di servizio. Questa annotazione non viene aggiunta per impostazione predefinita.
  • I pod utilizzano container temporanei.
Medio

GKE su VMware

Ultimo aggiornamento: 11/08/2023

Descrizione Gravità

Sono stati scoperti due nuovi problemi di sicurezza in Kubernetes in cui gli utenti potrebbero essere in grado di avviare container che aggirano le limitazioni dei criteri quando utilizzano container temporanei e sia ImagePolicyWebhook (CVE-2023-2727) o il plug-in di ammissione ServiceAccount (CVE-2023-2728) Anthos su VMware non utilizza ImagePolicyWebhook e non è interessato da CVE-2023-2727.

Tutte le versioni di Anthos su VMware sono potenzialmente vulnerabili a CVE-2023-2728.

Che cosa devo fare?

Aggiornamento dell'11/08/2023: le seguenti versioni di GKE su VMware sono state aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade dei cluster di amministrazione e utente a una delle seguenti versioni di GKE on VMware:

  • 1.13.10
  • 1.14.6
  • 1.15.3

Quali vulnerabilità vengono affrontate?

Con CVE-2023-2727, gli utenti potrebbero essere in grado di avviare container utilizzando immagini limitate da ImagePolicyWebhook quando utilizzano contenitori temporanei. I cluster Kubernetes sono interessati solo se il plug-in di ammissione ImagePolicyWebhook viene utilizzato insieme ai container temporanei. Questo CVE può essere mitigato anche utilizzando webhook di convalida, come Gatekeeper e Kyverno, per applicare le stesse restrizioni.

In CVE-2023-2728, gli utenti potrebbero essere in grado di avviare container che ignorano il criterio dei secret montabili applicato dal plug-in di ammissione ServiceAccount quando utilizzano i container temporanei. Il criterio garantisce che i pod in esecuzione con un account di servizio possano fare riferimento solo ai secret specificati nel campo dei secret dell'account di servizio. I cluster sono interessati da questa vulnerabilità se:

  • Viene utilizzato il plug-in di ammissione ServiceAccount.
  • L'annotazione kubernetes.io/enforce-mountable-secrets viene utilizzata da un account di servizio. Questa annotazione non viene aggiunta per impostazione predefinita.
  • I pod utilizzano container temporanei.
Medio

GKE su AWS

Ultimo aggiornamento: 11/08/2023

Descrizione Gravità

Sono stati scoperti due nuovi problemi di sicurezza in Kubernetes in cui gli utenti potrebbero essere in grado di avviare container che aggirano le limitazioni dei criteri quando utilizzano container temporanei e tramite ImagePolicyWebhook (CVE-2023-2727) o il plug-in di ammissione ServiceAccount (CVE-2023-2728)
Anthos su AWS non utilizza ImagePolicyWebhook e non è interessato da CVE-2023-2727.
Tutte le versioni di Anthos su AWS sono potenzialmente vulnerabili a CVE-2023-2728.

Che cosa devo fare?

Aggiornamento dell'11/08/2023: la seguente versione di GKE su AWS è stata aggiornata con il codice per correggere questa vulnerabilità. Esegui l'upgrade dei nodi alla seguente versione GKE su AWS:

  • 1.15.2

Quali vulnerabilità vengono affrontate?

Con CVE-2023-2727, gli utenti potrebbero essere in grado di avviare container utilizzando immagini limitate da ImagePolicyWebhook quando utilizzano contenitori temporanei. I cluster Kubernetes sono interessati solo se il plug-in di ammissione ImagePolicyWebhook viene utilizzato insieme ai container temporanei. Questo CVE può essere mitigato anche utilizzando webhook di convalida, come Gatekeeper e Kyverno, per applicare le stesse restrizioni.

In CVE-2023-2728, gli utenti potrebbero essere in grado di avviare container che ignorano il criterio dei secret montabili applicato dal plug-in di ammissione ServiceAccount quando utilizzano i container temporanei. Il criterio garantisce che i pod in esecuzione con un account di servizio possano fare riferimento solo ai secret specificati nel campo dei secret dell'account di servizio. I cluster sono interessati da questa vulnerabilità se:

  • Viene utilizzato il plug-in di ammissione ServiceAccount.
  • L'annotazione kubernetes.io/enforce-mountable-secrets viene utilizzata da un account di servizio. Questa annotazione non viene aggiunta per impostazione predefinita.
  • I pod utilizzano container temporanei.
Medio

GKE su Azure

Ultimo aggiornamento: 11/08/2023

Descrizione Gravità

Sono stati scoperti due nuovi problemi di sicurezza in Kubernetes in cui gli utenti potrebbero essere in grado di avviare container che aggirano le limitazioni dei criteri quando utilizzano container temporanei e tramite ImagePolicyWebhook (CVE-2023-2727) o il plug-in di ammissione ServiceAccount (CVE-2023-2728)
Anthos on Azure non utilizza ImagePolicyWebhook e non è interessato da CVE-2023-2727.
Tutte le versioni di Anthos on Azure sono potenzialmente vulnerabili a CVE-2023-2728.

Che cosa devo fare?

Aggiornamento dell'11/08/2023: la seguente versione di GKE su Azure è stata aggiornata con il codice per correggere questa vulnerabilità. Esegui l'upgrade dei nodi alla seguente versione di GKE su Azure:

  • 1.15.2

Quali vulnerabilità vengono affrontate?

Con CVE-2023-2727, gli utenti potrebbero essere in grado di avviare container utilizzando immagini limitate da ImagePolicyWebhook quando utilizzano contenitori temporanei. I cluster Kubernetes sono interessati solo se il plug-in di ammissione ImagePolicyWebhook viene utilizzato insieme ai container temporanei. Questo CVE può essere mitigato anche utilizzando webhook di convalida, come Gatekeeper e Kyverno, per applicare le stesse restrizioni.

In CVE-2023-2728, gli utenti potrebbero essere in grado di avviare container che ignorano il criterio dei secret montabili applicato dal plug-in di ammissione ServiceAccount quando utilizzano i container temporanei. Il criterio garantisce che i pod in esecuzione con un account di servizio possano fare riferimento solo ai secret specificati nel campo dei secret dell'account di servizio. I cluster sono interessati da questa vulnerabilità se:

  • Viene utilizzato il plug-in di ammissione ServiceAccount.
  • L'annotazione kubernetes.io/enforce-mountable-secrets viene utilizzata da un account di servizio. Questa annotazione non viene aggiunta per impostazione predefinita.
  • I pod utilizzano container temporanei.
Medio

GKE su Bare Metal

Ultimo aggiornamento: 11/08/2023

Descrizione Gravità

Sono stati scoperti due nuovi problemi di sicurezza in Kubernetes in cui gli utenti potrebbero essere in grado di avviare container che aggirano le limitazioni dei criteri quando utilizzano container temporanei e tramite ImagePolicyWebhook (CVE-2023-2727) o il plug-in di ammissione ServiceAccount (CVE-2023-2728)
Anthos su Bare Metal non utilizza ImagePolicyWebhook e non è interessato da CVE-2023-2727.
Tutte le versioni di Anthos su Bare Metal sono potenzialmente vulnerabili a CVE-2023-2728.

Che cosa devo fare?

Aggiornamento dell'11/08/2023: le seguenti versioni di Google Distributed Cloud Virtual for Bare Metal sono state aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade dei nodi a una delle seguenti versioni Google Distributed Cloud Virtual for Bare Metal:

  • 1.13.9
  • 1.14.7
  • 1.15.3

Quali vulnerabilità vengono affrontate?

Con CVE-2023-2727, gli utenti potrebbero essere in grado di avviare container utilizzando immagini limitate da ImagePolicyWebhook quando utilizzano contenitori temporanei. I cluster Kubernetes sono interessati solo se il plug-in di ammissione ImagePolicyWebhook viene utilizzato insieme ai container temporanei. Questo CVE può essere mitigato anche utilizzando webhook di convalida, come Gatekeeper e Kyverno, per applicare le stesse restrizioni.

In CVE-2023-2728, gli utenti potrebbero essere in grado di avviare container che ignorano il criterio dei secret montabili applicato dal plug-in di ammissione ServiceAccount quando utilizzano i container temporanei. Il criterio garantisce che i pod in esecuzione con un account di servizio possano fare riferimento solo ai secret specificati nel campo dei secret dell'account di servizio. I cluster sono interessati da questa vulnerabilità se:

  • Viene utilizzato il plug-in di ammissione ServiceAccount.
  • L'annotazione kubernetes.io/enforce-mountable-secrets viene utilizzata da un account di servizio. Questa annotazione non viene aggiunta per impostazione predefinita.
  • I pod utilizzano container temporanei.
Medio

GCP-2023-009

Pubblicato: 06/06/2023
Riferimento: CVE-2023-2878

GKE

Descrizione Gravità

È stata scoperta una nuova vulnerabilità (CVE-2023-2878) in secrets-store-csi-driver dove un utente con accesso ai log del driver potrebbe osservare i token account di servizio. Questi token potrebbero quindi essere potenzialmente scambiati con provider cloud esterni per accedere ai secret archiviati nelle soluzioni di Cloud Vault.

GKE non è interessato da questa CVE.

Che cosa devo fare?

Sebbene GKE non sia interessato, se hai installato il componente secrets-store-csi-driver, devi aggiornare l'installazione con una versione con patch.

Quali vulnerabilità vengono affrontate da questa patch?

La vulnerabilità, CVE-2023-2878, è stata scoperta in secrets-store-csi-driver, dove un utente con accesso ai log del driver poteva osservare i token degli account di servizio. Questi token potrebbero quindi essere potenzialmente scambiati con provider cloud esterni per accedere ai secret archiviati nelle soluzioni di Cloud Vault. I token vengono registrati solo quando TokenRequests è configurato nell'oggetto CSIDriver e il driver è impostato per essere eseguito a livello di log 2 o superiore tramite il flag -v.

Nessuno

GKE su VMware

Descrizione Gravità

È stata scoperta una nuova vulnerabilità (CVE-2023-2878) in secrets-store-csi-driver dove un utente con accesso ai log del driver potrebbe osservare i token account di servizio. Questi token potrebbero quindi essere potenzialmente scambiati con provider cloud esterni per accedere ai secret archiviati nelle soluzioni di Cloud Vault.

GKE on VMware non è interessato da questo CVE.

Che cosa devo fare?

Sebbene GKE on VMware non sia interessato, se hai installato il componente secrets-store-csi-driver, devi aggiornare l'installazione con una versione con patch.

Quali vulnerabilità vengono affrontate da questa patch?

La vulnerabilità, CVE-2023-2878, è stata scoperta in secrets-store-csi-driver, dove un utente con accesso ai log del driver poteva osservare i token degli account di servizio. Questi token potrebbero quindi essere potenzialmente scambiati con provider cloud esterni per accedere ai secret archiviati nelle soluzioni di Cloud Vault. I token vengono registrati solo quando TokenRequests è configurato nell'oggetto CSIDriver e il driver è impostato per essere eseguito a livello di log 2 o superiore tramite il flag -v.

Nessuno

GKE su AWS

Descrizione Gravità

È stata scoperta una nuova vulnerabilità (CVE-2023-2878) in secrets-store-csi-driver dove un utente con accesso ai log del driver potrebbe osservare i token account di servizio. Questi token potrebbero quindi essere potenzialmente scambiati con provider cloud esterni per accedere ai secret archiviati nelle soluzioni di Cloud Vault.

GKE su AWS non è interessato da questo CVE.

Che cosa devo fare?

Anche se GKE su AWS non è interessato, se hai installato il componente secrets-store-csi-driver, devi aggiornare l'installazione con una versione con patch.

Quali vulnerabilità vengono affrontate da questa patch?

La vulnerabilità, CVE-2023-2878, è stata scoperta in secrets-store-csi-driver, dove un utente con accesso ai log del driver poteva osservare i token degli account di servizio. Questi token potrebbero quindi essere potenzialmente scambiati con provider cloud esterni per accedere ai secret archiviati nelle soluzioni di Cloud Vault. I token vengono registrati solo quando TokenRequests è configurato nell'oggetto CSIDriver e il driver è impostato per essere eseguito a livello di log 2 o superiore tramite il flag -v.

Nessuno

GKE su Azure

Descrizione Gravità

È stata scoperta una nuova vulnerabilità (CVE-2023-2878) in secrets-store-csi-driver dove un utente con accesso ai log del driver potrebbe osservare i token account di servizio. Questi token potrebbero quindi essere potenzialmente scambiati con provider cloud esterni per accedere ai secret archiviati nelle soluzioni di Cloud Vault.

GKE su Azure non è interessato da questo CVE

Che cosa devo fare?

Anche se GKE su Azure non è interessato, se hai installato il componente secrets-store-csi-driver, devi aggiornare la tua installazione con una versione con patch.

Quali vulnerabilità vengono affrontate da questa patch?

La vulnerabilità, CVE-2023-2878, è stata scoperta in secrets-store-csi-driver, dove un utente con accesso ai log del driver poteva osservare i token degli account di servizio. Questi token potrebbero quindi essere potenzialmente scambiati con provider cloud esterni per accedere ai secret archiviati nelle soluzioni di Cloud Vault. I token vengono registrati solo quando TokenRequests è configurato nell'oggetto CSIDriver e il driver è impostato per essere eseguito a livello di log 2 o superiore tramite il flag -v.

Nessuno

GKE su Bare Metal

Descrizione Gravità

È stata scoperta una nuova vulnerabilità (CVE-2023-2878) in secrets-store-csi-driver dove un utente con accesso ai log del driver potrebbe osservare i token account di servizio. Questi token potrebbero quindi essere potenzialmente scambiati con provider cloud esterni per accedere ai secret archiviati nelle soluzioni di Cloud Vault.

GKE on Bare Metal non è interessato da questo CVE.

Che cosa devo fare?

Anche se GKE on Bare Metal non è interessato, se hai installato il componente secrets-store-csi-driver, devi aggiornare l'installazione con una versione con patch

Quali vulnerabilità vengono affrontate da questa patch?

La vulnerabilità, CVE-2023-2878, è stata scoperta in secrets-store-csi-driver, dove un utente con accesso ai log del driver poteva osservare i token degli account di servizio. Questi token potrebbero quindi essere potenzialmente scambiati con provider cloud esterni per accedere ai secret archiviati nelle soluzioni di Cloud Vault. I token vengono registrati solo quando TokenRequests è configurato nell'oggetto CSIDriver e il driver è impostato per essere eseguito a livello di log 2 o superiore tramite il flag -v.

Nessuno

GCP-2023-008

Pubblicato il 05/06/2023
Riferimento: CVE-2023-1872

GKE

Descrizione Gravità

È stata scoperta una nuova vulnerabilità (CVE-2023-1872) nel kernel Linux che può portare a escalation dei privilegi per root sul nodo. Sono interessati i cluster GKE Standard e Autopilot.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Le seguenti versioni di GKE sono state aggiornate con il codice per correggere questa vulnerabilità. Per motivi di sicurezza, anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire manualmente l'upgrade del cluster e dei pool di nodi a una delle seguenti versioni di GKE:

  • 1.22.17-gke.11400
  • 1.23.17-gke.5600
  • 1.24.13-gke.2500
  • 1.25.9-gke.2300
  • 1.26.5-gke.1200

Una funzionalità recente dei canali di rilascio consente di applicare una patch senza dover annullare l'iscrizione a un canale. In questo modo puoi proteggere i nodi fino a quando la nuova versione non diventerà quella predefinita per il canale specifico di rilascio.

Quali vulnerabilità vengono affrontate da questa patch?

CVE-2023-1872 è una vulnerabilità "use-after-free" nel sottosistema io_uring del kernel Linux che può essere sfruttata per ottenere l'escalation dei privilegi locali. Nella funzione io_file_get_fixed manca la presenza di ctx->uring_lock, il che può causare una vulnerabilità " use-after-free" a causa di una race condition in cui i file fissi vengono annullati.

Alta

GKE su VMware

Descrizione Gravità

È stata scoperta una nuova vulnerabilità (CVE-2023-1872) nel kernel Linux che può portare a escalation dei privilegi per root sul nodo.

Che cosa devo fare?

Quali vulnerabilità vengono affrontate da questa patch?

CVE-2023-1872 è una vulnerabilità "use-after-free" nel sottosistema io_uring del kernel Linux che può essere sfruttata per ottenere l'escalation dei privilegi locali. Nella funzione io_file_get_fixed manca la presenza di ctx->uring_lock, il che può causare una vulnerabilità " use-after-free" a causa di una race condition in cui i file fissi vengono annullati.

Alta

GKE su AWS

Descrizione Gravità

È stata scoperta una nuova vulnerabilità (CVE-2023-1872) nel kernel Linux che può portare a escalation dei privilegi per root sul nodo.

Che cosa devo fare?

Le seguenti versioni di GKE su AWS sono state aggiornate con codice per correggere queste vulnerabilità:

  • 1.15.1
  • Quali vulnerabilità vengono affrontate da questa patch?

    CVE-2023-1872 è una vulnerabilità "use-after-free" nel sottosistema io_uring del kernel Linux che può essere sfruttata per ottenere l'escalation dei privilegi locali. Nella funzione io_file_get_fixed manca la presenza di ctx->uring_lock, il che può causare una vulnerabilità " use-after-free" a causa di una race condition in cui i file fissi vengono annullati.

    Alta

    GKE su Azure

    Descrizione Gravità

    È stata scoperta una nuova vulnerabilità (CVE-2023-1872) nel kernel Linux che può portare a escalation dei privilegi per root sul nodo.

    Che cosa devo fare?

    Le seguenti versioni di GKE su Azure sono state aggiornate con il codice per correggere queste vulnerabilità:

  • 1.15.1
  • Quali vulnerabilità vengono affrontate da questa patch?

    CVE-2023-1872 è una vulnerabilità "use-after-free" nel sottosistema io_uring del kernel Linux che può essere sfruttata per ottenere l'escalation dei privilegi locali. Nella funzione io_file_get_fixed manca la presenza di ctx->uring_lock, il che può causare una vulnerabilità " use-after-free" a causa di una race condition in cui i file fissi vengono annullati.

    Alta

    GKE su Bare Metal

    Descrizione Gravità

    È stata scoperta una nuova vulnerabilità (CVE-2023-1872) nel kernel Linux che può portare a escalation dei privilegi per root sul nodo.

    GKE on Bare Metal non è interessato da questo CVE.

    Che cosa devo fare?

    Non occorre alcun intervento.

    Nessuno

    GCP-2023-005

    Pubblicato il 18/05/2023
    Ultimo aggiornamento: 06/06/2023
    Riferimento: CVE-2023-1281, CVE-2023-1829

    Aggiornamento 06/06/2023: le nuove versioni di GKE sono state aggiornate per includere le ultime versioni di Ubuntu che applicano le patch a CVE-2023-1281 e CVE-2023-1829.

    GKE

    Ultimo aggiornamento: 06/06/2023

    Descrizione Gravità

    Nel kernel Linux sono state scoperte due nuove vulnerabilità (CVE-2023-1281, CVE-2023-1829) che possono portare a escalation dei privilegi per root sul nodo. I cluster GKE Standard sono interessati.

    ai cluster GKE Autopilot GKE Sandbox non è interessato.

    Che cosa devo fare?

    Aggiornamento 06/06/2023: sono disponibili le versioni patch di Ubuntu.

    Le seguenti versioni di GKE sono state aggiornate in modo da includere le ultime versioni di Ubuntu che applicano le patch a CVE-2023-1281 e CVE-2023-1829:

    • 1.23.17-gke.6800
    • 1.24.14-gke.1200
    • 1.25.10-gke.1200
    • 1.26.5-gke.1200

    Le seguenti versioni di GKE sono state aggiornate con il codice per correggere questa vulnerabilità. Per motivi di sicurezza, anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire manualmente l'upgrade del cluster e dei pool di nodi a una delle seguenti versioni di GKE:

    • 1.22.17-gke.8100
    • 1.23.17-gke.2300
    • 1.24.12-gke.1100
    • 1.25.8-gke.1000
    • 1.26.3-gke.1000

    Una funzionalità recente dei canali di rilascio consente di applicare una patch senza dover annullare l'iscrizione a un canale. In questo modo puoi proteggere i nodi fino a quando la nuova versione non diventerà quella predefinita per il canale specifico di rilascio.

    Quali vulnerabilità vengono affrontate da questa patch?

    Sia CVE-2023-1281 che CVE-2023-1829 sono vulnerabilità "use-after-free" nel filtro dell'indice di controllo del traffico del kernel Linux (tcindex) che possono essere sfruttate per ottenere l'escalation dei privilegi locali.

    Con CVE-2023-1829, la funzione tcindex_delete non disattiva correttamente i filtri in determinati casi, il che può in seguito portare a una doppia liberazione di una struttura di dati.

    In CVE-2023-1281, l'area hash imperfetta può essere aggiornata durante l'attraversamento dei pacchetti, il che causerà un uso-after-free quando tcf_exts_exec() viene chiamato con il tcf_ext eliminato. Un utente malintenzionato locale può utilizzare questa vulnerabilità per elevare i propri privilegi a root.

    Alta

    GKE su VMware

    Descrizione Gravità

    Nel kernel Linux sono state scoperte due nuove vulnerabilità (CVE-2023-1281, CVE-2023-1829) che possono portare a escalation dei privilegi per root sul nodo.

    Che cosa devo fare?

    Quali vulnerabilità vengono affrontate da questa patch?

    Sia CVE-2023-1281 che CVE-2023-1829 sono vulnerabilità "use-after-free" nel filtro dell'indice di controllo del traffico del kernel Linux (tcindex) che possono essere sfruttate per ottenere l'escalation dei privilegi locali.

    Con CVE-2023-1829, la funzione tcindex_delete non disattiva correttamente i filtri in determinati casi, il che può in seguito portare a una doppia liberazione di una struttura di dati.

    In CVE-2023-1281, l'area hash imperfetta può essere aggiornata durante l'attraversamento dei pacchetti, il che causerà un uso-after-free quando tcf_exts_exec() viene chiamato con il tcf_ext eliminato. Un utente malintenzionato locale può utilizzare questa vulnerabilità per elevare i propri privilegi a root.

    Alta

    GKE su AWS

    Descrizione Gravità

    Nel kernel Linux sono state scoperte due nuove vulnerabilità (CVE-2023-1281, CVE-2023-1829) che possono portare a escalation dei privilegi per root sul nodo.

    Che cosa devo fare?

    Quali vulnerabilità vengono affrontate da questa patch?

    Sia CVE-2023-1281 che CVE-2023-1829 sono vulnerabilità "use-after-free" nel filtro dell'indice di controllo del traffico del kernel Linux (tcindex) che possono essere sfruttate per ottenere l'escalation dei privilegi locali.

    Con CVE-2023-1829, la funzione tcindex_delete non disattiva correttamente i filtri in determinati casi, il che può in seguito portare a una doppia liberazione di una struttura di dati.

    In CVE-2023-1281, l'area hash imperfetta può essere aggiornata durante l'attraversamento dei pacchetti, il che causerà un uso-after-free quando tcf_exts_exec() viene chiamato con il tcf_ext eliminato. Un utente malintenzionato locale può utilizzare questa vulnerabilità per elevare i propri privilegi a root.

    Alta

    GKE su Azure

    Descrizione Gravità

    Nel kernel Linux sono state scoperte due nuove vulnerabilità (CVE-2023-1281, CVE-2023-1829) che possono portare a escalation dei privilegi per root sul nodo.

    Che cosa devo fare?

    Quali vulnerabilità vengono affrontate da questa patch?

    Sia CVE-2023-1281 che CVE-2023-1829 sono vulnerabilità "use-after-free" nel filtro dell'indice di controllo del traffico del kernel Linux (tcindex) che possono essere sfruttate per ottenere l'escalation dei privilegi locali.

    Con CVE-2023-1829, la funzione tcindex_delete non disattiva correttamente i filtri in determinati casi, il che può in seguito portare a una doppia liberazione di una struttura di dati.

    In CVE-2023-1281, l'area hash imperfetta può essere aggiornata durante l'attraversamento dei pacchetti, il che causerà un uso-after-free quando tcf_exts_exec() viene chiamato con il tcf_ext eliminato. Un utente malintenzionato locale può utilizzare questa vulnerabilità per elevare i propri privilegi a root.

    Alta

    GKE su Bare Metal

    Descrizione Gravità

    Nel kernel Linux sono state scoperte due nuove vulnerabilità (CVE-2023-1281, CVE-2023-1829) che possono portare a escalation dei privilegi per root sul nodo.

    GKE on Bare Metal non è interessato da questo CVE.

    Che cosa devo fare?

    Non occorre alcun intervento.

    Nessuno

    GCP-2023-003

    Pubblicato: 11/04/2023
    Ultimo aggiornamento: 21/12/2023
    Riferimento: CVE-2023-0240, CVE-2023-23586

    Aggiornamento 21/12/2023: chiarire che i cluster GKE Autopilot non sono interessati dalla configurazione predefinita.

    GKE

    Ultimo aggiornamento: 21/12/2023

    Descrizione Gravità

    Aggiornamento 21/12/2023: il bollettino originale indicava Autopilot i cluster sono interessati, ma questo errore non è corretto. Autopilot di GKE cluster nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se impostare esplicitamente il profilo seccomp Unconfined consenti CAP_NET_ADMIN.

    Sono state scoperte due nuove vulnerabilità, CVE-2023-0240 e CVE-2023-23586 Kernel Linux che potrebbe consentire a un utente senza privilegi di aumentare i privilegi. i cluster GKE, inclusi i cluster Autopilot, con COS che utilizza Sono interessate le versioni del kernel Linux dalla 5.10 alla 5.10.162. dei cluster GKE Le immagini Ubuntu o l'utilizzo di GKE Sandbox non sono interessati.

    Che cosa devo fare?

    Le seguenti versioni di GKE sono state aggiornate con il codice per risolvere questo problema le vulnerabilità. Per motivi di sicurezza, anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire manualmente l'upgrade dei pool di nodi a uno dei seguenti Versioni GKE:

    • 1.22.17-gke.4000
    • 1.23.16-gke.1100
    • 1.24.10-gke.1200

    Una funzionalità recente dei canali di rilascio consente di applicare una patch senza dover annullare l'iscrizione a un canale. Questo consente di proteggi i nodi fino a quando la nuova versione non diventa quella predefinita per la tua release canale.

    Quali vulnerabilità vengono affrontate da questa patch?

    Vulnerabilità 1 (CVE-2023-0240): una race condition in io_uring può causare un con il container completo e quindi individuare la radice sul nodo. Sono interessate le versioni del kernel Linux 5.10 fino al 5.10.162.

    Vulnerabilità 2 (CVE-2023-23586): un uso dopo gratuito (UAF) in io_uring/time_ns può fino a una completa suddivisione del container in root sul nodo. Le versioni del kernel Linux 5.10 sono interessati fino alla versione 5.10.162.

    Alta

    GKE su VMware

    Descrizione Gravità

    Sono state scoperte due nuove vulnerabilità, CVE-2023-0240 e CVE-2023-23586 Kernel Linux che potrebbe consentire a un utente senza privilegi di aumentare i privilegi. Cluster GKE on VMware con COS che utilizzano il kernel Linux versione 5.10 fino alla 5.10.162 sono interessati. I cluster GKE Enterprise che utilizzano immagini Ubuntu non sono interessati.

    Che cosa devo fare?

    Le seguenti versioni di GKE on VMware sono state aggiornate con codice da correggere queste vulnerabilità:

    • 1.12.6
    • 1.13.5

    Quali vulnerabilità vengono affrontate da questa patch?

    Vulnerabilità 1 (CVE-2023-0240): una race condition in io_uring può determinare il container si svilupperà in base al nodo. Sono interessate le versioni del kernel Linux 5.10 fino al 5.10.162.

    Vulnerabilità 2 (CVE-2023-23586): l'utilizzo gratuito (UAF) in io_uring/time_ns può causare un con il container completo e quindi individuare la radice sul nodo. Sono interessate le versioni del kernel Linux 5.10 fino al 5.10.162.

    Alta

    GKE su AWS

    Descrizione Gravità

    Sono state scoperte due nuove vulnerabilità, CVE-2023-0240 e CVE-2023-23586 Kernel Linux che potrebbe consentire a un utente senza privilegi di aumentare i privilegi. GKE su AWS non è interessato da queste CVE.

    Che cosa devo fare?

    Non occorre alcun intervento.

    Nessuno

    GKE su Azure

    Descrizione Gravità

    Sono state scoperte due nuove vulnerabilità, CVE-2023-0240 e CVE-2023-23586 Kernel Linux che potrebbe consentire a un utente senza privilegi di aumentare i privilegi. GKE su Azure non è interessato da queste CVE

    Che cosa devo fare?

    Non occorre alcun intervento.

    Nessuno

    GKE su Bare Metal

    Descrizione Gravità

    Sono state scoperte due nuove vulnerabilità, CVE-2023-0240 e CVE-2023-23586 Kernel Linux che potrebbe consentire a un utente senza privilegi di aumentare i privilegi. GKE on Bare Metal non è interessato da queste CVE.

    Che cosa devo fare?

    Non occorre alcun intervento.

    Nessuno

    GCP-2023-001

    Pubblicato il 01/03/2023
    Ultimo aggiornamento: 21/12/2023
    Riferimento: CVE-2022-4696

    Aggiornamento 21/12/2023: chiarire che i cluster GKE Autopilot non sono interessati dalla configurazione predefinita.

    GKE

    Descrizione Gravità

    Aggiornamento 21/12/2023: il bollettino originale indicava Autopilot i cluster sono interessati, ma questo errore non è corretto. Autopilot di GKE cluster nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se impostare esplicitamente il profilo seccomp Unconfined consenti CAP_NET_ADMIN.

    È stata scoperta una nuova vulnerabilità (CVE-2022-4696) nel kernel Linux che può a un'escalation dei privilegi sul nodo. cluster GKE, inclusi i cluster GKE, dei cluster Autopilot. dei cluster GKE GKE Sandbox non è interessato.

    Che cosa devo fare?

    Le seguenti versioni di GKE sono state aggiornate con il codice per risolvere questo problema vulnerabilità. Per motivi di sicurezza, anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire l'upgrade manuale di cluster e pool di nodi in una delle seguenti versioni di GKE:

    • 1.22.17-gke.3100
    • 1.23.16-gke.200
    • 1.24.9-gke.3200

    Una funzionalità recente dei canali di rilascio consente di applicare una patch senza dover annullare l'iscrizione a un canale. Questo consente di proteggi i nodi fino a quando la nuova versione non diventa quella predefinita per la tua release canale.

    Quali vulnerabilità vengono affrontate da questa patch?

    Con CVE-2022-4696, è stato rilevato un difetto " use-after-free" in io_uring e ioring_op_splice in del kernel Linux. Questo difetto consente a un utente locale di creare un'escalation dei privilegi locali.

    Alta

    GKE su VMware

    Descrizione Gravità

    È stata scoperta una nuova vulnerabilità (CVE-2022-4696) nel kernel Linux che può a un'escalation dei privilegi sul nodo. GKE on VMware con la versione 1.12 e delle versioni 1.13. La modifica non riguarda GKE on VMware con versione 1.14 o successiva.

    Che cosa devo fare?

    Le seguenti versioni di GKE on VMware sono state aggiornate con il codice per risolvere il problema vulnerabilità. Ti consigliamo di eseguire l'upgrade dei cluster di amministrazione e utente a uno dei le seguenti versioni di GKE on VMware:

    • 1.12.5
    • 1.13.5

    Quali vulnerabilità vengono affrontate da questa patch?

    Con CVE-2022-4696, è stato rilevato un difetto " use-after-free" in io_uring e ioring_op_splice in del kernel Linux. Questo difetto consente a un utente locale di creare un'escalation dei privilegi locali.

    Alta

    GKE su AWS

    Descrizione Gravità

    È stata scoperta una nuova vulnerabilità (CVE-2022-4696) nel kernel Linux che può a un'escalation dei privilegi sul nodo. GKE su AWS non è interessato da questa vulnerabilità.

    Che cosa devo fare?

    Non è richiesta alcuna azione da parte tua.

    Nessuno

    GKE su Azure

    Descrizione Gravità

    È stata scoperta una nuova vulnerabilità (CVE-2022-4696) nel kernel Linux che può a un'escalation dei privilegi sul nodo. GKE su Azure non è interessato da questa vulnerabilità.

    Che cosa devo fare?

    Non è richiesta alcuna azione da parte tua.

    Nessuno

    GKE su Bare Metal

    Descrizione Gravità

    È stata scoperta una nuova vulnerabilità (CVE-2022-4696) nel kernel Linux che può a un'escalation dei privilegi sul nodo. GKE on Bare Metal non è interessato da questa vulnerabilità.

    Che cosa devo fare?

    Non è richiesta alcuna azione da parte tua.

    Nessuno

    GCP-2022-026

    Pubblicato il 11/01/2023
    Riferimento: CVE-2022-3786, CVE-2022-3602

    GKE

    Descrizione Gravità

    Sono state scoperte due nuove vulnerabilità (CVE-2022-3786 e CVE-2022-3602) in OpenSSL v3.0.6 che potrebbe causare un arresto anomalo. Anche se è stata classificata come Alta nella NVD gli endpoint GKE usano boringSSL o una versione precedente di OpenSSL che non è interessato, perciò la classificazione è stata ridotta a Mezzo per GKE.

    Che cosa devo fare?

    Le seguenti versioni di GKE sono state aggiornate con il codice per risolvere questo problema vulnerabilità:

    • 1.25.4-gke.1600
    • 1.24.8-gke.401
    • 1.23.14-gke.401
    • 1.22.16-gke.1300
    • 1.21.14-gke.14100

    Una funzionalità recente di rilascio canali ti consente di applicare una patch senza dover annullare l'iscrizione a un canale. In questo modo puoi proteggere i nodi fino a quando la nuova versione non diventa quella predefinita di rilascio di un canale specifico.

    Quali vulnerabilità vengono affrontate da questa patch?

    Con CVE-2022-3786 e CVE-2022-3602, è possibile attivare un superamento del buffer nel certificato X.509 verifica che potrebbe causare un arresto anomalo che comporterà un denial of service. Per sfruttata, questa vulnerabilità richiede che una CA abbia firmato un certificato dannoso o per richiedere di proseguire la verifica del certificato nonostante la mancata creazione di un a un emittente attendibile.

    Medio

    GKE su VMware

    Descrizione Gravità

    Sono state scoperte due nuove vulnerabilità (CVE-2022-3786 e CVE-2022-3602) OpenSSL v3.0.6 che potrebbe causare un arresto anomalo.

    Che cosa devo fare?

    GKE on VMware non è interessato da questo CVE perché non utilizza una versione interessata di OpenSSL.

    Quali vulnerabilità vengono affrontate da questa patch?

    Non occorre alcun intervento.

    Nessuno

    GKE su AWS

    Descrizione Gravità

    Sono state scoperte due nuove vulnerabilità (CVE-2022-3786 e CVE-2022-3602) OpenSSL v3.0.6 che potrebbe causare un arresto anomalo.

    Che cosa devo fare?

    GKE su AWS non è interessato da questo CVE perché non utilizza una versione interessata di OpenSSL.

    Quali vulnerabilità vengono affrontate da questa patch?

    Non occorre alcun intervento.

    Nessuno

    GKE su Azure

    Descrizione Gravità

    Sono state scoperte due nuove vulnerabilità (CVE-2022-3786 e CVE-2022-3602) OpenSSL v3.0.6 che potrebbe causare un arresto anomalo.

    Che cosa devo fare?

    GKE su Azure non è interessato da questo CVE perché non utilizza una versione interessata di OpenSSL.

    Quali vulnerabilità vengono affrontate da questa patch?

    Non occorre alcun intervento.

    Nessuno

    GKE su Bare Metal

    Descrizione Gravità

    Sono state scoperte due nuove vulnerabilità (CVE-2022-3786 e CVE-2022-3602) OpenSSL v3.0.6 che potrebbe causare un arresto anomalo.

    Che cosa devo fare?

    GKE on Bare Metal non è interessato da questo CVE perché non utilizza una versione interessata di OpenSSL.

    Quali vulnerabilità vengono affrontate da questa patch?

    Non occorre alcun intervento.

    Nessuno

    GCP-2022-025

    Pubblicato il 21/12/2022
    Ultimo aggiornamento: 19/01/2023, 21/12/2023
    Riferimento: CVE-2022-2602

    Aggiornamento 21/12/2023: chiarire che i cluster GKE Autopilot non sono interessati dalla configurazione predefinita.

    Aggiornamento del 19/01/2023 : è disponibile la versione 1.21.14-gke.14100 di GKE.

    GKE

    Ultimo aggiornamento: 19/01/2023

    Descrizione Gravità

    Aggiornamento 21/12/2023: il bollettino originale indicava Autopilot i cluster sono interessati, ma questo errore non è corretto. Autopilot di GKE cluster nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se impostare esplicitamente il profilo seccomp Unconfined consenti CAP_NET_ADMIN.

    È stata scoperta una nuova vulnerabilità (CVE-2022-2602) nel sottosistema io_uring della Kernel Linux che può consentire a un utente malintenzionato di eseguire potenzialmente codice arbitrario. Sono interessati i cluster GKE, inclusi i cluster Autopilot.

    I cluster GKE che utilizzano GKE Sandbox non sono interessati.

    Che cosa devo fare?

    Aggiornamento 19/01/2023: è disponibile la versione 1.21.14-gke.14100. Esegui l'upgrade dei pool di nodi a questa versione o a una versione successiva.


    Le seguenti versioni di GKE sono state aggiornate con il codice per risolvere questo problema la vulnerabilità in una prossima release. Per motivi di sicurezza, anche se disponi upgrade automatico, ti consigliamo di eseguire l'upgrade manuale dei tuoi pool di nodi in una delle seguenti versioni GKE:

    • Container-Optimized OS:
      • 1.22.16-gke.1300 e versioni successive
      • 1.23.14-gke.401 e versioni successive
      • 1.24.7-gke.900 e versioni successive
      • 1.25.4-gke.1600 e versioni successive
    • Ubuntu:
      • 1.22.15-gke.2500 e versioni successive
      • 1.23.13-gke.900 e versioni successive
      • 1.24.7-gke.900 e versioni successive
      • 1.25.3-gke.800 e versioni successive

    Una funzionalità recente dei canali di rilascio consente di applicare una patch senza dover annullare l'iscrizione a un canale. Questo consente di proteggi i nodi fino a quando la nuova versione non diventa quella predefinita per la tua release canale.

    Quali vulnerabilità vengono affrontate da questa patch?

    Con CVE-2022-2602, una race condition tra l'elaborazione delle richieste io_uring e il socket Unix La garbage collection può causare una vulnerabilità "use-after-free". Un aggressore locale potrebbe usare per attivare un denial of service o per eseguire un codice arbitrario.

    Alta

    GKE su VMware

    Descrizione Gravità

    È stata scoperta una nuova vulnerabilità (CVE-2022-2602) nel sottosistema io_uring della Kernel Linux che può consentire a un utente malintenzionato di eseguire potenzialmente codice arbitrario.

    Sono interessate le versioni 1.11, 1.12 e 1.13 di GKE on VMware.

    Che cosa devo fare?

    Esegui l'upgrade del cluster a una versione con patch. Le seguenti versioni di GKE on VMware contiene codice che corregge questa vulnerabilità:

    • 1.13.2
    • 1.12.4
    • 1.11.5

    Quali vulnerabilità vengono affrontate da questa patch?

    Con CVE-2022-2602, una race condition tra l'elaborazione delle richieste io_uring e il socket Unix La garbage collection può causare una vulnerabilità "use-after-free". Un aggressore locale potrebbe usare per attivare un denial of service o per eseguire un codice arbitrario.

    Alta

    GKE su AWS

    Descrizione Gravità

    È stata scoperta una nuova vulnerabilità (CVE-2022-2602) nel sottosistema io_uring della Kernel Linux che può consentire a un utente malintenzionato di eseguire potenzialmente codice arbitrario.

    Che cosa devo fare?

    Le seguenti versioni attuali e precedenti di GKE su AWS sono state aggiornato con il codice per correggere questa vulnerabilità. Ti consigliamo di eseguire l'upgrade dei nodi a una delle seguenti versioni GKE on AWS:

    • Generazione attuale:
      • 1.22.15-gke.100
      • 1.23.11-gke.300
      • 1.24.5-gke.200
    • Generazione precedente:
      • 1.22.15-gke.1400
      • 1.23.12-gke.1400
      • 1.24.6-gke.1300

    Quali vulnerabilità vengono affrontate da questa patch?

    Con CVE-2022-2602, una race condition tra l'elaborazione delle richieste io_uring e il socket Unix La garbage collection può causare una vulnerabilità "use-after-free". Un aggressore locale potrebbe usare per attivare un denial of service o per eseguire un codice arbitrario.

    Alta

    GKE su Azure

    Descrizione Gravità

    È stata scoperta una nuova vulnerabilità (CVE-2022-2602) nel sottosistema io_uring della Kernel Linux che può consentire a un utente malintenzionato di eseguire potenzialmente codice arbitrario.

    Che cosa devo fare?

    Le seguenti versioni di GKE su Azure sono state aggiornate con il codice da correggere vulnerabilità. Ti consigliamo di eseguire l'upgrade dei nodi a uno dei seguenti Versioni di GKE su Azure:

    • 1.22.15-gke.100
    • 1.23.11-gke.300
    • 1.24.5-gke.200

    Quali vulnerabilità vengono affrontate da questa patch?

    Con CVE-2022-2602, una race condition tra l'elaborazione delle richieste io_uring e il socket Unix La garbage collection può causare una vulnerabilità "use-after-free". Un aggressore locale potrebbe usare per attivare un denial of service o per eseguire un codice arbitrario.

    Alta

    GKE su Bare Metal

    Descrizione Gravità

    È stata scoperta una nuova vulnerabilità (CVE-2022-2602) nel sottosistema io_uring della Kernel Linux che può consentire a un utente malintenzionato di eseguire potenzialmente codice arbitrario.

    GKE on Bare Metal non è interessato da questo CVE perché non include un sistema operativo nella sua distribuzione.

    Che cosa devo fare?

    Non occorre alcun intervento.

    Nessuno

    GCP-2022-024

    Pubblicato il 09/11/2022
    Ultimo aggiornamento: 19/01/2023
    Riferimento: CVE-2022-2585, CVE-2022-2588

    Aggiornamento del 19/01/2023 : è disponibile la versione 1.21.14-gke.14100 di GKE.
    Aggiornamento 16/12/2022: sono state aggiunte versioni patch riviste per GKE e GKE su VMware.

    GKE

    Ultimo aggiornamento: 19/01/2023

    Descrizione Gravità

    Nel kernel Linux sono state scoperte due nuove vulnerabilità (CVE-2022-2585 e CVE-2022-2588) che possono portare alla separazione di un container completo sul nodo. Sono interessati i cluster GKE, inclusi i cluster Autopilot.

    I cluster GKE che utilizzano GKE Sandbox non sono interessati.

    Che cosa devo fare?

    Aggiornamento 19/01/2023: è disponibile la versione 1.21.14-gke.14100. Esegui l'upgrade dei pool di nodi a questa versione o a una versione successiva.

    Aggiornamento 16-12-2022: Una versione precedente del bollettino è stata rivista a causa di una regressione della release. Non dimenticare di apporre eseguire l'upgrade manuale dei tuoi pool di nodi in una delle seguenti versioni GKE:

    • 1.22.16-gke.1300 e versioni successive
    • 1.23.14-gke.401 e versioni successive
    • 1.24.7-gke.900 e versioni successive
    • 1.25.4-gke.1600 e versioni successive

    Le seguenti versioni di GKE sono state aggiornate con il codice per correggere questa vulnerabilità. Per per motivi di sicurezza, anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire manualmente esegui l'upgrade dei pool di nodi a una delle seguenti versioni di GKE:

    • 1.21.14-gke.9500
    • 1.24.7-gke.900

    A breve saranno disponibili aggiornamenti per GKE v1.22, 1.23 e 1.25. Questo bollettino sulla sicurezza verrà aggiornato non appena sarà disponibile.

    Una funzionalità recente dei canali di rilascio consente di applicare una patch senza dover annullare l'iscrizione a un canale. In questo modo puoi proteggere i nodi fino a quando la nuova versione non diventerà quella predefinita per il canale specifico di rilascio.

    Quali vulnerabilità vengono affrontate da questa patch?

    • Con CVE-2022-2585, la pulizia non corretta dei timer nel timer della CPU posix consente un exploit use-after-free a seconda di come vengono creati ed eliminati i timer.
    • Con CVE-2022-2588, è stato trovato un difetto use-after-free in route4_change nel kernel Linux. Questo difetto consente a un utente locale di causare l'arresto anomalo del sistema, con la possibile conseguenza di un'escalation dei privilegi locali.
    Alta

    GKE su VMware

    Ultimo aggiornamento: 16/12/2022

    Descrizione Gravità

    Nel kernel Linux sono state scoperte due nuove vulnerabilità (CVE-2022-2585 e CVE-2022-2588) che possono portare alla separazione di un container completo sul nodo.

    Sono interessate le versioni 1.13, 1.12 e 1.11 di GKE on VMware.

    Che cosa devo fare?

    Aggiornamento 16/12/2022: le seguenti versioni di GKE on VMware è stato aggiornato con codice per correggere questa vulnerabilità. I nostri suggerimenti eseguire l'upgrade dei cluster di amministrazione e utente a uno dei seguenti Versioni GKE on VMware:

    • 1.13.2
    • 1.12.4
    • 1.11.6

    • Nota: le versioni di GKE on VMware che contengono patch di Container-Optimized OS verranno rilasciate a breve. Questo bollettino sulla sicurezza verrà aggiornato quando le versioni di GKE on VMware saranno disponibili per il download.

    Quali vulnerabilità vengono affrontate da questa patch?

    • Con CVE-2022-2585, la pulizia non corretta dei timer nel timer della CPU posix consente un exploit use-after-free a seconda di come vengono creati ed eliminati i timer.
    • Con CVE-2022-2588, è stato trovato un difetto use-after-free in route4_change nel kernel Linux. Questo difetto consente a un utente locale di causare l'arresto anomalo del sistema, con la possibile conseguenza di un'escalation dei privilegi locali.
    Alta

    GKE su AWS

    Descrizione Gravità

    Nel kernel Linux sono state scoperte due nuove vulnerabilità (CVE-2022-2585 e CVE-2022-2588) che possono portare alla separazione di un container completo sul nodo.

    Potrebbero essere interessate le seguenti versioni di Kubernetes su AWS:

    • 1.23: versioni precedenti alla 1.23.9-gke.800. Le versioni secondarie più recenti non sono interessate
    • 1.22: versioni precedenti alla 1.22.12-gke.1100. Le versioni secondarie più recenti non sono interessate

    Kubernetes V1.24 non è interessato.

    Che cosa devo fare?

    Ti consigliamo di eseguire l'upgrade dei cluster a una delle seguenti versioni di AWS Kubernetes:

    • 1.23: una versione successiva alla v1.23.9-gke.800
    • 1.22: una versione successiva alla 1.22.12-gke-1100

    Quali vulnerabilità vengono affrontate?

    Con CVE-2022-2585, la pulizia non corretta dei timer nel timer della CPU posix consente un exploit use-after-free a seconda di come vengono creati ed eliminati i timer.

    Con CVE-2022-2588, è stato trovato un difetto use-after-free in route4_change nel kernel Linux. Questo difetto consente a un utente locale di causare l'arresto anomalo del sistema, con la possibile conseguenza di un'escalation dei privilegi locali.

    Alta

    GKE su Azure

    Descrizione Gravità

    Nel kernel Linux sono state scoperte due nuove vulnerabilità (CVE-2022-2585 e CVE-2022-2588) che possono portare alla separazione di un container completo sul nodo.

    Potrebbero essere interessate le seguenti versioni di Kubernetes su Azure:

    • 1.23: versioni precedenti alla 1.23.9-gke.800. Le versioni secondarie più recenti non sono interessate.
    • 1.22: versioni precedenti alla 1.22.12-gke.1100. Le versioni secondarie più recenti non sono interessate.

    Kubernetes V1.24 non è interessato.

    Che cosa devo fare?

    Ti consigliamo di eseguire l'upgrade dei cluster a una delle seguenti versioni di Azure Kubernetes:

    • 1.23: una versione successiva alla v1.23.9-gke.800
    • 1.22: una versione successiva alla 1.22.12-gke-1100

    Quali vulnerabilità vengono affrontate?

    Con CVE-2022-2585, la pulizia non corretta dei timer nel timer della CPU posix consente un exploit use-after-free a seconda di come vengono creati ed eliminati i timer.

    Con CVE-2022-2588, è stato trovato un difetto use-after-free in route4_change nel kernel Linux. Questo difetto consente a un utente locale di causare l'arresto anomalo del sistema, con la possibile conseguenza di un'escalation dei privilegi locali.

    Alta

    GKE su Bare Metal

    Descrizione Gravità

    Nel kernel Linux sono state scoperte due nuove vulnerabilità (CVE-2022-2585 e CVE-2022-2588) che possono portare alla separazione di un container completo sul nodo.

    GKE on Bare Metal non è interessato da questo CVE, in quanto non raggruppa un sistema operativo nella sua distribuzione.

    Che cosa devo fare?

    Non occorre alcun intervento.

    Nessuno

    GCP-2022-023

    Pubblicato il 04/11/2022
    Riferimento: CVE-2022-39278

    GKE

    Descrizione Gravità

    In Istio è stata scoperta una vulnerabilità di sicurezza, CVE-2022-39278, utilizzata Cloud Service Mesh, che consente a un utente malintenzionato di provocare l’arresto anomalo del piano di controllo.

    Che cosa devo fare?

    Google Kubernetes Engine (GKE) non viene fornito con Istio e non è interessato da questa modifica vulnerabilità. Tuttavia, se hai installato separatamente Cloud Service Mesh o Istio sul tuo per il cluster GKE, consulta GCP-2022-020, consulta il bollettino sulla sicurezza di Cloud Service Mesh su questo CVE.

    Nessuno

    GKE su VMware

    Descrizione Gravità

    In Istio è stata scoperta una vulnerabilità di sicurezza, CVE-2022-39278, che viene utilizzata in Cloud Service Mesh in GKE on VMware, che consente a un utente malintenzionato di Piano di controllo Istio.

    Che cosa devo fare?

    Le seguenti versioni di GKE on VMware sono state aggiornate con il codice per risolvere il problema vulnerabilità. Ti consigliamo di eseguire l'upgrade dei cluster di amministrazione e utente a uno dei le seguenti versioni di GKE on VMware:

    • 1.11.4
    • 1.12.3
    • 1.13.1

    Quali vulnerabilità vengono affrontate da questa patch?

    Con la vulnerabilità CVE-2022-39278, il piano di controllo Istio istiod è vulnerabile a un errore di elaborazione delle richieste, consentendo a un utente malintenzionato di inviare creato appositamente per determinare l'arresto anomalo del piano di controllo di convalida del webhook per un cluster è esposto pubblicamente. Questo endpoint viene gestito tramite TLS porta 15017, ma non richiede alcuna autenticazione da parte dell'utente malintenzionato.

    Alta

    GKE su AWS

    Descrizione Gravità

    In Istio è stata scoperta una vulnerabilità di sicurezza, CVE-2022-39278, che viene utilizzata in Cloud Service Mesh, che consente a un utente malintenzionato di provocare l’arresto anomalo del piano di controllo.

    Che cosa devo fare?

    GKE su AWS non è interessato da questa vulnerabilità e non è richiesta alcuna azione da parte tua.

    Nessuno

    GKE su Azure

    Descrizione Gravità

    In Istio è stata scoperta una vulnerabilità di sicurezza, CVE-2022-39278, che viene utilizzata in Cloud Service Mesh, che consente a un utente malintenzionato di provocare l’arresto anomalo del piano di controllo.

    Che cosa devo fare?

    GKE su Azure non è interessato da questa vulnerabilità e non è richiesta alcuna azione obbligatorio.

    Nessuno

    GKE su Bare Metal

    Descrizione Gravità

    In Istio è stata scoperta una vulnerabilità di sicurezza, CVE-2022-39278, che viene utilizzata in Cloud Service Mesh in GKE on Bare Metal, che consente a un utente malintenzionato per arrestare il piano di controllo Istio.

    Che cosa devo fare?

    Le seguenti versioni di GKE on Bare Metal sono state aggiornate con codice per correggere questa vulnerabilità. Ti consigliamo di eseguire l'upgrade dei cluster a uno dei le seguenti versioni GKE on Bare Metal:

    • 1.11.7
    • 1.12.4
    • 1.13.1

    Quali vulnerabilità vengono affrontate da questa patch?

    Con la vulnerabilità CVE-2022-39278, il piano di controllo Istio istiod è vulnerabile a un errore di elaborazione delle richieste, consentendo a un utente malintenzionato di inviare creato appositamente per determinare l'arresto anomalo del piano di controllo di convalida del webhook per un cluster è esposto pubblicamente. Questo endpoint viene gestito tramite TLS porta 15017, ma non richiede alcuna autenticazione da parte dell'utente malintenzionato.

    Alta

    GCP-2022-022-updated

    Pubblicato il 08/12/2022
    Riferimento: CVE-2022-20409

    GKE

    Ultimo aggiornamento: 14/12/2022

    Descrizione Gravità

    Nel kernel Linux è stata scoperta una nuova vulnerabilità, CVE-2022-20409, che può comporta l'escalation dei privilegi locali. Google Kubernetes Engine (GKE) v1.22, v1.23 e v1.24 Autopilot, compresi quelli Autopilot, usando Container-Optimized OS le versioni 93 e 97. Altri supportati Versioni di GKE non ne sono interessati. dei cluster GKE GKE Sandbox non è interessato.

    Che cosa devo fare?

    Aggiornamento 14-12-2022: Una versione precedente del bollettino è stata rivista a causa di una regressione della release. Non dimenticare di apporre eseguire l'upgrade manuale dei tuoi pool di nodi in una delle seguenti versioni GKE:

    • 1.22.15-gke.2500 e versioni successive
    • 1.23.13-gke.900 e versioni successive
    • 1.24.7-gke.900 e versioni successive

    Le seguenti versioni di GKE che utilizzano la versione di Container-Optimized OS Le versioni 93 e 97 sono state aggiornate con codice per correggere questa vulnerabilità in una versione futura. Per motivi di sicurezza, anche se hai abilitato gli upgrade automatici dei nodi, ti consigliamo eseguire l'upgrade manuale dei tuoi pool di nodi in una delle seguenti versioni GKE:

    • 1.22.15-gke.2300 e versioni successive
    • 1.23.13-gke.700 e versioni successive
    • 1.24.7-gke.700 e versioni successive

    Una funzionalità recente di canali di rilascio ti consente di applicare una patch senza dover annullare l'iscrizione a un canale. Questa funzione ti consente proteggere i nodi finché la nuova versione non diventa quella predefinita per le applicazioni canale.

    Quali vulnerabilità vengono affrontate da questa patch?

    Con CVE-2022-20409, il kernel Linux ha una vulnerabilità in io_identity_cow del io_uring. È possibile che la memoria venga danneggiata a causa di un evento (UAF). Un utente malintenzionato locale potrebbe utilizzare questa corruzione della memoria per rifiutare (arresto anomalo del sistema) o magari per eseguire un codice arbitrario.

    Alta

    GKE su VMware

    Ultimo aggiornamento: 14/12/2022

    Descrizione Gravità

    Nel kernel Linux è stata scoperta una nuova vulnerabilità, CVE-2022-20409, che può comporta l'escalation dei privilegi locali.

    Che cosa devo fare?

    Aggiornamento 14/12/2022: le seguenti versioni di GKE su VMware per Ubuntu è stato aggiornato con il codice per correggere questa vulnerabilità. Ti consigliamo di eseguire l'upgrade dei nodi a uno dei seguenti GKE on VMware versioni:

    • 1.13.1 e versioni successive
    • 1.12.3 e versioni successive
    • 1.11.4 e versioni successive

    Quali vulnerabilità vengono affrontate da questa patch?

    Con CVE-2022-20409, il kernel Linux ha una vulnerabilità in io_identity_cow del io_uring. È possibile che la memoria venga danneggiata a causa di un evento (UAF). Un utente malintenzionato locale potrebbe utilizzare questa corruzione della memoria per rifiutare (arresto anomalo del sistema) o magari per eseguire un codice arbitrario.

    Alta

    GKE su AWS

    Descrizione Gravità

    Nel kernel Linux è stata scoperta una nuova vulnerabilità, CVE-2022-20409, che potrebbe consentire a un utente senza privilegi di eseguire la riassegnazione al privilegio di esecuzione del sistema.

    Che cosa devo fare?

    Non è richiesta alcuna azione da parte tua. GKE su AWS non utilizza le versioni interessate kernel Linux.

    Quali vulnerabilità vengono affrontate da questa patch?

    Con CVE-2022-20409, il kernel Linux ha una vulnerabilità in io_identity_cow del io_uring. È possibile che la memoria venga danneggiata a causa di un evento (UAF). Un utente malintenzionato locale potrebbe utilizzare questa corruzione della memoria per rifiutare (arresto anomalo del sistema) o magari per eseguire un codice arbitrario.

    Nessuno

    GKE su Azure

    Descrizione Gravità

    Nel kernel Linux è stata scoperta una nuova vulnerabilità, CVE-2022-20409, che potrebbe consentire a un utente senza privilegi di eseguire la riassegnazione al privilegio di esecuzione del sistema.

    Che cosa devo fare?

    Non è richiesta alcuna azione da parte tua. GKE su Azure non utilizza le versioni interessate del kernel Linux.

    Quali vulnerabilità vengono affrontate da questa patch?

    Con CVE-2022-20409, il kernel Linux ha una vulnerabilità in io_identity_cow del io_uring. È possibile che la memoria venga danneggiata a causa di un evento (UAF). Un utente malintenzionato locale potrebbe utilizzare questa corruzione della memoria per rifiutare (arresto anomalo del sistema) o magari per eseguire un codice arbitrario.

    Nessuno

    GKE su Bare Metal

    Descrizione Gravità

    Nel kernel Linux è stata scoperta una nuova vulnerabilità, CVE-2022-20409, che può comporta l'escalation dei privilegi locali.

    Che cosa devo fare?

    • Non è richiesta alcuna azione da parte tua. GKE on Bare Metal non è interessato da questa modifica CVE perché non include un sistema operativo nella sua distribuzione.
    Nessuno

    GCP-2022-021

    Pubblicato il 27/10/2022
    Ultimo aggiornamento: 19/01/2023, 21/12/2023
    Riferimento: CVE-2022-3176

    Aggiornamento 21/12/2023: chiarire che i cluster GKE Autopilot non sono interessati dalla configurazione predefinita.

    Aggiornamento del 19/01/2023 : è disponibile la versione 1.21.14-gke.14100 di GKE.
    Aggiornamento 15/12/2022: sono state aggiornate le informazioni relative alla versione 1.21.14-gke.9400 di Google Kubernetes Engine è in attesa di implementazione e potrebbe essere sostituito da un numero di versione superiore.
    Aggiornamento 21/11/2022: sono state aggiunte versioni patch per GKE on VMware, GKE su AWS e GKE su Azure.

    GKE

    Ultimo aggiornamento: 19/01/2023, 21/12/2023

    Descrizione Gravità

    Nel kernel Linux, è stata scoperta una nuova vulnerabilità, CVE-2022-3176, che può e l'escalation dei privilegi locali. Questa vulnerabilità consente a un utente senza privilegi di raggiungere un'implementazione completa del container per eseguire il root sul nodo.

    Aggiornamento 21/12/2023: il bollettino originale indicava Autopilot i cluster sono interessati, ma questo errore non è corretto. Autopilot di GKE cluster nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se impostare esplicitamente il profilo seccomp Unconfined consenti CAP_NET_ADMIN.

    i cluster Google Kubernetes Engine (GKE) v1.21, inclusi i cluster Autopilot, che utilizzano Sono interessate la versione 89 di Container-Optimized OS. Versioni successive di GKE non ne sono interessati. Sono interessati tutti i cluster Linux con Ubuntu. Cluster GKE con GKE Sandbox non interessate.

    Che cosa devo fare?

    Aggiornamento 19/01/2023: è disponibile la versione 1.21.14-gke.14100. Esegui l'upgrade dei pool di nodi a questa versione o a una versione successiva.

    Aggiornamento del 15/12/2022: la versione 1.21.14-gke.9400 è in attesa di implementazione e potrebbe essere sostituito da un numero di versione superiore. Aggiorneremo questo documento quando la nuova versione sarà disponibili.


    Le seguenti versioni di GKE sono state aggiornate con il codice per risolvere questo problema la vulnerabilità in una prossima release. Per motivi di sicurezza, anche se disponi upgrade automatici, ti consigliamo di eseguire l'upgrade manuale dei tuoi pool di nodi in una delle seguenti versioni GKE:

    • Container-Optimized OS:
      • 1.21.14-gke.7100 e versioni successive
    • Ubuntu:
      • 1.21.14-gke.9400 e versioni successive
      • 1.22.15-gke.2400 e versioni successive
      • 1.23.13-gke.800 e versioni successive
      • 1.24.7-gke.800 e versioni successive
      • 1.25.3-gke.700 e versioni successive

    Una funzionalità recente di canali di rilascio ti consente di applicare una patch senza dover annullare l'iscrizione a un canale. Questa funzione ti consente proteggere i nodi finché la nuova versione non diventa quella predefinita per le applicazioni canale.

    Quali vulnerabilità vengono affrontate da questa patch?

    Con CVE-2022-3176, il kernel Linux presenta una vulnerabilità nel sottosistema io_uring. La mancanza di una gestione POLLFREE può portare a exploit Use-After-Free (UAF) utilizzabili per e l'escalation dei privilegi.

    Alta

    GKE su VMware

    Ultimo aggiornamento: 21/11/2022

    Descrizione Gravità

    Nel kernel Linux, è stata scoperta una nuova vulnerabilità, CVE-2022-3176, che può e l'escalation dei privilegi locali. Questa vulnerabilità consente a un utente senza privilegi di raggiungere un'implementazione completa del container per eseguire il root sul nodo.

    Che cosa devo fare?

    • Le versioni di GKE su VMware con Container-Optimized OS non sono interessate.

    Aggiornamento 21/11/2022: le seguenti versioni di GKE su VMware per Ubuntu è stato aggiornato con il codice per correggere questa vulnerabilità. Ti consigliamo di eseguire l'upgrade dei nodi a una delle seguenti versioni di GKE on VMware:

    • 1.12.3 e versioni successive
    • 1.13.1 e versioni successive
    • 1.11.5 e versioni successive

    Verranno rilasciate le versioni di GKE on VMware che contengono patch Ubuntu a breve. Questo bollettino sulla sicurezza verrà aggiornato quando le versioni di GKE on VMware verranno disponibili per il download.

    Quali vulnerabilità vengono affrontate da questa patch?

    Con CVE-2022-3176, il kernel Linux presenta una vulnerabilità nel sottosistema io_uring. La mancanza di una gestione POLLFREE può portare a exploit Use-After-Free (UAF) utilizzabili per e l'escalation dei privilegi.

    Alta

    GKE su AWS

    Ultimo aggiornamento: 21/11/2022

    Descrizione Gravità

    È stata scoperta una nuova vulnerabilità, CVE-2022-3176, nel kernel Linux che può comporta l'escalation dei privilegi locali. Questa vulnerabilità consente a un utente senza privilegi di ottenere una segmentazione completa del container per eseguire il root sul nodo.

    Che cosa devo fare?

    Aggiornamento 21-11-2022: Le seguenti versioni attuali e precedenti di GKE su AWS sono state aggiornato con il codice per correggere questa vulnerabilità. Ti consigliamo di eseguire l'upgrade dei nodi a una delle seguenti versioni GKE on AWS:

    Generazione attuale
      .
    • 1.21.14-gke.7100
    • 1.22.15-gke.100
    • 1.23.11-gke.300
    • 1.24.5-gke.200
    Generazione precedente
    • 1.22.15-gke.1400
    • 1.23.12-gke.1400
    • 1.24.6-gke.1300

    Verranno rilasciate le versioni di GKE su AWS che contengono patch Ubuntu a breve. Questo bollettino sulla sicurezza verrà aggiornato quando le versioni di GKE su AWS verranno disponibili per il download.

    Quali vulnerabilità vengono affrontate da questa patch?

    Con CVE-2022-3176, il kernel Linux presenta una vulnerabilità nel sottosistema io_uring. La mancanza di una gestione POLLFREE può portare a exploit Use-After-Free (UAF) utilizzabili per e l'escalation dei privilegi.

    Alta

    GKE su Azure

    Ultimo aggiornamento: 21/11/2022

    Descrizione Gravità

    È stata scoperta una nuova vulnerabilità, CVE-2022-3176, nel kernel Linux che può comporta l'escalation dei privilegi locali. Questa vulnerabilità consente a un utente senza privilegi di ottenere una segmentazione completa del container per eseguire il root sul nodo.

    Che cosa devo fare?

    Aggiornamento 21-11-2022: Le seguenti versioni di GKE su Azure sono state aggiornate con il codice da correggere vulnerabilità. Ti consigliamo di eseguire l'upgrade dei nodi a uno dei seguenti Versioni di GKE su Azure:

    • 1.21.14-gke.7100
    • 1.22.15-gke.100
    • 1.23.11-gke.300
    • 1.24.5-gke.200

    Le versioni di GKE su Azure che contengono patch Ubuntu saranno sarà presto disponibile. Questo bollettino sulla sicurezza verrà aggiornato quando GKE on Azure sono disponibili per il download.

    Quali vulnerabilità vengono affrontate da questa patch?

    Con CVE-2022-3176, il kernel Linux presenta una vulnerabilità nel sottosistema io_uring. La mancanza di una gestione POLLFREE può portare a exploit Use-After-Free (UAF) utilizzabili per e l'escalation dei privilegi.

    Alta

    GKE su Bare Metal

    Descrizione Gravità

    Nel kernel Linux, è stata scoperta una nuova vulnerabilità, CVE-2022-3176, che può e l'escalation dei privilegi locali. Questa vulnerabilità consente a un utente senza privilegi di raggiungere un'implementazione completa del container per eseguire il root sul nodo.

    Che cosa devo fare?

    Non occorre alcun intervento. GKE on Bare Metal non è interessato da questo CVE non raggruppa un sistema operativo nella sua distribuzione.

    Nessuno

    GCP-2022-018

    Pubblicato il 01/08/2022
    Ultimo aggiornamento: 14/09/2022, 21/12/2023
    Riferimento: CVE-2022-2327

    Aggiornamento 21/12/2023: chiarire che i cluster GKE Autopilot non sono interessati dalla configurazione predefinita.

    Aggiornamento 14/09/2022: sono state aggiunte versioni patch per GKE on VMware, GKE su AWS e GKE su Azure.

    GKE

    Ultimo aggiornamento: 21/12/2023

    Descrizione Gravità

    È stata scoperta una nuova vulnerabilità (CVE-2022-2327) nel Kernel Linux che può portare all'escalation dei privilegi locali. Questo consente a un utente senza privilegi di raggiungere un container completo per eseguire il rooting sul nodo.

    Dettagli tecnici

    Aggiornamento 21/12/2023: il bollettino originale indicava Autopilot i cluster sono interessati, ma questo errore non è corretto. Autopilot di GKE cluster nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se impostare esplicitamente il profilo seccomp Unconfined consenti CAP_NET_ADMIN.

    Cluster GKE, inclusi i cluster Autopilot, con Container-Optimized OS (COS) che utilizza Linux È interessato il kernel versione 5.10. Cluster GKE che utilizzano immagini Ubuntu o l'utilizzo di GKE La sandbox non è interessata.

    Che cosa devo fare?

    Esegui l'upgrade dei cluster GKE a una versione che includa la correzione. Le immagini dei nodi Linux per COS sono state aggiornate insieme a GKE che utilizzano le versioni di COS.

    Per motivi di sicurezza, anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo tu manualmente eseguire l'upgrade dei tuoi pool di nodi a uno dei seguenti versioni:

    Versioni COS

    • 1.22.12-gke.300
    • 1.23.8-gke.1900
    • 1.24.2-gke.1900


    Una funzione recente di release consente di applicare una patch senza dover annullare l'iscrizione a un canale. Questo ti consente di eseguire l'upgrade dei nodi versione con patch prima che diventi quella predefinita canale di rilascio selezionato.

    Quali vulnerabilità vengono affrontate da questa patch?

    Con CVE-2022-2327, il kernel Linux nella versione 5.10 ha un vulnerabilità nel sottosistema io_uring in cui vengono tipi di elementi mancanti (flag). Usare queste richieste senza i tipi di elementi specificati possono causare l'escalation dei privilegi a root.
    Alta

    GKE su VMware

    Ultimo aggiornamento: 14/09/2022

    Descrizione Gravità

    È stata scoperta una nuova vulnerabilità (CVE-2022-2327) in Linux che può portare all'escalation dei privilegi locali. Questo consente a un utente senza privilegi di raggiungere un container completo per eseguire il rooting sul nodo.

    Cluster con un'immagine Container Optimized OS (COS) che utilizzano le versioni GKE on VMware 1.10, 1.11 e 1.12 sono interessati.

    Che cosa devo fare?

    Aggiornamento 14/09/2022: le seguenti versioni di GKE on VMware contiene codice che corregge questa vulnerabilità.

    • 1.10.6 o versioni successive
    • 1.11.3 o versioni successive
    • 1.12.1 o versioni successive

    Verranno rilasciate le versioni di GKE on VMware che contengono patch a breve. Questo bollettino sulla sicurezza verrà aggiornato quando GKE on VMware sono disponibili per il download.

    Quali vulnerabilità vengono affrontate da questa patch?

    Con CVE-2022-2327, il kernel Linux nella versione 5.10 ha un vulnerabilità nel sottosistema io_uring in cui vengono tipi di elementi mancanti (flag). Usare queste richieste senza i tipi di elementi specificati possono causare l'escalation dei privilegi a root.

    Alta

    GKE su AWS

    Ultimo aggiornamento: 14/09/2022

    Descrizione Gravità

    È stata scoperta una nuova vulnerabilità (CVE-2022-2327) in Linux che può portare all'escalation dei privilegi locali. Questo consente a un utente senza privilegi di raggiungere un container completo per eseguire il rooting sul nodo.

    Che cosa devo fare?

    Aggiornamento 14/09/2022: i seguenti dati correnti e precedenti di GKE su AWS sono state aggiornato con il codice per correggere questa vulnerabilità. Ti consigliamo di esegui l'upgrade dei nodi a uno dei seguenti GKE su AWS versioni:

    Generazione attuale

    • 1.23.8-gke.1700
    • 1.22.12-gke.200
    • 1.21.14-gke.2100

    Generazione precedente

    • 1.23.8-gke.2000
    • 1.22.12-gke.300
    • 1.21.14-gke.2100

    A breve verranno rilasciate le versioni di GKE su AWS che contengono patch. Questo bollettino sulla sicurezza verrà aggiornato quando GKE su AWS sono disponibili per il download.

    Quali vulnerabilità vengono affrontate da questa patch?

    Con CVE-2022-2327, il kernel Linux nella versione 5.10 ha un vulnerabilità nel sottosistema io_uring in cui vengono tipi di elementi mancanti (flag). Usare queste richieste senza i tipi di elementi specificati possono causare l'escalation dei privilegi a root.

    Alta

    GKE su Azure

    Ultimo aggiornamento: 14/09/2022

    Descrizione Gravità

    È stata scoperta una nuova vulnerabilità (CVE-2022-2327) in Linux che può portare all'escalation dei privilegi locali. Questo consente a un utente senza privilegi di raggiungere un container completo per eseguire il rooting sul nodo.

    Che cosa devo fare?

    Aggiornamento 14/09/2022: le seguenti versioni di GKE su Azure è stato aggiornato con il codice per risolvere questo problema vulnerabilità. Ti consigliamo di eseguire l'upgrade dei nodi a uno le seguenti versioni di GKE on Azure:

    • 1.23.8-gke.1700
    • 1.22.12-gke.200
    • 1.21.14-gke.2100

    A breve verranno rilasciate le versioni di GKE su Azure che contengono patch. Questo bollettino sulla sicurezza verrà aggiornato quando GKE on Azure sono disponibili per il download.

    Quali vulnerabilità vengono affrontate da questa patch?

    Con CVE-2022-2327, il kernel Linux nella versione 5.10 ha un vulnerabilità nel sottosistema io_uring in cui vengono tipi di elementi mancanti (flag). Usare queste richieste senza i tipi di elementi specificati possono causare l'escalation dei privilegi a root.

    Alta

    Google Distributed Cloud Virtual for Bare Metal

    Descrizione Gravità

    È stata scoperta una nuova vulnerabilità (CVE-2022-2327) in Linux che può portare all'escalation dei privilegi locali. Questo consente a un utente senza privilegi di raggiungere un container completo per eseguire il rooting sul nodo.

    Che cosa devo fare?

    Non sono necessarie ulteriori azioni. Google Distributed Cloud Virtual for Bare Metal non è interessato da CVE, poiché non include un sistema operativo distribuzione dei contenuti.

    Nessuno

    GCP-2022-017

    Pubblicato il 29/06/2022
    Ultimo aggiornamento: 22/11/2022
    Riferimento: CVE-2022-1786
    Aggiornamento 22/11/2022: sono state aggiornate le informazioni sui carichi di lavoro che utilizzano GKE Sandbox.
    Aggiornamento 21/07/2022: sono state aggiornate le informazioni relative alle immagini COS di GKE on VMware sono interessati.

    GKE

    Ultimo aggiornamento: 22/11/2022

    Descrizione Gravità

    Aggiornamento 22/11/2022: I carichi di lavoro che utilizzano GKE Sandbox non sono interessati da queste vulnerabilità.


    È stata scoperta una nuova vulnerabilità (CVE-2022-1786) nelle versioni 5.10 del kernel Linux e 5.11. Questa vulnerabilità consente a un utente senza privilegi con accesso locale al cluster di ottenere una container breakout completa per eseguire il root sul nodo. Solo i cluster che vengono eseguiti La modifica interesserà Container-Optimized OS. Le versioni GKE Ubuntu utilizzano la versione 5.4 o 5.15 del kernel, e non sono interessati.

    Che cosa devo fare?

    Le versioni delle immagini dei nodi Linux per Container-Optimized OS per i seguenti elementi di GKE sono state aggiornate con il codice per correggere questa vulnerabilità. Per per motivi di sicurezza, anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire manualmente l'upgrade del nodo in una delle seguenti versioni GKE future:

    • 1.22.10-gke.600
    • 1.23.7-gke.1400
    • 1.24.1-gke.1400

    Una recente funzionalità dei canali di rilascio consente di applicare una patch senza dover annullare l'iscrizione a un canale. Ciò ti consente di eseguire l'upgrade dei nodi alla versione con patch prima che diventerà quella predefinita nel canale di rilascio selezionato.

    Quali vulnerabilità vengono affrontate da questa patch?

    Con CVE-2022-1786, è stato rilevato un errore "use-after-free" nella sezione io_uring del kernel Linux sottosistema. Se un utente configura una suoneria con IORING_CONFIGURA_IOPOLL per più di un'attività completando gli invii sul ring, un utente locale può arrestarsi in modo anomalo o aumentare i propri privilegi all'interno del sistema.

    Alta

    GKE su VMware

    Ultimo aggiornamento: 14/07/2022

    Descrizione Gravità

    È stata scoperta una nuova vulnerabilità (CVE-2022-1786) nelle versioni 5.10 del kernel Linux e 5.11. Questa vulnerabilità consente a un utente senza privilegi con accesso locale al cluster di ottenere una container breakout completa per eseguire il root sul nodo.

    Che cosa devo fare?

    Aggiornamento 21/07/2022: le seguenti versioni di GKE su VMware contengono codice che corregge questa vulnerabilità.

    COS
    • 1.10.5 o versioni successive
    • 1.11.2 o versioni successive
    • 1.12.0 o versioni successive

    Ubuntu

    Non sono necessarie ulteriori azioni. GKE on VMware non utilizza le versioni interessate del kernel Linux.

    Nessuno

    GKE su AWS

    Descrizione Gravità

    È stata scoperta una nuova vulnerabilità (CVE-2022-1786) nelle versioni 5.10 del kernel Linux e 5.11. Questa vulnerabilità consente a un utente senza privilegi con accesso locale al cluster di ottenere una container breakout completa per eseguire il root sul nodo.

    Che cosa devo fare?

    Non sono necessarie ulteriori azioni. GKE su AWS non utilizza le versioni interessate del kernel Linux.

    Nessuno

    GKE su Azure

    Descrizione Gravità

    È stata scoperta una nuova vulnerabilità (CVE-2022-1786) nelle versioni 5.10 del kernel Linux e 5.11. Questa vulnerabilità consente a un utente senza privilegi con accesso locale al cluster di ottenere una container breakout completa per eseguire il root sul nodo.

    Che cosa devo fare?

    Non sono necessarie ulteriori azioni. GKE su Azure non utilizza le versioni interessate del kernel Linux.

    Nessuno

    Google Distributed Cloud Virtual for Bare Metal

    Descrizione Gravità

    È stata scoperta una nuova vulnerabilità (CVE-2022-1786) nelle versioni 5.10 del kernel Linux e 5.11. Questa vulnerabilità consente a un utente senza privilegi con accesso locale al cluster di ottenere una container breakout completa per eseguire il root sul nodo.

    Che cosa devo fare?

    Non sono necessarie ulteriori azioni. Google Distributed Cloud Virtual for Bare Metal non è interessato da questo CVE perché non raggruppa un sistema operativo nella sua distribuzione.

    Nessuno

    GCP-2022-016

    Pubblicato il 23/06/2022
    Ultimo aggiornamento: 22/11/2022
    Riferimento: CVE-2022-29581, CVE-2022-29582, CVE-2022-1116
    Aggiornamento 22/11/2022 : sono state aggiunte informazioni sui carichi di lavoro in esecuzione nei cluster Autopilot.
    Aggiornamento 29/07/2022: versioni aggiornate per GKE su VMware, GKE su AWS e GKE su Azure.

    GKE

    Ultimo aggiornamento: 22/11/2022

    Descrizione Gravità

    Aggiornamento 22/11/2022: I cluster Autopilot non sono interessati da CVE-2022-29581, ma sono vulnerabili a CVE-2022-29582 e CVE-2022-1116.


    Aggiornamento 29-07-2022: I pod che utilizzano GKE Sandbox non sono vulnerabili a queste vulnerabilità.


    Nel kernel di Linux sono state scoperte tre nuove vulnerabilità di corruzione della memoria (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116). Queste vulnerabilità consentono a un utente senza privilegi con accesso locale al cluster di ottenere una suddivisione completa del container per ottenere il root sul nodo. Sono interessati tutti i cluster Linux (Container-Optimized OS e Ubuntu).

    Che cosa devo fare?

    Le versioni delle immagini dei nodi Linux per Container-Optimized OS e Ubuntu per le seguenti versioni di GKE sono state aggiornate con il codice per correggere questa vulnerabilità. Per motivi di sicurezza, anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire manualmente l'upgrade dei pool di nodi a una delle seguenti versioni di GKE:

    • Container-Optimized OS:
      • 1.19.16-gke.13800
      • 1.20.15-gke.8000
      • 1.21.12-gke.1500
      • 1.22.9-gke.1300
      • 1.23.6-gke.1500
      • 1.24.1-gke.1400
    • Ubuntu:
      • 1.20.15-gke.9600
      • 1.21.13-gke.900
      • 1.22.10-gke.600
      • 1.23.7-gke.1400
      • 1.24.1-gke.1400

    Una funzionalità recente dei canali di rilascio consente di applicare una patch senza dover annullare l'iscrizione a un canale. In questo modo puoi eseguire l'upgrade dei nodi alla versione con patch prima che questa versione diventi quella predefinita nel canale di rilascio selezionato.

    Quali vulnerabilità vengono affrontate da questa patch?

    Con CVE-2022-29582, il kernel Linux nelle versioni precedenti alla 5.17.3 ha un uso-after-free a causa di una race condition in timeout io_uring.

    CVE-2022-29581 e CVE-2022-1116 sono vulnerabilità in cui un aggressore locale può causare il danneggiamento della memoria in io_uring o net/sched nel kernel Linux per aumentare i privilegi alla radice.

    Alta

    GKE su VMware

    Ultimo aggiornamento: 29/07/2022

    Descrizione Gravità

    Aggiornamento 29/07/2022: le seguenti versioni di GKE on VMware contiene codice che corregge queste vulnerabilità.

    • 1.9.7 o versioni successive
    • 1.10.5 o versioni successive
    • 1.11.2 o versioni successive
    • 1.12.0 o versioni successive


    Nel kernel di Linux sono state scoperte tre nuove vulnerabilità di corruzione della memoria (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116). Queste vulnerabilità consentono a un utente senza privilegi con accesso locale al cluster di ottenere una suddivisione completa del container per ottenere il root sul nodo. Queste vulnerabilità interessano GKE on VMware v1.9 e successive per Container-Optimized OS e immagini Ubuntu.

    Che cosa devo fare?

    A breve verranno rilasciate le versioni di GKE on VMware che contengono patch. Questo bollettino sulla sicurezza verrà aggiornato quando le versioni di GKE on VMware saranno disponibili per il download.

    Quali vulnerabilità vengono affrontate da questa patch?

    Con CVE-2022-29582, il kernel Linux nelle versioni precedenti alla 5.17.3 ha un uso-after-free a causa di una race condition in timeout io_uring.

    CVE-2022-29581 e CVE-2022-1116 sono vulnerabilità in cui un aggressore locale può causare il danneggiamento della memoria in io_uring o net/sched nel kernel Linux per aumentare i privilegi alla radice.

    Alta

    GKE su AWS

    Ultimo aggiornamento: 29/07/2022

    Descrizione Gravità

    Aggiornamento 29-07-2022: Aggiornamento: le seguenti versioni attuali e precedenti di GKE su AWS sono state aggiornate con codice per correggere queste vulnerabilità. Me di eseguire l'upgrade dei nodi a uno dei seguenti Versioni di GKE su AWS:

    Generazione attuale:

    • 1.23.7-gke.1300
    • 1.22.10-gke.1500
    • 1.21.11-gke.1900
    Generazione precedente:
    • 1.23.7-gke.1500
    • 1.22.10-gke.1500
    • 1.21.13-gke.1600

    Nel kernel di Linux sono state scoperte tre nuove vulnerabilità di corruzione della memoria (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116). Queste vulnerabilità consentono a un utente senza privilegi con accesso locale al cluster di ottenere una suddivisione completa del container per ottenere il root sul nodo. Queste vulnerabilità interessano tutte le versioni di GKE su AWS.

    Che cosa devo fare?

    A breve verranno rilasciate le versioni di GKE su AWS che contengono patch. Questo bollettino sulla sicurezza verrà aggiornato quando le versioni di GKE su AWS saranno disponibili per il download.

    Quali vulnerabilità vengono affrontate da questa patch?

    Con CVE-2022-29582, il kernel Linux nelle versioni precedenti alla 5.17.3 ha un uso-after-free a causa di una race condition in timeout io_uring.

    CVE-2022-29581 e CVE-2022-1116 sono vulnerabilità in cui un aggressore locale può causare il danneggiamento della memoria in io_uring o net/sched nel kernel Linux per aumentare i privilegi alla radice.

    Alta

    GKE su Azure

    Descrizione Gravità

    Aggiornamento 29-07-2022: Aggiornamento: le seguenti versioni di GKE su Azure sono state aggiornate con codice per correggere queste vulnerabilità. Me di eseguire l'upgrade dei nodi a uno dei seguenti Versioni di GKE su Azure:

    • 1.23.7-gke.1300
    • 1.22.10-gke.1500
    • 1.21.11-gke.1900


    Nel kernel di Linux sono state scoperte tre nuove vulnerabilità di corruzione della memoria (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116). Queste vulnerabilità consentono a un utente senza privilegi con accesso locale al cluster di ottenere una suddivisione completa del container per ottenere il root sul nodo. Queste vulnerabilità interessano tutte le versioni di GKE su Azure.

    Che cosa devo fare?

    A breve verranno rilasciate le versioni di GKE su Azure che contengono patch. Questo bollettino sulla sicurezza verrà aggiornato quando le versioni di GKE su Azure saranno disponibili per il download.

    Quali vulnerabilità vengono affrontate da questa patch?

    Con CVE-2022-29582, il kernel Linux nelle versioni precedenti alla 5.17.3 ha un uso-after-free a causa di una race condition in timeout io_uring.

    CVE-2022-29581 e CVE-2022-1116 sono vulnerabilità in cui un aggressore locale può causare il danneggiamento della memoria in io_uring o net/sched nel kernel Linux per aumentare i privilegi alla radice.

    Alta

    Google Distributed Cloud Virtual for Bare Metal

    Descrizione Gravità

    Nel kernel di Linux sono state scoperte tre nuove vulnerabilità di corruzione della memoria (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116). Queste vulnerabilità consentono a un utente senza privilegi con accesso locale al cluster di ottenere una suddivisione completa del container per ottenere il root sul nodo.

    Che cosa devo fare?

    Non sono necessarie ulteriori azioni. Google Distributed Cloud Virtual for Bare Metal non è interessato da questa vulnerabilità, in quanto non include un sistema operativo nella sua distribuzione.

    Nessuno

    GCP-2022-014

    Pubblicato il 26/04/2022
    Ultimo aggiornamento: 22/11/2022
    Aggiornamento 22/11/2022: sono state aggiunte informazioni sui carichi di lavoro in esecuzione nei cluster Autopilot.
    Aggiornamento 12/05/2022: versioni patch aggiornate per GKE su AWS e GKE su Azure.
    Riferimento: CVE-2022-1055, CVE-2022-27666

    GKE

    Ultimo aggiornamento: 22/11/2022

    Descrizione Gravità

    Aggiornamento 22/11/2022: I cluster e i carichi di lavoro GKE Autopilot in esecuzione in GKE Sandbox non sono interessati da queste vulnerabilità.


    Nel kernel di Linux sono state scoperte due vulnerabilità di sicurezza, CVE-2022-1055 e CVE-2022-27666. Ognuno di essi può portare un utente malintenzionato locale a eseguire una container breakout, escalation dei privilegi sull’host o entrambi. Queste vulnerabilità interessano tutti i sistemi operativi dei nodi GKE (Container-Optimized OS e Ubuntu).

    Dettagli tecnici

    In CVE-2022-1055, un aggressore può sfruttare "use-after-free" in tc_new_tfilter() che consente a un aggressore locale nel container di aumentare i privilegi per ottenere il root sul nodo.

    In CVE-2022-27666, l’overflow del buffer in esp/esp6_output_head consente a un aggressore locale nel container di aumentare i privilegi di root sul nodo.

    Che cosa devo fare?

    Le versioni delle immagini dei nodi Linux per le seguenti versioni di GKE sono state aggiornate con il codice per correggere queste vulnerabilità. Esegui l'upgrade dei cluster a una delle seguenti versioni di GKE future:

    • 1.19.16-gke.11000 e versioni successive
    • 1.20.15-gke.5200 e versioni successive
    • 1.21.11-gke.1100 e versioni successive
    • 1.22.8-gke.200 e versioni successive
    • 1.23.5-gke.1500 e versioni successive

    Quali vulnerabilità vengono affrontate da questa patch?

    Alta

    GKE su VMware

    Descrizione Gravità

    Nel kernel di Linux sono state scoperte due vulnerabilità di sicurezza, CVE-2022-1055 e CVE-2022-27666. Ognuno di essi può portare un utente malintenzionato locale a eseguire una container breakout, escalation dei privilegi sull’host o entrambi. Queste vulnerabilità interessano tutti i sistemi operativi dei nodi GKE (Container-Optimized OS e Ubuntu).

    Dettagli tecnici

    In CVE-2022-1055, un aggressore può sfruttare "use-after-free" in tc_new_tfilter() che consente a un aggressore locale nel container di aumentare i privilegi per ottenere il root sul nodo.

    In CVE-2022-27666, l’overflow del buffer in esp/esp6_output_head consente a un aggressore locale nel container di aumentare i privilegi di root sul nodo.

    Che cosa devo fare?

    Esegui l'upgrade del cluster a una versione con patch. Le seguenti versioni di GKE on VMware o più recenti contengono la correzione per questa vulnerabilità:

    • 1.9.6 (imminente)
    • 1.10.3
    • 1.11.0 (imminente)

    Quali vulnerabilità vengono affrontate da questa patch?

    Alta

    GKE su AWS

    Ultimo aggiornamento: 12/05/2022

    Descrizione Gravità

    Nel kernel di Linux sono state scoperte due vulnerabilità di sicurezza, CVE-2022-1055 e CVE-2022-27666. Ognuno di essi può portare un utente malintenzionato locale a eseguire una container breakout, escalation dei privilegi sull’host o entrambi. Queste vulnerabilità interessano tutti i sistemi operativi dei nodi GKE (Container-Optimized OS e Ubuntu).

    Dettagli tecnici

    In CVE-2022-1055, un aggressore può sfruttare "use-after-free" in tc_new_tfilter() che consente a un aggressore locale nel container di aumentare i privilegi per ottenere il root sul nodo.

    In CVE-2022-27666, l’overflow del buffer in esp/esp6_output_head consente a un aggressore locale nel container di aumentare i privilegi di root sul nodo.

    Che cosa devo fare?

    Aggiornamento 12-05-2022: Le seguenti versioni attuali e precedenti di GKE su AWS sono state aggiornato con il codice per correggere queste vulnerabilità. Ti consigliamo di eseguire l'upgrade dei nodi a una delle seguenti versioni GKE on AWS:

    Generazione attuale
      .
    • 1.21.11-gke.1100
    • 1.22.8-gke.1300
    Generazione precedente
    • 1.20.15-gke.5200
    • 1.21.11-gke.1100
    • 1.22.8-gke.1300

    Esegui l'upgrade del cluster a una versione con patch. Le patch saranno disponibili in una release futura. Questo bollettino verrà aggiornato non appena sarà disponibile.

    Quali vulnerabilità vengono affrontate da questa patch?

    Alta

    GKE su Azure

    Ultimo aggiornamento: 12/05/2022

    Descrizione Gravità

    Nel kernel di Linux sono state scoperte due vulnerabilità di sicurezza, CVE-2022-1055 e CVE-2022-27666. Ognuno di essi può portare un utente malintenzionato locale a eseguire una container breakout, escalation dei privilegi sull’host o entrambi. Queste vulnerabilità interessano tutti i sistemi operativi dei nodi GKE (Container-Optimized OS e Ubuntu).

    Dettagli tecnici

    In CVE-2022-1055, un aggressore può sfruttare "use-after-free" in tc_new_tfilter() che consente a un aggressore locale nel container di aumentare i privilegi per ottenere il root sul nodo.

    In CVE-2022-27666, l’overflow del buffer in esp/esp6_output_head consente a un aggressore locale nel container di aumentare i privilegi di root sul nodo.

    Che cosa devo fare?

    Aggiornamento 12-05-2022: Le seguenti versioni di GKE su Azure sono state aggiornate con il codice da correggere queste vulnerabilità. Ti consigliamo di eseguire l'upgrade dei nodi a uno dei seguenti Versioni di GKE su Azure:

    • 1.21.11-gke.1100
    • 1.22.8-gke.1300

    Esegui l'upgrade del cluster a una versione con patch. Le patch saranno disponibili in una release futura. Questo bollettino verrà aggiornato non appena sarà disponibile.

    Quali vulnerabilità vengono affrontate da questa patch?

    Alta

    Google Distributed Cloud Virtual for Bare Metal

    Descrizione Gravità

    Nel kernel di Linux sono state scoperte due vulnerabilità di sicurezza, CVE-2022-1055 e CVE-2022-27666. Ognuno di essi può portare un utente malintenzionato locale a eseguire una container breakout, escalation dei privilegi sull’host o entrambi. Queste vulnerabilità interessano tutti i sistemi operativi dei nodi GKE (Container-Optimized OS e Ubuntu).

    Dettagli tecnici

    In CVE-2022-1055, un aggressore può sfruttare "use-after-free" in tc_new_tfilter() che consente a un aggressore locale nel container di aumentare i privilegi per ottenere il root sul nodo.

    In CVE-2022-27666, l’overflow del buffer in esp/esp6_output_head consente a un aggressore locale nel container di aumentare i privilegi di root sul nodo.

    Che cosa devo fare?

    Non sono necessarie ulteriori azioni. Google Distributed Cloud Virtual for Bare Metal non è interessato da questo CVE, in quanto non include Linux nel suo pacchetto. Devi assicurarti che le immagini dei nodi che utilizzi vengano aggiornate alle versioni contenenti la correzione per CVE-2022-1055 e CVE-2022-27666.

    Quali vulnerabilità vengono affrontate da questa patch?

    Alta

    GCP-2022-013

    Pubblicato il 11/04/2022
    Ultimo aggiornamento: 20/04/2022
    Riferimento: CVE-2022-23648
    Aggiornamento 22/04/2022: versioni patch aggiornate per Google Distributed Cloud Virtual for Bare Metal e GKE on VMware.

    GKE

    Descrizione Gravità

    È stata scoperta una vulnerabilità di sicurezza, CVE-2022-23648, nella gestione del path traversal da parte di containerd nella specifica del volume di immagini OCI. I container lanciati tramite l'implementazione CRI di containerd con una configurazione di immagine appositamente creata potrebbero ottenere l'accesso completo in lettura a file e directory arbitrari sull'host.

    Questa vulnerabilità può bypassare qualsiasi applicazione basata su criteri nella configurazione dei container (incluso un criterio di sicurezza dei pod di Kubernetes). Questa vulnerabilità interessa tutti i sistemi operativi dei nodi GKE (Container-Optimized OS e Ubuntu) che utilizzano containerd per impostazione predefinita. Sono interessati tutti i nodi GKE, Autopilot e GKE Sandbox.

    Che cosa devo fare?

    Le versioni delle immagini dei nodi Linux per le seguenti versioni di GKE sono state aggiornate con il codice per correggere questa vulnerabilità. Per motivi di sicurezza, anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire manualmente l'upgrade dei nodi a una delle seguenti versioni di GKE:

    • 1.19.16-gke.9400
    • 1.20.15-gke.3600
    • 1.21.10-gke.1500
    • 1.22.7-gke.1500
    • 1.23.4-gke.1500

    Una funzionalità recente dei canali di rilascio consente di applicare una patch senza dover annullare l'iscrizione a un canale. In questo modo puoi proteggere i nodi fino a quando la nuova versione non diventa quella predefinita per il tuo canale di rilascio specifico.

    Medio

    GKE su VMware

    Ultimo aggiornamento: 22/04/2022

    Descrizione Gravità

    È stata scoperta una vulnerabilità di sicurezza, CVE-2022-23648, nella gestione del path traversal da parte di containerd nella specifica del volume di immagini OCI. I container lanciati tramite l'implementazione CRI di containerd con una configurazione di immagine appositamente creata potrebbero ottenere l'accesso completo in lettura a file e directory arbitrari sull'host.

    Questa vulnerabilità può bypassare qualsiasi applicazione basata su criteri nella configurazione dei container (incluso un criterio di sicurezza dei pod di Kubernetes). Questa vulnerabilità interessa tutti i servizi GKE on VMware con stackdriver abilitato, che utilizza containerd. Sono interessate le versioni di GKE on VMware 1.8, 1.9 e 1.10

    Che cosa devo fare?

    Aggiornamento 22/04/2022 : le seguenti versioni di GKE on VMware contengono codice che corregge questa vulnerabilità.

    • 1.9.5 o versioni successive
    • 1.10.3 o versioni successive
    • 1.11.0 o versioni successive

    Le seguenti versioni di GKE su VMware sono state aggiornate con codice per correggere questa vulnerabilità. Ti consigliamo di eseguire l'upgrade dei nodi a una delle seguenti versioni di GKE on VMware:

    • 1.8.8 o versioni successive
    • 1.9.5 o versioni successive
    • 1.10.2 o versioni successive

    Questo CVE può essere mitigato impostando IgnoraImageDefiniscidVolumes su true.

    Medio

    GKE su AWS

    Descrizione Gravità

    È stata scoperta una vulnerabilità di sicurezza, CVE-2022-23648, nella gestione del path traversal da parte di containerd nella specifica del volume di immagini OCI. I container lanciati tramite l'implementazione CRI di containerd con una configurazione di immagine appositamente creata potrebbero ottenere l'accesso completo in lettura a file e directory arbitrari sull'host.

    Questa vulnerabilità può bypassare qualsiasi applicazione basata su criteri nella configurazione dei container (incluso un criterio di sicurezza dei pod di Kubernetes). Sono interessate tutte le versioni di GKE su AWS.

    Che cosa devo fare?

    Le seguenti versioni di GKE su AWS sono state aggiornate con il codice per correggere questa vulnerabilità. Ti consigliamo di eseguire l'upgrade dei nodi a una delle seguenti versioni di GKE su AWS.

    GKE su AWS (generazione attuale)
    • Versione 1.22: 1.22.8-gke.200
    • Versione 1.21: 1.21.11-gke.100
    GKE su AWS (generazione precedente)
    • Versione 1.22: 1.22.8-gke.300
    • Versione 1.21: 1.21.11-gke.100
    • Versione 1.20: 1.20.15-gke.2200

    Questo CVE può essere mitigato impostando IgnoraImageDefiniscidVolumes su true.

    Medio

    GKE su Azure

    Descrizione Gravità

    È stata scoperta una vulnerabilità di sicurezza, CVE-2022-23648, nella gestione del path traversal da parte di containerd nella specifica del volume di immagini OCI. I container lanciati tramite l'implementazione CRI di containerd con una configurazione di immagine appositamente creata potrebbero ottenere l'accesso completo in lettura a file e directory arbitrari sull'host.

    Questa vulnerabilità può bypassare qualsiasi applicazione basata su criteri nella configurazione dei container (incluso un criterio di sicurezza dei pod di Kubernetes). Sono interessate tutte le versioni di GKE su Azure.

    Che cosa devo fare?

    Le seguenti versioni di GKE su Azure sono state aggiornate con il codice per correggere questa vulnerabilità. Ti consigliamo di eseguire l'upgrade dei nodi nel seguente modo:

    • Versione 1.22: 1.22.8-gke.200
    • Versione 1.21: 1.21.11-gke.100

    Questo CVE può essere mitigato impostando IgnoraImageDefiniscidVolumes su true.

    Medio

    Google Distributed Cloud Virtual for Bare Metal

    Ultimo aggiornamento: 22/04/2022

    Descrizione Gravità

    È stata scoperta una vulnerabilità di sicurezza, CVE-2022-23648, nella gestione del path traversal da parte di containerd nella specifica del volume di immagini OCI. I container lanciati tramite l'implementazione CRI di containerd con una configurazione di immagine appositamente creata potrebbero ottenere l'accesso completo in lettura a file e directory arbitrari sull'host.

    Questa vulnerabilità può bypassare qualsiasi applicazione basata su criteri nella configurazione dei container (incluso un criterio di sicurezza dei pod di Kubernetes). Questa vulnerabilità interessa tutti i servizi Google Distributed Cloud Virtual for Bare Metal che utilizzano containerd. Sono interessate le versioni 1.8, 1.9 e 1.10 di Google Distributed Cloud Virtual for Bare Metal

    Che cosa devo fare?

    Aggiornamento 22/04/2022: le seguenti versioni di Google Distributed Cloud Virtual for Bare Metal contengono codice che corregge questa vulnerabilità.

    • 1.8.9 o versioni successive
    • 1.9.6 o versioni successive
    • 1.10.3 o versioni successive
    • 1.11.0 o versioni successive

    Le seguenti versioni di Google Distributed Cloud Virtual for Bare Metal sono state aggiornate con il codice per correggere questa vulnerabilità. Ti consigliamo di eseguire l'upgrade dei nodi a una delle seguenti versioni Google Distributed Cloud Virtual for Bare Metal:

    • 1.8.8 o versioni successive
    • 1.9.5 o versioni successive
    • 1.10.2 o versioni successive

    Questo CVE può essere mitigato impostando IgnoraImageDefiniscidVolumes su true.

    Medio

    GCP-2022-012

    Pubblicato il 07/04/2022
    Ultimo aggiornamento: 22/11/2022
    Riferimento: CVE-2022-0847
    Aggiornamento 22/11/2022: informazioni aggiornate sui carichi di lavoro che utilizzano GKE Sandbox.

    GKE

    Ultimo aggiornamento: 22/11/2022

    Descrizione Gravità

    Aggiornamento 22/11/2022: I carichi di lavoro che utilizzano GKE Sandbox non sono interessati da queste vulnerabilità.


    Nel kernel Linux versione 5.8 e successive è stata scoperta una vulnerabilità di sicurezza, CVE-2022-0847, che può potenzialmente aumentare i privilegi del container alla radice. Questa vulnerabilità interessa tutte le versioni dei pool di nodi GKE v1.22 e successive che utilizzano immagini di Container-Optimized OS (Container-Optimized OS 93 e versioni successive). I pool di nodi GKE che utilizzano il sistema operativo Ubuntu non sono interessati.

    Che cosa devo fare?

    Le versioni delle immagini dei nodi Linux per le seguenti versioni di GKE sono state aggiornate con il codice per correggere questa vulnerabilità. Per motivi di sicurezza, anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire manualmente l'upgrade dei pool di nodi a una delle seguenti versioni di GKE:

    • 1.22.7-gke.1500 e versioni successive
    • 1.23.4-gke.1600 e versioni successive

    Una funzionalità recente dei canali di rilascio consente di applicare una versione patch di altri canali di rilascio senza dover annullare l'iscrizione a un canale. In questo modo puoi proteggere i nodi fino a quando la nuova versione non diventerà quella predefinita per il canale specifico di rilascio.

    Quali vulnerabilità vengono affrontate da questa patch?

    CVE-2022-0847 si riferisce al flag PIPE_BUF_FLAG_CAN_MERGE che è stato introdotto nella versione 5.8 del kernel Linux. In questa vulnerabilità, i "flag" membro della nuova struttura del buffer pipe non era stato inizializzato correttamente nel kernel Linux. Un aggressore locale senza privilegi può usare questo difetto per scrivere pagine nella cache della pagina supportate da file di sola lettura e aumentare i propri privilegi.

    Le nuove versioni di Container-Optimized OS che risolvono questo problema sono state integrate nelle versioni aggiornate del pool di nodi di GKE.

    Alta

    GKE su VMware

    Descrizione Gravità

    Nel kernel Linux versione 5.8 e successive è stata scoperta una vulnerabilità di sicurezza, CVE-2022-0847, che può potenzialmente aumentare i privilegi alla radice. Questa vulnerabilità interessa GKE on VMware v1.10 per le immagini Container-Optimized OS. Attualmente, GKE su VMware con Ubuntu è sulla versione del kernel 5.4 e non è vulnerabile a questo attacco.

    Che cosa devo fare?

    Le versioni delle immagini dei nodi Linux per le seguenti versioni di GKE on VMware sono state aggiornate con il codice per correggere questa vulnerabilità. Ti consigliamo di eseguire l'upgrade dei cluster di amministrazione e utente alla seguente versione di GKE on VMware:

    • 1.10.3

    Quali vulnerabilità vengono affrontate da questa patch?

    CVE-2022-0847 si riferisce al flag PIPE_BUF_FLAG_CAN_MERGE che è stato introdotto nella versione 5.8 del kernel Linux. In questa vulnerabilità, i "flag" membro della nuova struttura del buffer pipe non era stato inizializzato correttamente nel kernel Linux. Un aggressore locale senza privilegi può usare questo difetto per scrivere pagine nella cache della pagina supportate da file di sola lettura e aumentare i propri privilegi.

    Le nuove versioni di Container-Optimized OS che risolvono questo problema sono state integrate nelle versioni aggiornate di GKE on VMware.

    Alta

    GKE su AWS

    Descrizione Gravità

    Nel kernel Linux versione 5.8 e successive è stata scoperta una vulnerabilità di sicurezza, CVE-2022-0847, che può potenzialmente aumentare i privilegi alla radice.

    Questa vulnerabilità interessa i cluster gestiti di GKE su AWS v1.21 e i cluster in esecuzione su GKE su AWS (generazione precedente) v1.19, v1.20, v1.21, che utilizzano Ubuntu.

    Che cosa devo fare?

    Le versioni delle immagini dei nodi Linux per le seguenti versioni di GKE su AWS sono state aggiornate con il codice per correggere questa vulnerabilità.

    Per GKE gestito su AWS, ti consigliamo di eseguire l'upgrade dei cluster utente e del pool di nodi a una delle seguenti versioni:

    • 1.21.11-gke.100

    Per GKE k-lite su AWS, ti consigliamo di eseguire l'upgrade degli oggetti AWSManagementService, AWSCluster e AWSNodePool alla versione seguente:

    • 1.21.11-gke.100
    • 1.20.15-gke.2200

    Quali vulnerabilità vengono affrontate da questa patch?

    CVE-2022-0847 si riferisce al flag PIPE_BUF_FLAG_CAN_MERGE che è stato introdotto nella versione 5.8 del kernel Linux. In questa vulnerabilità, i "flag" membro della nuova struttura del buffer pipe non era stato inizializzato correttamente nel kernel Linux. Un aggressore locale senza privilegi può usare questo difetto per scrivere pagine nella cache della pagina supportate da file di sola lettura e aumentare i propri privilegi.

    Alta

    GKE su Azure

    Descrizione Gravità

    Nel kernel Linux versione 5.8 e successive è stata scoperta una vulnerabilità di sicurezza, CVE-2022-0847, che può potenzialmente aumentare i privilegi alla radice. Questa vulnerabilità interessa i cluster gestiti di GKE su Azure v1.21 che utilizzano Ubuntu.

    Che cosa devo fare?

    Le versioni delle immagini dei nodi Linux per le seguenti versioni di GKE su Azure sono state aggiornate con il codice per correggere questa vulnerabilità. Ti consigliamo di eseguire l'upgrade dei cluster utente e del pool di nodi alla versione seguente:

    • 1.21.11-gke.100

    Quali vulnerabilità vengono affrontate da questa patch?

    CVE-2022-0847 si riferisce al flag PIPE_BUF_FLAG_CAN_MERGE che è stato introdotto nella versione 5.8 del kernel Linux. In questa vulnerabilità, i "flag" membro della nuova struttura del buffer pipe non era stato inizializzato correttamente nel kernel Linux. Un aggressore locale senza privilegi può usare questo difetto per scrivere pagine nella cache della pagina supportate da file di sola lettura e aumentare i propri privilegi.

    Alta

    Google Distributed Cloud Virtual for Bare Metal

    Descrizione Gravità

    Nel kernel Linux versione 5.8 e successive è stata scoperta una vulnerabilità di sicurezza, CVE-2022-0847, che può potenzialmente aumentare i privilegi alla radice.

    Che cosa devo fare?

    Non è richiesta alcuna azione da parte tua. Google Distributed Cloud Virtual for Bare Metal non è interessato da questo CVE, in quanto non include Linux nel suo pacchetto. Devi assicurarti che le immagini dei nodi che utilizzi vengano aggiornate alle versioni contenenti la correzione per CVE-2022-0847.

    Alta

    GCP-2022-011

    Pubblicato il 22/03/2022
    Ultimo aggiornamento: 11/08/2022

    Aggiornamento dell'11/08/2022 : sono stati aggiunti ulteriori dettagli sugli effetti dell'errata configurazione di SMT.

    GKE

    Descrizione Gravità

    Aggiornamento 11/08/2022: sono state aggiunte ulteriori informazioni sui Configurazione Multi-Threading simultaneo (SMT). Lo scopo di SMT era disattivato, ma è stato attivato nelle versioni elencate.

    Se manualmente SMT abilitato per un pool di nodi con sandbox, SMT rimarrà abilitato manualmente nonostante questo problema.


    Nelle immagini GKE Sandbox è presente un errore di configurazione con il multi-Threading simultaneo (SMT), noto anche come hyperthreading. L'errata configurazione lascia i nodi potenzialmente esposti Attacchi a canale laterale come Microarchitectural Data Sampling (MDS) (per ulteriori informazioni, consulta la documentazione di GKE Sandbox). Sconsigliamo di utilizzare le seguenti versioni interessate:

    • 1.22.4-gke.1501
    • 1.22.6-gke.300
    • 1.23.2-gke.300
    • 1.23.3-gke.600

    Se hai abilitato manualmente SMT per un pool di nodi, questo problema non interessa i nodi sottoposti a sandbox.

    Che cosa devo fare?

    Esegui l'upgrade dei nodi a una delle seguenti versioni:

    • 1.22.6-gke.1500 e versioni successive
    • 1.23.3-gke.1100 e versioni successive

    Quale vulnerabilità viene affrontata da questa patch?

    SMT è disabilitato per impostazione predefinita nei nodi GKE Sandbox, in modo da mitigare gli attacchi a canale laterale.

    Medio

    GCP-2022-009

    Pubblicato il 01/03/2022
    Ultimo aggiornamento: 15/03/2022

    GKE

    Descrizione Gravità

    Aggiornamento 15/03/2022: sono state aggiunte guide alla protezione avanzata per GKE su AWS e GKE su Azure. È stata aggiunta una sezione sulla persistenza che utilizza i webhook.


    Potrebbero essere stati utilizzati alcuni percorsi imprevisti per accedere alla VM nodo nei cluster GKE Autopilot per riassegnare i privilegi nel cluster. Questi problemi sono stati risolti e non sono necessarie ulteriori azioni. Le correzioni risolvono i problemi segnalati tramite il nostro Vulnerability Reward Program.

    Gli utenti dei cluster GKE Standard e GKE possono facoltativamente applicare un criterio di protezione simile descritto di seguito.

    Dettagli tecnici

    Accesso host tramite esenzioni dei criteri di terze parti

    Per consentire a Google Cloud di offrire la gestione completa dei nodi e uno SLA (accordo sul livello del servizio) a livello di pod, GKE Autopilot limita alcune primitive Kubernetes con privilegi elevati per limitare i carichi di lavoro in modo che non abbiano un accesso di basso livello alla VM del nodo. Per farlo nel contesto: GKE Standard offre accesso completo al computing sottostante, Autopilot presenta un accesso limitato e Cloud Run non offre alcun accesso.

    Autopilot allenta alcune di queste restrizioni per un elenco predefinito di strumenti di terze parti per consentire ai clienti di eseguire questi strumenti su Autopilot senza apportare modifiche. Utilizzando i privilegi per creare pod con montaggi di percorsi host, il ricercatore è stato in grado di eseguire un container con privilegi in un pod simile a uno di questi strumenti di terze parti consentiti per ottenere l'accesso all'host.

    La possibilità di pianificare i pod in questo modo è prevista su GKE Standard, ma non su GKE Autopilot, in quanto ha ignorato le restrizioni dell'accesso all'host utilizzate per abilitare lo SLA (accordo sul livello del servizio) descritte in precedenza.

    Il problema è stato risolto stringendo la specifica dei pod di terze parti per la lista consentita.

    Escalation dei privilegi da root-on-node

    Oltre all'accesso all'host, i pod stackdriver-metadata-agent-cluster-level e metrics-server sono stati identificati come con privilegi elevati. Dopo aver ottenuto l'accesso al nodo a livello di directory principale, questi servizi possono essere utilizzati per ottenere un ulteriore controllo sul cluster.

    Abbiamo deprecato e rimosso stackdriver-metadata-agent sia per GKE Standard che per Autopilot. Questo componente è ancora in uso su GKE on VMware e Google Distributed Cloud Virtual for Bare Metal.

    Come misura di protezione del sistema per prevenire questo tipo di attacco in futuro, applicheremo un vincolo Autopilot in una release futura che impedisce gli aggiornamenti all'account di servizio di vari oggetti nello spazio dei nomi kube-system. Abbiamo sviluppato un criterio di Gatekeeper per consentirti di applicare una protezione simile ai cluster GKE Standard e ai cluster GKE, al fine di impedire l'automodifica dei carichi di lavoro con privilegi. Questo criterio viene applicato automaticamente per i cluster Autopilot. Per istruzioni, consulta le seguenti guide di protezione:


    Addition 15/03/2022: persistenza con webhook mutanti

    Nel report sono stati utilizzati webhook con mutazione per stabilire un punto d'appoggio privilegiato nel cluster dopo la compromissione. Si tratta di parti standard dell'API Kubernetes create dagli amministratori del cluster e sono state rese visibili agli amministratori quando Autopilot ha aggiunto il supporto per i webhook definiti dal cliente.


    Account di servizio con privilegi nello spazio dei nomi predefinito

    I criteri di applicazione forzata di Autopilot hanno inserito in precedenza nella lista consentita due account di servizio nello spazio dei nomi predefinito: csi-attacher e otelsvc per concedere agli account di servizio privilegi speciali. Un utente malintenzionato con privilegi elevati, incluse le autorizzazioni per creare oggetti ClusterRoleBinding e con accesso per creare pod nello spazio dei nomi predefinito, potrebbe utilizzare questi nomi degli account di servizio per accedere a questi privilegi aggiuntivi. Questi servizi sono stati spostati nello spazio dei nomi kube-system per ottenere la protezione del criterio Autopilot esistente. I cluster GKE Standard e i cluster GKE non sono interessati.

    Che cosa devo fare?

    I criteri di tutti i cluster GKE Autopilot sono stati aggiornati per rimuovere l'accesso indesiderato all'host e non sono necessarie ulteriori azioni.

    Nelle prossime settimane verrà applicato un ulteriore rafforzamento dei criteri ad Autopilot come protezione secondaria. Non è richiesta alcuna azione da parte tua.

    I cluster GKE Standard e i cluster GKE non sono interessati in quanto gli utenti hanno già accesso all'host. Come misura di protezione del sistema, gli utenti dei cluster GKE Standard e dei cluster GKE possono applicare una protezione simile con un criterio di Gatekeeper che impedisce l'automodifica dei carichi di lavoro con privilegi. Per istruzioni, consulta le seguenti guide di protezione:

    Bassa

    GCP-2022-008

    Pubblicato il 23/02/2022
    Ultimo aggiornamento: 28/04/2022
    Riferimento: CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-21654, CVE-2022-21657, CVE-2022-21656

    GKE

    Descrizione Gravità
    Il progetto Envoy ha recentemente scoperto una serie di vulnerabilità, CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-21654, CVE-2022-21657 e CVE-2022-21656 che potrebbe influire sui cluster GKE che utilizzano Anthos Service Mesh, Istio-on-GKE o deployment Istio personalizzati.
    Tutti i problemi elencati di seguito sono stati risolti nella release 1.21.1 di Envoy.
    Background tecnico
    Ulteriori dettagli per queste vulnerabilità sono disponibili qui.

    Che cosa devo fare?

    I cluster GKE che eseguono Anthos Service Mesh devono eseguire l'upgrade a versione supportata con correzione delle vulnerabilità indicate sopra
    • Se utilizzi Anthos Service Mesh 1.12, esegui l'upgrade a v1.12.4-asm.0.
    • Se utilizzi Anthos Service Mesh 1.11, esegui l'upgrade a v1.11.7-asm.1.
    • Se utilizzi Anthos Service Mesh 1.10, esegui l'upgrade a v1.10.6-asm.1.
    Se utilizzi Anthos Service Mesh 1.9 o versioni precedenti, la tua release ha raggiunto la fine del ciclo di vita e non è più supportati. Queste correzioni CVE non sono state sottoposte a backport. Dovresti eseguire l'upgrade ad ASM 1.10 o versioni successive.

    I cluster GKE che eseguono Istio-on-GKE devono eseguire l'upgrade a un versione con correzione alle vulnerabilità riportate sopra
    • Se utilizzi Istio-on-GKE 1.6, esegui l'upgrade a v1.6.14-gke.8.
    • Se utilizzi Istio-on-GKE 1.4.11, esegui l'upgrade a v1.4.11-gke.4.
    • Se utilizzi Istio-on-GKE 1.4.10, esegui l'upgrade a v1.4.10-gke.23.
    • Se utilizzi GKE 1.22 o versioni successive, usa Istio GKE 1.4.10. In caso contrario, usa Istio-on-GKE 1.4.11.

    Quali vulnerabilità vengono affrontate da questa patch?

    CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-21654, CVE-2022-21657, e CVE-2022-21656
    Alta

    GKE su VMware

    Ultimo aggiornamento: 28/04/2022

    Descrizione Gravità
    Envoy ha recentemente rilasciato diverse correzioni di vulnerabilità della sicurezza. GKE su VMware è interessato perché Envoy viene utilizzato con Metrics-Server. La Le CVE di Envoy che stiamo correggendo sono elencate di seguito. Aggiorneremo bollettino con versioni specifiche quando sono disponibili:
    • CVE-2021-43824 (punteggio CVSS 6,5, medio): Potenziale dereferenza del puntatore nullo quando si utilizza il filtro JWT secure_regex corrispondono.
      Nota: anche se ASM/Istio-on-GKE non supportano i filtri Envoy, ciò potrebbe interessarti se utilizzi l'espressione regolare del filtro JWT.
    • CVE-2021-43825 (punteggio CVSS 6.1, medio): Usa-dopo-gratis quando i filtri di risposta aumentano i dati di risposta e aumentano i dati superano i limiti di buffer downstream.
      Nota: anche se le soluzioni ASM/Istio-on-GKE non supportano i filtri Envoy, l'uso della funzione di decompressione potrebbe interessarti filtro.
    • CVE-2021-43826 (punteggio CVSS 6.1, medio): Use-after-free durante il tunneling di TCP su HTTP, se il downstream si disconnette durante la creazione di una connessione upstream.
      Nota: sebbene ASM/Istio-on-GKE non supportano i filtri Envoy, ciò potrebbe riguardarti se usare un filtro di tunneling.
    • CVE-2022-21654 (punteggio CVSS 7,3, alto): errato la gestione della configurazione consente il riutilizzo della sessione mTLS senza riconvalida dopo la modifica delle impostazioni di convalida.
      Nota: tutti i servizi ASM/Istio-on-GKE che utilizzano mTLS sono interessati da questo CVE.
    • CVE-2022-21655 (punteggio CVSS 7,5, alto): errato Gestione dei reindirizzamenti interni verso route con risposta diretta .
      Nota: anche se ASM/Istio-on-GKE non supportano i filtri Envoy, questo potrebbe influire se utilizzi un filtro di risposta diretta.
    • CVE-2022-23606 (punteggio CVSS 4,4, medio): stack di esaurimento quando un cluster viene eliminato tramite Cluster Discovery. assistenza.
      Nota: ASM 1.11 e versioni successive sono interessate da questo CVE. ASM 1.10 e tutte Istio-on-GKE non è interessato da questo CVE.
    • CVE-2022-21657 (punteggio CVSS 3.1, basso): Envoy alla versione 1.20.1 contiene una vulnerabilità sfruttabile da remoto a causa di X.509 Bypass dell'utilizzo esteso della chiave e degli scopi di attendibilità.
    • CVE-2022-21656 (punteggio CVSS 3.1, basso): Envoy alla versione 1.20.1 contiene una vulnerabilità sfruttabile da remoto a causa di X.509 La corrispondenza di subjectAltName (e nameConstraints) ignora.

    Istio ha rilasciato di recente una correzione della vulnerabilità di sicurezza. Anthos on VMware è interessato perché viene utilizzato Istio per il traffico in entrata. Le CVE di Istio che stiamo correggendo. Aggiorneremo questo bollettino con specifiche delle versioni quando sono disponibili:

    CVE-2022-23635 (punteggio CVSS 7.5, alto): Istiod si blocca alla ricezione di richieste con un'intestazione "di autorizzazione" appositamente creata.


    Per le descrizioni complete e l'impatto delle CVE precedenti, fai riferimento al team di sicurezza bollettini.

    28/04/2022 Aggiunta: Cosa devo fare?

    Le seguenti versioni di GKE on VMware risolvono queste vulnerabilità:

    • 1.9.5
    • 1.10.3
    • 1.11.0

    Quali vulnerabilità vengono affrontate da questa patch?

    CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-21654, CVE-2022-21657, e CVE-2022-21656
    Alta

    Google Distributed Cloud Virtual for Bare Metal

    Descrizione Gravità
    Envoy ha recentemente rilasciato diverse correzioni di vulnerabilità della sicurezza. Anthos on Bare Metal ne è colpito perché viene utilizzato Envoy per il server delle metriche. Le CVE di Envoy che correggiamo nelle release 1.10.3, 1.9.6 e 1.8.9 sono elencate di seguito:
    • CVE-2021-43824 (punteggio CVSS 6,5, medio): Potenziale dereferenza del puntatore nullo quando si utilizza il filtro JWT secure_regex corrispondono.
      Nota: anche se ASM/Istio-on-GKE non supportano i filtri Envoy, se utilizzi l'espressione regolare del filtro JWT.
    • CVE-2021-43825 (punteggio CVSS 6.1, medio): Usa-dopo-gratis quando i filtri di risposta aumentano i dati di risposta e aumentano i dati superano i limiti di buffer downstream.
      Nota: anche se le soluzioni ASM/Istio-on-GKE non supportano i filtri Envoy, l'uso della funzione di decompressione potrebbe interessarti filtro.
    • CVE-2021-43826 (punteggio CVSS 6.1, medio): Use-after-free durante il tunneling di TCP su HTTP, se il downstream si disconnette durante la creazione di una connessione upstream.
      Nota: sebbene ASM/Istio-on-GKE non supportano i filtri Envoy, ciò potrebbe riguardarti se usare un filtro di tunneling.
    • CVE-2022-21654 (punteggio CVSS 7,3, alto): errato la gestione della configurazione consente il riutilizzo della sessione mTLS senza riconvalida dopo la modifica delle impostazioni di convalida.
      Nota: tutti i servizi ASM/Istio-on-GKE che utilizzano mTLS sono interessati da questo CVE.
    • CVE-2022-21655 (punteggio CVSS 7,5, alto): errato Gestione dei reindirizzamenti interni verso route con risposta diretta .
      Nota: anche se ASM/Istio-on-GKE non supportano i filtri Envoy, questo potrebbe influire se utilizzi un filtro di risposta diretta.
    • CVE-2022-23606 (punteggio CVSS 4,4, medio): stack di esaurimento quando un cluster viene eliminato tramite Cluster Discovery. assistenza.
      Nota: ASM 1.11 e versioni successive sono interessate da questo CVE. ASM 1.10 e tutte Istio-on-GKE non è interessato da questo CVE.
    • CVE-2022-21657 (punteggio CVSS 3.1, basso): Envoy alla versione 1.20.1 contiene una vulnerabilità sfruttabile da remoto a causa di X.509 Bypass dell'utilizzo esteso della chiave e degli scopi di attendibilità.
    • CVE-2022-21656 (punteggio CVSS 3.1, basso): Envoy alla versione 1.20.1 contiene una vulnerabilità sfruttabile da remoto a causa di X.509 La corrispondenza di subjectAltName (e nameConstraints) ignora.
    Istio ha rilasciato di recente una correzione della vulnerabilità di sicurezza. Anthos on Il bare metal è interessato perché viene utilizzato Istio per il traffico in entrata. Il servizio Istio Le CVE che stiamo correggendo nelle release 1.10.3, 1.9.6 e 1.8.9 sono elencate sotto:

    • CVE-2022-23635 (punteggio CVSS 7.5, alto): Istiod si arresta in modo anomalo alla ricezione di richieste con una "autorizzazione" appositamente creata intestazione.
      Nota: tutti i servizi ASM/Istio su GKE sono interessati da questo CVE.

    Per le descrizioni complete e l'impatto delle CVE precedenti, fai riferimento al team bollettini.

    Quali vulnerabilità vengono affrontate da questa patch?

    CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-21654, CVE-2022-21657, e CVE-2022-21656
    Alta

    GCP-2022-006

    Pubblicato il 14/02/2022
    Ultimo aggiornamento: 16/05/2022
    Aggiornamento 16/05/2022: è stato aggiunto GKE versione 1.19.16-gke.7800 o successive all'elenco delle versioni con codice per correggere questa vulnerabilità.
    Aggiornamento 12/05/2022: versioni patch aggiornate per GKE, Google Distributed Cloud Virtual for Bare Metal, GKE on VMware e GKE on AWS. Risolto un problema per cui il bollettino sulla sicurezza per GKE su AWS non veniva visualizzato quando è stato aggiunto il 23/02/2022.

    GKE

    Descrizione Gravità

    Una vulnerabilità di sicurezza, CVE-2022-0492, è stato rilevato nella funzione cgroup_release_agent_write del kernel Linux. L’attacco utilizza spazi dei nomi degli utenti senza privilegi e in determinate circostanze questo la vulnerabilità può essere sfruttata per container breakout.

    Che cosa devo fare?

    Aggiornamento 16-05-2022: Oltre alle versioni di GKE menzionate nell'aggiornamento 12/05/2022, la versione GKE 1.19.16-gke.7800 o successive contiene anche codice che corregge questa vulnerabilità.


    Aggiornamento 12-05-2022: Le seguenti versioni di GKE contengono codice per risolvere questo problema vulnerabilità:

    • 1.20.15-gke.5600 o versioni successive
    • 1.21.11-gke.1500 o versioni successive
    • 1.22.8-gke.1800 o versioni successive
    • 1.23.5-gke.1800 o versioni successive

    Aggiornamento 15/02/2022: istruzione gVisor corretta.

    La vulnerabilità è stata rilevata nel file cgroup_release_agent_write del kernel Linux. nella funzione kernel/cgroup/cgroup-v1.c e può essere utilizzato come contenitore di lavoro. GKE non è interessato a causa della protezione dell'AppArmor predefinito su Ubuntu e COS. Tuttavia, alcuni clienti potrebbero essere ancora vulnerabili se hanno Allentamento delle restrizioni di sicurezza sui pod mediante la modifica del pod o del container campo securityContext, ad esempio disattivando/modificando il profilo AppArmor, che non è consigliato. Oltre al profilo AppArmor predefinito, queste funzioni proteggono anche dalla vulnerabilità:

    • GKE Autopilot non è interessato a causa della il profilo seccomp predefinito.
    • Aggiornamento 15/02/2022: gVisor (GKE Sandbox) è non interessato in quanto gVisor non consente l'accesso alla chiamata di sistema vulnerabile sull'host.

    Le patch saranno disponibili in una release futura. Questo bollettino verrà aggiornato quando disponibili.

    Quale vulnerabilità viene affrontata da questa patch?

    CVE-2022-0492

    Bassa

    dei cluster GKE

    Descrizione Gravità

    Una vulnerabilità di sicurezza, CVE-2022-0492, è stato rilevato nella funzione cgroup_release_agent_write del kernel Linux. L’attacco utilizza spazi dei nomi degli utenti senza privilegi e in determinate circostanze questo la vulnerabilità può essere sfruttata per container breakout.

    Che cosa devo fare?

    Aggiornamento 12-05-2022: Le seguenti versioni di GKE on VMware contengono codice per la correzione vulnerabilità.

    COS
    • 1.8.8 o versioni successive
    • 1.9.5 o versioni successive
    • 1.10.2 o versioni successive
    • 1.11.0 o versioni successive
    Ubuntu
    • 1.9.6 o versioni successive
    • 1.10.3 o versioni successive
    • 1.11.0 o versioni successive

    La vulnerabilità è stata trovata nel file cgroup_release_agent_write del kernel Linux nella funzione kernel/cgroup/cgroup-v1.c e può essere utilizzata come container breakout. GKE on VMware non è interessato a causa della protezione del profilo AppArmor predefinito su Ubuntu e COS. Tuttavia, alcuni clienti potrebbero essere ancora vulnerabili se hanno perso Limitazioni di sicurezza sui pod tramite la modifica del securityContext di pod o container ad esempio disattivando/modificando il profilo AppArmor, operazione non consigliata.

    Le patch saranno disponibili in una release futura. Questo bollettino verrà aggiornato sono disponibili.

    Quale vulnerabilità viene affrontata da questa patch?

    CVE-2022-0492

    Bassa

    GKE su AWS

    Descrizione Gravità

    Una vulnerabilità di sicurezza, CVE-2022-0492, è stato rilevato nella funzione cgroup_release_agent_write del kernel Linux. L’attacco utilizza spazi dei nomi degli utenti senza privilegi e in determinate circostanze questo la vulnerabilità può essere sfruttata per container breakout.

    Che cosa devo fare?

    Aggiornamento 12-05-2022: Le seguenti versioni di GKE attuale e precedente su AWS contengono che corregge questa vulnerabilità:

    Generazione attuale
      .
    • 1.21.11-gke.1100
    • 1.22.8-gke.1300
    Generazione precedente
    • 1.22.8-gke.1300
    • 1.21.11-gke.1100
    • 1.20.15-gke.5200

    Aggiornamento 23/02/2022: è stata aggiunta una nota per GKE su AWS.

    Le generazioni precedenti e attuali di GKE su AWS non sono interessate dalla protezione dal profilo AppArmor predefinito su Ubuntu. Tuttavia, alcuni clienti potrebbero essere ancora vulnerabili se hanno allentato le misure di sicurezza limitazioni sui pod tramite la modifica del campo securityContext del pod o del container, ad esempio disattivando/modificando il profilo AppArmor, operazione non consigliata.

    Le patch saranno disponibili in una release futura. Questo bollettino verrà aggiornato sono disponibili.

    Quale vulnerabilità viene affrontata da questa patch?

    CVE-2022-0492

    Bassa

    GKE Enterprise

    Descrizione Gravità

    Una vulnerabilità di sicurezza, CVE-2022-0492, è stato rilevato nella funzione cgroup_release_agent_write del kernel Linux. L’attacco utilizza spazi dei nomi degli utenti senza privilegi e in determinate circostanze questo la vulnerabilità può essere sfruttata per container breakout.

    Che cosa devo fare?

    Aggiornamento 12-05-2022: Le seguenti versioni di GKE su Azure contengono codice che corregge questo vulnerabilità:

    • 1.21.11-gke.1100
    • 1.22.8-gke.1300

    GKE su Azure non è interessato a causa della protezione del profilo AppArmor predefinito su Ubuntu. Tuttavia, alcuni clienti potrebbero essere ancora vulnerabili se hanno allentato le misure di sicurezza limitazioni sui pod tramite la modifica del campo securityContext del pod o del container, ad esempio disattivando/modificando il profilo AppArmor, operazione non consigliata.

    Le patch saranno disponibili in una release futura. Questo bollettino verrà aggiornato sono disponibili.

    Quale vulnerabilità viene affrontata da questa patch?

    CVE-2022-0492

    Bassa

    GCP-2022-005

    Pubblicato il 11/02/2022
    Ultimo aggiornamento: 15/02/2022
    Riferimento: CVE-2021-43527

    GKE

    Descrizione Gravità
    Aggiornamento 15/02/2022: alcune versioni GKE menzionate nell'originale bollettino è stato combinato con altre correzioni e i relativi numeri di versione sono stati incrementati prima del rilascio. Le patch sono disponibili nei seguenti cluster GKE versioni:
    • 1.20.15-gke.300
    • 1.21.9-gke.300
    • 1.22.6-gke.1000

    È stata scoperta una vulnerabilità di sicurezza, CVE-2021-43527, in qualsiasi file binario che si collega le versioni vulnerabili di libnss3 presenti nelle versioni di NSS (Network Security Services) precedenti a 3.73 o 3.68.1. Applicazioni che utilizzano NSS per la convalida dei certificati o altre protocolli TLS, X.509, La funzionalità di OCSP o CRL potrebbe essere influenzata, a seconda di come viene utilizzato/configurato NSS. Entrambi Per le immagini GKE COS e Ubuntu è installata una versione vulnerabile, che deve essere con la patch applicata.

    Potenzialmente, CVE-2021-43527 può avere un ampio impatto su tutte le applicazioni che utilizzano NSS per gestione delle firme codificate in CMS, S/MIME, PKCS#7 o PKCS#12. Così come applicazioni che utilizzano NSS per la convalida dei certificati o altre applicazioni TLS, X.509, OCSP o CRL della funzionalità potrebbero essere influenzate. L'impatto dipende da come viene utilizzato/configurato NSS.

    GKE non utilizza libnss3 per alcuna API accessibile da internet. L'impatto è limitato a codice on-host in esecuzione all'esterno dei container, che è di dimensioni ridotte a causa della progettazione minima di ChromeOS. Codice GKE in esecuzione all'interno di container utilizzando il comando senza distroless golang l'immagine di base non è interessata.

    Che cosa devo fare?

    Le versioni delle immagini dei nodi Linux per le seguenti versioni di GKE hanno aggiornato con codice per correggere queste vulnerabilità. Esegui l'upgrade del piano di controllo e dei nodi a uno dei le seguenti versioni GKE:

    • Versione 1.18 da determinare
    • 1.19.16-gke.6100
    • 1.20.15-gke.200
    • 1.21.9-gke.200
    • 1.22.6-gke.600
    • 1.23.3-gke.500
    Stai utilizzando una versione di GKE precedente alla 1.18? Stai utilizzando un Versione GKE fuori dallo SLA (accordo sul livello del servizio) e dovrebbero valutare l'upgrade a una delle versioni supportate.

    Quale vulnerabilità viene affrontata da questa patch?

    CVE-2021-43527

    Medio

    dei cluster GKE

    Descrizione Gravità

    È stata scoperta una vulnerabilità di sicurezza, CVE-2021-43527, in qualsiasi file binario che si collega le versioni vulnerabili di libnss3 presenti nelle versioni di NSS (Network Security Services) precedenti a 3.73 o 3.68.1. Applicazioni che utilizzano NSS per la convalida dei certificati o altre protocolli TLS, X.509, La funzionalità di OCSP o CRL potrebbe essere compromessa, a seconda della modalità di configurazione di NSS. Entrambi Per le immagini GKE on VMware COS e Ubuntu è installata una versione vulnerabile, con la patch applicata.

    Potenzialmente, CVE-2021-43527 può avere un ampio impatto sulle applicazioni che utilizzano NSS per gestione delle firme codificate in CMS, S/MIME, PKCS \#7 o PKCS \#12. Così come applicazioni che utilizzano NSS per la convalida dei certificati o altre applicazioni TLS, X.509, OCSP o CRL della funzionalità potrebbero essere influenzate. L'impatto dipende dal modo in cui viene configurato/utilizzato NSS. Anthos on VMware non utilizza libnss3 per nessuna API accessibile pubblicamente, pertanto l'impatto è limitato e la gravità di questa CVE per GKE on VMware è valutata come Media.

    Che cosa devo fare?

    Le versioni delle immagini dei nodi Linux per le seguenti versioni di Anthos sono state aggiornate con codice per correggere queste vulnerabilità. Esegui l'upgrade del piano di controllo e dei nodi a uno dei le seguenti versioni di Anthos:

    • 1.8.7
    • 1.9.4
    • 1.10.2

    Stai utilizzando una versione di GKE on VMware precedente alla 1.18? Utilizzi un Versione di Anthos su SLA (accordo sul livello del servizio) e di eseguire l'upgrade a una delle versioni supportate.

    Quale vulnerabilità viene affrontata da questa patch?

    CVE-2021-43527

    Medio

    GKE Enterprise

    Descrizione Gravità

    È stata scoperta una vulnerabilità di sicurezza, CVE-2021-43527, in qualsiasi file binario che si collega le versioni vulnerabili di libnss3 presenti nelle versioni di NSS (Network Security Services) precedenti a 3.73 o 3.68.1. Applicazioni che utilizzano NSS per la convalida dei certificati o altre protocolli TLS, X.509, La funzionalità di OCSP o CRL potrebbe essere influenzata, a seconda di come viene utilizzato/configurato NSS. Anthos sulle immagini Azure Ubuntu hanno installato una versione vulnerabile e devono essere con la patch applicata.

    Potenzialmente, CVE-2021-43527 può avere un ampio impatto sulle applicazioni che utilizzano NSS per gestione delle firme codificate in CMS, S/MIME, PKCS#7 o PKCS#12. Così come applicazioni che utilizzano NSS per la convalida dei certificati o altre applicazioni TLS, X.509, OCSP o CRL della funzionalità potrebbero essere influenzate. L'impatto dipende dal modo in cui viene configurato/utilizzato NSS. Cluster Anthos su Azure non utilizza libnss3 per nessuna API accessibile pubblicamente, limitato e la gravità di questa CVE per Anthos on Azure è classificata come Media.

    Che cosa devo fare?

    Le versioni delle immagini dei nodi Linux per le seguenti versioni di GKE su Azure sono state aggiornate con codice per correggere queste vulnerabilità. Esegui l'upgrade dei cluster a uno dei le seguenti versioni di Anthos on Azure:

    • v1.21.6-gke.1500

    Quale vulnerabilità viene affrontata da questa patch?

    CVE-2021-43527

    Medio

    GCP-2022-004

    Pubblicato il 04/02/2022
    Riferimento: CVE-2021-4034

    GKE

    Descrizione Gravità

    In pkexec, una parte del pacchetto Linux Policy Kit (polkit), è stata scoperta una vulnerabilità di sicurezza CVE-2021-4034, che consente a un utente autenticato di eseguire un attacco di escalation dei privilegi. PolicyKit viene generalmente utilizzato solo sui sistemi desktop Linux per consentire agli utenti non root di eseguire azioni come riavviare il sistema, installare pacchetti, riavviare servizi e così via, come regolato da un criterio.

    Che cosa devo fare?

    GKE non è interessato perché il modulo vulnerabile Policykit-1 non è installato sulle immagini COS o Ubuntu utilizzate in GKE. Non è richiesta alcuna azione da parte tua.

    Nessuno

    dei cluster GKE

    Descrizione Gravità

    In pkexec, una parte del pacchetto Linux Policy Kit (polkit), è stata scoperta una vulnerabilità di sicurezza CVE-2021-4034, che consente a un utente autenticato di eseguire un attacco di escalation dei privilegi. PolicyKit viene generalmente utilizzato solo sui sistemi desktop Linux per consentire agli utenti non root di eseguire azioni come riavviare il sistema, installare pacchetti, riavviare servizi e così via, come regolato da un criterio.

    La configurazione predefinita di GKE Enterprise offre già agli utenti il "sudo" completo i privilegi, quindi questo exploit non modifica la strategia di sicurezza esistente di GKE Enterprise

    Dettagli tecnici

    Affinché questo bug sia sfruttabile, un aggressore ha bisogno sia di una shell non root sul file system del nodo sia di una versione vulnerabile di pkexec installata. Sebbene GKE on VMware includa una versione di policykit-1 nelle sue immagini di rilascio, la configurazione predefinita di GKE Enterprise consente sudo senza password a chiunque abbia già accesso alla shell, quindi questa vulnerabilità non concede all'utente ulteriori privilegi di quelli di cui dispone già.

    Che cosa devo fare?

    Non è richiesta alcuna azione da parte tua. GKE on VMware non è interessato.

    Nessuno

    dei cluster GKE

    Descrizione Gravità
    GKE su AWS non è interessato. Il modulo vulnerabile policykit-1 non è installato sulle immagini Ubuntu utilizzate dalle versioni attuali e precedenti di GKE su AWS. Nessuno

    GKE Enterprise

    Descrizione Gravità

    In pkexec, una parte del pacchetto Linux Policy Kit (polkit), è stata scoperta una vulnerabilità di sicurezza CVE-2021-4034, che consente a un utente autenticato di eseguire un attacco di escalation dei privilegi. PolicyKit viene generalmente utilizzato solo sui sistemi desktop Linux per consentire agli utenti non root di eseguire azioni come riavviare il sistema, installare pacchetti, riavviare servizi e così via, come regolato da un criterio.

    La configurazione predefinita di GKE Enterprise offre già agli utenti il "sudo" completo i privilegi, quindi questo exploit non modifica la strategia di sicurezza esistente di GKE Enterprise

    Dettagli tecnici

    Affinché questo bug sia sfruttabile, un aggressore ha bisogno sia di una shell non root sul file system del nodo sia di una versione vulnerabile di pkexec installata. Sebbene GKE su Azure includa una versione di policykit-1 nelle sue immagini di rilascio, la configurazione predefinita di GKE Enterprise consente sudo senza password a chiunque abbia già accesso alla shell, quindi questa vulnerabilità non concede all'utente ulteriori privilegi di quelli di cui dispone già.

    Che cosa devo fare?

    Non è richiesta alcuna azione da parte tua. GKE su Azure non è interessato.

    Nessuno

    dei cluster GKE

    Descrizione Gravità
    L'impatto su Google Distributed Cloud Virtual for Bare Metal dipende dai pacchetti installati nel sistema operativo gestito dal cliente. Esegui la scansione delle immagini del sistema operativo e, se necessario, applica le patch. Nessuno

    GCP-2022-002

    Pubblicato il 01/02/2022
    Ultimo aggiornamento: 07/03/2022
    Riferimento:
    CVE-2021-4154, CVE-2021-22600, CVE-2022-0185
    Aggiornamento 04/02/2022 : sono state aggiunte sezioni per GKE su AWS e GKE su Azure. Aggiunti aggiornamenti dell'implementazione per GKE e GKE su VMware.

    GKE

    Ultimo aggiornamento: 07/03/2022

    Descrizione Gravità

    Tre vulnerabilità di sicurezza, CVE-2021-4154, CVE-2021-22600, e CVE-2022-0185, nel kernel Linux, ognuno dei quali può portare a una container breakout, a un'escalation dei privilegi sull'host o a entrambe. Queste vulnerabilità interessano tutti i sistemi operativi dei nodi (COS e Ubuntu) su GKE, GKE su VMware, GKE su AWS (generazione attuale e precedente) e GKE su Azure.

    I pod che utilizzano GKE Sandbox non sono vulnerabili a queste vulnerabilità.

    Per ulteriori dettagli, consulta le note di rilascio di COS.

    Dettagli tecnici

    In CVE-2021-4154, un utente malintenzionato può sfruttare il parametro di chiamata di sistema fsconfig per attivare un bug use-after-free nel kernel Linux, con conseguente recupero dei privilegi di root. Si tratta di un un attacco con escalation dei privilegi locali che porterà a una container breakout.

    CVE-2021-22600 è un doppio exploit gratuito in package_set_ring che può portare a un container di escape al nodo host.

    Con CVE-2022-0185, un bug di overflow dell'heap in legacy_parse_param() può causare un errore fuori dai limiti che causeranno una container breakout.

    Il percorso di sfruttamento di questa vulnerabilità basato sulla funzione di "annullamento della condivisione" syscall è bloccati per impostazione predefinita sui cluster GKE Autopilot tramite filtro seccomp.

    Utenti con è abilitato manualmente il profilo seccomp del runtime del container predefinito sui cluster GKE Standard.

    Che cosa devo fare?

    Aggiornamento 07/03/2022: le versioni delle immagini dei nodi Linux per i seguenti di GKE sono state aggiornate con codice per correggere tutte queste vulnerabilità per le immagini Ubuntu e COS. Esegui l'upgrade del piano di controllo e dei nodi a uno dei seguenti le versioni GKE.

    • 1.18.20-gke.6101
    • 1.19.16-gke.8300
    • 1.20.15-gke.2500
    • 1.21.10-gke.400
    • 1.22.7-gke.900
    • 1.23.3-gke.1100

    Aggiornamento 25/02/2022: se utilizzi immagini dei nodi Ubuntu, 1.22.6-gke.1000 non è un indirizzo CVE-2021-22600. Aggiorneremo questo bollettino con le versioni delle patch di Ubuntu quando disponibili.


    Aggiornamento 23/02/2022: le versioni delle immagini dei nodi Linux per i seguenti di GKE sono state aggiornate con codice per correggere queste vulnerabilità. Esegui l'upgrade dei cluster a una delle seguenti versioni di GKE.

    • 1.18.20-gke.6101
    • 1.22.6-gke.1000
    • 1.23.3-gke.1100

    Aggiornamento 04/02/2022: la data di inizio del lancio delle versioni delle patch di GKE era il 2 febbraio.


    Le versioni delle immagini dei nodi Linux per le seguenti versioni di GKE sono state aggiornate con codice per correggere queste vulnerabilità. Esegui l'upgrade dei cluster a una delle seguenti versioni di GKE.

    • 1.19.16-gke.6100
    • 1.20.15-gke.300
    • 1.21.9-gke.300

    Sono in corso anche le versioni 1.22 e 1.23. Aggiorneremo questo bollettino con versioni specifiche non appena saranno disponibili.

    Quale vulnerabilità viene affrontata da questa patch?

    Alta

    dei cluster GKE

    Ultimo aggiornamento: 23/02/2022

    Descrizione Gravità

    Tre vulnerabilità di sicurezza, CVE-2021-4154, CVE-2021-22600, e CVE-2022-0185, nel kernel Linux, ognuno dei quali può portare a una container breakout, a un'escalation dei privilegi sull'host o a entrambe. Queste vulnerabilità interessano tutti i sistemi operativi dei nodi (COS e Ubuntu) su GKE, GKE su VMware, GKE su AWS (generazione attuale e precedente) e GKE su Azure.

    Per ulteriori dettagli, consulta le note di rilascio di COS.

    Dettagli tecnici

    In CVE-2021-4154, un utente malintenzionato può sfruttare il parametro di chiamata di sistema fsconfig per attivare un bug use-after-free nel kernel Linux, con conseguente recupero dei privilegi di root. Si tratta di un un attacco con escalation dei privilegi locali che porterà a una container breakout.

    CVE-2021-22600 è un doppio exploit gratuito in package_set_ring che può portare a un container di escape al nodo host.

    Con CVE-2022-0185, un bug di overflow dell'heap in legacy_parse_param() può causare un errore fuori dai limiti che causeranno una container breakout.

    Utenti con è abilitato manualmente il profilo seccomp del runtime del container predefinito sui cluster GKE Standard.

    Che cosa devo fare?

    Aggiornamento 23/02/2022: versione 1.10.2 (correzioni CVE-2021-22600, CVE-2021-4154, e CVE-2022-0185) è ora prevista per il 1° marzo.

    Aggiornamento 23/02/2022: sono state aggiunte versioni con patch che interessano CVE-2021-2260.

    La versione 1.10.1 non tratta la CVE-2021-22600 ma si occupa delle altre le vulnerabilità. Le versioni 1.9.4 e 1.10.2, entrambe non ancora rilasciate, CVE-2021-22600. Le versioni delle immagini dei nodi Linux per le seguenti versioni di GKE on VMware è stato aggiornato con codice per correggere queste vulnerabilità. Esegui l'upgrade del tuo in una delle seguenti versioni di GKE on VMware:

    • 1.10.1 (Correzioni CVE-2021-4154 e CVE-2022-0185. Data di rilascio: 10 febbraio
    • 1.8.7 (Correzioni CVE-2021-22600, CVE-2021-4154 e CVE-2022-0185. Data di rilascio: 17 febbraio
    • 1.9.4 (Correzioni CVE-2021-22600, CVE-2021-4154 e CVE-2022-0185. Data di rilascio: 23 febbraio
    • 1.10.2 (Correzioni CVE-2021-22600, CVE-2021-4154 e CVE-2022-0185. programmato per il 24 febbraio)

    Aggiornamento 04/02/2022: sono state aggiunte informazioni sulle immagini Ubuntu che non si rivolgono CVE-2021-22600.

    Le versioni delle immagini dei nodi Linux per le seguenti versioni di GKE on VMware hanno aggiornato con codice per correggere queste vulnerabilità. Esegui l'upgrade dei cluster a uno dei le seguenti versioni di GKE on VMware:

    • 1.10.1 (solo aggiornamento COS. La patch Ubuntu sarà nella versione 1.10.2 programmata per il 23 febbraio)
    • 1.9.4 (programmata per il 15 febbraio)
    • 1.8.7 (programmata per il 15 febbraio)

    Quale vulnerabilità viene affrontata da questa patch?

    Alta

    dei cluster GKE

    Descrizione Gravità

    Tre vulnerabilità di sicurezza, CVE-2021-4154, CVE-2021-22600, e CVE-2022-0185, nel kernel Linux, ognuno dei quali può portare a una container breakout, a un'escalation dei privilegi sull'host o a entrambe. Queste vulnerabilità interessano tutti i sistemi operativi dei nodi (COS e Ubuntu) su GKE, GKE su VMware, GKE su AWS (generazione attuale e precedente) e GKE su Azure.

    Per ulteriori dettagli, consulta le note di rilascio di COS.

    Dettagli tecnici

    In CVE-2021-4154, un utente malintenzionato può sfruttare il parametro di chiamata di sistema fsconfig per attivare un bug use-after-free nel kernel Linux, con conseguente recupero dei privilegi di root. Si tratta di un un attacco con escalation dei privilegi locali che porterà a una container breakout.

    CVE-2021-22600 è un doppio exploit gratuito in package_set_ring che può portare a un container di escape al nodo host.

    Con CVE-2022-0185, un bug di overflow dell'heap in legacy_parse_param() può causare un errore fuori dai limiti che causeranno una container breakout.

    Utenti con è abilitato manualmente il profilo seccomp del runtime del container predefinito sui cluster GKE Standard.

    Che cosa devo fare?

    GKE su AWS

    Le versioni delle immagini dei nodi Linux per le seguenti versioni di GKE su AWS sono state aggiornate con il codice per correggere queste vulnerabilità. Esegui l'upgrade dei cluster alla seguente versione GKE su AWS:

    • 1.21.6-gke.1500 e versioni successive (disponibile a febbraio)

    GKE su AWS (generazione precedente)

    Le versioni delle immagini dei nodi Linux per le seguenti versioni di GKE su AWS (generazione precedente) sono state aggiornate con codice per correggere queste vulnerabilità. Esegui l'upgrade dei cluster a una delle seguenti versioni di GKE su AWS (generazione precedente):

    • 1.19.16-gke.5300
    • 1.20.14-gke.2000
    • 1.21.8-gke.2000

    Quale vulnerabilità viene affrontata da questa patch?

    Alta

    GKE Enterprise

    Descrizione Gravità

    Tre vulnerabilità di sicurezza, CVE-2021-4154, CVE-2021-22600, e CVE-2022-0185, nel kernel Linux, ognuno dei quali può portare a una container breakout, a un'escalation dei privilegi sull'host o a entrambe. Queste vulnerabilità interessano tutti i sistemi operativi dei nodi (COS e Ubuntu) su GKE, GKE su VMware, GKE su AWS (generazione attuale e precedente) e GKE su Azure.

    Per ulteriori dettagli, consulta le note di rilascio di COS.

    Dettagli tecnici

    In CVE-2021-4154, un utente malintenzionato può sfruttare il parametro di chiamata di sistema fsconfig per attivare un bug use-after-free nel kernel Linux, con conseguente recupero dei privilegi di root. Si tratta di un un attacco con escalation dei privilegi locali che porterà a una container breakout.

    CVE-2021-22600 è un doppio exploit gratuito in package_set_ring che può portare a un container di escape al nodo host.

    Con CVE-2022-0185, un bug di overflow dell'heap in legacy_parse_param() può causare un errore fuori dai limiti che causeranno una container breakout.

    Utenti con è abilitato manualmente il profilo seccomp del runtime del container predefinito sui cluster GKE Standard.

    Che cosa devo fare?

    Le versioni delle immagini dei nodi Linux per le seguenti versioni di GKE su Azure sono state aggiornate con il codice per correggere queste vulnerabilità. Esegui l'upgrade dei cluster alla seguente versione di GKE su Azure:

    • 1.21.6-gke.1500 e versioni successive (disponibile a febbraio)

    Quale vulnerabilità viene affrontata da questa patch?

    Alta

    GCP-2021-024

    Pubblicato il 21/10/2021
    Riferimento: CVE-2021-25742

    GKE

    Descrizione Gravità

    È stato rilevato un problema di sicurezza in ingress-nginx di Kubernetes. un controller, CVE-2021-25742. Gli snippet personalizzati Ingress-nginx consentono di recuperare i token degli account di servizio ingress-nginx. i secret in tutti gli spazi dei nomi.

    Che cosa devo fare?

    Questo problema di sicurezza non interessa il tuo cluster GKE. infrastruttura o qualsiasi infrastruttura cluster di ambienti GKE Enterprise. Se utilizzi ingress-nginx nei deployment dei carichi di lavoro, è bene essere a conoscenza di questo problema di sicurezza. Consulta ingress-nginx numero 7837 per maggiori dettagli.

    Nessuno

    dei cluster GKE

    Descrizione Gravità

    È stato rilevato un problema di sicurezza in ingress-nginx di Kubernetes. un controller, CVE-2021-25742. Gli snippet personalizzati Ingress-nginx consentono di recuperare i token degli account di servizio ingress-nginx. i secret in tutti gli spazi dei nomi.

    Che cosa devo fare?

    Questo problema di sicurezza non interessa il tuo cluster GKE. infrastruttura o qualsiasi infrastruttura cluster di ambienti GKE Enterprise. Se utilizzi ingress-nginx nei deployment dei carichi di lavoro, è bene essere a conoscenza di questo problema di sicurezza. Consulta ingress-nginx numero 7837 per maggiori dettagli.

    Nessuno

    dei cluster GKE

    Descrizione Gravità

    È stato rilevato un problema di sicurezza in ingress-nginx di Kubernetes. un controller, CVE-2021-25742. Gli snippet personalizzati Ingress-nginx consentono di recuperare i token degli account di servizio ingress-nginx. i secret in tutti gli spazi dei nomi.

    Che cosa devo fare?

    Questo problema di sicurezza non interessa il tuo cluster GKE. infrastruttura o qualsiasi infrastruttura cluster di ambienti GKE Enterprise. Se utilizzi ingress-nginx nei deployment dei carichi di lavoro, è bene essere a conoscenza di questo problema di sicurezza. Consulta ingress-nginx numero 7837 per maggiori dettagli.

    Nessuno

    dei cluster GKE

    Descrizione Gravità

    È stato rilevato un problema di sicurezza in ingress-nginx di Kubernetes. un controller, CVE-2021-25742. Gli snippet personalizzati Ingress-nginx consentono di recuperare i token degli account di servizio ingress-nginx. i secret in tutti gli spazi dei nomi.

    Che cosa devo fare?

    Questo problema di sicurezza non interessa il tuo cluster GKE. infrastruttura o qualsiasi infrastruttura cluster di ambienti GKE Enterprise. Se utilizzi ingress-nginx nei deployment dei carichi di lavoro, è bene essere a conoscenza di questo problema di sicurezza. Consulta ingress-nginx numero 7837 per maggiori dettagli.

    Nessuno

    GCP-2021-019

    Pubblicato il 29/09/2021

    GKE

    Descrizione Gravità

    Si è verificato un problema noto per cui l'aggiornamento di una risorsa BackendConfig utilizzando API v1beta1 che rimuove un criterio di sicurezza Google Cloud Armor attivo dal proprio servizio.

    Mi riguarda?

    Se BackendConfig è già stato aggiornato con l'API v1beta1, il criterio di sicurezza di Google Cloud Armor potrebbe essere stato rimosso. Per determinare se è successo, esegui questo comando:

    kubectl get backendconfigs -A -o json | \
    jq -r '.items[] | select(.spec.securityPolicy == {}) | .metadata | "\(.namespace)/\(.name)"'
    • Se la risposta restituisce un output: il cluster è interessato dal problema. L'output di questo comando restituisce un elenco di BackendConfig risorse (<namespace>/<name>) interessati dal problema.
    • Se l'output è vuoto: il valore BackendConfig non è stato aggiornato utilizzando l'API v1beta1 dopo l'introduzione del problema. Qualsiasi futuro gli aggiornamenti a BackendConfig devono utilizzare solo v1.

    Questo problema riguarda le seguenti versioni di GKE:

    • Da 1.18.19-gke.1400 a 1.18.20-gke.5100 (esclusivi)
    • Da 1.19.10-gke.700 a 1.19.14-gke.300 (esclusivi)
    • Da 1.20.6-gke.700 a 1.20.9-gke.900 (esclusivi)
    • Da 1,21 a 1,21.1-gke.2700 (escluso)

    Se non configuri Google Cloud Armor sulle tue risorse Ingress tramite BackendConfig, questo problema non interessa i cluster.

    Che cosa devo fare?

    Esegui l'upgrade del piano di controllo GKE a una delle seguenti versioni aggiornate che corregge questo problema e consente a v1beta1 risorse BackendConfig di in modo sicuro:

    • 1.21.1-gke.2700 e versioni successive
    • 1.20.9-gke.900 e versioni successive
    • 1.19.14-gke.300 e versioni successive
    • 1.18.20-gke.5100 e versioni successive

    Questo problema può essere evitato anche evitando il deployment di v1beta1. BackendConfig risorse. Se configuri Google Cloud Armor sulle tue risorse Ingress tramite BackendConfig e hai riscontrato che il tuo problema riguarda la procedura riportata sopra, Riattiva Google Cloud Armor eseguendo il push di un aggiornamento alla risorsa BackendConfig attuale con la versione API cloud.google.com/v1 .

    Per evitare questo problema, apporta gli aggiornamenti al tuo BackendConfig solo utilizzando lo v1 API BackendConfig.

    Poiché v1 BackendConfig supporta gli stessi campi di v1beta1 e non apporta modifiche che provocano un errore, il campo API può essere aggiornato in modo trasparente. Per farlo, sostituisci il campo apiVersion di qualsiasi manifest BackendConfig attivo con cloud.google.com/v1 e non utilizzare cloud.google.com/v1beta1.

    Il seguente manifest di esempio descrive una risorsa BackendConfig che utilizza: v1API:

    apiVersion: cloud.google.com/v1
    kind: BackendConfig
    metadata:
      name: my-backend-config
    spec:
      securityPolicy:
        name: "ca-how-to-security-policy"
    

    Se hai sistemi o strumenti CI/CD che aggiornano regolarmente le risorse di BackendConfig, accertati di utilizzare il gruppo API cloud.google.com/v1 in quei sistemi

    Bassa

    GCP-2021-022

    Pubblicato il 23/09/2021

    dei cluster GKE

    Descrizione Gravità

    È stata rilevata una vulnerabilità nel servizio di identità GKE Enterprise (AIS) Modulo LDAP di GKE on VMware versioni 1.8 e 1.8.1 dove una la chiave seed utilizzata per generare le chiavi è prevedibile. Con questo vulnerabilità, un utente autenticato potrebbe aggiungere attestazioni arbitrarie e e riassegnare i privilegi a tempo indeterminato.

    Dettagli tecnici

    Una recente aggiunta al codice AIS crea chiavi simmetriche utilizzando il metodo math/rand, che non è adatto per codici sensibili alla sicurezza. Il modulo viene utilizzato in modo da generare una chiave prevedibile. Durante la verifica dell'identità, una chiave STS (Secure Token Service) generata in un secondo momento, criptata con una chiave simmetrica semplici da ricavare.

    Che cosa devo fare?

    Questa vulnerabilità riguarda solo i clienti che utilizzano AIS in GKE on VMware versioni 1.8 e 1.8.1. Per gli utenti di GKE on VMware 1.8, esegui l'upgrade dei cluster al seguente versione:

    • 1.8.2
    Alta

    GCP-2021-021

    Pubblicato il 22/09/2021
    Riferimento: CVE-2020-8561

    GKE

    Descrizione Gravità

    Una vulnerabilità di sicurezza, CVE-2020-8561, in Kubernetes, dove è possibile creare determinati webhook reindirizza le richieste kube-apiserver a reti private dell'API o server web.

    Dettagli tecnici

    Con questa vulnerabilità, gli autori che controllano le risposte MutatingWebhookConfiguration o ValidatingWebhookConfiguration richieste riescono a reindirizza le richieste kube-apiserver a reti private il server API. Se l'utente può visualizzare i log di kube-apiserver quando il livello di log è impostato su 10, gli utenti possono visualizzare le risposte e le intestazioni nei log.

    Questo problema può essere mitigato modificando determinati parametri per API di Google Cloud.

    Che cosa devo fare?

    Al momento non è richiesta alcuna azione.

    Le versioni attualmente disponibili di GKE GKE Enterprise ha implementato le seguenti mitigazioni che proteggiti da questo tipo di attacco:

    • Il flag --profiling per kube-apiserver è impostato su false.
    • Il livello di log di kube-apiserver è impostato su un valore inferiore a 10.

    Quale vulnerabilità viene affrontata da questa patch?

    <pCVE-2020-8561

    </p>
    Medio

    dei cluster GKE

    Descrizione Gravità

    Una vulnerabilità di sicurezza, CVE-2020-8561, in Kubernetes, dove è possibile creare determinati webhook reindirizza le richieste kube-apiserver a reti private dell'API o server web.

    Dettagli tecnici

    Con questa vulnerabilità, gli autori che controllano le risposte MutatingWebhookConfiguration o ValidatingWebhookConfiguration richieste riescono a reindirizza le richieste kube-apiserver a reti private il server API. Se l'utente può visualizzare i log di kube-apiserver quando il livello di log è impostato su 10, gli utenti possono visualizzare le risposte e le intestazioni nei log.

    Questo problema può essere mitigato modificando determinati parametri per API di Google Cloud.

    Che cosa devo fare?

    Al momento non è richiesta alcuna azione.

    Le versioni attualmente disponibili di GKE GKE Enterprise ha implementato le seguenti mitigazioni che proteggiti da questo tipo di attacco:

    • Il flag --profiling per kube-apiserver è impostato su false.
    • Il livello di log di kube-apiserver è impostato su un valore inferiore a 10.

    Quale vulnerabilità viene affrontata da questa patch?

    <pCVE-2020-8561

    </p>
    Medio

    dei cluster GKE

    Descrizione Gravità

    Una vulnerabilità di sicurezza, CVE-2020-8561, in Kubernetes, dove è possibile creare determinati webhook reindirizza le richieste kube-apiserver a reti private dell'API o server web.

    Dettagli tecnici

    Con questa vulnerabilità, gli autori che controllano le risposte MutatingWebhookConfiguration o ValidatingWebhookConfiguration richieste riescono a reindirizza le richieste kube-apiserver a reti private il server API. Se l'utente può visualizzare i log di kube-apiserver quando il livello di log è impostato su 10, gli utenti possono visualizzare le risposte e le intestazioni nei log.

    Questo problema può essere mitigato modificando determinati parametri per API di Google Cloud.

    Che cosa devo fare?

    Al momento non è richiesta alcuna azione.

    Le versioni attualmente disponibili di GKE GKE Enterprise ha implementato le seguenti mitigazioni che proteggiti da questo tipo di attacco:

    • Il flag --profiling per kube-apiserver è impostato su false.
    • Il livello di log di kube-apiserver è impostato su un valore inferiore a 10.

    Quale vulnerabilità viene affrontata da questa patch?

    <pCVE-2020-8561

    </p>
    Medio

    dei cluster GKE

    Descrizione Gravità

    Una vulnerabilità di sicurezza, CVE-2020-8561, in Kubernetes, dove è possibile creare determinati webhook reindirizza le richieste kube-apiserver a reti private dell'API o server web.

    Dettagli tecnici

    Con questa vulnerabilità, gli autori che controllano le risposte MutatingWebhookConfiguration o ValidatingWebhookConfiguration richieste riescono a reindirizza le richieste kube-apiserver a reti private il server API. Se l'utente può visualizzare i log di kube-apiserver quando il livello di log è impostato su 10, gli utenti possono visualizzare le risposte e le intestazioni nei log.

    Questo problema può essere mitigato modificando determinati parametri per API di Google Cloud.

    Che cosa devo fare?

    Al momento non è richiesta alcuna azione.

    Le versioni attualmente disponibili di GKE GKE Enterprise ha implementato le seguenti mitigazioni che proteggiti da questo tipo di attacco:

    • Il flag --profiling per kube-apiserver è impostato su false.
    • Il livello di log di kube-apiserver è impostato su un valore inferiore a 10.

    Quale vulnerabilità viene affrontata da questa patch?

    <pCVE-2020-8561

    </p>
    Medio

    GCP-2021-018

    Pubblicato il 15/09/2021
    Ultimo aggiornamento: 24/09/2021
    Riferimento: CVE-2021-25741

    Aggiornamento 24/09/2021: bollettino GKE on Bare Metal aggiornato con altre versioni con patch.

    Aggiornamento 20/09/2021: bollettini aggiunti per GKE su Bare Metal

    Aggiornamento del 16/09/2021: bollettini aggiunti per GKE su VMware


    GKE

    Descrizione Gravità

    È stato rilevato un problema di sicurezza in Kubernetes, CVE-2021-25741, in cui un utente può creare un container con un volume del percorso secondario per accedere a file al di fuori del volume, incluse le directory sul file system host.

    Dettagli tecnici:

    In CVE-2021-25741, l’aggressore può creare un link simbolico da un campo emptyDir montato file system radice del nodo ( / ), il kubelet seguirà il collegamento simbolico e montare la radice dell'host nel container.

    Che cosa devo fare?

    Ti consigliamo di eseguire l'upgrade dei tuoi pool di nodi a una delle versioni seguenti o successive per sfruttare le patch più recenti:

    • 1.21.4-gke.301
    • 1.20.10-gke.301
    • 1.19.14-gke.301
    • 1.18.20-gke.4501

    Anche le seguenti versioni contengono la correzione:

    • 1.21.3-gke.2001
    • 1.20.8-gke.2101
    • 1.20.9-gke.701
    • 1.20.9-gke.1001
    • 1.19.12-gke.2101
    • 1.19.13-gke.701
    • 1.18.20-gke.3001
    Alta

    dei cluster GKE

    Descrizione Gravità

    È stato rilevato un problema di sicurezza in Kubernetes, CVE-2021-25741, in cui un utente può creare un container con un volume del percorso secondario per accedere a file al di fuori del volume, incluse le directory sul file system host.

    Dettagli tecnici:

    In CVE-2021-25741, l’aggressore può creare un link simbolico da un campo emptyDir montato file system radice del nodo ( / ), il kubelet seguirà il collegamento simbolico e montare la radice dell'host nel container.

    Che cosa devo fare?

    Aggiornamento del 24/09/2021: sono ora disponibili le versioni 1.8.3 e 1.7.4 con patch.

    Aggiornamento del 17/09/2021: è stato corretto l'elenco delle versioni disponibili che contengono la patch.


    Le seguenti versioni di GKE on VMware sono state aggiornate con per correggere questa vulnerabilità. Esegui l'upgrade dei cluster di amministrazione e dei cluster utente a una delle seguenti versioni:

    • 1.8.3
    • 1.8.2
    • 1.7.4
    • 1.6.5
    Alta

    dei cluster GKE

    Descrizione Gravità

    È stato rilevato un problema di sicurezza in Kubernetes, CVE-2021-25741, in cui un utente può creare un container con un volume del percorso secondario per accedere a file al di fuori del volume, incluse le directory sul file system host.

    Dettagli tecnici:

    In CVE-2021-25741, l’aggressore può creare un link simbolico da un campo emptyDir montato file system radice del nodo ( / ), il kubelet seguirà il collegamento simbolico e montare la radice dell'host nel container.

    Che cosa devo fare?

    Aggiornamento del 16/09/2021: è stato aggiunto un elenco di versioni gke supportate per gli oggetti AWSCluster e AWSNodePool.


    Le seguenti versioni di GKE su AWS sono state aggiornate con per correggere questa vulnerabilità. Ti consigliamo di:

    • Esegui l'upgrade il tuo AWSManagementService, AWSCluster e AWSNodePool oggetti nella versione seguente:
      • 1.8.2
    • Aggiorna la versione gke del tuo AWSCluster e AWSNodePool oggetti in uno degli versioni Kubernetes supportate:
      • 1.17.17-gke.15800
      • 1.18.20-gke.4800
      • 1.19.14-gke.600
      • 1.20.10-gke.600
    Alta

    dei cluster GKE

    Descrizione Gravità

    È stato rilevato un problema di sicurezza in Kubernetes, CVE-2021-25741, in cui un utente può creare un container con un volume del percorso secondario per accedere a file al di fuori del volume, incluse le directory sul file system host.

    Dettagli tecnici:

    In CVE-2021-25741, l’aggressore può creare un link simbolico da un campo emptyDir montato file system radice del nodo ( / ), il kubelet seguirà il collegamento simbolico e montare la radice dell'host nel container.

    Che cosa devo fare?

    Le seguenti versioni di GKE on Bare Metal sono state aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade dei cluster di amministrazione e dei cluster utente a una delle seguenti versioni:

    • 1.8.3
    • 1.7.4
    Alta

    GCP-2021-017

    Pubblicato il 01/09/2021
    Ultimo aggiornamento: 23/09/2021
    Riferimento: CVE-2021-33909
    CVE-2021-33910

    GKE

    Descrizione Gravità
    aggiornamento 23-09-2021:

    Container in esecuzione all'interno di GKE Sandbox non sono interessate da questa vulnerabilità per gli attacchi che hanno origine all'interno del container.


    aggiornamento 2021-09-15:

    Le seguenti versioni di GKE risolvono le vulnerabilità:

    • 1.18.20-gke.4100
    • 1.19.13-gke.1900
    • 1.20.9-gke.1500
    • 1.21.3-gke.1400

    Due vulnerabilità di sicurezza: CVE-2021-33909 e CVE-2021-33910, sono state rilevati nel kernel Linux che possono causare un arresto anomalo del sistema operativo o un'escalation al rooting mediante un utente senza privilegi. Questa vulnerabilità interessa tutti i sistemi operativi dei nodi GKE (COS e Ubuntu).

    Dettagli tecnici:

    In CVE-2021-33909, il parametro Il livello di file system del kernel Linux non limita correttamente le allocazioni del buffer seq, causando a un overflow di numeri interi, una scrittura fuori dai limiti e una riassegnazione a root.
    Con CVE-2021-33910, systemd ha un'allocazione della memoria con un valore di dimensione eccessivo (che richiede strdupa e alloca per un percorso controllato da un utente malintenzionato) che provoca un arresto anomalo del sistema operativo.

    Che cosa devo fare?

    Le versioni delle immagini dei nodi Linux per le seguenti versioni di GKE sono stati aggiornati con il codice per correggere questa vulnerabilità. Esegui l'upgrade dei cluster a una delle versioni seguenti:

    • 1.18.20-gke.4100
    • 1.19.13-gke.1900
    • 1.20.9-gke.1500
    • 1.21.3-gke.1400
    Alta

    dei cluster GKE

    Descrizione Gravità

    Due vulnerabilità di sicurezza: CVE-2021-33909 e CVE-2021-33910, sono state rilevati nel kernel Linux che possono causare un arresto anomalo del sistema operativo o un'escalation al rooting mediante un utente senza privilegi. Questa vulnerabilità interessa tutti i sistemi operativi dei nodi GKE (COS e Ubuntu).

    Dettagli tecnici:

    In CVE-2021-33909, il parametro Il livello di file system del kernel Linux non limita correttamente le allocazioni del buffer seq, causando a un overflow di numeri interi, una scrittura fuori dai limiti e una riassegnazione a root.
    Con CVE-2021-33910, systemd ha un'allocazione della memoria con un valore di dimensione eccessivo (che richiede strdupa e alloca per un percorso controllato da un utente malintenzionato) che provoca un arresto anomalo del sistema operativo.

    Che cosa devo fare?

    Le versioni delle immagini dei nodi Linux per GKE su AWS sono state aggiornate con codice per correggere questa vulnerabilità. Esegui l'upgrade dei cluster a una delle versioni seguenti:

    • 1.20.10-gke.600
    • 1.19.14-gke.600
    • 1.18.20-gke.4800
    • 1.17.17-gke.15800
    Alta

    dei cluster GKE

    Descrizione Gravità

    Due vulnerabilità di sicurezza: CVE-2021-33909 e CVE-2021-33910, sono state rilevati nel kernel Linux che possono causare un arresto anomalo del sistema operativo o un'escalation al rooting mediante un utente senza privilegi. Questa vulnerabilità interessa tutti i sistemi operativi dei nodi GKE (COS e Ubuntu).

    Dettagli tecnici:

    In CVE-2021-33909, il parametro Il livello di file system del kernel Linux non limita correttamente le allocazioni del buffer seq, causando a un overflow di numeri interi, una scrittura fuori dai limiti e una riassegnazione a root.
    Con CVE-2021-33910, systemd ha un'allocazione della memoria con un valore di dimensione eccessivo (che richiede strdupa e alloca per un percorso controllato da un utente malintenzionato) che provoca un arresto anomalo del sistema operativo.

    Che cosa devo fare?

    Le versioni delle immagini dei nodi Linux e COS per GKE on VMware sono state aggiornate con codice per correggere questa vulnerabilità. Esegui l'upgrade dei cluster a una delle versioni seguenti:

    • 1.9
    • 1.8.2
    • 1.7.3
    • 1.6.4 (Solo Linux)

    Consulta Cronologia delle versioni: Kubernetes e versioni del kernel dei nodi.

    Alta

    GCP-2021-015

    Pubblicato il 13/07/2021
    Ultimo aggiornamento: 15/07/2021
    Riferimento: CVE-2021-22555

    GKE

    Descrizione Gravità

    Una nuova vulnerabilità di sicurezza, CVE-2021-22555, è stata individuata la posizione in cui un utente malintenzionato con privilegi di CAP_NET_ADMIN può potenzialmente causare il rooting di un container sull'host. Questa vulnerabilità interessa tutti i cluster GKE e GKE on VMware con Linux versione 2.6.19 o successiva.

    Dettagli tecnici

    In questo attacco, un valore fuori intervallo scrive in setsockopt nel sottosistema netfilter in Linux può causare la corruzione dell'heap (e quindi un denial of service) e l'escalation dei privilegi.

    Che cosa devo fare?

    Le seguenti versioni di Linux su GKE sono state aggiornate con il codice da correggere vulnerabilità. Esegui l'upgrade dei cluster a una delle versioni seguenti:

    • 1.21.1-gke.2200
    • 1.20.7-gke.2200
    • 1.19.11-gke.2100
    • 1.18.20-gke.501

    Quale vulnerabilità viene affrontata da questa patch?

    CVE-2021-22555

    Alta

    dei cluster GKE

    Descrizione Gravità

    Una nuova vulnerabilità di sicurezza, CVE-2021-22555, è stata individuata la posizione in cui un utente malintenzionato con privilegi di CAP_NET_ADMIN può potenzialmente causare il rooting di un container sull'host. Questa vulnerabilità interessa tutti i cluster GKE e GKE on VMware con Linux versione 2.6.19 o successiva.

    Dettagli tecnici

    In questo attacco, un valore fuori intervallo scrive in setsockopt nel sottosistema netfilter in Linux può causare la corruzione dell'heap (e quindi un denial of service) e l'escalation dei privilegi.

    Che cosa devo fare?

    Le seguenti versioni di Linux su GKE su VMware sono state aggiornate con il codice da correggere vulnerabilità. Esegui l'upgrade dei cluster a una delle versioni seguenti:

    • 1.8
    • 1.7.3
    • 1.6.4

    Quale vulnerabilità viene affrontata da questa patch?

    CVE-2021-22555

    Alta

    GCP-2021-014

    Pubblicato: 05/07/2021
    Riferimento: CVE-2021-34527

    GKE

    Descrizione Gravità

    Microsoft ha pubblicato un bollettino sulla sicurezza su una vulnerabilità RCE (Remote code Execution ), CVE-2021-34527, che interessa lo spooler di stampa nei server Windows. Il CERT Coordination Center (CERT/CC) ha pubblicato una nota di aggiornamento su una vulnerabilità correlata, chiamata "PrintNightmare" che interessa anche gli spooler di stampa Windows - PrintNightmare, Vulnerabilità critica dello spooler di stampa di Windows

    Che cosa devo fare?

    Non è richiesta alcuna azione da parte tua. I nodi Windows di GKE non contengono il servizio Spooler interessato come parte dell'immagine di base, quindi i deployment GKE Windows non sono vulnerabili a questo attacco.

    Quali vulnerabilità vengono affrontate da questo bollettino?

    Alta

    GCP-2021-012

    Pubblicato il 01/07/2021
    Ultimo aggiornamento: 09/07/2021
    Riferimento: CVE-2021-34824

    GKE

    Descrizione Gravità

    Che cosa devo fare?

    Il progetto Istio dichiarato di recente una nuova vulnerabilità di sicurezza (CVE-2021-34824) che interessa Istio. Istio contiene una vulnerabilità sfruttabile da remoto per cui è possibile accedere alle credenziali specificate nel campo Gateway eDestinationRule credentialsName da diversi spazi dei nomi.

    Dettagli tecnici:

    Il Gateway sicuro di Istio o i carichi di lavoro che utilizzano la regola di destinazione possono caricare chiavi private e certificati TLS da secret di Kubernetes tramite la configurazione di credentialName. A partire da Istio 1.8, i secret vengono letti da Istio e trasmessi a gateway e carichi di lavoro tramite XDS.

    Normalmente, un deployment di gateway o carico di lavoro è in grado di accedere solo ai certificati TLS e alle chiavi private archiviati nel secret all'interno del relativo spazio dei nomi. Tuttavia, un bug in istiod consente a un client autorizzato ad accedere all'API Istio XDS di recuperare qualsiasi certificato TLS e chiavi private memorizzate nella cache in istiod.

    Che cosa devo fare?

    I cluster GKE non eseguono Istio per impostazione predefinita e, se abilitato, utilizzano Istio versione 1.6, che non è vulnerabile a questo attacco. Se hai installato o eseguito l'upgrade di Istio sul cluster a Istio 1.8 o versioni successive, esegui l'upgrade di Istio all'ultima versione supportata.

    Alta

    dei cluster GKE

    Descrizione Gravità

    Che cosa devo fare?

    Il progetto Istio dichiarato di recente una nuova vulnerabilità di sicurezza (CVE-2021-34824) che interessa Istio. Istio contiene una vulnerabilità sfruttabile da remoto per cui è possibile accedere alle credenziali specificate nel campo Gateway eDestinationRule credentialsName da diversi spazi dei nomi.

    Dettagli tecnici:

    Il Gateway sicuro di Istio o i carichi di lavoro che utilizzano la regola di destinazione possono caricare chiavi private e certificati TLS da secret di Kubernetes tramite la configurazione di credentialName. A partire da Istio 1.8, i secret vengono letti da Istio e trasmessi a gateway e carichi di lavoro tramite XDS.

    Normalmente, un deployment di gateway o carico di lavoro è in grado di accedere solo ai certificati TLS e alle chiavi private archiviati nel secret all'interno del relativo spazio dei nomi. Tuttavia, un bug in istiod consente a un client autorizzato ad accedere all'API Istio XDS di recuperare qualsiasi certificato TLS e chiavi private memorizzate nella cache in istiod.

    Che cosa devo fare?

    I cluster Anthos su VMware v1.6 e v1.7 non sono vulnerabili a questo attacco. I cluster Anthos su VMware v1.8 sono vulnerabili.

    Se utilizzi Cluster Anthos su VMware v1.8, esegui l'upgrade alla seguente versione con patch o successiva:

    • 1.8.0-gke.25
    Alta

    dei cluster GKE

    Descrizione Gravità

    Che cosa devo fare?

    Il progetto Istio dichiarato di recente una nuova vulnerabilità di sicurezza (CVE-2021-34824) che interessa Istio. Istio contiene una vulnerabilità sfruttabile da remoto per cui è possibile accedere alle credenziali specificate nel campo Gateway eDestinationRule credentialsName da diversi spazi dei nomi.

    Dettagli tecnici:

    Il Gateway sicuro di Istio o i carichi di lavoro che utilizzano la regola di destinazione possono caricare chiavi private e certificati TLS da secret di Kubernetes tramite la configurazione di credentialName. A partire da Istio 1.8, i secret vengono letti da Istio e trasmessi a gateway e carichi di lavoro tramite XDS.

    Normalmente, un deployment di gateway o carico di lavoro è in grado di accedere solo ai certificati TLS e alle chiavi private archiviati nel secret all'interno del relativo spazio dei nomi. Tuttavia, un bug in istiod consente a un client autorizzato ad accedere all'API Istio XDS di recuperare qualsiasi certificato TLS e chiavi private memorizzate nella cache in istiod. I cluster creati o aggiornati con Anthos clusters on bare metal v1.8.0 sono interessati da questo CVE.

    Che cosa devo fare?

    Anthos v1.6 e 1.7 non sono vulnerabili a questo attacco. Se disponi di cluster v1.8.0, scarica e installa la versione 1.8.1 di bmctl ed esegui l'upgrade dei cluster alla seguente versione con patch:

    • 1.8.1
    Alta

    GCP-2021-011

    Pubblicato il 04/06/2021
    Ultimo aggiornamento: 19/10/2021
    Riferimento: CVE-2021-30465

    Aggiornamento 19/10/2021: aggiunti bollettini per GKE su VMware, GKE su AWS e GKE on Bare Metal.

    GKE

    Descrizione Gravità

    La community per la sicurezza ha recentemente divulgato una nuova vulnerabilità di sicurezza (CVE-2021-30465) trovato in runc, che potenzialmente consente l'accesso completo a un file system dei nodi.

    Per GKE, perché lo sfruttamento di questa vulnerabilità richiede la capacità di creare pod, abbiamo valutato la gravità di questa vulnerabilità come MEDIO.

    Dettagli tecnici

    Il pacchetto runc è vulnerabile a un attacco di scambio di simboli quando si monta un volume.

    Per questo specifico attacco, un utente può potenzialmente sfruttare una race condition iniziando più pod su un singolo nodo contemporaneamente, tutti condividono lo stesso montaggio di volume un collegamento simbolico.

    Se l'attacco ha esito positivo, uno dei pod monta il file system del nodo con autorizzazioni aggiuntive.

    Che cosa devo fare?

    È disponibile una patch di recente rilascio per runc (1.0.0-rc95) che risolve questo problema vulnerabilità.

    Esegui l'upgrade del cluster GKE a una delle seguenti versioni aggiornate:

    • 1.18.19-gke.2100
    • 1.19.9-gke.1400
    • 1.20.6-gke.1400
    • 1.21.2-gke.600

    Medio

    dei cluster GKE

    Descrizione Gravità

    La community per la sicurezza ha recentemente divulgato una nuova vulnerabilità di sicurezza (CVE-2021-30465) trovato in runc, che potenzialmente consente l'accesso completo a un file system dei nodi.

    Per GKE su VMware, perché lo sfruttamento di questa vulnerabilità richiede la capacità di creare pod, abbiamo valutato la gravità di questa vulnerabilità come MEDIO.

    Dettagli tecnici

    Il pacchetto runc è vulnerabile a un attacco di scambio di simboli quando si monta un volume.

    Per questo specifico attacco, un utente può potenzialmente sfruttare una race condition iniziando più pod su un singolo nodo contemporaneamente, tutti condividono lo stesso montaggio di volume un collegamento simbolico.

    Se l'attacco ha esito positivo, uno dei pod monta il file system del nodo con autorizzazioni aggiuntive.

    Che cosa devo fare?

    È disponibile una patch appena rilasciata per runc che corregge questo problema vulnerabilità. Esegui l'upgrade di GKE on VMware a una delle seguenti versioni:

    • 1.7.3-gke-2
    • 1.8.1-gke.7
    • 1.9.0-gke.8

    Medio

    dei cluster GKE

    Descrizione Gravità

    La community per la sicurezza ha recentemente divulgato una nuova vulnerabilità di sicurezza (CVE-2021-30465) trovato in runc, che potenzialmente consente l'accesso completo a un file system dei nodi.

    Poiché si tratta di una vulnerabilità a livello di sistema operativo, GKE su AWS non vulnerabili.

    Dettagli tecnici

    Il pacchetto runc è vulnerabile a un attacco di scambio di simboli quando si monta un volume.

    Per questo specifico attacco, un utente può potenzialmente sfruttare una race condition iniziando più pod su un singolo nodo contemporaneamente, tutti condividono lo stesso montaggio di volume un collegamento simbolico.

    Se l'attacco ha esito positivo, uno dei pod monta il file system del nodo con autorizzazioni aggiuntive.

    Che cosa devo fare?

    Assicurati che la versione del sistema operativo su cui esegui GKE su AWS sia Upgrade alla versione più recente del sistema operativo con un pacchetto runc aggiornato.

    Nessuno

    dei cluster GKE

    Descrizione Gravità

    La community per la sicurezza ha recentemente divulgato una nuova vulnerabilità di sicurezza (CVE-2021-30465) trovato in runc, che potenzialmente consente l'accesso completo a un file system dei nodi.

    Poiché si tratta di una vulnerabilità a livello di sistema operativo, GKE on Bare Metal non vulnerabili.

    Dettagli tecnici

    Il pacchetto runc è vulnerabile a un attacco di scambio di simboli quando si monta un volume.

    Per questo specifico attacco, un utente può potenzialmente sfruttare una race condition iniziando più pod su un singolo nodo contemporaneamente, tutti condividono lo stesso montaggio di volume un collegamento simbolico.

    Se l'attacco ha esito positivo, uno dei pod monta il file system del nodo con autorizzazioni aggiuntive.

    Che cosa devo fare?

    Assicurati che la versione del sistema operativo su cui esegui Google Distributed Cloud Virtual for Bare Metal sia Upgrade alla versione più recente del sistema operativo con un pacchetto runc aggiornato.

    Nessuno

    GCP-2021-006

    Pubblicato: 11/05/2021
    Riferimento: CVE-2021-31920

    GKE

    Descrizione Gravità

    Il progetto Istio dichiarato di recente una nuova vulnerabilità di sicurezza (CVE-2021-31920) che interessano Istio.

    Istio contiene una vulnerabilità sfruttabile in remoto per cui una richiesta HTTP Le barre o i caratteri barrati possono ignorare il criterio di autorizzazione Istio quando si tratta di un percorso e regole di autorizzazione.

    Che cosa devo fare?

    Ti consigliamo vivamente di aggiornare e riconfigurare GKE cluster. Tieni presente che è importante completare entrambi i passaggi riportati di seguito per risolvere correttamente la vulnerabilità:

    1. Aggiorna i cluster: Completa le seguenti istruzioni per eseguire l'upgrade dei cluster a le ultime versioni delle patch il prima possibile:
        .
      • Se utilizzi Istio su GKE 1.6:

        La versione più recente della patch è la 1.6.14-gke.3. Segui le istruzioni per l'upgrade per eseguire l'upgrade dei cluster alla versione più recente.

      • Se utilizzi Istio su GKE 1.4:
      • Le release Istio su GKE 1.4 non sono più supportate Istio non esegue il backporting delle correzioni CVE e versioni successive. Segui le istruzioni per l'upgrade di Istio per eseguire l'upgrade dei cluster alla versione 1.6, segui le istruzioni riportate sopra per ottenere la versione più recente di Istio su GKE 1.6.

    2. Configura Istio:

      Una volta applicate le patch ai cluster, devi riconfigurarli Istio su GKE. Consulta le guida alle best practice per la sicurezza per configurare correttamente il sistema.

    Alta

    GCP-2021-004

    Pubblicato: 06/05/2021
    Riferimento: CVE-2021-28683, CVE-2021-28682, CVE-2021-29258

    GKE

    Descrizione Gravità

    I progetti Envoy e Istio hanno annunciato di recente diverse nuove vulnerabilità di sicurezza (CVE-2021-28683, CVE-2021-28682 e CVE-2021-29258), che potrebbe consentire a un aggressore di provocare l'arresto anomalo di Envoy.

    I cluster GKE non eseguono Istio per impostazione predefinita e non sono vulnerabili. Se Istio è stato installato in un cluster e configurato per esporre i servizi su internet, tali servizi potrebbero essere vulnerabili agli attacchi denial of service.

    Che cosa devo fare?

    Per correggere queste vulnerabilità, esegui l'upgrade del piano di controllo GKE a una delle seguenti versioni con patch:

    • 1.16.15-gke.16200
    • 1.17.17-gke.6100
    • 1.18.17-gke.1300
    • 1.19.9-gke.1300
    • 1.20.5-gke.1400
    Medio

    dei cluster GKE

    Descrizione Gravità

    I progetti Envoy e Istio hanno annunciato di recente diverse nuove vulnerabilità di sicurezza (CVE-2021-28683, CVE-2021-28682 e CVE-2021-29258), che potrebbe consentire a un aggressore di provocare l'arresto anomalo di Envoy.

    GKE su VMware utilizza Envoy per impostazione predefinita per Ingress, quindi i servizi Ingress potrebbero essere vulnerabili agli attacchi denial of service.

    Che cosa devo fare?

    Per correggere queste vulnerabilità, esegui l'upgrade di GKE on VMware a una delle seguenti opzioni versioni con patch al momento del rilascio:

    • 1.5.4
    • 1.6.3
    • 1.7.1
    Medio

    dei cluster GKE

    Ultimo aggiornamento: 06/05/2021

    Descrizione Gravità

    I progetti Envoy e Istio hanno annunciato di recente diverse nuove vulnerabilità di sicurezza (CVE-2021-28683, CVE-2021-28682 e CVE-2021-29258), che potrebbe consentire a un aggressore di provocare l'arresto anomalo di Envoy.

    Google Distributed Cloud Virtual for Bare Metal utilizza Envoy per impostazione predefinita per Ingress, quindi i servizi Ingress potrebbero essere vulnerabili agli attacchi denial of service.

    Che cosa devo fare?

    Per correggere queste vulnerabilità, esegui l'upgrade del cluster Google Distributed Cloud Virtual for Bare Metal a uno delle seguenti versioni con patch al momento del rilascio:

    • 1.6.3
    • 1.7.1
    Medio

    GCP-2021-003

    Pubblicato il 19/04/2021
    Riferimento: CVE-2021-25735

    GKE

    Descrizione Gravità

    Il progetto Kubernetes di recente ha annunciato una nuova vulnerabilità di sicurezza, . CVE-2021-25735, che potrebbe consentire agli aggiornamenti dei nodi di bypassare un webhook di convalida di ammissione.

    In uno scenario in cui un aggressore ha privilegi sufficienti e in cui un È implementato il webhook di ammissione che utilizza le vecchie proprietà dell'oggetto Node (ad campi di esempio in Node.NodeSpec), l'autore dell'attacco potrebbe aggiornare le proprietà di un che potrebbe causare la compromissione del cluster. Nessuno dei criteri applicato da GKE e i controller di ammissione integrati di Kubernetes sono interessati, ma consigliamo ai clienti controlla eventuali altri webhook di ammissione installati.

    Che cosa devo fare?

    Per correggere questa vulnerabilità, esegui l'upgrade del cluster GKE a una delle seguenti versioni con patch:

    • 1.18.17-gke.900
    • 1.19.9-gke.900
    • 1.20.5-gke.900
    Medio

    dei cluster GKE

    Descrizione Gravità

    Il progetto Kubernetes di recente ha annunciato una nuova vulnerabilità di sicurezza, . CVE-2021-25735, che potrebbe consentire agli aggiornamenti dei nodi di bypassare un webhook di convalida di ammissione.

    In uno scenario in cui un aggressore ha privilegi sufficienti e in cui un È implementato il webhook di ammissione che utilizza le vecchie proprietà dell'oggetto Node (ad campi di esempio in Node.NodeSpec), l'autore dell'attacco potrebbe aggiornare le proprietà di un che potrebbe causare la compromissione del cluster. Nessuno dei criteri applicato da GKE e i controller di ammissione integrati di Kubernetes sono interessati, ma consigliamo ai clienti controlla eventuali altri webhook di ammissione installati.

    Che cosa devo fare?

    Una versione patch imminente includerà una mitigazione per questa vulnerabilità.

    Medio

    dei cluster GKE

    Descrizione Gravità

    Il progetto Kubernetes di recente ha annunciato una nuova vulnerabilità di sicurezza, . CVE-2021-25735, che potrebbe consentire agli aggiornamenti dei nodi di bypassare un webhook di convalida di ammissione.

    In uno scenario in cui un aggressore ha privilegi sufficienti e in cui un È implementato il webhook di ammissione che utilizza le vecchie proprietà dell'oggetto Node (ad campi di esempio in Node.NodeSpec), l'autore dell'attacco potrebbe aggiornare le proprietà di un che potrebbe causare la compromissione del cluster. Nessuno dei criteri applicato da GKE e i controller di ammissione integrati di Kubernetes sono interessati, ma consigliamo ai clienti controlla eventuali altri webhook di ammissione installati.

    Che cosa devo fare?

    Una versione patch imminente includerà una mitigazione per questa vulnerabilità.

    Medio

    dei cluster GKE

    Descrizione Gravità

    Il progetto Kubernetes di recente ha annunciato una nuova vulnerabilità di sicurezza, . CVE-2021-25735, che potrebbe consentire agli aggiornamenti dei nodi di bypassare un webhook di convalida di ammissione.

    In uno scenario in cui un aggressore ha privilegi sufficienti e in cui un È implementato il webhook di ammissione che utilizza le vecchie proprietà dell'oggetto Node (ad campi di esempio in Node.NodeSpec), l'autore dell'attacco potrebbe aggiornare le proprietà di un che potrebbe causare la compromissione del cluster. Nessuno dei criteri applicato da GKE e i controller di ammissione integrati di Kubernetes sono interessati, ma consigliamo ai clienti controlla eventuali altri webhook di ammissione installati.

    Che cosa devo fare?

    Una versione patch imminente includerà una mitigazione per questa vulnerabilità.

    Medio

    GCP-2021-001

    Pubblicato il 28/01/2021
    Riferimento: CVE-2021-3156

    GKE

    Descrizione Gravità

    Di recente è stata scoperta una vulnerabilità nell'utilità Linux sudo, descritto in CVE-2021-3156, che potrebbero consentire a un aggressore con accesso non privilegiato alla shell locale su un sistema con sudo installato per aumentare i privilegi a root sul di un sistema operativo completo.

    I cluster Google Kubernetes Engine (GKE) non sono interessati da questa vulnerabilità:

    • Gli utenti autorizzati a utilizzare SSH per i nodi GKE sono già considerati con privilegi elevati e può utilizzare sudo per ottenere privilegi di rooting per impostazione predefinita. La la vulnerabilità non genera ulteriori percorsi di escalation dei privilegi in questo scenario.
    • La maggior parte dei container di sistema GKE viene creata immagini di base senza distroless in cui non è installata una shell o sudo. Altre immagini vengono generate immagine di base debian che non contiene sudo. Anche se sudo era presente, l'accesso a sudo all'interno del contenitore non ti concede l'accesso all'host a causa del confine del container.

    Che cosa devo fare?

    Poiché i cluster GKE non sono interessati da questa vulnerabilità, non è necessaria un'azione specifica.

    La patch per questa vulnerabilità verrà applicata in GKE in una release futura a una cadenza regolare.

    Nessuno

    dei cluster GKE

    Descrizione Gravità

    Di recente è stata scoperta una vulnerabilità nell'utilità Linux sudo, descritto in CVE-2021-3156, che potrebbero consentire a un aggressore con accesso non privilegiato alla shell locale su un sistema con sudo installato per aumentare i privilegi a root sul di un sistema operativo completo.

    GKE on VMware non è interessato da questa vulnerabilità:

    • Gli utenti autorizzati a utilizzare SSH per i nodi GKE on VMware sono già considerati con privilegi elevati e può utilizzare sudo per ottenere privilegi di rooting per impostazione predefinita. La la vulnerabilità non genera ulteriori percorsi di escalation dei privilegi in questo scenario.
    • La maggior parte dei container di sistema GKE on VMware viene creata immagini di base senza distroless in cui non è installata una shell o sudo. Altre immagini vengono generate immagine di base debian che non contiene sudo. Anche se sudo era presente, l'accesso a sudo all'interno del contenitore non ti concede l'accesso all'host a causa del confine del container.

    Che cosa devo fare?

    Poiché i cluster GKE on VMware non sono interessati da questa vulnerabilità, non è necessaria un'azione specifica.

    La patch per questa vulnerabilità verrà applicata per GKE su VMware in una release futura a una cadenza regolare.

    Nessuno

    dei cluster GKE

    Descrizione Gravità

    Di recente è stata scoperta una vulnerabilità nell'utilità Linux sudo, descritto in CVE-2021-3156, che potrebbero consentire a un aggressore con accesso non privilegiato alla shell locale su un sistema con sudo installato per aumentare i privilegi a root sul di un sistema operativo completo.

    GKE su AWS non è interessato da questa vulnerabilità:

    • Gli utenti autorizzati a SSH per GKE sui nodi AWS sono già considerati con privilegi elevati e può utilizzare sudo per ottenere privilegi di rooting per impostazione predefinita. La la vulnerabilità non genera ulteriori percorsi di escalation dei privilegi in questo scenario.
    • La maggior parte dei container di sistema GKE su AWS viene creata immagini di base senza distroless in cui non è installata una shell o sudo. Altre immagini vengono generate immagine di base debian che non contiene sudo. Anche se sudo era presente, l'accesso a sudo all'interno del contenitore non ti concede l'accesso all'host a causa del confine del container.

    Che cosa devo fare?

    Poiché GKE su cluster AWS non è interessato da questa vulnerabilità, non è necessaria un'azione specifica.

    La patch per questa vulnerabilità verrà applicata a GKE su AWS in una release futura a una cadenza regolare.

    Nessuno

    dei cluster GKE

    Descrizione Gravità

    Di recente è stata scoperta una vulnerabilità nell'utilità Linux sudo, descritto in CVE-2021-3156, che potrebbero consentire a un aggressore con accesso non privilegiato alla shell locale su un sistema con sudo installato per aumentare i privilegi a root sul di un sistema operativo completo.

    I cluster Google Distributed Cloud Virtual for Bare Metal non sono interessati da questa vulnerabilità:

    • Gli utenti autorizzati a SSH per i nodi Google Distributed Cloud Virtual for Bare Metal vengono già presi in considerazione con privilegi elevati e può utilizzare sudo per ottenere privilegi di rooting per impostazione predefinita. La la vulnerabilità non genera ulteriori percorsi di escalation dei privilegi in questo scenario.
    • La maggior parte dei container di sistema Google Distributed Cloud Virtual for Bare Metal sono basati immagini di base senza distroless in cui non è installata una shell o sudo. Altre immagini vengono generate immagine di base debian che non contiene sudo. Anche se sudo era presente, l'accesso a sudo all'interno del contenitore non ti concede l'accesso all'host a causa del confine del container.

    Che cosa devo fare?

    Poiché i cluster Google Distributed Cloud Virtual for Bare Metal non sono interessati da questa vulnerabilità, non potrai è necessaria un'azione specifica.

    La patch per questa vulnerabilità verrà applicata a Google Distributed Cloud Virtual for Bare Metal in una release futura a una cadenza regolare.

    Nessuno

    GCP-2020-015

    Pubblicato il 07/12/2020
    Ultimo aggiornamento: 22/12/2021
    Riferimento: CVE-2020-8554

    Aggiornamento del 22/12/2021: utilizza gcloud beta anziché lo Comando gcloud.

    Aggiornamento del 15/12/2021: aggiunta ulteriore mitigazione per GKE.

    GKE

    Descrizione Gravità
    Ultimo aggiornamento: 22/12/2021 Il comando per GKE nella sezione seguente dovrebbe usare gcloud beta anziché il comando gcloud.
    gcloud beta container clusters update –no-enable-service-externalips
    

    Aggiornamento: 15/12/2021 Per GKE, la seguente mitigazione è ora disponibili:
    1. A partire dalla versione 1.21 di GKE, i servizi con IP esterni sono bloccati un controller di ammissione DenyServiceExternalIPs abilitato per impostazione predefinita per i nuovi cluster.
    2. I clienti che eseguono l'upgrade a GKE versione 1.21 possono bloccare i servizi con per gli IP esterni utilizzando il comando seguente:
      gcloud container clusters update –no-enable-service-externalips
      

    Per ulteriori informazioni, vedi Rafforzamento della sicurezza del cluster.


    Il progetto Kubernetes rilevato di recente una nuova vulnerabilità, CVE-2020-8554, che potrebbero consentire a un utente malintenzionato che ha ottenuto le autorizzazioni di creare un servizio Kubernetes digita LoadBalancer o ClusterIP per intercettare il traffico di rete proveniente da altri pod in nel cluster.

    Questa vulnerabilità da sola non concede agli utenti malintenzionati le autorizzazioni necessarie per per creare un servizio Kubernetes.

    Tutti i cluster Google Kubernetes Engine (GKE) sono interessati da questa vulnerabilità.

    Che cosa devo fare?

    In una versione futura, Kubernetes potrebbe dover apportare modifiche alla progettazione incompatibili con le versioni precedenti risolvere la vulnerabilità.

    Se molti utenti condividono l'accesso al cluster con le autorizzazioni per creare servizi, ad esempio in per un cluster multi-tenant, valuta la possibilità di applicare una mitigazione nel frattempo. Per ora, le migliori per la mitigazione è limitare l'uso di ExternalIP in un cluster. Gli IP esterni sono non è una funzione di uso comune.

    Limita l'uso degli IP esterni in un cluster con uno dei utilizza i seguenti metodi:

    1. Utilizza GKE Enterprise Policy Controller o Gatekeeper con questo modello di vincolo e applicarla. Ad esempio:
      # Only allow the creation of Services with no
      # ExternalIP or an ExternalIP of 203.0.113.1:
      
      apiVersion: constraints.gatekeeper.sh/v1beta1
      kind: K8sExternalIPs
      metadata:
        name: external-ips
      spec:
        match:
          kinds:
            - apiGroups: [""]
              kinds: ["Service"]
        parameters:
          allowedIPs:
            - "203.0.113.1"
      
    2. In alternativa, installa un controller di ammissione per impedire l'uso di ExternalIP. Il progetto Kubernetes ha fornito controller di ammissione di esempio per questa attività.

    Come indicato nel Annuncio di Kubernetes, non viene fornita alcuna mitigazione per i servizi di tipo LoadBalancer perché, per impostazione predefinita, vengono fornite agli utenti con privilegi e ai componenti di sistema container.services.updateStatus autorizzazione necessario per sfruttare questa vulnerabilità.

    Medio

    dei cluster GKE

    Descrizione Gravità
    Ultimo aggiornamento: 22/12/2021 Il comando per GKE nella sezione seguente dovrebbe usare gcloud beta anziché il comando gcloud.
    gcloud beta container clusters update –no-enable-service-externalips
    

    Aggiornamento: 15/12/2021 Per GKE, la seguente mitigazione è ora disponibili:
    1. A partire dalla versione 1.21 di GKE, i servizi con IP esterni sono bloccati un controller di ammissione DenyServiceExternalIPs abilitato per impostazione predefinita per i nuovi cluster.
    2. I clienti che eseguono l'upgrade a GKE versione 1.21 possono bloccare i servizi con per gli IP esterni utilizzando il comando seguente:
      gcloud container clusters update –no-enable-service-externalips
      

    Per ulteriori informazioni, vedi Rafforzamento della sicurezza del cluster.


    Il progetto Kubernetes rilevato di recente una nuova vulnerabilità, CVE-2020-8554, che potrebbero consentire a un utente malintenzionato che ha ottenuto le autorizzazioni di creare un servizio Kubernetes digita LoadBalancer o ClusterIP per intercettare il traffico di rete proveniente da altri pod in nel cluster.

    Questa vulnerabilità da sola non concede agli utenti malintenzionati le autorizzazioni necessarie per per creare un servizio Kubernetes.

    Tutti i servizi GKE on VMware sono interessati da questa vulnerabilità.

    Che cosa devo fare?

    In una versione futura, Kubernetes potrebbe dover apportare modifiche alla progettazione incompatibili con le versioni precedenti risolvere la vulnerabilità.

    Se molti utenti condividono l'accesso al cluster con le autorizzazioni per creare servizi, ad esempio in per un cluster multi-tenant, valuta la possibilità di applicare una mitigazione nel frattempo. Per ora, le migliori per la mitigazione è limitare l'uso di ExternalIP in un cluster. Gli IP esterni sono non è una funzione di uso comune.

    Limita l'uso degli IP esterni in un cluster con uno dei utilizza i seguenti metodi:

    1. Utilizza GKE Enterprise Policy Controller o Gatekeeper con questo modello di vincolo e applicarla. Ad esempio:
      # Only allow the creation of Services with no
      # ExternalIP or an ExternalIP of 203.0.113.1:
      
      apiVersion: constraints.gatekeeper.sh/v1beta1
      kind: K8sExternalIPs
      metadata:
        name: external-ips
      spec:
        match:
          kinds:
            - apiGroups: [""]
              kinds: ["Service"]
        parameters:
          allowedIPs:
            - "203.0.113.1"
      
    2. In alternativa, installa un controller di ammissione per impedire l'uso di ExternalIP. Il progetto Kubernetes ha fornito controller di ammissione di esempio per questa attività.

    Come indicato nel Annuncio di Kubernetes, non viene fornita alcuna mitigazione per i servizi di tipo LoadBalancer perché, per impostazione predefinita, vengono fornite agli utenti con privilegi e ai componenti di sistema container.services.updateStatus autorizzazione necessario per sfruttare questa vulnerabilità.

    Medio

    dei cluster GKE

    Descrizione Gravità
    Ultimo aggiornamento: 22/12/2021 Il comando per GKE nella sezione seguente dovrebbe usare gcloud beta anziché il comando gcloud.
    gcloud beta container clusters update –no-enable-service-externalips
    

    Aggiornamento: 15/12/2021 Per GKE, la seguente mitigazione è ora disponibili:
    1. A partire dalla versione 1.21 di GKE, i servizi con IP esterni sono bloccati un controller di ammissione DenyServiceExternalIPs abilitato per impostazione predefinita per i nuovi cluster.
    2. I clienti che eseguono l'upgrade a GKE versione 1.21 possono bloccare i servizi con per gli IP esterni utilizzando il comando seguente:
      gcloud container clusters update –no-enable-service-externalips
      

    Per ulteriori informazioni, vedi Rafforzamento della sicurezza del cluster.


    Il progetto Kubernetes rilevato di recente una nuova vulnerabilità, CVE-2020-8554, che potrebbero consentire a un utente malintenzionato che ha ottenuto le autorizzazioni di creare un servizio Kubernetes digita LoadBalancer o ClusterIP per intercettare il traffico di rete proveniente da altri pod in nel cluster.

    Questa vulnerabilità da sola non concede agli utenti malintenzionati le autorizzazioni necessarie per per creare un servizio Kubernetes.

    Tutti i servizi GKE su AWS sono interessati da questa vulnerabilità.

    Che cosa devo fare?

    In una versione futura, Kubernetes potrebbe dover apportare modifiche alla progettazione incompatibili con le versioni precedenti risolvere la vulnerabilità.

    Se molti utenti condividono l'accesso al cluster con le autorizzazioni per creare servizi, ad esempio in per un cluster multi-tenant, valuta la possibilità di applicare una mitigazione nel frattempo. Per ora, le migliori per la mitigazione è limitare l'uso di ExternalIP in un cluster. Gli IP esterni sono non è una funzione di uso comune.

    Limita l'uso degli IP esterni in un cluster con uno dei utilizza i seguenti metodi:

    1. Utilizza GKE Enterprise Policy Controller o Gatekeeper con questo modello di vincolo e applicarla. Ad esempio:
      # Only allow the creation of Services with no
      # ExternalIP or an ExternalIP of 203.0.113.1:
      
      apiVersion: constraints.gatekeeper.sh/v1beta1
      kind: K8sExternalIPs
      metadata:
        name: external-ips
      spec:
        match:
          kinds:
            - apiGroups: [""]
              kinds: ["Service"]
        parameters:
          allowedIPs:
            - "203.0.113.1"
      
    2. In alternativa, installa un controller di ammissione per impedire l'uso di ExternalIP. Il progetto Kubernetes ha fornito controller di ammissione di esempio per questa attività.

    Come indicato nel Annuncio di Kubernetes, non viene fornita alcuna mitigazione per i servizi di tipo LoadBalancer perché, per impostazione predefinita, vengono fornite agli utenti con privilegi e ai componenti di sistema container.services.updateStatus autorizzazione necessario per sfruttare questa vulnerabilità.

    Medio

    GCP-2020-014

    Pubblicato il 20/10/2020
    Riferimento: CVE-2020-8563, CVE-2020-8564, CVE-2020-8565, CVE-2020-8566

    GKE

    Ultimo aggiornamento: 20/10/2020

    Descrizione Gravità

    Il progetto Kubernetes ha recentemente scoperto diversi problemi che consentono l'esposizione dei dati secret quando sono abilitate opzioni di logging dettagliato. La I seguenti problemi sono:

    • CVE-2020-8563: perdite di secret nei log per il provider vSphere kube-controller-manager
    • CVE-2020-8564: divulgazione dei secret della configurazione Docker quando il formato del file non è valido e il livello di log è >= 4
    • CVE-2020-8565: la correzione incompleta per CVE-2019-11250 in Kubernetes consente la fuga di token in quando logLevel >= 9. Scoperto dalla sicurezza di GKE.
    • CVE-2020-8566: AdminSecret Ceph RBD esposti nei log quando loglevel >= 4

    GKE non è interessato.

    Che cosa devo fare?

    Non sono necessarie ulteriori azioni a causa dei livelli predefiniti di logging delle informazioni dettagliate di GKE.

    Nessuno

    dei cluster GKE

    Ultimo aggiornamento: 10/10/2020

    Descrizione Gravità

    Il progetto Kubernetes ha recentemente scoperto diversi problemi che consentono l'esposizione dei dati secret quando sono abilitate opzioni di logging dettagliato. La I seguenti problemi sono:

    • CVE-2020-8563: perdite di secret nei log per il provider vSphere kube-controller-manager
    • CVE-2020-8564: divulgazione dei secret della configurazione Docker quando il formato del file non è valido e il livello di log è >= 4
    • CVE-2020-8565: la correzione incompleta per CVE-2019-11250 in Kubernetes consente la fuga di token in quando logLevel >= 9. Scoperto dalla sicurezza di GKE.
    • CVE-2020-8566: AdminSecret Ceph RBD esposti nei log quando loglevel >= 4

    GKE on VMware non è interessato.

    Che cosa devo fare?

    Non sono necessarie ulteriori azioni a causa dei livelli predefiniti di logging delle informazioni dettagliate di GKE.

    Nessuno

    dei cluster GKE

    Ultimo aggiornamento: 20/10/2020

    Descrizione Gravità

    Il progetto Kubernetes ha recentemente scoperto diversi problemi che consentono l'esposizione dei dati secret quando sono abilitate opzioni di logging dettagliato. La I seguenti problemi sono:

    • CVE-2020-8563: perdite di secret nei log per il provider vSphere kube-controller-manager
    • CVE-2020-8564: divulgazione dei secret della configurazione Docker quando il formato del file non è valido e il livello di log è >= 4
    • CVE-2020-8565: la correzione incompleta per CVE-2019-11250 in Kubernetes consente la fuga di token in quando logLevel >= 9. Scoperto dalla sicurezza di GKE.
    • CVE-2020-8566: AdminSecret Ceph RBD esposti nei log quando loglevel >= 4

    GKE su AWS non è interessato.

    Che cosa devo fare?

    Non sono necessarie ulteriori azioni a causa dei livelli predefiniti di logging delle informazioni dettagliate di GKE.

    Nessuno

    GCP-2020-012

    Pubblicato il 14/09/2020
    Riferimento: CVE-2020-14386

    GKE

    Descrizione Gravità

    Di recente è stata scoperta una vulnerabilità nel kernel Linux, descritta in CVE-2020-14386, che può consentire al container escape di ottenere i privilegi root sul nodo host.

    Sono interessati tutti i nodi GKE. Pod in esecuzione GKE Sandbox non sono in grado di sfruttare questa vulnerabilità.

    Che cosa devo fare?

    Per correggere questa vulnerabilità, esegui l'upgrade il piano di controllo, quindi i nodi a una delle versioni con patch elencate di seguito:

    • 1.14.10-gke.50
    • 1.15.12-gke.20
    • 1.16.13-gke.401
    • 1.17.9-gke.1504
    • 1.18.6-gke.3504

    Lo sfruttamento di questa vulnerabilità richiede CAP_NET_RAW, ma pochissime di solito richiedono CAP_NET_RAW. Questo e altri potenti devono essere bloccate per impostazione predefinita tramite PodSecurityPolicy oppure Policy Controller:

    Elimina la funzionalità CAP_NET_RAW dai container con uno dei seguenti metodi:

    • Imporre il blocco di queste funzionalità con PodSecurityPolicy, Ad esempio:
          # Require dropping CAP_NET_RAW with a PSP
          apiversion: extensions/v1beta1
          kind: PodSecurityPolicy
          metadata:
            name: no-cap-net-raw
          spec:
            requiredDropCapabilities:
              -NET_RAW
               ...
               # Unrelated fields omitted
    • Oppure utilizzando Policy Controller o Gatekeeper con questo vincolo modello e applicarlo, ad esempio:
          # Dropping CAP_NET_RAW with Gatekeeper
          # (requires the K8sPSPCapabilities template)
          apiversion: constraints.gatekeeper.sh/v1beta1
          kind:  K8sPSPCapabilities
          metadata:
            name: forbid-cap-net-raw
          spec:
            match:
              kinds:
                - apiGroups: [""]
                kinds: ["Pod"]
              namespaces:
                #List of namespaces to enforce this constraint on
                - default
              # If running gatekeeper >= v3.1.0-beta.5,
              # you can exclude namespaces rather than including them above.
              excludedNamespaces:
                - kube-system
            parameters:
              requiredDropCapabilities:
                - "NET_RAW"
    • In alternativa, aggiorna le specifiche del pod:
          # Dropping CAP_NET_RAW from a Pod:
          apiVersion: v1
          kind: Pod
          metadata:
            name: no-cap-net-raw
          spec:
            containers:
              -name: my-container
               ...
              securityContext:
                capabilities:
                  drop:
                    -NET_RAW

    Quale vulnerabilità viene affrontata da questa patch?

    La patch attenua la seguente vulnerabilità:

    La vulnerabilità CVE-2020-14386, che consente ai container con CAP_NET_RAW di scrivere da 1 a 10 byte di memoria kernel, ed eventualmente uscire dal container e ottenere i privilegi root sul nodo host. Con classificazione come vulnerabilità di alta gravità.

    Alta

    dei cluster GKE

    Ultimo aggiornamento: 17/09/2020

    Descrizione Gravità

    Di recente è stata scoperta una vulnerabilità nel kernel Linux, descritta in CVE-2020-14386, che può consentire al container escape di ottenere i privilegi root sul nodo host.

    Sono interessati tutti i nodi GKE on VMware.

    Che cosa devo fare?

    Per correggere questa vulnerabilità, esegui l'upgrade del cluster a una versione con patch. Le seguenti versioni di {gke_on_prem_name}} future contengono la correzione per questa vulnerabilità e il presente bollettino verrà aggiornato non appena sarà disponibile:

    • GKE on VMware 1.4.3, ora disponibile.
    • GKE on VMware 1.3.4, ora disponibile.

    Lo sfruttamento di questa vulnerabilità richiede CAP_NET_RAW, ma pochissime di solito richiedono CAP_NET_RAW. Questo e altri potenti devono essere bloccate per impostazione predefinita tramite PodSecurityPolicy oppure Policy Controller:

    Elimina la funzionalità CAP_NET_RAW dai container con uno dei seguenti metodi:

    • Imporre il blocco di queste funzionalità con PodSecurityPolicy, Ad esempio:
          # Require dropping CAP_NET_RAW with a PSP
          apiversion: extensions/v1beta1
          kind: PodSecurityPolicy
          metadata:
            name: no-cap-net-raw
          spec:
            requiredDropCapabilities:
              -NET_RAW
               ...
               # Unrelated fields omitted
    • Oppure utilizzando Policy Controller o Gatekeeper con questo vincolo modello e applicarlo, ad esempio:
          # Dropping CAP_NET_RAW with Gatekeeper
          # (requires the K8sPSPCapabilities template)
          apiversion: constraints.gatekeeper.sh/v1beta1
          kind:  K8sPSPCapabilities
          metadata:
            name: forbid-cap-net-raw
          spec:
            match:
              kinds:
                - apiGroups: [""]
                kinds: ["Pod"]
              namespaces:
                #List of namespaces to enforce this constraint on
                - default
              # If running gatekeeper >= v3.1.0-beta.5,
              # you can exclude namespaces rather than including them above.
              excludedNamespaces:
                - kube-system
            parameters:
              requiredDropCapabilities:
                - "NET_RAW"
    • In alternativa, aggiorna le specifiche del pod:
          # Dropping CAP_NET_RAW from a Pod:
          apiVersion: v1
          kind: Pod
          metadata:
            name: no-cap-net-raw
          spec:
            containers:
              -name: my-container
               ...
              securityContext:
                capabilities:
                  drop:
                    -NET_RAW

    Quale vulnerabilità viene affrontata da questa patch?

    La patch attenua la seguente vulnerabilità:

    La vulnerabilità CVE-2020-14386, che consente ai container con CAP_NET_RAW di scrivere da 1 a 10 byte di memoria kernel, ed eventualmente uscire dal container e ottenere i privilegi root sul nodo host. Con classificazione come vulnerabilità di alta gravità.

    Alta

    dei cluster GKE

    Ultimo aggiornamento: 13/10/2020

    Descrizione Gravità

    Di recente è stata scoperta una vulnerabilità nel kernel Linux, descritta in CVE-2020-14386, che può consentire al container escape di ottenere i privilegi root sul nodo host.

    Sono interessati tutti i nodi GKE su AWS.

    Che cosa devo fare?

    Per correggere questa vulnerabilità, esegui l'upgrade del tuo servizio di gestione dei dati e cluster utente a una versione con patch. Le seguenti versioni future di GKE su AWS o più recenti includeranno la correzione per vulnerabilità e il bollettino verrà aggiornato non appena sarà disponibile:

    • 1.5.0-gke.6
    • 1.4.3-gke.7

    Elimina la funzionalità CAP_NET_RAW dai container con uno dei seguenti metodi:

    • Imporre il blocco di queste funzionalità con PodSecurityPolicy, Ad esempio:
          # Require dropping CAP_NET_RAW with a PSP
          apiversion: extensions/v1beta1
          kind: PodSecurityPolicy
          metadata:
            name: no-cap-net-raw
          spec:
            requiredDropCapabilities:
              -NET_RAW
               ...
               # Unrelated fields omitted
    • Oppure utilizzando Policy Controller o Gatekeeper con questo vincolo modello e applicarlo, ad esempio:
          # Dropping CAP_NET_RAW with Gatekeeper
          # (requires the K8sPSPCapabilities template)
          apiversion: constraints.gatekeeper.sh/v1beta1
          kind:  K8sPSPCapabilities
          metadata:
            name: forbid-cap-net-raw
          spec:
            match:
              kinds:
                - apiGroups: [""]
                kinds: ["Pod"]
              namespaces:
                #List of namespaces to enforce this constraint on
                - default
              # If running gatekeeper >= v3.1.0-beta.5,
              # you can exclude namespaces rather than including them above.
              excludedNamespaces:
                - kube-system
            parameters:
              requiredDropCapabilities:
                - "NET_RAW"
    • In alternativa, aggiorna le specifiche del pod:
          # Dropping CAP_NET_RAW from a Pod:
          apiVersion: v1
          kind: Pod
          metadata:
            name: no-cap-net-raw
          spec:
            containers:
              -name: my-container
               ...
              securityContext:
                capabilities:
                  drop:
                    -NET_RAW

    Quale vulnerabilità viene affrontata da questa patch?

    La patch attenua la seguente vulnerabilità:

    La vulnerabilità CVE-2020-14386, che consente ai container con CAP_NET_RAW di scrivere da 1 a 10 byte di memoria kernel, ed eventualmente uscire dal container e ottenere i privilegi root sul nodo host. Con classificazione come vulnerabilità di alta gravità.

    Alta

    GCP-2020-011

    Pubblicato il 24/07/2020
    Riferimento: CVE-2020-8558

    GKE

    Descrizione Gravità

    Una vulnerabilità di rete, CVE-2020-8558, è stato rilevato di recente in Kubernetes. A volte i servizi comunicano con altre applicazioni in esecuzione all'interno dello stesso pod utilizzando (127.0.0.1). Questa vulnerabilità consente a un utente malintenzionato con accesso alla rete del cluster per inviare traffico al loopback di pod e nodi adiacenti. Servizi che si basano sul loopback a un'interfaccia non accessibile al di fuori del pod potrebbe essere sfruttata.

    Sfruttare questa vulnerabilità sui cluster GKE richiede che un utente malintenzionato disponga dei privilegi di amministratore di rete Google Cloud ospita il VPC del cluster. Questa vulnerabilità da solo non concede privilegi di amministratore di rete a un aggressore. Per Per questo motivo, a questa vulnerabilità è stata assegnata una gravità Bassa con GKE.

    Che cosa devo fare?

    Per correggere questa vulnerabilità, esegui l'upgrade dei pool di nodi del cluster alle seguenti versioni di GKE (e successive):

    • 1.17.7-gke.0
    • 1.16.11-gke.0
    • 1.16.10-gke.11
    • 1.16.9-gke.14

    Quale vulnerabilità viene affrontata da questa patch?

    Questa patch corregge la seguente vulnerabilità: CVE-2020-8558.

    Bassa

    dei cluster GKE

    Descrizione Gravità

    Una vulnerabilità di rete, CVE-2020-8558, è stato rilevato di recente in Kubernetes. A volte i servizi comunicano con altre applicazioni in esecuzione all'interno dello stesso pod utilizzando (127.0.0.1). Questa vulnerabilità consente a un utente malintenzionato con accesso alla rete del cluster per inviare traffico al loopback di pod e nodi adiacenti. Servizi che si basano sul loopback a un'interfaccia non accessibile al di fuori del pod potrebbe essere sfruttata.

    Che cosa devo fare?

    Per correggere questa vulnerabilità, esegui l'upgrade del cluster a una versione con patch. Le seguenti versioni future di GKE on VMware o successive che contengono la correzione per questa vulnerabilità:

    • GKE su VMware 1.4.1

    Quale vulnerabilità viene affrontata da questa patch?

    Questa patch corregge la seguente vulnerabilità: CVE-2020-8558.

    Medio

    dei cluster GKE

    Descrizione Gravità

    Una vulnerabilità di rete, CVE-2020-8558, è stato rilevato di recente in Kubernetes. A volte i servizi comunicano con altre applicazioni in esecuzione all'interno dello stesso pod utilizzando (127.0.0.1). Questa vulnerabilità consente a un utente malintenzionato con accesso alla rete del cluster per inviare traffico al loopback di pod e nodi adiacenti. Servizi che si basano sul loopback a un'interfaccia non accessibile al di fuori del pod potrebbe essere sfruttata.

    Lo sfruttamento di questa vulnerabilità nei cluster utente richiede la disattivazione da parte di un utente malintenzionato controlli della destinazione di origine sulle istanze EC2 nel cluster. Questo richiede che l'utente malintenzionato disponga di autorizzazioni AWS IAM per ModifyInstanceAttribute o ModifyNetworkInterfaceAttribute su delle istanze EC2. Per questo motivo, a questa vulnerabilità è stato assegnato un livello di gravità Bassa per GKE su AWS.

    Che cosa devo fare?

    Per correggere questa vulnerabilità, esegui l'upgrade del cluster a una versione con patch. Le seguenti versioni future di GKE su AWS o più recenti sono dovrebbe includere la correzione di questa vulnerabilità:

    • GKE su AWS 1.4.1-gke.17

    Quale vulnerabilità viene affrontata da questa patch?

    Questa patch corregge la seguente vulnerabilità: CVE-2020-8558.

    Bassa

    GCP-2020-009

    Pubblicato: 15-07-2020
    Riferimento: CVE-2020-8559

    GKE

    Descrizione Gravità

    Una vulnerabilità di escalation dei privilegi, CVE-2020-8559, è stato rilevato di recente in Kubernetes. Questa vulnerabilità consente a che ha già compromesso un nodo per eseguire un comando in qualsiasi nel cluster. L’aggressore può quindi utilizzare il file nodo per compromettere altri nodi e potenzialmente leggere informazioni causare azioni distruttive.

    Tieni presente che, affinché un utente malintenzionato sfrutti questa vulnerabilità, un nodo nella deve essere già stato compromesso. Questa vulnerabilità, da sola, senza compromettere i nodi nel tuo cluster.

    Che cosa devo fare?

    Esegui l'upgrade del cluster a una versione con patch. I cluster saranno l'upgrade automatico nel corso delle prossime settimane e le versioni con patch disponibile entro il 19 luglio 2020 per un programma di upgrade manuale accelerato. Le seguenti versioni del piano di controllo GKE o successive che contengono la correzione per questa vulnerabilità:

    • v1.14.10-gke.46
    • v1.15.12-gke.8
    • v1.16.9-gke.11
    • v1.16.10-gke.9
    • v1.16.11-gke.3 e versioni successive
    • v1.17.7-gke.6 e versioni successive

    Quale vulnerabilità viene affrontata da questa patch?

    Queste patch mitigano la vulnerabilità CVE-2020-8559. È classificato come Vulnerabilità media per GKE, in quanto richiede l'utente malintenzionato di avere informazioni di prima mano su cluster, nodi e carichi di lavoro per sfruttare in modo efficace questo attacco in aggiunta a una compromesso. Questa vulnerabilità di per sé non fornisce un hacker con un nodo compromesso.

    Medio

    dei cluster GKE

    Descrizione Gravità

    Una vulnerabilità di escalation dei privilegi, CVE-2020-8559, è stato rilevato di recente in Kubernetes. Questa vulnerabilità consente a che ha già compromesso un nodo per eseguire un comando in qualsiasi nel cluster. L’aggressore può quindi utilizzare il file nodo per compromettere altri nodi e potenzialmente leggere informazioni causare azioni distruttive.

    Tieni presente che, affinché un utente malintenzionato sfrutti questa vulnerabilità, un nodo nella deve essere già stato compromesso. Questa vulnerabilità, da sola, senza compromettere i nodi nel tuo cluster.

    Che cosa devo fare?

    Esegui l'upgrade del tuo a una versione con patch. I seguenti prossimi contenuti di GKE on VMware versioni o successive contengono la correzione per questa vulnerabilità:

    • Anthos 1.3.3
    • Anthos 1.4.1

    Quale vulnerabilità viene affrontata da questa patch?

    Queste patch mitigano la vulnerabilità CVE-2020-8559. È classificato come Vulnerabilità media per GKE, in quanto richiede l'utente malintenzionato di avere informazioni di prima mano su cluster, nodi e carichi di lavoro per sfruttare in modo efficace questo attacco in aggiunta a una compromesso. Questa vulnerabilità di per sé non fornisce un hacker con un nodo compromesso.

    Medio

    dei cluster GKE

    Descrizione Gravità

    Una vulnerabilità di escalation dei privilegi, CVE-2020-8559, è stato rilevato di recente in Kubernetes. Questa vulnerabilità consente a che ha già compromesso un nodo per eseguire un comando in qualsiasi nel cluster. L’aggressore può quindi utilizzare il file nodo per compromettere altri nodi e potenzialmente leggere informazioni causare azioni distruttive.

    Tieni presente che, affinché un utente malintenzionato sfrutti questa vulnerabilità, un nodo nella deve essere già stato compromesso. Questa vulnerabilità, da sola, senza compromettere i nodi nel tuo cluster.

    Che cosa devo fare?

    GKE su AWS GA (1.4.1, disponibile a fine luglio 2020) oppure più recente include la patch per questa vulnerabilità. Se utilizzi un versione precedente, scarica una nuova versione dello strumento a riga di comando anthos-gke e ricreare i cluster di gestione e gli utenti.

    Quale vulnerabilità viene affrontata da questa patch?

    Queste patch mitigano la vulnerabilità CVE-2020-8559. È classificato come Vulnerabilità media per GKE, in quanto richiede l'utente malintenzionato di avere informazioni di prima mano su cluster, nodi e carichi di lavoro per sfruttare in modo efficace questo attacco in aggiunta a una compromesso. Questa vulnerabilità di per sé non fornisce un hacker con un nodo compromesso.

    Medio

    GCP-2020-007

    Pubblicato il 01/06/2020
    Riferimento: CVE-2020-8555

    GKE

    Descrizione Gravità

    Vulnerabilità Falsificazione richiesta lato server (SSRF, Server Side Request Forgery), CVE-2020-8555, di recente scoperta in Kubernetes, consentendo ad alcune agli utenti di divulgare fino a 500 byte di informazioni sensibili alla rete host del piano di controllo. Il controllo Google Kubernetes Engine (GKE) utilizza i controller di Kubernetes ed è quindi interessato da questa vulnerabilità. Ti consigliamo di eseguire l'upgrade il piano di controllo all'ultima versione della patch, come descritto di seguito. Non è necessario eseguire l'upgrade del nodo.

    Che cosa devo fare?

    Per la maggior parte dei clienti non sono richieste ulteriori azioni. Il vast nella maggior parte dei cluster è già in esecuzione una versione con patch. Le seguenti versioni di GKE o più recenti contengono la correzione vulnerabilità:
    • 1.14.7-gke.39
    • 1.14.8-gke.32
    • 1.14.9-gke.17
    • 1.14.10-gke.12
    • 1.15.7-gke.17
    • 1.16.4-gke.21
    • 1.17.0-gke.0

    Cluster che utilizzano canali di rilascio sono già presenti nelle versioni del piano di controllo con la mitigazione.

    Quale vulnerabilità viene affrontata da questa patch?

    Queste patch mitigano la vulnerabilità CVE-2020-8555. Con classificazione vulnerabilità Medium per GKE, in quanto era difficile da sfruttare a causa di varie misure di protezione del piano di controllo.

    Un utente malintenzionato con le autorizzazioni per creare un pod con tipi di volume integrati (GlusterFS, Quobyte, StorageFS, ScaleIO) autorizzazioni per creare un oggetto StorageClass può causare kube-controller-manager per effettuare GET richieste o Richieste POST senza una richiesta controllata da un utente malintenzionato dalla rete host del master. Questi tipi di volume vengono utilizzati raramente GKE, quindi il nuovo utilizzo di questi tipi di volumi un utile segnale di rilevamento.

    Combinata con un mezzo per far trapelare i risultati dell'GET/POST all'autore dell'attacco, ad esempio attraverso i log, questo può portare alla divulgazione di informazioni sensibili. Abbiamo aggiornato i driver di archiviazione per eliminare la possibilità che si verifichino tali perdite.

    Medio

    dei cluster GKE

    Descrizione Gravità

    Vulnerabilità Falsificazione richiesta lato server (SSRF, Server Side Request Forgery), CVE-2020-8555, di recente scoperta in Kubernetes, consentendo ad alcune agli utenti di divulgare fino a 500 byte di informazioni sensibili alla rete host del piano di controllo. Il controllo Google Kubernetes Engine (GKE) utilizza i controller di Kubernetes ed è quindi interessato da questa vulnerabilità. Ti consigliamo di eseguire l'upgrade del piano di controllo alla versione più recente della patch, come descritto di seguito. Non è necessario eseguire l'upgrade del nodo.

    Che cosa devo fare?

    Le seguenti versioni di GKE on VMware o successive che contengono la correzione per questa vulnerabilità:

    • Anthos 1.3.0

    Se utilizzi una versione precedente, eseguire l'upgrade del cluster esistente a una versione contenente la correzione.

    Quale vulnerabilità viene affrontata da questa patch?

    Queste patch mitigano la vulnerabilità CVE-2020-8555. Con classificazione vulnerabilità Medium per GKE, in quanto era difficile da sfruttare a causa di varie misure di protezione del piano di controllo.

    Un utente malintenzionato con le autorizzazioni per creare un pod con tipi di volume integrati (GlusterFS, Quobyte, StorageFS, ScaleIO) autorizzazioni per creare un oggetto StorageClass può causare kube-controller-manager per effettuare GET richieste o Richieste POST senza una richiesta controllata da un utente malintenzionato dalla rete host del master. Questi tipi di volume vengono utilizzati raramente GKE, quindi il nuovo utilizzo di questi tipi di volumi un utile segnale di rilevamento.

    Combinata con un mezzo per far trapelare i risultati dell'GET/POST all'autore dell'attacco, ad esempio attraverso i log, questo può portare alla divulgazione di informazioni sensibili. Abbiamo aggiornato i driver di archiviazione per eliminare la possibilità che si verifichino tali perdite.

    Medio

    dei cluster GKE

    Descrizione Gravità

    Vulnerabilità Falsificazione richiesta lato server (SSRF, Server Side Request Forgery), CVE-2020-8555, di recente scoperta in Kubernetes, consentendo ad alcune agli utenti di divulgare fino a 500 byte di informazioni sensibili alla rete host del piano di controllo. Il controllo Google Kubernetes Engine (GKE) utilizza i controller di Kubernetes ed è quindi interessato da questa vulnerabilità. Ti consigliamo di eseguire l'upgrade del piano di controllo alla versione più recente della patch, come descritto di seguito. Non è necessario eseguire l'upgrade del nodo.

    Che cosa devo fare?

    GKE su AWS v0.2.0 o versioni successive include già la patch per questa vulnerabilità. Se utilizzi una versione precedente, scaricare una nuova versione dello strumento a riga di comando anthos-gke e ricreare i cluster di gestione e gli utenti.

    Quale vulnerabilità viene affrontata da questa patch?

    Queste patch mitigano la vulnerabilità CVE-2020-8555. Con classificazione vulnerabilità Medium per GKE, in quanto era difficile da sfruttare a causa di varie misure di protezione del piano di controllo.

    Un utente malintenzionato con le autorizzazioni per creare un pod con tipi di volume integrati (GlusterFS, Quobyte, StorageFS, ScaleIO) autorizzazioni per creare un oggetto StorageClass può causare kube-controller-manager per effettuare GET richieste o Richieste POST senza una richiesta controllata da un utente malintenzionato dalla rete host del master. Questi tipi di volume vengono utilizzati raramente GKE, quindi il nuovo utilizzo di questi tipi di volumi un utile segnale di rilevamento.

    Combinata con un mezzo per far trapelare i risultati dell'GET/POST all'autore dell'attacco, ad esempio attraverso i log, questo può portare alla divulgazione di informazioni sensibili. Abbiamo aggiornato i driver di archiviazione per eliminare la possibilità che si verifichino tali perdite.

    Medio

    GCP-2020-006

    Pubblicato il 01/06/2020
    Riferimento: problema di Kubernetes 91507

    GKE

    Descrizione Gravità

    Kubernetes ha divulgato vulnerabilità che consente a un container con privilegi di reindirizzare il traffico dei nodi a un altro containerizzato. Traffico TLS/SSH reciproco, ad esempio tra kubelet e API server o il traffico proveniente da applicazioni che utilizzano mTLS non può essere letto modificato da questo attacco. Tutti i nodi di Google Kubernetes Engine (GKE) interessate da questa vulnerabilità e ti consigliamo di eseguire l'upgrade a l'ultima versione della patch, come descritto di seguito.

    Che cosa devo fare?

    Per mitigare questa vulnerabilità, eseguire l'upgrade il piano di controllo, quindi i nodi a una delle versioni con patch elencate di seguito. Per i cluster sui canali di rilascio viene già eseguita una versione con patch sia dal piano di controllo che dai nodi:
    • 1.14.10-gke.36
    • 1.15.11-gke.15
    • 1.16.8-gke.15

    In genere sono pochi i container che richiedono CAP_NET_RAW. Questo e altre potenti funzionalità devono essere bloccate per impostazione predefinita PodSecurityPolicy o Anthos Policy Controller:

    Elimina la funzionalità CAP_NET_RAW dai container con uno dei seguenti metodi:

    • Imporre il blocco di queste funzionalità con PodSecurityPolicy, Ad esempio:
          # Require dropping CAP_NET_RAW with a PSP
          apiversion: extensions/v1beta1
          kind: PodSecurityPolicy
          metadata:
            name: no-cap-net-raw
          spec:
            requiredDropCapabilities:
              -NET_RAW
               ...
               # Unrelated fields omitted
    • Oppure utilizzando Policy Controller o Gatekeeper con questo vincolo modello e applicarlo, ad esempio:
          # Dropping CAP_NET_RAW with Gatekeeper
          # (requires the K8sPSPCapabilities template)
          apiversion: constraints.gatekeeper.sh/v1beta1
          kind:  K8sPSPCapabilities
          metadata:
            name: forbid-cap-net-raw
          spec:
            match:
              kinds:
                - apiGroups: [""]
                kinds: ["Pod"]
              namespaces:
                #List of namespaces to enforce this constraint on
                - default
              # If running gatekeeper >= v3.1.0-beta.5,
              # you can exclude namespaces rather than including them above.
              excludedNamespaces:
                - kube-system
            parameters:
              requiredDropCapabilities:
                - "NET_RAW"
    • In alternativa, aggiorna le specifiche del pod:
          # Dropping CAP_NET_RAW from a Pod:
          apiVersion: v1
          kind: Pod
          metadata:
            name: no-cap-net-raw
          spec:
            containers:
              -name: my-container
               ...
              securityContext:
                capabilities:
                  drop:
                    -NET_RAW

    Quale vulnerabilità viene affrontata da questa patch?

    La patch mitiga la seguente vulnerabilità:

    La vulnerabilità descritta in Problema 91507 di Kubernetes CAP_NET_RAW (inclusa nel container predefinito) di configurazione) per configurare malevolmente lo stack IPv6 sul nodo e reindirizzare il traffico nodo verso il container controllato dall'utente malintenzionato. Ciò consentirà all'aggressore per intercettare/modificare il traffico proveniente da o destinato al nodo. Mutuali Traffico TLS/SSH, ad esempio tra il server kubelet e API o il traffico proveniente le applicazioni che utilizzano mTLS non possono essere lette o modificate da questo attacco.

    Medio

    dei cluster GKE

    Descrizione Gravità

    Kubernetes ha divulgato vulnerabilità che consente a un container con privilegi di reindirizzare il traffico dei nodi a un altro containerizzato. Traffico TLS/SSH reciproco, ad esempio tra kubelet e API server o il traffico proveniente da applicazioni che utilizzano mTLS non può essere letto modificato da questo attacco. Tutti i nodi di Google Kubernetes Engine (GKE) interessate da questa vulnerabilità e ti consigliamo di esegui l'upgrade a l'ultima versione della patch, come descritto di seguito.

    Che cosa devo fare?

    Per mitigare questa vulnerabilità per GKE su VMware, eseguire l'upgrade dei cluster alla versione seguente o più recente:
      .
    • Anthos 1.3.2

    In genere sono pochi i container che richiedono CAP_NET_RAW. Questo e altre potenti funzionalità devono essere bloccate per impostazione predefinita Controller dei criteri Anthos o aggiornando le specifiche del pod:

    Elimina la funzionalità CAP_NET_RAW dai container con uno dei seguenti metodi:

    • Imporre il blocco di queste funzionalità con PodSecurityPolicy, Ad esempio:
          # Require dropping CAP_NET_RAW with a PSP
          apiversion: extensions/v1beta1
          kind: PodSecurityPolicy
          metadata:
            name: no-cap-net-raw
          spec:
            requiredDropCapabilities:
              -NET_RAW
               ...
               # Unrelated fields omitted
    • Oppure utilizzando Policy Controller o Gatekeeper con questo vincolo modello e applicarlo, ad esempio:
          # Dropping CAP_NET_RAW with Gatekeeper
          # (requires the K8sPSPCapabilities template)
          apiversion: constraints.gatekeeper.sh/v1beta1
          kind:  K8sPSPCapabilities
          metadata:
            name: forbid-cap-net-raw
          spec:
            match:
              kinds:
                - apiGroups: [""]
                kinds: ["Pod"]
              namespaces:
                #List of namespaces to enforce this constraint on
                - default
              # If running gatekeeper >= v3.1.0-beta.5,
              # you can exclude namespaces rather than including them above.
              excludedNamespaces:
                - kube-system
            parameters:
              requiredDropCapabilities:
                - "NET_RAW"
    • In alternativa, aggiorna le specifiche del pod:
          # Dropping CAP_NET_RAW from a Pod:
          apiVersion: v1
          kind: Pod
          metadata:
            name: no-cap-net-raw
          spec:
            containers:
              -name: my-container
               ...
              securityContext:
                capabilities:
                  drop:
                    -NET_RAW

    Quale vulnerabilità viene affrontata da questa patch?

    La patch mitiga la seguente vulnerabilità:

    La vulnerabilità descritta in Problema 91507 di Kubernetes CAP_NET_RAW (inclusa nel container predefinito) di configurazione) per configurare malevolmente lo stack IPv6 sul nodo e reindirizzare il traffico nodo verso il container controllato dall'utente malintenzionato. Ciò consentirà all'aggressore per intercettare/modificare il traffico proveniente da o destinato al nodo. Mutuali Traffico TLS/SSH, ad esempio tra il server kubelet e API o il traffico proveniente le applicazioni che utilizzano mTLS non possono essere lette o modificate da questo attacco.

    Medio

    dei cluster GKE

    Descrizione Gravità

    Kubernetes ha divulgato vulnerabilità che consente a un container con privilegi di reindirizzare il traffico dei nodi a un altro containerizzato. Traffico TLS/SSH reciproco, ad esempio tra kubelet e API server o il traffico proveniente da applicazioni che utilizzano mTLS non può essere letto modificato da questo attacco. Tutti i nodi di Google Kubernetes Engine (GKE) interessate da questa vulnerabilità e ti consigliamo di esegui l'upgrade a l'ultima versione della patch, come descritto di seguito.

    Che cosa devo fare?

    Scarica lo strumento a riga di comando anthos-gke con la versione seguente o più recente e ricrea i cluster di gestione e di utente:

    • aws-0.2.1-gke.7

    In genere sono pochi i container che richiedono CAP_NET_RAW. Questo e altre potenti funzionalità devono essere bloccate per impostazione predefinita Controller dei criteri Anthos o aggiornando le specifiche del pod:

    Elimina la funzionalità CAP_NET_RAW dai container con uno dei seguenti metodi:

    • Imporre il blocco di queste funzionalità con PodSecurityPolicy, Ad esempio:
          # Require dropping CAP_NET_RAW with a PSP
          apiversion: extensions/v1beta1
          kind: PodSecurityPolicy
          metadata:
            name: no-cap-net-raw
          spec:
            requiredDropCapabilities:
              -NET_RAW
               ...
               # Unrelated fields omitted
    • Oppure utilizzando Policy Controller o Gatekeeper con questo vincolo modello e applicarlo, ad esempio:
          # Dropping CAP_NET_RAW with Gatekeeper
          # (requires the K8sPSPCapabilities template)
          apiversion: constraints.gatekeeper.sh/v1beta1
          kind:  K8sPSPCapabilities
          metadata:
            name: forbid-cap-net-raw
          spec:
            match:
              kinds:
                - apiGroups: [""]
                kinds: ["Pod"]
              namespaces:
                #List of namespaces to enforce this constraint on
                - default
              # If running gatekeeper >= v3.1.0-beta.5,
              # you can exclude namespaces rather than including them above.
              excludedNamespaces:
                - kube-system
            parameters:
              requiredDropCapabilities:
                - "NET_RAW"
    • In alternativa, aggiorna le specifiche del pod:
          # Dropping CAP_NET_RAW from a Pod:
          apiVersion: v1
          kind: Pod
          metadata:
            name: no-cap-net-raw
          spec:
            containers:
              -name: my-container
               ...
              securityContext:
                capabilities:
                  drop:
                    -NET_RAW

    Quale vulnerabilità viene affrontata da questa patch?

    La patch mitiga la seguente vulnerabilità:

    La vulnerabilità descritta in Problema 91507 di Kubernetes CAP_NET_RAW (inclusa nel container predefinito) di configurazione) per configurare malevolmente lo stack IPv6 sul nodo e reindirizzare il traffico nodo verso il container controllato dall'utente malintenzionato. Ciò consentirà all'aggressore per intercettare/modificare il traffico proveniente da o destinato al nodo. Mutuali Traffico TLS/SSH, ad esempio tra il server kubelet e API o il traffico proveniente le applicazioni che utilizzano mTLS non possono essere lette o modificate da questo attacco.

    Medio

    GCP-2020-005

    Pubblicato il 07/05/2020
    Ultimo aggiornamento: 07/05/2020
    Riferimento: CVE-2020-8835

    GKE

    Descrizione Gravità

    Recentemente è stata scoperta una vulnerabilità nel kernel Linux, descritta in CVE-2020-8835, che consente di uscire dai limiti del container per ottenere privilegi di utente root sul nodo host.

    I nodi di Google Kubernetes Engine (GKE) Ubuntu che eseguono GKE 1.16 o 1.17 sono interessati da questa vulnerabilità e consigliamo di eseguire l'upgrade alla versione più recente della patch il prima possibile, come descritto di seguito.

    I nodi che eseguono Container-Optimized OS non sono interessati. Nodi in esecuzione su GKE on VMware.

    Che cosa devo fare?

    Per la maggior parte dei clienti non sono necessari ulteriori interventi. Solo i nodi che eseguono Ubuntu nelle versioni 1.16 o 1.17 di GKE sono interessati.

    Per eseguire l'upgrade dei nodi, devi prima eseguire l'upgrade del master alla versione più recente. Questa patch sarà disponibile in Kubernetes 1.16.8-gke.12, 1.17.4-gke.10 e release successive. Traccia la disponibilità di queste patch nelle note di rilascio.

    Quale vulnerabilità viene affrontata da questa patch?

    La patch attenua la seguente vulnerabilità:

    CVE-2020-8835 descrive una vulnerabilità nelle versioni kernel Linux 5.5.0 e successive che permette a un container dannoso di leggere e scrivere (con minima interazione dell'utente sotto forma di file eseguibile) la memoria del kernel, ottenendo così la possibilità di eseguire codice a livello di utente root sul nodo host. Questa è classificata come vulnerabilità di gravità "Alta".

    Alta

    GCP-2020-004

    Pubblicato il 07/05/2020
    Ultimo aggiornamento: 07/05/2020
    Riferimento: CVE-2019-11254

    dei cluster GKE

    Descrizione Gravità

    Di recente è stata scoperta una vulnerabilità in Kubernetes, descritta in CVE-2019-11254, che consente a qualsiasi utente autorizzato a inviare richieste POST di eseguire un attacco denial of service remoto contro un server API Kubernetes. Il Kubernetes Product Security Committee (PSC) ha pubblicato ulteriori informazioni su questa vulnerabilità, disponibili qui.

    Puoi mitigare questa vulnerabilità limitando i client che hanno l'accesso di rete ai server dell'API Kubernetes.

    Che cosa devo fare?

    Ti consigliamo di eseguire l'upgrade dei cluster a versioni di patch contenenti la correzione di questa vulnerabilità non appena disponibile.

    Di seguito sono elencate le versioni di patch che contengono la correzione:

    • Anthos 1.3.0, che esegue Kubernetes versione 1.15.7-gke.32

    Quali vulnerabilità vengono affrontate da questa patch?

    La patch corregge la seguente vulnerabilità denial of service (DoS):

    CVE-2019-11254

    Medio

    GCP-2020-003

    Pubblicato il 31/03/2020
    Ultimo aggiornamento: 31/03/2020
    Riferimento: CVE-2019-11254

    GKE

    Descrizione Gravità

    Di recente è stata scoperta una vulnerabilità in Kubernetes, descritta in CVE-2019-11254, che consente a qualsiasi utente autorizzato a inviare richieste POST di eseguire un attacco denial of service remoto contro un server API Kubernetes. Il Kubernetes Product Security Committee (PSC) ha pubblicato ulteriori informazioni su questa vulnerabilità, disponibili qui.

    I cluster GKE che utilizzano reti autorizzate master e cluster privati senza endpoint pubblico mitigano questa vulnerabilità.

    Che cosa devo fare?

    Ti consigliamo di eseguire l'upgrade del cluster a una versione della patch che contenga la correzione per questa vulnerabilità.

    Di seguito sono elencate le versioni di patch che contengono la correzione:

    • 1.13.12-gke.29
    • 1.14.9-gke.27
    • 1.14.10-gke.24
    • 1.15.9-gke.20
    • 1.16.6-gke.1

    Quali vulnerabilità vengono affrontate da questa patch?

    La patch corregge la seguente vulnerabilità denial of service (DoS):

    CVE-2019-11254

    Medio

    GCP-2020-002

    Pubblicato il 23/03/2020
    Ultimo aggiornamento: 23/03/2020
    Riferimento: CVE-2020-8551, CVE-2020-8552

    GKE

    Descrizione Gravità

    Kubernetes ha divulgato due vulnerabilità denial of service, una con conseguenze sul server API, l'altra sui Kubelet. Per ulteriori dettagli, consulta i problemi di Kubernetes: 89377 e 89378.

    Che cosa devo fare?

    Tutti gli utenti di GKE sono protetti da CVE-2020-8551 a meno che gli utenti non attendibili non possano inviare richieste nella rete interna del cluster. L'utilizzo di reti autorizzate master riduce ulteriormente i rischi di CVE-2020-8552.

    Quando verranno applicate le patch?

    Le patch per CVE-2020-8551 richiedono un upgrade del nodo. Di seguito sono elencate le versioni di patch che conterranno la mitigazione:

    • 1.15.10-gke.*
    • 1.16.7-gke.*

    Le patch per CVE-2020-8552 richiedono un upgrade del master. Di seguito sono elencate le versioni di patch che conterranno la mitigazione:

    • 1.14.10-gke.32
    • 1.15.10-gke.*
    • 1.16.7-gke.*
    Medio

    GCP-january_21_2020

    Pubblicato il 21/01/2020
    Ultimo aggiornamento: 24/01/2020
    Riferimento: CVE-2019-11254

    GKE

    Descrizione Gravità

    Aggiornamento 24-01-2020: la messa a disposizione di versioni con patch è già in corso e sarà completata entro il 25 gennaio 2020.


    Microsoft ha divulgato una vulnerabilità nell'API Windows Crypto e la sua convalida delle firme a curva ellittica. Per ulteriori informazioni, consulta la divulgazione di Microsoft.

    Che cosa devo fare?

    Per la maggior parte dei clienti non sono necessari ulteriori interventi. Sono interessati solo i nodi in esecuzione su Windows Server.

    Per i clienti che utilizzano i nodi Windows Server, sia questi ultimi che i carichi di lavoro containerizzati eseguiti su tali nodi devono essere aggiornati a versioni con patch per mitigare questa vulnerabilità.

    Per aggiornare i container:

    Ricostruisci i tuoi container utilizzando le immagini container di base di Microsoft più recenti, selezionando un tag servercore o nanoserver con un LastUpdated Time pari a 1/14/2020 o successivo.

    Per aggiornare i nodi:

    La messa a disposizione di versioni con patch è già in corso e sarà completata entro il 24 gennaio 2020.

    Puoi attendere fino a quel momento ed eseguire un upgrade del nodo a una versione GKE con patch, oppure puoi usare Windows Update per eseguire manualmente il deployment della patch Windows più recente in qualsiasi momento.

    Di seguito sono elencate le versioni di patch che conterranno la mitigazione:

    • 1.14.7-gke.40
    • 1.14.8-gke.33
    • 1.14.9-gke.23
    • 1.14.10-gke.17
    • 1.15.7-gke.23
    • 1.16.4-gke.22

    Quali vulnerabilità vengono affrontate da questa patch?

    La patch attenua le seguenti vulnerabilità:

    CVE-2020-0601 - Questa vulnerabilità è anche nota come vulnerabilità spoofing dell'API Windows Crypto e può essere sfruttata per fare apparire come attendibili eseguibili dannosi o permettere a un utente malintenzionato di condurre attacchi man in the middle e decriptare informazioni riservate su connessioni TLS al software interessato.

    Punteggio base NVD: 8,1 (Alta)

    Bollettini sulla sicurezza archiviati

    Per i bollettini sulla sicurezza precedenti al 2020, consulta l'archivio dei bollettini sulla sicurezza.