Boletins de segurança

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2024-26925

Os clusters do GKE Standard serão afetados. Os clusters do Autopilot do GKE na configuração padrão não serão afetados, mas poderão ficar vulneráveis se você definir explicitamente o perfil Unconfined seccomp ou permitir CAP_NET_ADMIN.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

As seguintes versões secundárias foram afetadas. Faça upgrade do Pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:

• 1.27.14-gke.1093000
• 1.28.10-gke.1141000
• 1.29.5-gke.1192000
• 1.30.2-gke.1394000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar o mesmo versão secundária no próprio canal de lançamento. Esse recurso permite proteger seus nós até a versão do patch se torna o padrão no canal de lançamento. Para mais detalhes, consulte Execute versões de patch de um canal mais recente.

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2024-26925

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2024-26925

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2024-26925

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2024-26925

O que devo fazer?

Nenhuma ação é necessária. O software do GDC para bare metal não é afetado, porque não inclui um sistema operacional na distribuição.

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2024-36972

Os clusters do GKE Standard e do Autopilot foram afetados.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

As seguintes versões secundárias foram afetadas. Faça upgrade do Pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:

• 1.27.14-gke.1093000
• 1.28.10-gke.1141000
• 1.29.5-gke.1192000
• 1.30.2-gke.1394000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar o mesmo versão secundária no próprio canal de lançamento. Esse recurso permite proteger seus nós até a versão do patch se torna o padrão no canal de lançamento. Para mais detalhes, consulte Execute versões de patch de um canal mais recente.

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2024-36972

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2024-36972

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2024-36972

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2024-36972

O que devo fazer?

Nenhuma ação é necessária. O software do GDC para bare metal não é afetado, porque não inclui um sistema operacional na distribuição.

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2024-26921

Os clusters do GKE Standard serão afetados. Os clusters do Autopilot do GKE na configuração padrão não serão afetados, mas poderão ficar vulneráveis se você definir explicitamente o perfil Unconfined seccomp ou permitir CAP_NET_ADMIN.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

As seguintes versões secundárias foram afetadas. Faça upgrade do Pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:

• 1.26.15-gke.1360000
• 1.27.14-gke.1022000
• 1.28.9-gke.1209000
• 1.29.4-gke.1542000
• 1.30.2-gke.1394000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar o mesmo versão secundária no próprio canal de lançamento. Esse recurso permite proteger seus nós até a versão do patch se torna o padrão no canal de lançamento. Para mais detalhes, consulte Execute versões de patch de um canal mais recente.

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2024-26921

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2024-26921

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2024-26921

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2024-26921

O que devo fazer?

Nenhuma ação é necessária. O software do GDC para bare metal não é afetado, porque não inclui um sistema operacional na distribuição.

Atualização de 18/07/2024 : a versão original deste boletim está incorreta afirmaram que os clusters do Autopilot foram afetados. clusters do Autopilot nos configuração padrão não são afetadas, mas podem ficar vulneráveis caso você explicitamente defina o perfil não confinado seccomp ou permita o recurso CAP_NET_ADMIN.

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2024-26809

Os clusters do GKE Standard e do Autopilot foram afetados.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

As seguintes versões secundárias foram afetadas. Faça upgrade do Pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:

• 1.27.13-gke.1166000
• 1.28.9-gke.1209000
• 1.29.4-gke.1542000

As seguintes versões secundárias foram afetadas. Faça upgrade do pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:

• 1.26.15-gke.1469000
• 1.27.14-gke.1100000
• 1.28.10-gke.1148000
• 1.29.6-gke.1038000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar o mesmo versão secundária no próprio canal de lançamento. Esse recurso permite proteger seus nós até a versão do patch se torna o padrão no canal de lançamento. Para mais detalhes, consulte Execute versões de patch de um canal mais recente.

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2024-26809

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2024-26809

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2024-26809

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2024-26809

O que devo fazer?

Nenhuma ação é necessária. O software do GDC para bare metal não é afetado, porque não inclui um sistema operacional na distribuição.

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2023-52654
• CVE-2023-52656

Os clusters do GKE Standard e do Autopilot foram afetados.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

Atualização de 19/07/2024 : as seguintes versões do GKE contêm: para corrigir essa vulnerabilidade no Ubuntu. Faça upgrade do pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:

• 1.26.15-gke.1469000
• 1.27.14-gke.1100000
• 1.28.10-gke.1148000
• 1.29.6-gke.1038000
• 1.30.2-gke.1394000

As seguintes versões secundárias foram afetadas. Faça upgrade do Pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:

• 1.26.15-gke.1300000
• 1.27.13-gke.1166000
• 1.28.9-gke.1209000
• 1.29.4-gke.1542000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar o mesmo versão secundária no próprio canal de lançamento. Esse recurso permite proteger seus nós até a versão do patch se torna o padrão no canal de lançamento. Para mais detalhes, consulte Execute versões de patch de um canal mais recente.

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2023-52654
• CVE-2023-52656

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2023-52654
• CVE-2023-52656

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2023-52654
• CVE-2023-52656

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2023-52654
• CVE-2023-52656

O que devo fazer?

Nenhuma ação é necessária. O software do GDC para bare metal não é afetado, porque não inclui um sistema operacional na distribuição.

Atualização de 03/07/2024 : um lançamento rápido está em andamento e foi espera-se que novas versões de patch sejam disponibilizadas em todas as zonas 3 de julho de 2024 às 17h, horário de verão do Pacífico (UTC-7) dos EUA e do Canadá. Para receba uma notificação assim que um patch estiver disponível para seu cluster específico, use notificações de cluster.

Atualização de 02/07/2024 : essa vulnerabilidade afeta o modo Autopilot e clusters do modo Standard. Cada seção a seguir informará os modos que essa seção se aplica.

Uma vulnerabilidade de execução remota de código, CVE-2024-6387, foi descoberto recentemente no OpenSSH. A vulnerabilidade explora uma disputa que podem ser usadas para obter acesso a um shell remoto, permitindo que os atacantes obtenham acesso raiz aos nós do GKE. No momento da publicação, acredita-se que a exploração difícil e demoram várias horas por máquina atacada. Não temos conhecimento de nenhuma de exploração de dados.

Todas as versões compatíveis das imagens do Ubuntu e do Container Optimized OS no GKE executar versões do OpenSSH vulneráveis a esse problema.

Clusters do GKE com endereços IP de nó público e SSH expostos à Internet devem ser tratados com a maior prioridade para mitigação.

O plano de controle do GKE não está vulnerável a esse problema.

O que devo fazer?

Atualização de 03/07/2024: versões de patch para o GKE

Um lançamento rápido está em andamento e deve criar novas versões de patch disponível em todas as zonas até 3 de julho de 2024, às 17h dos EUA e do horário de verão do Pacífico canadense (UTC-7).

Os clusters e os nós com upgrade automático ativado começarão a ser atualizados conforme a semana avança. mas, devido à gravidade da vulnerabilidade, recomendamos o upgrade manual da seguinte forma para e receber patches o mais rápido possível.

Para clusters do Autopilot e Standard, fazer upgrade do plano de controle para uma versão com patch. Além disso, para clusters no modo Standard, fazer upgrade dos pools de nós para uma versão com patch. Os clusters do Autopilot vão começar a fazer upgrade dos nós para corresponder a versão do plano de controle assim que possível.

Versões com patch do GKE estão disponíveis para cada versão com suporte para minimizar as mudanças necessárias para aplicar o patch. O número de cada nova versão é uma incremento no dígito final no número da versão de uma versão existente correspondente. Por exemplo, se você estiver usando a versão 1.27.14-gke.1100000, faça upgrade para a versão 1.27.14-gke.1100002 para para conseguir a correção com a menor mudança possível. O seguinte patch do GKE estão disponíveis:

• 1.26.15-gke.1090004
• 1.26.15-gke.1191001
• 1.26.15-gke.1300001
• 1.26.15-gke.1320002
• 1.26.15-gke.1381001
• 1.26.15-gke.1390001
• 1.26.15-gke.1404002
• 1.26.15-gke.1469001
• 1.27.13-gke.1070002
• 1.27.13-gke.1166001
• 1.27.13-gke.1201002
• 1.27.14-gke.1022001
• 1.27.14-gke.1042001
• 1.27.14-gke.1059002
• 1.27.14-gke.1100002
• 1.27.15-gke.1012003
• 1.28.9-gke.1069002
• 1.28.9-gke.1209001
• 1.28.9-gke.1289002
• 1.28.10-gke.1058001
• 1.28.10-gke.1075001
• 1.28.10-gke.1089002
• 1.28.10-gke.1148001
• 1.28.11-gke.1019001
• 1.29.4-gke.1043004
• 1.29.5-gke.1060001
• 1.29.5-gke.1091002
• 1.29.6-gke.1038001
• 1.30.1-gke.1329003
• 1.30.2-gke.1023004

Para verificar se um patch está disponível na zona ou região do cluster, execute o seguinte comando:

gcloud container get-server-config --location=LOCATION

Substitua LOCATION pela zona ou região.

Atualização de 02/07/2024 : modo Autopilot e Standard os clusters precisam ser atualizados assim que possível depois que as versões de patch estiverem disponíveis.

Uma versão do GKE com patch que inclui um OpenSSH atualizado será criada assim que possível. Este boletim será atualizado quando os patches estiverem disponíveis. Para receber uma notificação do Pub/Sub quando um patch estiver disponível para seu canal, faça o seguinte: Ative as notificações de cluster. Recomendamos que você siga estas etapas para verificar a exposição do cluster. aplicando as mitigações descritas, conforme necessário.

Determinar se os nós têm endereços IP públicos

Atualização de 02/07/2024 : esta seção se aplica ao Autopilot e Clusters padrão.

Se um cluster for criado com enable-private-nodes, serão privados, o que reduz a vulnerabilidade ao remover a exposição aos Internet. Execute o seguinte comando para determinar se o cluster tem nós particulares ativados:

gcloud container clusters describe $CLUSTER_NAME \
--format="value(privateClusterConfig.enablePrivateNodes)"

Se o valor de retorno for True, todos os nós serão nós particulares deste cluster e o e a vulnerabilidade seja mitigada. Se o valor estiver vazio ou for falso, continue para aplicar um dos das mitigações nas seções a seguir.

Para encontrar todos os clusters criados originalmente com nós públicos, use esta consulta do Inventário de recursos do Cloud. no projeto ou na organização:

SELECT
  resource.data.name AS cluster_name,
  resource.parent AS project_name,
  resource.data.privateClusterConfig.enablePrivateNodes
FROM
  `container_googleapis_com_Cluster`
WHERE
  resource.data.privateClusterConfig.enablePrivateNodes is null OR
  resource.data.privateClusterConfig.enablePrivateNodes = false

Não permitir SSH para os nós do cluster

Atualização de 02/07/2024 : esta seção se aplica ao Autopilot e Clusters padrão.

A rede padrão é pré-preenchida com uma regra de firewall default-allow-ssh para permitir o acesso SSH da Internet pública. Para remover esse acesso, você pode fazer o seguinte:

• Como opção, crie regras. para permitir o acesso SSH necessário de redes confiáveis a nós do GKE ou outras VMs do Compute Engine no projeto.
• Desative a regra de firewall padrão com o seguinte comando:
  gcloud compute firewall-rules update default-allow-ssh --disabled --project=$PROJECT

Se você tiver criado outras regras de firewall que permitam SSH pelo TCP na porta 22, desativar ou limitar os IPs de origem a redes confiáveis.

Verifique se não é mais possível executar SSH com os nós do cluster da Internet. Essa configuração de firewall reduz a vulnerabilidade.

Converter pools de nós públicos em particulares

Atualização de 02/07/2024 : para clusters do Autopilot criados originalmente como clusters públicos, as cargas de trabalho podem ser colocadas usando nodeSelectors. No entanto, os nós do Autopilot que executam cargas de trabalho do sistema em clusters criados como clusters públicos ainda serão nós públicos e precisam ser protegidas usando as alterações de firewall descritas na seção anterior.

Para proteger melhor os clusters criados originalmente com nós públicos, recomendamos primeiro não permitir SSH pelo firewall, como já descrito. Se não for possível bloquear SSH por meio das regras de firewall, é possível converter pools de nós públicos no GKE Clusters padrão para particulares. Para isso, siga estas orientações para isolar pools de nós.

Alterar configuração de SSHD

Atualização de 02/07/2024 : esta seção se aplica apenas a clusters. As cargas de trabalho do Autopilot não têm permissão para modificar a configuração do nó.

Se nenhuma dessas mitigações puder ser aplicada, também publicamos um daemonset que define o SSHD LoginGraceTime como zero e reinicia o daemon SSH. Isso o daemonset pode ser aplicado ao cluster para mitigar o ataque. Observe que essa configuração pode aumentar o risco de ataques de negação de serviço e causar problemas com Acesso SSH. Este daemonset deve ser removido após a aplicação de um patch.

Atualização de 11/07/2024 : as seguintes versões do software GDC para VMware foram atualizados com código para corrigir essa vulnerabilidade. Faça upgrade da estação de trabalho do administrador clusters de administrador e de usuário (incluindo pools de nós) a um dos seguintes clusters ou mais recentes. Para instruções, consulte Faça upgrade de um cluster ou pool de nós.

• 1.16.10-gke.36
• 1.28.700-gke.151
• 1.29.200-gke.245

A atualização deste boletim de 02/07/2024 informa incorretamente que todas as versões compatíveis das imagens do Ubuntu no software GDC para VMware executam versões do OpenSSH que são vulnerável a esse problema. Imagens do Ubuntu no software GDC para VMware versão 1.16 os clusters executam versões do OpenSSH que não são vulneráveis a esse problema. Ubuntu as imagens no software GDC para VMware 1.28 e 1.29 estão vulneráveis. Imagens do Container-Optimized OS em todas as versões compatíveis do O software GDC para VMware é vulnerável a esse problema.

Atualização de 02/07/2024 : todas as versões compatíveis do Container-Optimized OS e imagens do Ubuntu no software GDC para VMware executam versões do OpenSSH vulneráveis a esse problema.

Software GDC para clusters VMware com endereços IP de nós públicos e SSH exposto ao A Internet deve ser tratada com a prioridade mais alta para mitigação.

Uma vulnerabilidade de execução remota de código, CVE-2024-6387, foi descoberto recentemente no OpenSSH. A vulnerabilidade explora uma disputa que podem ser usadas para obter acesso a um shell remoto, permitindo que os atacantes obtenham acesso raiz aos nós do GKE. No momento da publicação, acredita-se que a exploração difícil e demoram várias horas por máquina atacada. Não temos conhecimento de nenhuma de exploração de dados.

O que devo fazer?

Atualização de 02/07/2024 : uma versão corrigida do software GDC para VMware que incluir um OpenSSH atualizado será disponibilizado assim que possível. Este boletim serão atualizados quando os patches estiverem disponíveis. Recomendamos que você aplique o seguinte e mitigações, se necessário.

Não permitir SSH para os nós do cluster

É possível alterar a configuração de rede da infraestrutura para impedir a conectividade SSH fontes não confiáveis, como a Internet pública.

Alterar configuração do sshd

Se não for possível aplicar a mitigação anterior, nós publicou um DaemonSet que define LoginGraceTime sshd como zero e reinicia o daemon SSH. Isso É possível aplicar o DaemonSet ao cluster para reduzir o ataque. Observe que este pode aumentar o risco de ataques de negação de serviço e causar problemas com acesso SSH legítimo. Remova esse DaemonSet após a aplicação de um patch.

Atualização de 11/07/2024 : as seguintes versões do GKE na AWS foram atualizados com o código para corrigir essa vulnerabilidade:

• 1.27.14-gke.1200
• 1.28.10-gke.1300
• 1.29.5-gke.1100

Faça upgrade do GKE no plano de controle da AWS e nos pools de nós para um destes versões com patch ou mais recentes. Para instruções, consulte Fazer upgrade da versão do cluster da AWS e Atualizar um pool de nós.

Atualização de 02/07/2024 : todas as versões com suporte das imagens do Ubuntu no O GKE na AWS executa versões do OpenSSH vulneráveis a esse problema.

Clusters do GKE na AWS com endereços IP de nós públicos e SSH exposto ao A Internet deve ser tratada com a prioridade mais alta para mitigação.

Uma vulnerabilidade de execução remota de código, CVE-2024-6387, foi descoberto recentemente no OpenSSH. A vulnerabilidade explora uma disputa que podem ser usadas para obter acesso a um shell remoto, permitindo que os atacantes obtenham acesso raiz aos nós do GKE. No momento da publicação, acredita-se que a exploração difícil e demoram várias horas por máquina atacada. Não temos conhecimento de nenhuma de exploração de dados.

O que devo fazer?

Atualização de 02/07/2024 : uma versão da AWS corrigida para o GKE incluir um OpenSSH atualizado será disponibilizado assim que possível. Este boletim serão atualizados quando os patches estiverem disponíveis. Recomendamos que você trabalhe com o etapas a seguir para verificar a exposição do cluster e aplicar as mitigações descritas necessários.

Determinar se os nós têm endereços IP públicos

O GKE na AWS não provisiona nenhuma máquina com endereços IP públicos ou regras de firewall que permitem o tráfego para a porta 22 por padrão. No entanto, dependendo a configuração de sub-rede, as máquinas recebem automaticamente um endereço IP público durante o provisionamento.

Para verificar se os nós estão provisionados com endereços IP públicos, confira a configuração da sub-rede associado ao recurso do pool de nós da AWS.

Não permitir SSH para os nós do cluster

Mesmo que o GKE na AWS não permita tráfego na porta 22 em nenhum nó ao padrão, os clientes podem anexar outros grupos de segurança aos pools de nós, Tráfego SSH.

Recomendamos que você remoção ou redução do escopo regras correspondentes dos grupos de segurança fornecidos.

Converter pools de nós públicos em particulares

Para proteger melhor os clusters com nós públicos, recomendamos primeiro desativar o SSH por grupo de segurança, conforme descrito na seção anterior. Se não for possível bloquear o SSH com as regras do grupo de segurança, é possível converter pools de nós públicos em particulares desativar a opção de atribuir automaticamente IPs públicos a máquinas em uma sub-rede e o reprovisionamento do pool de nós.

Atualização de 11/07/2024 : as seguintes versões do GKE no Azure foram atualizados com o código para corrigir essa vulnerabilidade:

• 1.27.14-gke.1200
• 1.28.10-gke.1300
• 1.29.5-gke.1100

Faça upgrade do plano de controle e dos pools de nós do GKE para um destes versões com patch ou mais recentes. Para instruções, consulte Fazer upgrade da versão do cluster do Azure e Atualizar um pool de nós.

Atualização de 02/07/2024 : todas as versões com suporte das imagens do Ubuntu no O GKE no Azure executa versões do OpenSSH vulneráveis a esse problema.

Clusters do GKE no Azure com endereços IP de nós públicos e SSH exposto ao A Internet deve ser tratada com a prioridade mais alta para mitigação.

Uma vulnerabilidade de execução remota de código, CVE-2024-6387, foi descoberto recentemente no OpenSSH. A vulnerabilidade explora uma disputa que podem ser usadas para obter acesso a um shell remoto, permitindo que os atacantes obtenham acesso raiz aos nós do GKE. No momento da publicação, acredita-se que a exploração difícil e demoram várias horas por máquina atacada. Não temos conhecimento de nenhuma de exploração de dados.

O que devo fazer?

Atualização de 02/07/2024 : uma versão corrigida do GKE no Azure que incluir um OpenSSH atualizado será disponibilizado assim que possível. Este boletim serão atualizados quando os patches estiverem disponíveis. Recomendamos que você trabalhe com o etapas a seguir para verificar a exposição do cluster e aplicar as mitigações descritas necessários.

Determinar se os nós têm endereços IP públicos

O GKE no Azure não provisiona nenhuma máquina endereços IP públicos ou regras de firewall que permitem o tráfego para a porta 22 por padrão. Para revisar Configuração do Azure para verificar se há endereços IP públicos configurados no seu cluster do GKE no Azure, execute o seguinte comando:

az network public-ip list -g CLUSTER_RESOURCE_GROUP_NAME -o tsv

Não permitir SSH para os nós do cluster

Mesmo que o GKE no Azure não permita tráfego na porta 22 em nenhum nó ao padrão, os clientes podem atualizar as regras do NetworkSecurityGroup para pools de nós, ativando Tráfego SSH da Internet pública.

Recomendamos que você analise os grupos de segurança de rede (NSGs) associados à os clusters do Kubernetes. Se houver uma regra NSG que permita tráfego de entrada irrestrito na porta 22 (SSH), siga um destes procedimentos:

• Remova a regra completamente: se o acesso SSH aos nós do cluster não estiver exigido da Internet, remova a regra para eliminar possíveis vetores de ataque.
• Reduzir o escopo da regra: restrinja o acesso de entrada na porta 22 aos endereços IP ou intervalos específicos que exigem essas informações. Isso minimiza a superfície exposta para ataques em potencial.

Converter pools de nós públicos em particulares

Para proteger melhor os clusters com nós públicos, recomendamos primeiro desativar o SSH por grupo de segurança, conforme descrito na seção anterior. Se não for possível bloquear o SSH com as regras do grupo de segurança, é possível converter pools de nós públicos em particulares removendo os endereços IP públicos associados às VMs.

Remover um endereço IP público de uma VM e substituí-lo por um endereço IP particular do Terraform, consulte Dissociar um endereço IP público de uma VM do Azure.

Impacto: todas as conexões existentes que usarem o endereço IP público serão prejudicada. Verifique se você tem métodos de acesso alternativos, como VPN ou Bastião do Azure.

Atualização de 02/07/2024 : a versão original deste boletim sobre O software GDC para bare metal indicou incorretamente que as versões de patch estavam em andamento. O software do GDC para Bare Metal não é diretamente afetado porque não gerencia Daemon ou configuração SSH do sistema operacional. Portanto, as versões de patch responsabilidade do provedor do sistema operacional, conforme descrito nos O que devo fazer?.

Uma vulnerabilidade de execução remota de código, CVE-2024-6387, foi descoberto recentemente no OpenSSH. A vulnerabilidade explora uma disputa que podem ser usadas para obter acesso a um shell remoto, permitindo que os atacantes obtenham acesso raiz aos nós do GKE. No momento da publicação, acredita-se que a exploração difícil e demoram várias horas por máquina atacada. Não temos conhecimento de nenhuma de exploração de dados.

O que devo fazer?

Atualização de 02/07/2024 : entre em contato com seu provedor de SO para receber um patch para o sistemas operacionais em uso com o software GDC para Bare Metal.

Antes de aplicar o patch do fornecedor do SO, verifique se as máquinas públicas acessíveis não permitir conexões SSH da Internet. Se isso não for possível, uma alternativa é Defina LoginGraceTime como zero e reinicie o servidor sshd:

grep "^LoginGraceTime" /etc/ssh/sshd_config
            LoginGraceTime 0

Observe que essa alteração de configuração pode aumentar o risco de ataques de negação de serviço e pode causar problemas com acesso SSH legítimo.

Texto original de 01/07/2024 (consulte a atualização anterior de 02/07/2024 para correção):

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2024-26923

Os clusters do GKE Standard e do Autopilot foram afetados.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

As seguintes versões secundárias foram afetadas. Faça upgrade do Pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:

• 1.26.15-gke.1360000
• 1.27.14-gke.1022000
• 1.28.9-gke.1289000
• 1.29.5-gke.1010000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar o mesmo versão secundária no próprio canal de lançamento. Esse recurso permite proteger seus nós até a versão do patch se torna o padrão no canal de lançamento. Para mais detalhes, consulte Execute versões de patch de um canal mais recente.

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2024-26923

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2024-26923

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2024-26923

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2024-26923

O que devo fazer?

Nenhuma ação é necessária. O software do GDC para bare metal não é afetado, porque não inclui um sistema operacional na distribuição.

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2024-26924

Os clusters do GKE Standard serão afetados. Os clusters do Autopilot do GKE na configuração padrão não serão afetados, mas poderão ficar vulneráveis se você definir explicitamente o perfil Unconfined seccomp ou permitir CAP_NET_ADMIN.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

As seguintes versões secundárias foram afetadas. Faça upgrade do Pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:

• 1.26.15-gke.1360000
• 1.27.14-gke.1022000
• 1.28.9-gke.1289000
• 1.29.5-gke.1010000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar o mesmo versão secundária no próprio canal de lançamento. Esse recurso permite proteger seus nós até a versão do patch se torna o padrão no canal de lançamento. Para mais detalhes, consulte Execute versões de patch de um canal mais recente.

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2024-26924

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2024-26924

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2024-26924

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2024-26924

O que devo fazer?

Nenhuma ação é necessária. O software do GDC para bare metal não é afetado, porque não inclui um sistema operacional na distribuição.

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS:

• CVE-2024-26584

Os clusters do GKE Standard e do Autopilot foram afetados.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

As seguintes versões secundárias foram afetadas. Faça upgrade do Pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:

• 1.28.9-gke.1209000
• 1.29.4-gke.1542000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar o mesmo versão secundária no próprio canal de lançamento. Esse recurso permite proteger seus nós até a versão do patch se torna o padrão no canal de lançamento. Para mais detalhes, consulte Execute versões de patch de um canal mais recente.

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS:

• CVE-2024-26584

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS:

• CVE-2024-26584

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS:

• CVE-2024-26584

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS:

• CVE-2024-26584

O que devo fazer?

Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição.

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2024-26584

Os clusters do GKE Standard e do Autopilot foram afetados.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

Atualização de 18/07/2024 : as seguintes versões do GKE são atualizado com código para corrigir essa vulnerabilidade no Ubuntu. Faça upgrade do pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:

• 1.26.15-gke.1469000
• 1.27.14-gke.1100000
• 1.28.10-gke.1148000
• 1.29.6-gke.1038000
• 1.30.2-gke.1394000

O código da versão a seguir do GKE foi atualizado para corrigir essa vulnerabilidade no Container-Optimized OS. Faça upgrade do Pools de nós do Container-Optimized OS para a seguinte versão de patch ou posterior:

• 1.27.15-gke.1125000

As seguintes versões secundárias foram afetadas. Faça upgrade do Pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:

• 1.28.9-gke.1209000
• 1.29.4-gke.1542000

As seguintes versões secundárias foram afetadas, mas não têm uma versão de patch disponível. Vamos atualize este boletim quando as versões de patch estiverem disponíveis:

• 1,26
• 1,27

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar o mesmo versão secundária no próprio canal de lançamento. Esse recurso permite proteger seus nós até a versão do patch se torna o padrão no canal de lançamento. Para mais detalhes, consulte Execute versões de patch de um canal mais recente.

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2024-26584

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2024-26584

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2024-26584

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2024-26584

O que devo fazer?

Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição.

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS:

• CVE-2024-26583

Os clusters do GKE Standard e do Autopilot foram afetados.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

Atualização de 10/07/2024 : as seguintes versões do GKE são atualizado com código para corrigir essa vulnerabilidade. Atualize seus pools de nós do Ubuntu para um dos seguintes versões de patch ou mais recentes:

• 1.26.15-gke.1444000
• 1.27.14-gke.1096000
• 1.28.10-gke.1148000
• 1.29.5-gke.1041001
• 1.30.1-gke.1156001

Para as versões secundárias 1.26 e 1.27, faça upgrade dos pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:

• 1.26.15-gke.1404002
• 1.27.14-gke.1059002

As seguintes versões secundárias foram afetadas. Faça upgrade do Pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:

• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar o mesmo versão secundária no próprio canal de lançamento. Esse recurso permite proteger seus nós até a versão do patch se torna o padrão no canal de lançamento. Para mais detalhes, consulte Execute versões de patch de um canal mais recente.

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS:

• CVE-2024-26583

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS:

• CVE-2024-26583

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS:

• CVE-2024-26583

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS:

• CVE-2024-26583

O que devo fazer?

Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição.

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS:

• CVE-2022-23222

Os clusters do GKE Standard e do Autopilot foram afetados.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

As seguintes versões secundárias foram afetadas. Faça upgrade do Pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:

• 1.26.15-gke.1381000
• 1.27.14-gke.1022000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar o mesmo versão secundária no próprio canal de lançamento. Esse recurso permite proteger seus nós até a versão do patch se torna o padrão no canal de lançamento. Para mais detalhes, consulte Execute versões de patch de um canal mais recente.

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS:

• CVE-2022-23222

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS:

• CVE-2022-23222

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS:

• CVE-2022-23222

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS:

• CVE-2022-23222

O que devo fazer?

Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição.

Descobrimos uma nova vulnerabilidade (CVE-2024-4323) no Fluent Bit que pode resultar na execução remota de códigos. As versões 2.0.7 a 3.0.3 de Bit fluente foram afetadas.

O GKE não usa uma versão vulnerável do Fluent Bit e não é afetada.

O que devo fazer?

O GKE não é afetado por essa vulnerabilidade. Nenhuma ação é necessária.

Descobrimos uma nova vulnerabilidade (CVE-2024-4323) no Fluent Bit que pode resultar na execução remota de códigos. As versões 2.0.7 a 3.0.3 de Bit fluente foram afetadas.

O GKE no VMware não usa uma versão vulnerável do Fluent Bit e está sem ser afetada.

O que devo fazer?

O GKE no VMware não é afetado por essa vulnerabilidade. Nenhuma ação é necessária.

Descobrimos uma nova vulnerabilidade (CVE-2024-4323) no Fluent Bit que pode resultar na execução remota de códigos. As versões 2.0.7 a 3.0.3 de Bit fluente foram afetadas.

O GKE na AWS não usa uma versão vulnerável do Fluent Bit e está sem ser afetada.

O que devo fazer?

O GKE na AWS não é afetado por essa vulnerabilidade. Nenhuma ação é necessária.

Descobrimos uma nova vulnerabilidade (CVE-2024-4323) no Fluent Bit que pode resultar na execução remota de códigos. As versões 2.0.7 a 3.0.3 de Bit fluente foram afetadas.

O GKE no Azure não usa uma versão vulnerável do Fluent Bit e está sem ser afetada.

O que devo fazer?

O GKE no Azure não é afetado por essa vulnerabilidade. Nenhuma ação é necessária.

Descobrimos uma nova vulnerabilidade (CVE-2024-4323) no Fluent Bit que pode resultar na execução remota de códigos. As versões 2.0.7 a 3.0.3 de Bit fluente foram afetadas.

O GKE em Bare Metal não usa uma versão vulnerável do Fluent Bit e está sem ser afetada.

O que devo fazer?

O GKE em Bare Metal não é afetado por essa vulnerabilidade. Nenhuma ação é necessária.

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2023-52620

Os clusters do GKE Standard serão afetados. Os clusters do Autopilot do GKE na configuração padrão não serão afetados, mas poderão ficar vulneráveis se você definir explicitamente o perfil Unconfined seccomp ou permitir CAP_NET_ADMIN.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

Atualização de 18/07/2024 : as seguintes versões do GKE são atualizado com código para corrigir essa vulnerabilidade no Ubuntu. Faça upgrade do pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:

• 1.26.15-gke.1469000
• 1.27.14-gke.1100000
• 1.28.10-gke.1148000
• 1.29.6-gke.1038000
• 1.30.2-gke.1394000

As seguintes versões secundárias foram afetadas. Faça upgrade do Pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:

• 1.27.13-gke.1166000
• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar o mesmo versão secundária no próprio canal de lançamento. Esse recurso permite proteger seus nós até a versão do patch se torna o padrão no canal de lançamento. Para mais detalhes, consulte Execute versões de patch de um canal mais recente.

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2023-52620

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2023-52620

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2023-52620

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2023-52620

O que devo fazer?

Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição.

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2024-26642

Os clusters do GKE Standard serão afetados. Os clusters do Autopilot do GKE na configuração padrão não serão afetados, mas poderão ficar vulneráveis se você definir explicitamente o perfil Unconfined seccomp ou permitir CAP_NET_ADMIN.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

As seguintes versões secundárias foram afetadas. Faça upgrade do Pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:

• 1.27.13-gke.1166000
• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar o mesmo versão secundária no próprio canal de lançamento. Esse recurso permite proteger seus nós até a versão do patch se torna o padrão no canal de lançamento. Para mais detalhes, consulte Execute versões de patch de um canal mais recente.

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2024-26642

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2024-26642

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2024-26642

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2024-26642

O que devo fazer?

Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição.

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2024-26581

Os clusters do GKE Standard serão afetados. Os clusters do Autopilot do GKE na configuração padrão não serão afetados, mas poderão ficar vulneráveis se você definir explicitamente o perfil Unconfined seccomp ou permitir CAP_NET_ADMIN.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

Atualização de 22/05/2024 : as seguintes versões do GKE são: atualizado com código para corrigir essa vulnerabilidade no Ubuntu. Fazer upgrade dos pools de nós do Ubuntu para as seguintes versões ou posteriores:

• 1.26.15-gke.1300000
• 1.27.13-gke.1011000
• 1.28.9-gke.1209000
• 1.29.4-gke.1542000
• 1.30.0-gke.1712000

As seguintes versões secundárias foram afetadas. Faça upgrade do Pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:

• 1.25.16-gke.1596000
• 1.26.14-gke.1076000
• 1.27.11-gke.1202000
• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

As seguintes versões secundárias foram afetadas. Faça upgrade do pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:

• 1.26.15-gke.1300000
• 1.28.9-gke.1209000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar o mesmo versão secundária no próprio canal de lançamento. Esse recurso permite proteger seus nós até a versão do patch se torna o padrão no canal de lançamento. Para mais detalhes, consulte Execute versões de patch de um canal mais recente.

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2024-26581

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2024-26581

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2024-26581

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2024-26581

O que devo fazer?

Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição.

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2024-26808

Atualização de 09/05/2024: gravidade corrigida de "Média" para "Alta". O boletim original informava que o Autopilot era clusters foram afetados, mas isso estava incorreto. Autopilot do GKE clusters na configuração padrão não são afetados, mas podem ficar vulneráveis caso sejam defina explicitamente o perfil seccomp Unconfined ou permitir CAP_NET_ADMIN.

Os clusters do GKE Standard e do Autopilot foram afetados.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

Atualização de 15/05/2024: as seguintes versões do GKE são: atualizado com código para corrigir essa vulnerabilidade no Ubuntu. Fazer upgrade dos pools de nós do Ubuntu para as seguintes versões ou posteriores:

• 1.26.15-gke.1323000
• 1.27.13-gke.1206000
• 1.28.10-gke.1000000
• 1.29.3-gke.1282004
• 1.30.0-gke.1584000

As seguintes versões secundárias foram afetadas. Faça upgrade do Pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:

• 1.27.8-gke.1067000
• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar o mesmo versão secundária no próprio canal de lançamento. Esse recurso permite proteger seus nós até a versão do patch se torna o padrão no canal de lançamento. Para mais detalhes, consulte Execute versões de patch de um canal mais recente.

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2024-26808

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2024-26808

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2024-26808

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2024-26808

O que devo fazer?

Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição.

Atualização de 09/05/2024:gravidade corrigida de "Média" para "Alta".

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2024-26643

Os clusters do GKE Standard serão afetados. Os clusters do Autopilot do GKE na configuração padrão não serão afetados, mas poderão ficar vulneráveis se você definir explicitamente o perfil Unconfined seccomp ou permitir CAP_NET_ADMIN.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

As seguintes versões secundárias foram afetadas. Faça upgrade do Pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:

• 1.27.8-gke.1067000
• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar o mesmo versão secundária no próprio canal de lançamento. Esse recurso permite proteger seus nós até a versão do patch se torna o padrão no canal de lançamento. Para mais detalhes, consulte Execute versões de patch de um canal mais recente.

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2024-26643

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2024-26643

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2024-26643

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2024-26643

O que devo fazer?

Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição.

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2024-26585

Os clusters do GKE Standard e do Autopilot foram afetados.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

Atualização de 18/07/2024 : as seguintes versões do GKE são atualizado com código para corrigir essa vulnerabilidade no Ubuntu. Faça upgrade do pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:

• 1.26.15-gke.1469000
• 1.27.14-gke.1100000
• 1.28.10-gke.1148000
• 1.29.6-gke.1038000
• 1.30.2-gke.1394000

As seguintes versões secundárias foram afetadas. Faça upgrade do Pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:

• 1.25.16-gke.1759000
• 1.26.15-gke.1158000
• 1.27.12-gke.1190000
• 1.28.8-gke.1175000
• 1.29.3-gke.1282000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar o mesmo versão secundária no próprio canal de lançamento. Esse recurso permite proteger seus nós até a versão do patch se torna o padrão no canal de lançamento. Para mais detalhes, consulte Execute versões de patch de um canal mais recente.

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2024-26585

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2024-26585

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2024-26585

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2024-26585

O que devo fazer?

Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição.

Uma vulnerabilidade de negação de serviço (DoS) (CVE-2023-45288) foi descoberta recentemente em várias implementações do protocolo HTTP/2, incluindo o servidor HTTP golang usado pelo Kubernetes. A vulnerabilidade pode levar a um DoS do plano de controle do Google Kubernetes Engine (GKE). Os clusters do GKE com redes autorizadas configuradas são protegidos limitando o acesso à rede, mas todos os outros clusters são afetados.

Os clusters do Autopilot e Standard do GKE são afetados.

O que devo fazer?

Atualização de 24/04/2024:adicionamos versões de patch para o GKE.

As versões a seguir do GKE incluem os patches de segurança do Golang para corrigir essa vulnerabilidade. Faça upgrade dos clusters do GKE para as versões a seguir ou posteriores:

• 1.25.16-gke.1759000
• 1.26.15-gke.1158000
• 1.27.12-gke.1190000
• 1.28.8-gke.1175000
• 1.29.3-gke.1282000

O projeto golang lançou correções em 3 de abril de 2024. Vamos atualizar este boletim quando as versões do GKE que incorporam esses patches estiverem disponíveis. Para solicitar um patch em um cronograma acelerado, entre em contato com o suporte.

Reduza a configuração configurando redes autorizadas para acesso ao plano de controle:

É possível reduzir os clusters dessa classe de ataques configurando redes autorizadas. Siga as instruções para ativar redes autorizadas em um cluster atual.

Para saber como as redes autorizadas controlam o acesso ao plano de controle, consulte Como as redes autorizadas funcionam. Para conferir o acesso padrão à rede autorizada, consulte a tabela na seção Acesso aos endpoints do plano de controle.

Quais vulnerabilidades são corrigidas por esse patch?

A vulnerabilidade (CVE-2023-45288) permite que um invasor execute um ataque de DoS no plano de controle do Kubernetes.

Uma vulnerabilidade de negação de serviço (DoS) (CVE-2023-45288) foi descoberta recentemente em várias implementações do protocolo HTTP/2, incluindo o servidor HTTP golang usado pelo Kubernetes. A vulnerabilidade pode levar a um DoS do plano de controle do Google Kubernetes Engine (GKE).

O que devo fazer?

Atualização de 17/07/2024:adicionamos versões de patch para o GKE no VMware.

As seguintes versões do GKE no VMware incluem o código para corrigir esse problema a vulnerabilidade. Faça upgrade dos clusters do GKE no VMware para o seguinte ou mais recentes:

• 1.29.0
• 1.28.500
• 1.16.8

O projeto golang lançou correções em 3 de abril de 2024. Atualizaremos este boletim quando as versões do GKE no VMware que incorporam esses patches estiverem disponíveis. Para solicitar um patch em um cronograma acelerado, entre em contato com o suporte.

Quais vulnerabilidades são corrigidas por esse patch?

A vulnerabilidade (CVE-2023-45288) permite que um invasor execute um ataque de DoS no plano de controle do Kubernetes.

Uma vulnerabilidade de negação de serviço (DoS) (CVE-2023-45288) foi descoberta recentemente em várias implementações do protocolo HTTP/2, incluindo o servidor HTTP golang usado pelo Kubernetes. A vulnerabilidade pode levar a um DoS do plano de controle do Google Kubernetes Engine (GKE).

O que devo fazer?

O projeto golang lançou correções em 3 de abril de 2024. Vamos atualizar este boletim quando as versões do GKE na AWS que incorporam esses patches estiverem disponíveis. Para solicitar um patch em um cronograma acelerado, entre em contato com o suporte.

Quais vulnerabilidades são corrigidas por esse patch?

A vulnerabilidade (CVE-2023-45288) permite que um invasor execute um ataque de DoS no plano de controle do Kubernetes.

Uma vulnerabilidade de negação de serviço (DoS) (CVE-2023-45288) foi descoberta recentemente em várias implementações do protocolo HTTP/2, incluindo o servidor HTTP golang usado pelo Kubernetes. A vulnerabilidade pode levar a um DoS do plano de controle do Google Kubernetes Engine (GKE).

O que devo fazer?

O projeto golang lançou correções em 3 de abril de 2024. Vamos atualizar este boletim quando as versões do GKE no Azure que incorporam esses patches estiverem disponíveis. Para solicitar um patch em um cronograma acelerado, entre em contato com o suporte.

Quais vulnerabilidades são corrigidas por esse patch?

A vulnerabilidade (CVE-2023-45288) permite que um invasor execute um ataque de DoS no plano de controle do Kubernetes.

Uma vulnerabilidade de negação de serviço (DoS) (CVE-2023-45288) foi descoberta recentemente em várias implementações do protocolo HTTP/2, incluindo o servidor HTTP golang usado pelo Kubernetes. A vulnerabilidade pode levar a um DoS do plano de controle do Google Kubernetes Engine (GKE).

O que devo fazer?

Atualização de 09/07/2024:adicionamos versões de patch para o GKE em Bare Metal.

As seguintes versões do GKE em Bare Metal incluem o código para corrigir isso a vulnerabilidade. Faça upgrade dos clusters do GKE em Bare Metal para os seguintes ou mais recentes:

• 1.29.100
• 1.28.600
• 1.16.9

O projeto golang lançou correções em 3 de abril de 2024. Vamos atualizar este boletim quando as versões do GKE em Bare Metal que incorporam esses patches estiverem disponíveis. Para solicitar um patch em um cronograma acelerado, entre em contato com o suporte.

Quais vulnerabilidades são corrigidas por esse patch?

A vulnerabilidade (CVE-2023-45288) permite que um invasor execute um ataque de DoS no plano de controle do Kubernetes.

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2024-1085

Os clusters do GKE Standard serão afetados. Os clusters do Autopilot do GKE na configuração padrão não serão afetados, mas poderão ficar vulneráveis se você definir explicitamente o perfil Unconfined seccomp ou permitir CAP_NET_ADMIN.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

Atualização de 06/05/2024:as seguintes versões do GKE são atualizado com código para corrigir essa vulnerabilidade no Ubuntu. Atualize seus pools de nós do Ubuntu para a seguintes versões ou posteriores.

• 1.26.15-gke.1158000
• 1.27.12-gke.1190000
• 1.28.8-gke.1175000
• 1.29.3-gke.1093000

Atualização de 04/04/2024:versões mínimas corrigidas para pools de nós do GKE Container-Optimized OS.

As versões mínimas do GKE que contêm as correções do Container-Optimized OS listadas anteriormente estavam incorretas. O código das seguintes versões do GKE foi atualizado para corrigir essa vulnerabilidade no Container-Optimized OS. Faça upgrade dos pools de nós do Container-Optimized OS para as versões a seguir ou mais recentes:

• 1.25.16-gke.1520000
• 1.26.13-gke.1221000
• 1.27.10-gke.1243000
• 1.28.8-gke.1083000
• 1.29.3-gke.1054000

As seguintes versões secundárias foram afetadas. Faça upgrade do Pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:

• 1.25.16-gke.1518000
• 1.26.13-gke.1219000
• 1.27.10-gke.1240000
• 1.28.6-gke.1433000
• 1.29.1-gke.1716000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar o mesmo versão secundária no próprio canal de lançamento. Esse recurso permite proteger seus nós até a versão do patch se torna o padrão no canal de lançamento. Para mais detalhes, consulte Execute versões de patch de um canal mais recente.

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2024-1085

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2024-1085

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2024-1085

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2024-1085

O que devo fazer?

Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição.

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2023-3611

Os clusters do GKE Standard serão afetados. Os clusters do Autopilot do GKE na configuração padrão não serão afetados, mas poderão ficar vulneráveis se você definir explicitamente o perfil Unconfined seccomp ou permitir CAP_NET_ADMIN.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

As seguintes versões secundárias foram afetadas. Faça upgrade do Pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

As seguintes versões secundárias foram afetadas. Faça upgrade do pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar o mesmo versão secundária no próprio canal de lançamento. Esse recurso permite proteger seus nós até a versão do patch se torna o padrão no canal de lançamento. Para mais detalhes, consulte Execute versões de patch de um canal mais recente.

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2023-3611

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2023-3611

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2023-3611

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2023-3611

O que devo fazer?

Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição.

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2023-3776

Os clusters do GKE Standard serão afetados. Os clusters do Autopilot do GKE na configuração padrão não serão afetados, mas poderão ficar vulneráveis se você definir explicitamente o perfil Unconfined seccomp ou permitir CAP_NET_ADMIN.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

As seguintes versões secundárias foram afetadas. Faça upgrade do Pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1014001
• 1.27.3-gke.1001002
• 1.28.0-gke.100

As seguintes versões secundárias foram afetadas. Faça upgrade do pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar o mesmo versão secundária no próprio canal de lançamento. Esse recurso permite proteger seus nós até a versão do patch se torna o padrão no canal de lançamento. Para mais detalhes, consulte Execute versões de patch de um canal mais recente.

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2023-3776

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2023-3776

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2023-3776

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2023-3776

O que devo fazer?

Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição.

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2023-3610

Os clusters do GKE Standard serão afetados. Os clusters do Autopilot do GKE na configuração padrão não serão afetados, mas poderão ficar vulneráveis se você definir explicitamente o perfil Unconfined seccomp ou permitir CAP_NET_ADMIN.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

As seguintes versões secundárias foram afetadas. Faça upgrade do Pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:

• 1.27.3-gke.1001002
• 1.28.0-gke.100

As seguintes versões secundárias foram afetadas. Faça upgrade do pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar o mesmo versão secundária no próprio canal de lançamento. Esse recurso permite proteger seus nós até a versão do patch se torna o padrão no canal de lançamento. Para mais detalhes, consulte Execute versões de patch de um canal mais recente.

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2023-3610

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2023-3610

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2023-3610

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2023-3610

O que devo fazer?

Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição.

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2024-0193

Os clusters do GKE Standard serão afetados. Os clusters do Autopilot do GKE na configuração padrão não serão afetados, mas poderão ficar vulneráveis se você definir explicitamente o perfil Unconfined seccomp ou permitir CAP_NET_ADMIN.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

As seguintes versões secundárias foram afetadas. Faça upgrade do Pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:

• 1.27.10-gke.1149000
• 1.28.6-gke.1274000
• 1.29.1-gke.1388000

As seguintes versões secundárias foram afetadas. Faça upgrade do pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:

• 1.25.16-gke.1412001
• 1.26.6-gke.1017002
• 1.27.10-gke.1055001
• 1.28.6-gke.1276000
• 1.29.1-gke.1392000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar o mesmo versão secundária no próprio canal de lançamento. Esse recurso permite proteger seus nós até a versão do patch se torna o padrão no canal de lançamento. Para mais detalhes, consulte Execute versões de patch de um canal mais recente.

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2024-0193

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2024-0193

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2024-0193

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2024-0193

O que devo fazer?

Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição.

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2023-6932

Os clusters do GKE Standard serão afetados. Os clusters do Autopilot do GKE na configuração padrão não serão afetados, mas poderão ficar vulneráveis se você definir explicitamente o perfil Unconfined seccomp ou permitir CAP_NET_ADMIN

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

As seguintes versões secundárias foram afetadas. Faça upgrade do Pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:

• 1.24.17-gke.2364001
• 1.25.16-gke.1229000
• 1.26.6-gke.1017002
• 1.27.3-gke.1001003
• 1.28.5-gke.1194000
• 1.29.0-gke.1340000

As seguintes versões secundárias foram afetadas. Faça upgrade do pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:

• 1.25.16-gke.1412001
• 1.26.6-gke.1017002
• 1.27.10-gke.1055001
• 1.28.6-gke.1276000
• 1.29.1-gke.1221000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar o mesmo versão secundária no próprio canal de lançamento. Esse recurso permite proteger seus nós até a versão do patch se torna o padrão no canal de lançamento. Para mais detalhes, consulte Execute versões de patch de um canal mais recente.

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2023-6932

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2023-6932

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2023-6932

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

• CVE-2023-6932

O que devo fazer?

Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição.

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

• CVE-2023-6931

Os clusters do GKE Standard serão afetados. Os clusters do Autopilot do GKE na configuração padrão não serão afetados, mas poderão ficar vulneráveis se você definir explicitamente o perfil Unconfined seccomp ou permitir CAP_NET_ADMIN.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

As seguintes versões secundárias foram afetadas. Faça upgrade do Pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:

• 1.24.17-gke.2364001
• 1.25.16-gke.1229000
• 1.26.6-gke.1017002
• 1.27.3-gke.1001003
• 1.28.5-gke.1194000
• 1.29.0-gke.1340000

As seguintes versões secundárias foram afetadas. Faça upgrade do pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:

• 1.25.16-gke.1412001
• 1.26.6-gke.1017002
• 1.27.10-gke.1055001
• 1.28.6-gke.1276000
• 1.29.1-gke.1221000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar o mesmo versão secundária no próprio canal de lançamento. Esse recurso permite proteger seus nós até a versão do patch se torna o padrão no canal de lançamento. Para mais detalhes, consulte Execute versões de patch de um canal mais recente.

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

• CVE-2023-6931

O que devo fazer?

Atualização de 17/04/2024:adicionamos versões de patch para o GKE no VMware.

O código das versões a seguir do GKE no VMware é atualizado para corrigir essa vulnerabilidade. Faça upgrade dos clusters para as versões a seguir ou posteriores:

• 1.28.200
• 1.16.6
• 1.15.10

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

• CVE-2023-6931

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

• CVE-2023-6931

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

• CVE-2023-6931

O que devo fazer?

Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição.

A CVE-2023-5528 permite que um invasor crie pods e volumes permanentes em nós do Windows permitindo o escalonamento de privilégios de administrador nesses nós.

Clusters do GKE Standard em execução Windows Server (em inglês) e o uso de um plug-in de armazenamento em árvore pode ser afetado.

clusters do GKE Autopilot e pools de nós do GKE usando GKE Sandbox não estão afetados porque não são compatíveis com os nós do Windows Server.

O que devo fazer?

Determine se você tem nós do Windows Server em uso nos clusters:

kubectl get nodes -l kubernetes.io/os=windows

Verificar registros de auditoria em busca de evidências de exploração. Os registros de auditoria do Kubernetes podem ser auditados determinar se essa vulnerabilidade está sendo explorada. eventos de criação do Persistent Volume com campos de caminho local que contêm caracteres especiais são uma forte indicação de exploração.

Atualize o cluster do GKE e os pools de nós para uma versão com patch. A as seguintes versões do GKE foram atualizadas para corrigir essa vulnerabilidade. Mesmo que a atualização automática de nós esteja ativada, recomendamos fazer upgrade manualmente seus pools de nós do cluster e do Windows Server para um dos seguintes buckets do GKE ou mais recentes:

• 1.24.17-gke.6100
• 1.25.15-gke.2000
• 1.26.10-gke.2000
• 1.27.7-gke.2000
• 1.28.3-gke.1600

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar o mesmo versão secundária no próprio canal de lançamento. Esse recurso permite proteger seus nós até a versão do patch se torna o padrão no canal de lançamento. Para mais detalhes, consulte Execute versões de patch de um canal mais recente.

Quais vulnerabilidades são corrigidas por esse patch?

A CVE-2023-5528 permite que um invasor crie pods e volumes permanentes em nós do Windows permitindo o escalonamento de privilégios de administrador nesses nós.

A CVE-2023-5528 permite que um invasor crie pods e volumes permanentes em nós do Windows permitindo o escalonamento de privilégios de administrador nesses nós.

Clusters do GKE no VMware em execução Windows Server (em inglês) e o uso de um plug-in de armazenamento em árvore pode ser afetado.

O que devo fazer?

Determine se você tem nós do Windows Server em uso nos clusters:

kubectl get nodes -l kubernetes.io/os=windows

Verificar registros de auditoria em busca de evidências de exploração. Os registros de auditoria do Kubernetes podem ser auditados determinar se essa vulnerabilidade está sendo explorada. eventos de criação do Persistent Volume com campos de caminho local que contêm caracteres especiais são uma forte indicação de exploração.

Atualize o cluster e os pools de nós do GKE no VMware para uma versão com patch. A as versões a seguir do GKE no VMware foram atualizadas para corrigir essa vulnerabilidade. Mesmo que a atualização automática de nós esteja ativada, recomendamos fazer upgrade manualmente seus pools de nós do cluster e do Windows Server para um dos seguintes pools do GKE no VMware ou mais recentes:

• 1.28.100-gke.131
• 1.16.5-gke.28
• 1.15.8-gke.41

Quais vulnerabilidades são corrigidas por esse patch?

A CVE-2023-5528 permite que um invasor crie pods e volumes permanentes em nós do Windows permitindo o escalonamento de privilégios de administrador nesses nós.

A CVE-2023-5528 permite que um invasor crie pods e volumes permanentes em nós do Windows permitindo o escalonamento de privilégios de administrador nesses nós.

Os clusters do GKE na AWS não são afetados.

O que devo fazer?

Nenhuma ação necessária

A CVE-2023-5528 permite que um invasor crie pods e volumes permanentes em nós do Windows permitindo o escalonamento de privilégios de administrador nesses nós.

Os clusters do GKE no Azure não são afetados.

O que devo fazer?

Nenhuma ação necessária

A CVE-2023-5528 permite que um invasor crie pods e volumes permanentes em nós do Windows permitindo o escalonamento de privilégios de administrador nesses nós.

Os clusters do GKE em Bare Metal não são afetados.

O que devo fazer?

Nenhuma ação necessária

Uma vulnerabilidade de segurança, CVE-2024-21626, foi descoberta em runc, em que um usuário com permissão para criar pods em nós do Ubuntu e do Container-Optimized OS pode ter acesso total ao sistema de arquivos do nó.

Os clusters do GKE Standard e do Autopilot foram afetados.

Clusters que usam o GKE Sandbox não serão afetadas.

O que devo fazer?

Atualização de 28/02/2024: as seguintes versões do GKE têm foi atualizado com código para corrigir essa vulnerabilidade no Ubuntu. Fazer upgrade dos pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:

• 1.25.16-gke.1537000
• 1.26.14-gke.1006000

Atualização de 15/02/2024: devido a um problema, as seguintes versões de patch do Ubuntu da atualização de 14/02/2024 pode fazer com que os nós entrem em um estado não íntegro. O que não fazer fazer upgrade para as versões de patch a seguir. Este boletim será atualizado quando houver um patch mais recente para Ubuntu estão disponíveis para 1.25 e 1.26.

• 1.25.16-gke.1497000
• 1.26.13-gke.1189000

Se você já fez upgrade para uma dessas versões de patch, fazer downgrade manualmente o pool de nós para uma versão anterior no canal de lançamento.

Atualização de 14/02/2024: as seguintes versões do GKE têm foi atualizado com código para corrigir essa vulnerabilidade no Ubuntu. Fazer upgrade dos pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:

• 1.25.16-gke.1497000
• 1.26.13-gke.1189000
• 1.27.10-gke.1207000
• 1.28.6-gke.1369000
• 1.29.1-gke.1575000

Atualização de 06/02/2024: as seguintes versões do GKE têm foi atualizado com código para corrigir essa vulnerabilidade no Container-Optimized OS. Por motivos de segurança, mesmo que a atualização automática de nós esteja ativada, é recomendável fazer upgrade manualmente seus pools de nós do cluster e do Container-Optimized OS para um dos seguintes Versões do GKE ou mais recentes:

• 1.25.16-gke.1460000
• 1.26.13-gke.1144000
• 1.27.10-gke.1152000
• 1.28.6-gke.1289000
• 1.29.1-gke.1425000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar o mesmo versão secundária no próprio canal de lançamento. Esse recurso permite proteger seus nós até a versão do patch se torna o padrão no canal de lançamento. Para mais detalhes, consulte Execute versões de patch de um canal mais recente.

Estamos atualizando o GKE com código para corrigir essa vulnerabilidade. Vamos atualizar isso quando as versões de patch estiverem disponíveis.

Quais vulnerabilidades são corrigidas por esse patch?

runc é uma ferramenta de baixo nível para gerar e executar contêineres do Linux usados em pods do Kubernetes. Em runc versões anteriores aos patches lançados neste boletim de segurança, vários descritores de arquivo foram acidentalmente vazados para a Processo runc init que é executado em um contêiner. runc também fez não verificar se o diretório de trabalho final de um contêiner estava dentro da montagem do contêiner . Uma imagem de contêiner maliciosa ou um usuário com permissão para executar pods arbitrários poderia usar uma combinação dos descritores de arquivo vazados e da falta de diretório de trabalho para ter acesso ao namespace de montagem do host de um nó e acessar todo o host e substituir binários arbitrários no nó.

Uma vulnerabilidade de segurança, CVE-2024-21626, foi descoberta em runc, em que um usuário com permissão para criar pods em nós do Ubuntu e do Container-Optimized OS pode ter acesso total ao sistema de arquivos do nó.

O que devo fazer?

Atualização de 06/03/2024: as seguintes versões do GKE no VMware têm foi atualizado com código para corrigir essa vulnerabilidade. Faça upgrade dos clusters para as versões a seguir ou posteriores:

• 1.28.200
• 1.16.6
• 1.15.9

Versões de patch e uma avaliação de gravidade para o GKE no VMware estão em andamento. Atualizaremos este boletim com essas informações quando elas estiverem disponíveis.

Quais vulnerabilidades são corrigidas por esse patch?

runc é uma ferramenta de baixo nível para gerar e executar contêineres do Linux usados em pods do Kubernetes. Em runc versões anteriores aos patches lançados neste boletim de segurança, vários descritores de arquivo foram acidentalmente vazados para a Processo runc init que é executado em um contêiner. runc também fez não verificar se o diretório de trabalho final de um contêiner estava dentro da montagem do contêiner . Uma imagem de contêiner maliciosa ou um usuário com permissão para executar pods arbitrários poderia usar uma combinação dos descritores de arquivo vazados e da falta de diretório de trabalho para ter acesso ao namespace de montagem do host de um nó e acessar todo o host e substituir binários arbitrários no nó.

Uma vulnerabilidade de segurança, CVE-2024-21626, foi descoberta em runc, em que um usuário com permissão para criar pods em nós do Ubuntu e do Container-Optimized OS pode ter acesso total ao sistema de arquivos do nó.

O que devo fazer?

Atualização de 06/05/2024: as seguintes versões do GKE na AWS têm foi atualizado com patches para CVE-2024-21626:

• 1.28.5-gke.1200
• 1.27.10-gke.500
• 1.26.13-gke.400

Versões de patch e uma avaliação de gravidade para o GKE na AWS estão em andamento. Atualizaremos este boletim com essas informações quando elas estiverem disponíveis.

Quais vulnerabilidades são corrigidas por esse patch?

runc é uma ferramenta de baixo nível para gerar e executar contêineres do Linux usados em pods do Kubernetes. Em runc versões anteriores aos patches lançados neste boletim de segurança, vários descritores de arquivo foram acidentalmente vazados para a Processo runc init que é executado em um contêiner. runc também fez não verificar se o diretório de trabalho final de um contêiner estava dentro da montagem do contêiner . Uma imagem de contêiner maliciosa ou um usuário com permissão para executar pods arbitrários poderia usar uma combinação dos descritores de arquivo vazados e da falta de diretório de trabalho para ter acesso ao namespace de montagem do host de um nó e acessar todo o host e substituir binários arbitrários no nó.

Uma vulnerabilidade de segurança, CVE-2024-21626, foi descoberta em runc, em que um usuário com permissão para criar pods em nós do Ubuntu e do Container-Optimized OS pode ter acesso total ao sistema de arquivos do nó.

O que devo fazer?

Atualização de 06/05/2024: as seguintes versões do GKE no Azure têm foi atualizado com patches para CVE-2024-21626:

• 1.28.5-gke.1200
• 1.27.10-gke.500
• 1.26.13-gke.400

Versões de patch e uma avaliação de gravidade para o GKE no Azure estão em andamento. Atualizaremos este boletim com essas informações quando elas estiverem disponíveis.

Quais vulnerabilidades são corrigidas por esse patch?

runc é uma ferramenta de baixo nível para gerar e executar contêineres do Linux usados em pods do Kubernetes. Em runc versões anteriores aos patches lançados neste boletim de segurança, vários descritores de arquivo foram acidentalmente vazados para a Processo runc init que é executado em um contêiner. runc também fez não verificar se o diretório de trabalho final de um contêiner estava dentro da montagem do contêiner . Uma imagem de contêiner maliciosa ou um usuário com permissão para executar pods arbitrários poderia usar uma combinação dos descritores de arquivo vazados e da falta de diretório de trabalho para ter acesso ao namespace de montagem do host de um nó e acessar todo o host e substituir binários arbitrários no nó.

Uma vulnerabilidade de segurança, CVE-2024-21626, foi descoberta em runc, em que um usuário com permissão para criar pods pode ter acesso total ao sistema de arquivos do nó.

O que devo fazer?

Atualização de 02/04/2024: as seguintes versões do GKE em Bare Metal têm foi atualizado com código para corrigir essa vulnerabilidade. Faça upgrade dos clusters para as versões a seguir ou posteriores:

• 1.28.200-gke.118
• 1.16.6
• 1.15.10

Versões de patch e uma avaliação de gravidade para o GKE em Bare Metal estão em andamento. Atualizaremos este boletim com essas informações quando elas estiverem disponíveis.

Quais vulnerabilidades são corrigidas por esse patch?

runc é uma ferramenta de baixo nível para gerar e executar contêineres do Linux usados em pods do Kubernetes. Em runc versões anteriores aos patches lançados neste boletim de segurança, vários descritores de arquivo foram acidentalmente vazados para a Processo runc init que é executado em um contêiner. runc também fez não verificar se o diretório de trabalho final de um contêiner estava dentro da montagem do contêiner . Uma imagem de contêiner maliciosa ou um usuário com permissão para executar pods arbitrários poderia usar uma combinação dos descritores de arquivo vazados e da falta de diretório de trabalho para ter acesso ao namespace de montagem do host de um nó e acessar todo o host e substituir binários arbitrários no nó.

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

• CVE-2023-6817

Os clusters do GKE Standard serão afetados. Os clusters do Autopilot do GKE na configuração padrão não serão afetados, mas poderão ficar vulneráveis se você definir explicitamente o perfil Unconfined seccomp ou permitir CAP_NET_ADMIN

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

Atualização de 07/02/2024:as seguintes versões secundárias foram afetadas. Faça upgrade do pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:

• 1.25.16-gke.1458000
• 1.26.13-gke.1143000
• 1.27.10-gke.1152000
• 1.28.6-gke.1276000
• 1.29.1-gke.1221000

As seguintes versões secundárias foram afetadas. Faça upgrade do Pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:

• 1.25.16-gke.1229000
• 1.26.12-gke.1087000
• 1.27.3-gke.1001003
• 1.28.5-gke.1194000
• 1.29.0-gke.1340000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar o mesmo versão secundária no próprio canal de lançamento. Esse recurso permite proteger seus nós até a versão do patch se torna o padrão no canal de lançamento. Para mais detalhes, consulte Execute versões de patch de um canal mais recente.

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

• CVE-2023-6817

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

• CVE-2023-6817

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

• CVE-2023-6817

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

• CVE-2023-6817

O que devo fazer?

Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição.

Atualização de 26/01/2024: pesquisa de segurança que encontrou um pequeno número de Clusters do GKE com uma configuração incorreta criada pelo cliente envolvendo o grupo system:authenticated foi publicado. O blog do pesquisador post refere-se a 1.300 clusters com algumas vinculações mal configuradas e 108 com alto para conceder privilégios de acesso. Trabalhamos de perto com os clientes afetados para notificá-los e ajudar com removendo as vinculações mal configuradas.

Identificamos vários clusters em que os usuários concederam permissão privilégios para o grupo system:authenticated, que inclui todos usuários com uma Conta do Google. Esses tipos de vinculações não são recomendadas, já que elas violam o princípio de privilégio mínimo e concedem acesso a grupos muito grandes de usuários. Consulte as orientações em "O que devo fazer?" para instruções sobre como encontrar esses tipos de vinculações.

Recentemente, um pesquisador de segurança relatou descobertas de clusters com RBAC por meio de nosso programa de relatórios de vulnerabilidade.

A abordagem do Google em relação à autenticação é fazer com que a autenticação seja feita no Google Cloud e o GKE o mais simples e seguro possível, sem adicionar etapas de configuração complexas. A autenticação informa apenas quem é o usuário. A autorização é em que o acesso é determinado. Portanto, o grupo system:authenticated em O GKE que contém todos os usuários autenticados pelo provedor de identidade do Google é funcionando conforme esperado e funciona da mesma forma que o IAM identificador allAuthenticatedUsers.

Pensando nisso, tomamos várias medidas para reduzir o risco dos usuários erros de autorização com os usuários integrados do Kubernetes e grupos, incluindo system:anonymous, system:authenticated e system:unauthenticated. Todos desses usuários/grupos representam um risco para o cluster se receberem permissões. Qa discutimos algumas das atividades dos invasores direcionadas a configurações incorretas de controle de acesso baseado em função (RBAC) e as defesas disponíveis em Kubecon em novembro de 2023.

Proteger os usuários contra erros de autorização acidentais com esse sistema usuários/grupos, temos:

• Por novas vinculações bloqueadas por padrão do ClusterRole altamente privilegiado cluster-admin para o usuário system:anonymous, grupo system:authenticated ou grupo system:unauthenticated na versão 1.28 do GKE.
• Crie regras de detecção em Eventos Detecção de ameaças (GKE_CONTROL_PLANE_CREATE_SENSITIVE_BINDING) como parte o Security Command Center.
• Criamos regras de prevenção configuráveis no Controlador de Políticas com K8sRestrictRoleBindings.
• Enviou notificações por e-mail para todos os usuários do GKE com vinculações a estas usuários/grupos pedindo para revisarem suas configurações.
• Criamos recursos de autorização de rede e facilitamos recomendações para restringir o acesso de rede aos clusters como primeira camada de defesa pessoal.
• Aumentaram a conscientização sobre esse problema por meio de uma palestra no Kubecon em novembro de 2023.

Os clusters que aplicam clusters autorizados redes têm uma primeira camada de defesa: elas não podem ser atacados diretamente da Internet. Ainda assim, recomendamos remover essas vinculações defesa em profundidade e para proteger contra erros nos controles de rede.
Há vários casos em que as vinculações a usuários do sistema Kubernetes ou grupos sejam usados intencionalmente. Por exemplo, para kubeadm bootstrapping, o Rancher painel e Bitnami seladas. Confirmamos com esses fornecedores de software que aqueles se as vinculações estiverem funcionando corretamente.

Estamos investigando maneiras de aumentar a proteção contra o controle de acesso baseado em função (RBAC) do usuário de configuração com esses usuários/grupos do sistema por meio de prevenção e detecção de ameaças.

O que devo fazer?

Para evitar qualquer nova vinculação de cluster-admin ao User system:anonymous, grupo system:authenticated ou grupo Usuários do system:unauthenticated podem fazer upgrade para o GKE v1.28 ou mais tarde (versão ), em que a criação dessas vinculações é bloqueada.

Revise as vinculações atuais a seguir estas orientações.

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS.

• CVE-2023-6111

Os clusters do GKE Standard serão afetados. Os clusters do Autopilot do GKE na configuração padrão não serão afetados, mas poderão ficar vulneráveis se você definir explicitamente o perfil Unconfined seccomp ou permitir CAP_NET_ADMIN

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

As seguintes versões secundárias foram afetadas. Faça upgrade do Pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:

• 1.27.7-gke.1063001
• 1.28.5-gke.1194000
• 1.29.0-gke.1340000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar o mesmo versão secundária no próprio canal de lançamento. Esse recurso permite proteger seus nós até a versão do patch se torna o padrão no canal de lançamento. Para mais detalhes, consulte Execute versões de patch de um canal mais recente.

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS.

• CVE-2023-6111

O que devo fazer?

Atualização de 20/02/2024:as versões a seguir do GKE no VMware foram atualizadas com o código para corrigir essa vulnerabilidade. Faça upgrade dos clusters para as seguintes versões ou posteriores: 1.28.100

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS.

• CVE-2023-6111

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS.

• CVE-2023-6111

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS.

• CVE-2023-6111

O que devo fazer?

Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição.

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

• CVE-2023-3609

Os clusters do GKE Standard serão afetados. Os clusters do Autopilot do GKE na configuração padrão não serão afetados, mas poderão ficar vulneráveis se você definir explicitamente o perfil Unconfined seccomp ou permitir CAP_NET_ADMIN.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

As seguintes versões secundárias foram afetadas. Faça upgrade do Pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1014001
• 1.27.3-gke.1001002
• 1.28.0-gke.100

As seguintes versões secundárias foram afetadas. Faça upgrade do pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:

• 1.24.14-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar o mesmo versão secundária no próprio canal de lançamento. Esse recurso permite proteger seus nós até a versão do patch se torna o padrão no canal de lançamento. Para mais detalhes, consulte Execute versões de patch de um canal mais recente.

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

• CVE-2023-3609

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

• CVE-2023-3609

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

• CVE-2023-3609

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

• CVE-2023-3609

O que devo fazer?

Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição.

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

• CVE-2023-3389

Os clusters do GKE Standard e do Autopilot foram afetados.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

As seguintes versões secundárias foram afetadas. Faça upgrade do Pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1014001
• 1.27.3-gke.1001002
• 1.28.0-gke.100

As seguintes versões secundárias foram afetadas. Faça upgrade do pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1014001
• 1.27.3-gke.1001002
• 1.28.1-gke.1002003

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar o mesmo versão secundária no próprio canal de lançamento. Esse recurso permite proteger seus nós até a versão do patch se torna o padrão no canal de lançamento. Para mais detalhes, consulte Execute versões de patch de um canal mais recente.

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

• CVE-2023-3389

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

• CVE-2023-3389

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

• CVE-2023-3389

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

• CVE-2023-3389

O que devo fazer?

Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição.

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

• CVE-2023-3090

Os clusters do GKE Standard serão afetados. GKE Os clusters do Autopilot na configuração padrão não são afetados, mas podem ser se você definir explicitamente o perfil Unconfined seccomp ou permitir CAP_NET_ADMIN.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

As seguintes versões secundárias foram afetadas. Faça upgrade do Pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:

• 1.24.14-gke.1027001
• 1.25.12-gke.900
• 1.26.5-gke.1014001
• 1.27.4-gke.400
• 1.28.0-gke.100

As seguintes versões secundárias foram afetadas. Faça upgrade do pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:

• 1.24.14-gke.1027001
• 1.25.12-gke.900
• 1.26.5-gke.1014001
• 1.27.4-gke.900
• 1.28.1-gke.1050000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar o mesmo versão secundária no próprio canal de lançamento. Esse recurso permite proteger seus nós até a versão do patch se torna o padrão no canal de lançamento. Para mais detalhes, consulte Execute versões de patch de um canal mais recente.

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

• CVE-2023-3090

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

• CVE-2023-3090

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

• CVE-2023-3090

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

• CVE-2023-3090

O que devo fazer?

Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição.

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

• CVE-2023-3390

Atualização de 21/12/2023: o boletim original informava que o Autopilot era Autopilot. clusters foram afetados, mas isso estava incorreto. Autopilot do GKE clusters na configuração padrão não são afetados, mas podem ficar vulneráveis caso sejam defina explicitamente o perfil seccomp Unconfined ou permitir CAP_NET_ADMIN.

Os clusters do GKE Standard e do Autopilot foram afetados.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

As seguintes versões secundárias foram afetadas. Faça upgrade do Pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:

• 1.27.4-gke.400
• 1.28.0-gke.100

As seguintes versões secundárias foram afetadas. Faça upgrade do pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:

• 1.24.14-gke.1027001
• 1.25.12-gke.900
• 1.26.5-gke.1014001
• 1.27.4-gke.900
• 1.28.1-gke.1050000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar o mesmo versão secundária no próprio canal de lançamento. Esse recurso permite proteger seus nós até a versão do patch se torna o padrão no canal de lançamento. Para mais detalhes, consulte Execute versões de patch de um canal mais recente.

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

• CVE-2023-3390

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

• CVE-2023-3390

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

• CVE-2023-3390

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

• CVE-2023-3390

O que devo fazer?

Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição.

Um invasor que tenha comprometido o contêiner de registro do Fluent Bit pode combinar isso com privilégios elevados exigidos pelo Cloud Service Mesh (em clusters com ativado) para escalonar privilégios no cluster. Os problemas com os aplicativos Fluent Bit e O Cloud Service Mesh foi atenuado, e as correções já estão disponíveis. Essas vulnerabilidades não são exploráveis por si só no GKE e exigem um comprometimento inicial. Não temos conhecimento de casos de exploração dessas vulnerabilidades.

Esses problemas foram informados pelo nosso Programa de recompensa para descobertas de vulnerabilidades.

O que devo fazer?

As seguintes versões do GKE foram atualizadas com código para correção essas vulnerabilidades no Fluent Bit e para usuários do Cloud Service Mesh gerenciado. Para para fins de segurança, mesmo que a atualização automática de nós esteja ativada, recomendamos que você fazer upgrade manualmente seus pools de nós e de cluster para uma das seguintes versões do GKE ou depois:

• 1.25.16-gke.1020000
• 1.26.10-gke.1235000
• 1.27.7-gke.1293000
• 1.28.4-gke.1083000

Um recurso recente do canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição em um canal. Isso permite você protege os nós até que a nova versão se torne o padrão para a rede canal de lançamento

Se o cluster usa o Cloud Service Mesh no cluster, você precisa fazer o upgrade manual para um dos as seguintes versões (notas da versão):

• 1.17.8-asm.8
• 1.18.6-asm.2
• 1.19.5-asm.4

Quais vulnerabilidades estão sendo corrigidas?

As vulnerabilidades abordadas por este boletim exigem que um invasor comprometa a Contêiner de geração de registros do Bit fluente. Não estamos cientes de nenhuma vulnerabilidade existente em Bit fluente que levaria a essa condição de pré-requisito para o escalonamento de privilégios. Nós corrigimos essas vulnerabilidades como medidas de proteção para evitar uma possível cadeia de ataque completa no futuro

O GKE usa o Fluent Bit para processar registros de cargas de trabalho em execução nos clusters. O Fluent Bit no GKE também foi configurado para coletar registros para cargas de trabalho do Cloud Run. A montagem do volume configurada para coletar os registros deu Acesso de Bit fluente aos tokens da conta de serviço do Kubernetes para outros pods em execução no nó. O pesquisador usou esse acesso para descobrir uma conta de serviço altamente privilegiada para clusters com o Cloud Service Mesh ativado.

O Cloud Service Mesh exigia privilégios altos para fazer as modificações necessárias em uma do cluster, incluindo a capacidade de criar e excluir pods. A pesquisador usou o token da conta de serviço privilegiada do Kubernetes do Cloud Service Mesh para escalam os privilégios iniciais comprometidos criando um novo pod com Privilégios de administrador do cluster

Removemos o acesso do Fluent Bit aos tokens da conta de serviço e reformulou a funcionalidade do Cloud Service Mesh para remover os privilégios em excesso.

Somente os clusters do GKE no VMware que usam o Cloud Service Mesh são afetados.

O que devo fazer?

Se o cluster usa o Cloud Service Mesh no cluster, você precisa fazer o upgrade manual para uma das seguintes versões (notas da versão):

• 1.17.8-asm.8
• 1.18.6-asm.2
• 1.19.5-asm.4

Quais vulnerabilidades são corrigidas por esse patch?

As vulnerabilidades abordadas por este boletim exigem que um invasor primeiro ou se saírem de um contêiner ou tiverem raiz em um nó de cluster. Qa não estão cientes de nenhuma vulnerabilidade existente que possa levar a esse pré-requisito para o escalonamento de privilégios. Nós corrigimos essas vulnerabilidades como um aumento medidas para evitar uma possível cadeia de ataque completa no futuro.

O Cloud Service Mesh exigia privilégios altos para fazer as modificações necessárias em uma do cluster, incluindo a capacidade de criar e excluir pods. A pesquisadora usou o token da conta de serviço privilegiada do Kubernetes do Cloud Service Mesh para encaminhar privilégios iniciais comprometidos criando um novo pod com privilégios cluster-admin.

Reformulamos a funcionalidade do Cloud Service Mesh para remover excessos para conceder privilégios de acesso.

Apenas clusters do GKE na AWS que usam o Cloud Service Mesh são afetados.

O que devo fazer?

Se o cluster usa o Cloud Service Mesh no cluster, você precisa fazer upgrade manualmente para uma das seguintes versões (notas da versão):

• 1.17.8-asm.8
• 1.18.6-asm.2
• 1.19.5-asm.4

Quais vulnerabilidades são corrigidas por esse patch?

As vulnerabilidades abordadas por este boletim exigem que um invasor primeiro ou se saírem de um contêiner ou tiverem raiz em um nó de cluster. Estamos desconhecimento de vulnerabilidades existentes que possam levar a essa condição de pré-requisito. para escalonamento de privilégios. Corrigimos essas vulnerabilidades como medidas de proteção para evitar uma possível cadeia de ataque completa no futuro.

O Cloud Service Mesh exigia privilégios altos para fazer as modificações necessárias em uma do cluster, incluindo a capacidade de criar e excluir pods. A pesquisadora usou o token da conta de serviço privilegiada do Kubernetes do Cloud Service Mesh para encaminhar privilégios iniciais comprometidos criando um novo pod com privilégios cluster-admin.

Reformulamos a funcionalidade do Cloud Service Mesh para remover excessos para conceder privilégios de acesso.

Apenas clusters do GKE no Azure que usam o Cloud Service Mesh são afetados.

O que devo fazer?

Se o cluster usa o Cloud Service Mesh no cluster, você precisa fazer upgrade manualmente para uma das seguintes versões (notas da versão):

• 1.17.8-asm.8
• 1.18.6-asm.2
• 1.19.5-asm.4

Quais vulnerabilidades são corrigidas por esse patch?

As vulnerabilidades abordadas por este boletim exigem que um invasor primeiro ou se saírem de um contêiner ou tiverem raiz em um nó de cluster. Estamos desconhecimento de vulnerabilidades existentes que possam levar a essa condição de pré-requisito. para escalonamento de privilégios. Corrigimos essas vulnerabilidades como medidas de proteção para evitar uma possível cadeia de ataque completa no futuro.

O Cloud Service Mesh exigia privilégios altos para fazer as modificações necessárias em uma do cluster, incluindo a capacidade de criar e excluir pods. A pesquisadora usou o token da conta de serviço privilegiada do Kubernetes do Cloud Service Mesh para encaminhar privilégios iniciais comprometidos criando um novo pod com privilégios cluster-admin.

Reformulamos a funcionalidade do Cloud Service Mesh para remover excessos para conceder privilégios de acesso.

Somente clusters do GKE em Bare Metal que usam o Cloud Service Mesh são afetados.

O que devo fazer?

Se o cluster usa o Cloud Service Mesh no cluster, você precisa fazer o upgrade manual para uma das seguintes versões (notas da versão):

• 1.17.8-asm.8
• 1.18.6-asm.2
• 1.19.5-asm.4

Quais vulnerabilidades são corrigidas por esse patch?

As vulnerabilidades abordadas por este boletim exigem que um invasor primeiro ou se saírem de um contêiner ou tiverem raiz em um nó de cluster. Estamos desconhecimento de vulnerabilidades existentes que possam levar a essa condição de pré-requisito. para escalonamento de privilégios. Corrigimos essas vulnerabilidades como medidas de proteção para evitar uma possível cadeia de ataque completa no futuro.

O Anthos Service Mesh exigia privilégios altos para fazer as modificações necessárias em um do cluster, incluindo a capacidade de criar e excluir pods. A pesquisadora usou o token da conta de serviço privilegiada do Kubernetes do Cloud Service Mesh para encaminhar privilégios iniciais comprometidos criando um novo pod com privilégios cluster-admin.

Reformulamos a funcionalidade do Cloud Service Mesh para remover excessos para conceder privilégios de acesso.

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

• CVE-2023-5717

Os clusters do GKE Standard e do Autopilot foram afetados.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

Atualização de 22/01/2024: as seguintes versões secundárias foram afetadas. Faça upgrade do pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:

• 1.24.17-gke.2472000
• 1.25.16-gke.1268000
• 1.26.12-gke.1111000
• 1.27.9-gke.1092000
• 1.28.5-gke.1217000
• 1.29.0-gke.138100

As seguintes versões secundárias foram afetadas. Faça upgrade do Pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:

• 1.24.17-gke.2113000
• 1.25.14-gke.1421000
• 1.25.15-gke.1083000
• 1.26.10-gke.1073000
• 1.27.7-gke.1088000
• 1.28.3-gke.1203000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar o mesmo versão secundária no próprio canal de lançamento. Esse recurso permite proteger seus nós até a versão do patch se torna o padrão no canal de lançamento. Para mais detalhes, consulte Execute versões de patch de um canal mais recente.

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

• CVE-2023-5717

O que devo fazer?

Atualização de 04/03/2024: as seguintes versões do GKE no VMware serão atualizados com códigos para corrigir essa vulnerabilidade. Fazer upgrade dos clusters para as seguintes versões ou posteriores:

• 1.28.200
• 1.16.5
• 1.15.8

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

• CVE-2023-5717

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

• CVE-2023-5717

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

• CVE-2023-5717

O que devo fazer?

Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição.

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

• CVE-2023-5197

Atualização de 21/12/2023: o boletim original informava que o Autopilot era Autopilot. clusters foram afetados, mas isso estava incorreto. Autopilot do GKE clusters na configuração padrão não são afetados, mas podem ficar vulneráveis caso sejam defina explicitamente o perfil seccomp Unconfined ou permitir CAP_NET_ADMIN.

Os clusters do GKE Standard e do Autopilot foram afetados.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

As seguintes versões secundárias foram afetadas. Faça upgrade do Pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:

• 1.25.13-gke.1002003
• 1.26.9-gke.1514000
• 1.27.6-gke.1513000
• 1.28.2-gke.1164000

As seguintes versões secundárias foram afetadas. Faça upgrade do pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:

• 1.24.16-gke.1005001
• 1.25.13-gke.1002003
• 1.26.9-gke.1548000
• 1.27.7-gke.1039000
• 1.28.3-gke.1061000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar o mesmo versão secundária no próprio canal de lançamento. Esse recurso permite proteger seus nós até a versão do patch se torna o padrão no canal de lançamento. Para mais detalhes, consulte Execute versões de patch de um canal mais recente.

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

• CVE-2023-5197

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

• CVE-2023-5197

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

• CVE-2023-5197

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

• CVE-2023-5197

O que devo fazer?

Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição.

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

• CVE-2023-4147

Os clusters do GKE Standard serão afetados. Os clusters do GKE Autopilot não são afetados.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

Atualização de 15/11/2023: só é preciso fazer upgrade para uma das versões com patch que estão listadas neste boletim se você usar essa versão secundária em seus nós. Por exemplo: Se você usa a versão 1.27 do GKE, faça upgrade para a versão com patch correspondente para a versão anterior. No entanto, se você usa a versão 1.24 do GKE, não precisa fazer upgrade para uma versão com patch.

Faça upgrade do Pools de nós do Container-Optimized OS para uma das seguintes versões ou mais recentes:

• 1.27.5-gke.200
• 1.28.2-gke.1157000

Faça upgrade dos pools de nós do Ubuntu para uma das versões a seguir ou mais recentes:

• 1.25.14-gke.1421000
• 1.26.9-gke.1437000
• 1.27.6-gke.1248000
• 1.28.2-gke.1157000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar o mesmo versão secundária no próprio canal de lançamento. Esse recurso permite proteger seus nós até a versão com patch se tornará o padrão no seu canal de lançamento. Para mais detalhes, consulte Execute versões de patch de um canal mais recente.

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

• CVE-2023-4147

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

• CVE-2023-4147

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

• CVE-2023-4147

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

• CVE-2023-4147

O que devo fazer?

Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição.

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

• CVE-2023-4004

Atualização de 21/12/2023: o boletim original informava que o Autopilot era Autopilot. clusters foram afetados, mas isso estava incorreto. Autopilot do GKE clusters na configuração padrão não são afetados, mas podem ficar vulneráveis caso sejam defina explicitamente o perfil seccomp Unconfined ou permitir CAP_NET_ADMIN.

os clusters do Autopilot são afetados.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

Atualização de 05/12/2023 : algumas versões do GKE foram desaparecidos. Confira a seguir uma lista atualizada das versões do GKE que podem ser atualize o Container-Optimized OS para:

• 1.24.17-gke.200 ou mais recente
• 1.25.13-gke.200 ou mais recente.
• 1.26.8-gke.200 ou mais recente.
• 1.27.4-gke.2300 ou mais recente
• 1.28.1-gke.1257000 ou mais recente

Atualização de 21/11/2023 : só será necessário fazer upgrade para uma das versões de patch listadas neste boletim se você usar essa versão secundária nos nós. As versões secundárias que não estão listadas não são afetadas.

Faça upgrade dos pools de nós do Container-Optimized OS para uma das versões a seguir ou mais recentes:

• 1.27.4-gke.2300
• 1.28.1-gke.1257000

Faça upgrade dos pools de nós do Ubuntu para uma das versões a seguir ou mais recentes:

• 1.24.14-gke.1027001
• 1.25.13-gke.700
• 1.26.8-gke.700
• 1.27.5-gke.700
• 1.28.1-gke.1050000

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

• CVE-2023-4004

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

• CVE-2023-4004

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

• CVE-2023-4004

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

• CVE-2023-4004

O que devo fazer?

Nenhuma ação é necessária. O GKE em Bare Metal não é afetado, porque não agrupa um sistema operacional na distribuição.

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

• CVE-2023-4921

Atualização de 21/12/2023: o boletim original informava que o Autopilot era Autopilot. clusters foram afetados, mas isso estava incorreto. Autopilot do GKE clusters na configuração padrão não são afetados, mas podem ficar vulneráveis caso sejam defina explicitamente o perfil seccomp Unconfined ou permitir CAP_NET_ADMIN.

os clusters do Autopilot são afetados.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

Atualização de 21/11/2023 : só será necessário fazer upgrade para uma das versões de patch listadas neste boletim se você usar essa versão secundária nos nós. As versões secundárias que não estão listadas não são afetadas.

Faça upgrade dos pools de nós do Container-Optimized OS para uma das versões a seguir ou mais recentes:

• 1.24.14-gke.1027001
• 1.25.14-gke.1351000
• 1.26.9-gke.1345000
• 1.27.6-gke.1389000

Faça upgrade dos pools de nós do Ubuntu para uma das versões a seguir ou mais recentes:

• 1.24.17-gke.2186000
• 1.25.15-gke.1016000
• 1.26.9-gke.1548000
• 1.27.6-gke.1551000
• 1.28.2-gke.1256000

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

• CVE-2023-4921

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

• CVE-2023-4921

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

• CVE-2023-4921

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

• CVE-2023-4921

O que devo fazer?

Nenhuma ação é necessária. O GKE em Bare Metal não é afetado, porque não agrupa um sistema operacional na distribuição.

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

• CVE-2023-4623

os clusters do Autopilot são afetados.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

Atualização de 21/11/2023 : só será necessário fazer upgrade para uma das versões de patch listadas neste boletim se você usar essa versão secundária nos nós. As versões secundárias que não estão listadas não são afetadas.

Faça upgrade dos pools de nós do Container-Optimized OS para uma das versões a seguir ou mais recentes:

• 1.24.14-gke.1027001
• 1.25.14-gke.1351000
• 1.26.9-gke.1345000
• 1.27.5-gke.1647000

Faça upgrade dos pools de nós do Ubuntu para uma das versões a seguir ou mais recentes:

• 1.24.17-gke.2186000
• 1.25.15-gke.1016000
• 1.26.9-gke.1548000
• 1.27.6-gke.1551000
• 1.28.2-gke.1256000

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

• CVE-2023-4623

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

• CVE-2023-4623

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

• CVE-2023-4623

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

• CVE-2023-4623

O que devo fazer?

Nenhuma ação é necessária. O GKE em Bare Metal não é afetado, porque não agrupa um sistema operacional na distribuição.

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

• CVE-2023-4623

Atualização de 21/12/2023: o boletim original informava que o Autopilot era Autopilot. clusters foram afetados, mas isso estava incorreto. Autopilot do GKE clusters na configuração padrão não são afetados, mas podem ficar vulneráveis caso sejam defina explicitamente o perfil seccomp Unconfined ou permitir CAP_NET_ADMIN.

os clusters do Autopilot são afetados.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

Atualização de 21/11/2023 : só será necessário fazer upgrade para uma das versões de patch listadas neste boletim se você usar essa versão secundária nos nós. As versões secundárias que não estão listadas não são afetadas.

Faça upgrade dos pools de nós do Container-Optimized OS para uma das versões a seguir ou mais recentes:

• 1.24.14-gke.1027001
• 1.25.14-gke.1351000
• 1.26.9-gke.1345000
• 1.27.6-gke.1389000

Faça upgrade dos pools de nós do Ubuntu para uma das versões a seguir ou mais recentes:

• 1.24.17-gke.2186000
• 1.25.15-gke.1016000
• 1.26.9-gke.1548000
• 1.27.6-gke.1551000
• 1.28.2-gke.1256000

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

• CVE-2023-4623

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

• CVE-2023-4623

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

• CVE-2023-4623

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

• CVE-2023-4623

O que devo fazer?

Nenhuma ação é necessária. O GKE em Bare Metal não é afetado, porque não agrupa um sistema operacional na distribuição.

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

• CVE-2023-4015

Atualização de 21/12/2023: o boletim original informava que o Autopilot era Autopilot. clusters foram afetados, mas isso estava incorreto. Autopilot do GKE clusters na configuração padrão não são afetados, mas podem ficar vulneráveis caso sejam defina explicitamente o perfil seccomp Unconfined ou permitir CAP_NET_ADMIN.

os clusters do Autopilot são afetados.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

Atualização de 21/11/2023 : só será necessário fazer upgrade para uma das versões de patch listadas neste boletim se você usar essa versão secundária nos nós. As versões secundárias que não estão listadas não são afetadas.

Faça upgrade dos pools de nós do Container-Optimized OS para uma das versões a seguir ou mais recentes:

• 1.27.5-gke.1647000

Faça upgrade dos pools de nós do Ubuntu para uma das versões a seguir ou mais recentes:

• 1.24.14-gke.1027001
• 1.25.13-gke.700
• 1.26.8-gke.700
• 1.27.5-gke.700
• 1.28.1-gke.1050000

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

• CVE-2023-4015

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

• CVE-2023-4015

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

• CVE-2023-4015

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

• CVE-2023-4015

O que devo fazer?

Nenhuma ação é necessária. O GKE em Bare Metal não é afetado, porque não agrupa um sistema operacional na distribuição.

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

• CVE-2023-4206
• CVE-2023-4207
• CVE-2023-4208
• CVE-2023-4128

Atualização de 21/12/2023: o boletim original informava que o Autopilot era Autopilot. clusters foram afetados, mas isso estava incorreto. Autopilot do GKE clusters na configuração padrão não são afetados, mas podem ficar vulneráveis caso sejam defina explicitamente o perfil seccomp Unconfined ou permitir CAP_NET_ADMIN.

os clusters do Autopilot são afetados.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

Atualização de 21/11/2023 : só será necessário fazer upgrade para uma das versões de patch listadas neste boletim se você usar essa versão secundária nos nós. As versões secundárias que não estão listadas não são afetadas.

Faça upgrade dos pools de nós do Container-Optimized OS para uma das versões a seguir ou mais recentes:

• 1.24.14-gke.1027001
• 1.25.13-gke.1008000
• 1.26.8-gke.1647000
• 1.27.5-gke.200

Faça upgrade dos pools de nós do Ubuntu para uma das versões a seguir ou mais recentes:

• 1.24.14-gke.1027001
• 1.25.13-gke.1706000
• 1.26.8-gke.1647000
• 1.27.5-gke.1648000
• 1.28.1-gke.1050000

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

• CVE-2023-4206
• CVE-2023-4207
• CVE-2023-4208
• CVE-2023-4128

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

• CVE-2023-4206
• CVE-2023-4207
• CVE-2023-4208
• CVE-2023-4128

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

• CVE-2023-4206
• CVE-2023-4207
• CVE-2023-4208
• CVE-2023-4128

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

• CVE-2023-4206
• CVE-2023-4207
• CVE-2023-4208
• CVE-2023-4128

O que devo fazer?

Nenhuma ação é necessária. O GKE em Bare Metal não é afetado, porque não agrupa um sistema operacional na distribuição.

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

• CVE-2023-3777

Atualização de 21/12/2023: o boletim original informava que o Autopilot era Autopilot. clusters foram afetados, mas isso estava incorreto. Autopilot do GKE clusters na configuração padrão não são afetados, mas podem ficar vulneráveis caso sejam defina explicitamente o perfil seccomp Unconfined ou permitir CAP_NET_ADMIN. As cargas de trabalho do GKE Sandbox também não são afetadas.

os clusters do Autopilot são afetados.

Os clusters que usam o GKE Sandbox são afetados.

O que devo fazer?

Atualização de 21/11/2023 : só será necessário fazer upgrade para uma das versões de patch listadas neste boletim se você usar essa versão secundária nos nós. As versões secundárias que não estão listadas não são afetadas.

Faça upgrade dos pools de nós do Container-Optimized OS para uma das versões a seguir ou mais recentes:

• 1.24.16-gke.2200
• 1.25.12-gke.2200
• 1.26.7-gke.2200
• 1.27.4-gke.2300

Faça upgrade dos pools de nós do Ubuntu para uma das versões a seguir ou mais recentes:

• 1.24.17-gke.700
• 1.25.13-gke.700
• 1.26.8-gke.700
• 1.27.5-gke.700
• 1.28.0-gke.100

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

• CVE-2023-3777

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

• CVE-2023-3777

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

• CVE-2023-3777

O que devo fazer?

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

• CVE-2023-3777

O que devo fazer?

Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição.

Uma vulnerabilidade de negação de serviço (DoS) foi recentemente descoberta em várias implementações do protocolo HTTP/2 (CVE-2023-44487), incluindo o servidor HTTP golang usado pelo Kubernetes. A vulnerabilidade pode levar a um DoS do plano de controle do Google Kubernetes Engine (GKE). Os clusters do GKE com redes autorizadas configuradas são protegidos limitando o acesso à rede, mas todos os outros clusters são afetados.

O que devo fazer?

Atualização de 9/11/2023:lançamos novas versões do GKE que incluem os patches de segurança do Go e do Kubernetes, que você pode atualizar seus clusters. Nas próximas semanas, lançaremos outros no plano de controle do GKE para reduzir ainda mais esse problema.

As seguintes versões do GKE foram atualizadas com patches para CVE-2023-44487 e CVE-2023-39325:

• 1.24.17-gke.2155000
• 1.25.14-gke.1474000
• 1.26.10-gke.1024000
• 1.27.7-gke.1038000
• 1.28.3-gke.1090000

Recomendamos que você aplique a mitigação a seguir o quanto antes e faça upgrade para a versão com patch mais recente quando disponível.

Os patches do Golang serão lançados em 10 de outubro. Assim que estiver disponível, vamos criar e qualificar um novo servidor da API Kubernetes com esses patches e lançar uma versão com patch do GKE. Quando a versão do GKE estiver disponível, vamos atualizar este boletim com orientações sobre qual versão vai ser atualizada com o plano de controle. Também vamos tornar os patches visíveis na postura de segurança do GKE quando disponíveis para seu cluster. Para receber uma notificação do Pub/Sub quando um patch estiver disponível para seu canal, ative as notificações de cluster.

Um recurso recente dos canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição. Isso permite proteger os nós até que a nova versão se torne o padrão para o canal específico da versão.

Reduza ao configurar redes autorizadas para acesso ao plano de controle:

É possível adicionar redes autorizadas para clusters atuais. Para saber mais, consulte rede autorizada para clusters atuais.

Além das redes autorizadas adicionadas, há endereços IP predefinidos que podem acessar o plano de controle do GKE. Para saber mais sobre esses endereços, consulte Acesso aos endpoints do plano de controle. Os itens a seguir resumem o isolamento de cluster:

• Os clusters particulares com --master-authorized-networks e clusters baseados em PSC com --master-authorized-networks e --no-enable-google-cloud configurados são os mais isolados.
• Os clusters públicos legados com --master-authorized-networks e clusters baseados em PSC com --master-authorized-networks e --enable-google-cloud (padrão) também podem ser acessados pelo seguinte:
  • Endereços IP públicos de todas as VMs do Compute Engine no Google Cloud
  • Endereços IP do Google Cloud Platform

Quais vulnerabilidades são corrigidas por esse patch?

A vulnerabilidade CVE-2023-44487 permite que um invasor execute um ataque de negação de serviço nos nós do plano de controle do GKE.

Uma vulnerabilidade de negação de serviço (DoS) foi recentemente descoberta em várias implementações do protocolo HTTP/2 (CVE-2023-44487), incluindo o servidor HTTP golang usado pelo Kubernetes. A vulnerabilidade pode levar a um DoS do plano de controle do Kubernetes. O GKE no VMware cria clusters do Kubernetes que, por padrão, não são diretamente acessíveis pela Internet e são protegidos contra essa vulnerabilidade.

O que devo fazer?

Atualização de 14/02/2024 : as seguintes versões do GKE no VMware serão atualizados com códigos para corrigir essa vulnerabilidade. Faça upgrade dos clusters para o seguinte com as versões de patch ou mais recentes:

• 1.28.100
• 1.16.6
• 1.15.8

Se você configurou os clusters do Kubernetes no GKE no VMware para ter acesso direto à Internet ou a outras redes não confiáveis, recomendamos trabalhar com seu administrador de firewall para bloquear ou limitar esse acesso.

Recomendamos que você faça o upgrade para a versão de patch mais recente, quando disponível, assim que possível.

Os patches do Golang serão lançados em 10 de outubro. Assim que estiver disponível, vamos criar e qualificar um novo servidor da API Kubernetes com esses patches e lançar uma versão com patch do GKE. Quando a versão do GKE estiver disponível, vamos atualizar este boletim com orientações sobre para qual versão fazer upgrade do plano de controle.

Quais vulnerabilidades são corrigidas por esse patch?

A vulnerabilidade CVE-2023-44487 permite que um invasor execute um ataque de negação de serviço nos nós do plano de controle do Kubernetes.

Uma vulnerabilidade de negação de serviço (DoS) foi recentemente descoberta em várias implementações do protocolo HTTP/2 (CVE-2023-44487), incluindo o servidor HTTP golang usado pelo Kubernetes. A vulnerabilidade pode levar a um DoS do plano de controle do Kubernetes. O GKE na AWS cria clusters particulares do Kubernetes que, por padrão, não são diretamente acessíveis pela Internet e estão protegidos contra essa vulnerabilidade.

O que devo fazer?

Atualização de 20/03/2024:as seguintes versões do GKE na AWS foram atualizadas com patches para CVE-2023-44487:

• 1.26.10-gke.600
• 1.27.7-gke.600
• 1.28.3-gke.700

Se você configurou o GKE na AWS para ter acesso direto à Internet ou a outras redes não confiáveis, recomendamos trabalhar com seu administrador de firewall para bloquear ou limitar esse acesso.

Recomendamos que você faça o upgrade para a versão de patch mais recente, quando disponível, assim que possível.

Os patches do Golang serão lançados em 10 de outubro. Assim que estiver disponível, vamos criar e qualificar um novo servidor da API Kubernetes com esses patches e lançar uma versão com patch do GKE. Quando a versão do GKE estiver disponível, vamos atualizar este boletim com orientações sobre para qual versão fazer upgrade do plano de controle.

Quais vulnerabilidades são corrigidas por esse patch?

A vulnerabilidade CVE-2023-44487 permite que um invasor execute um ataque de negação de serviço nos nós do plano de controle do Kubernetes.

Uma vulnerabilidade de negação de serviço (DoS) foi recentemente descoberta em várias implementações do protocolo HTTP/2 (CVE-2023-44487), incluindo o servidor HTTP golang usado pelo Kubernetes. A vulnerabilidade pode levar a um DoS do plano de controle do Kubernetes. O GKE no Azure cria clusters particulares do Kubernetes que, por padrão, não podem ser acessados diretamente pela Internet e estão protegidos contra essa vulnerabilidade.

O que devo fazer?

Atualização de 20/03/2024:as seguintes versões do GKE no Azure foram atualizadas com patches para CVE-2023-44487:

• 1.26.10-gke.600
• 1.27.7-gke.600
• 1.28.3-gke.700

Se você configurou os clusters do GKE no Azure para ter acesso direto à Internet ou a outras redes não confiáveis, recomendamos trabalhar com seu administrador de firewall para bloquear ou limitar esse acesso.

Recomendamos que você faça o upgrade para a versão de patch mais recente, quando disponível, assim que possível.

Quais vulnerabilidades são corrigidas por esse patch?

A vulnerabilidade CVE-2023-44487 permite que um invasor execute um ataque de negação de serviço nos nós do plano de controle do Kubernetes.

Uma vulnerabilidade de negação de serviço (DoS) foi recentemente descoberta em várias implementações do protocolo HTTP/2 (CVE-2023-44487), incluindo o servidor HTTP golang usado pelo Kubernetes. A vulnerabilidade pode levar a um DoS do plano de controle do Kubernetes. O Anthos em Bare Metal cria clusters do Kubernetes que, por padrão, não são diretamente acessíveis pela Internet e estão protegidos contra essa vulnerabilidade.

O que devo fazer?

Se você configurou os clusters Kubernetes do Anthos em Bare Metal para ter acesso direto à Internet ou a outras redes não confiáveis, recomendamos trabalhar com o administrador do firewall para bloquear ou limitar esse acesso. Para saber mais, consulte a visão geral de segurança do GKE em Bare Metal.

Recomendamos que você faça o upgrade para a versão de patch mais recente, quando disponível, assim que possível.

Os patches do Golang serão lançados em 10 de outubro. Assim que estiver disponível, vamos criar e qualificar um novo servidor da API Kubernetes com esses patches e lançar uma versão com patch do GKE. Quando a versão do GKE estiver disponível, vamos atualizar este boletim com orientações sobre para qual versão fazer upgrade do plano de controle.

Quais vulnerabilidades são corrigidas por esse patch?

A vulnerabilidade CVE-2023-44487 permite que um invasor execute um ataque de negação de serviço nos nós do plano de controle do Kubernetes.

Três vulnerabilidades (CVE-2023-3676, CVE-2023-3955 e CVE-2023-3893) foram descobertas no Kubernetes. Com elas, um usuário capaz de criar pods em nós do Windows pode escalonar para privilégios de administrador nesses nós. Essas vulnerabilidades afetam as versões para Windows do Kubelet e do proxy CSI do Kubernetes.

Os clusters do GKE só serão afetados se incluírem nós do Windows.

O que devo fazer?

O código das seguintes versões do GKE foi atualizado para corrigir essa vulnerabilidade. Por motivos de segurança, mesmo que você tenha ativado o upgrade automático de nós, nós recomendamos que você faça o upgrade manual dos seus clusters e pools de nós a uma das seguintes versões do GKE:

• 1.24.17-gke.200
• 1.25.13-gke.200
• 1.26.8-gke.200
• 1.27.5-gke.200
• 1.28.1-gke.200

O plano de controle do GKE será atualizado na semana de 04/09/2023 para atualizar o csi-proxy para a versão 1.1.3. Se você atualizar os nós antes da atualização do plano de controle, você precisará atualizar seus nós novamente após a atualização para aproveitar o novo proxy. É possível atualizar os nós novamente, mesmo sem alterar a versão do nó, executando o comando gcloud container clusters upgrade e passando o --cluster-version com a mesma versão do GKE que o nó já está em execução. Use a CLI gcloud para essa solução alternativa. Isso causará uma atualização, independentemente janelas de manutenção.

Um recurso recente do canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição em um canal. Isso permite que você proteger os nós até que a nova versão se torne o padrão para a rede canal de lançamento.

Quais vulnerabilidades são corrigidas por esse patch?

Com a CVE-2023-3676, um usuário malicioso poderia criar uma especificação de pod com strings de caminho de host contêm comandos do PowerShell. O kubelet não tem limpeza de entrada e transmite essa string de caminho para o executor de comando como um argumento em que ele executaria partes do como comandos separados. Esses comandos são executados com a mesma configuração os privilégios do Kubelet.

Com a CVE-2023-3955, o Kubelet concede aos usuários que podem criar pods a capacidade de executar códigos no mesmo nível de permissão que o agente do Kubelet (permissões privilegiadas).

Com a CVE-2023-3893, uma falta semelhante de sanitização de entrada permite que um usuário, que consegue criar pods em Nós do Windows que executam o kubernetes-csi-proxy para escalar para privilégios de administrador nesses nós.

Os registros de auditoria do Kubernetes podem ser usados para detectar se essa vulnerabilidade está sendo explorada. Conjunto criar eventos com comandos do PowerShell incorporados são uma forte indicação de exploração. ConfigMaps e Secrets que contêm comandos do PowerShell incorporados e são montados Os pods também são uma forte indicação de exploração.

Três vulnerabilidades (CVE-2023-3676, CVE-2023-3955 e CVE-2023-3893) foram descobertas no Kubernetes. Com elas, um usuário capaz de criar pods em nós do Windows pode escalonar para privilégios de administrador nesses nós. Essas vulnerabilidades afetam as versões para Windows do Kubelet e do proxy CSI do Kubernetes.

Os clusters só serão afetados se incluírem nós do Windows.

O que devo fazer?

Quais vulnerabilidades são corrigidas por esse patch?

Com a CVE-2023-3676, um usuário malicioso poderia criar uma especificação de pod com strings de caminho de host contêm comandos do PowerShell. O kubelet não tem limpeza de entrada e transmite essa string de caminho para o executor de comando como um argumento em que ele executaria partes do como comandos separados. Esses comandos são executados com a mesma configuração os privilégios do Kubelet.

Com a CVE-2023-3955, o Kubelet concede aos usuários que podem criar pods a capacidade de executar códigos no mesmo nível de permissão que o agente do Kubelet (permissões privilegiadas).

Com a CVE-2023-3893, uma falta semelhante de sanitização de entrada permite que um usuário, que consegue criar pods em Nós do Windows que executam o kubernetes-csi-proxy para escalar para privilégios de administrador nesses nós.

Os registros de auditoria do Kubernetes podem ser usados para detectar se essa vulnerabilidade está sendo explorada. Conjunto criar eventos com comandos do PowerShell incorporados são uma forte indicação de exploração. ConfigMaps e Secrets que contêm comandos do PowerShell incorporados e são montados Os pods também são uma forte indicação de exploração.

Três vulnerabilidades (CVE-2023-3676, CVE-2023-3955 e CVE-2023-3893) foram descobertas no Kubernetes. Com elas, um usuário capaz de criar pods em nós do Windows pode escalonar para privilégios de administrador nesses nós. Essas vulnerabilidades afetam as versões para Windows do Kubelet e do proxy CSI do Kubernetes.

O que devo fazer?

O GKE na AWS não é afetado por essas CVEs. Você não precisa fazer nada.

Três vulnerabilidades (CVE-2023-3676, CVE-2023-3955 e CVE-2023-3893) foram descobertas no Kubernetes. Com elas, um usuário capaz de criar pods em nós do Windows pode escalonar para privilégios de administrador nesses nós. Essas vulnerabilidades afetam as versões para Windows do Kubelet e do proxy CSI do Kubernetes.

O que devo fazer?

O GKE no Azure não é afetado por essas CVEs. Você não precisa fazer nada.

Três vulnerabilidades (CVE-2023-3676, CVE-2023-3955 e CVE-2023-3893) foram descobertas no Kubernetes. Com elas, um usuário capaz de criar pods em nós do Windows pode escalonar para privilégios de administrador nesses nós. Essas vulnerabilidades afetam as versões para Windows do Kubelet e do proxy CSI do Kubernetes.

O que devo fazer?

O GKE em Bare Metal não é afetado por essas CVEs. Você não precisa fazer nada.

Uma nova vulnerabilidade (CVE-2023-2235) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó. Os clusters do GKE Autopilot são afetados porque os nós do GKE Autopilot sempre usam imagens de nó do Container-Optimized OS. Os clusters do GKE Standard com versões 1.25 ou posteriores que executam imagens de nó do Container-Optimized OS são afetados.

Os clusters do GKE não serão afetados se estiverem executando apenas imagens de nós do Ubuntu ou versões anteriores à 1.25 ou usarem o GKE Sandbox.

O que devo fazer?

O código das seguintes versões do GKE foi atualizado para corrigir essa vulnerabilidade. Por motivos de segurança, mesmo que você tenha ativado o upgrade automático de nós, recomendamos que faça upgrade manualmente dos clusters e pools de nós para uma das seguintes versões do GKE:

• 1.25.9-gke.1400
• 1.26.4-gke.1500
• 1.27.1-gke.2400

Um recurso recente dos canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição. Isso permite proteger os nós até que a nova versão se torne o padrão para o canal específico da versão.

Quais vulnerabilidades estão sendo resolvidas?

Com a CVE-2023-2235, a função perf_group_detach não verificava o "attach_state" dos irmãos do evento antes de chamar add_event_to_groups(). No entanto, "remove_on_exec" tornou possível chamar "list_del_event()" antes de desanexar do grupo, o que permitiu usar um ponteiro suspenso, causando uma vulnerabilidade de uso após a liberação.

Uma nova vulnerabilidade (CVE-2023-2235) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó. Os clusters do GKE no VMware foram afetados.

O que devo fazer?

Quais vulnerabilidades estão sendo resolvidas?

Com a CVE-2023-2235, a função perf_group_detach não verificava o "attach_state" dos irmãos do evento antes de chamar add_event_to_groups(). No entanto, "remove_on_exec" tornou possível chamar "list_del_event()" antes de desanexar do grupo, o que permitiu usar um ponteiro suspenso, causando uma vulnerabilidade de uso após a liberação.

Uma nova vulnerabilidade (CVE-2023-2235) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó. Os clusters do GKE na AWS foram afetados.

O que devo fazer?

Quais vulnerabilidades são corrigidas por esse patch?

Com a CVE-2023-2235, a função perf_group_detach não verificava o "attach_state" dos irmãos do evento antes de chamar add_event_to_groups(). No entanto, "remove_on_exec" tornou possível chamar "list_del_event()" antes de desanexar do grupo, o que permitiu usar um ponteiro suspenso, causando uma vulnerabilidade de uso após a liberação.

Uma nova vulnerabilidade (CVE-2023-2235) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó. Os clusters do GKE no Azure foram afetados.

O que devo fazer?

Quais vulnerabilidades são corrigidas por esse patch?

Com a CVE-2023-2235, a função perf_group_detach não verificava o "attach_state" dos irmãos do evento antes de chamar add_event_to_groups(). No entanto, "remove_on_exec" tornou possível chamar "list_del_event()" antes de desanexar do grupo, o que permitiu usar um ponteiro suspenso, causando uma vulnerabilidade de uso após a liberação.

Uma nova vulnerabilidade (CVE-2023-2235) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó.

O Google Distributed Cloud Virtual para Bare Metal não é afetado por essa CVE.

O que devo fazer?

Nenhuma ação é necessária.

Uma nova vulnerabilidade (CVE-2023-31436) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó. Os clusters do GKE, incluindo os clusters do Autopilot, foram afetados.

Os clusters do GKE que usam o GKE Sandbox não são afetados.

O que devo fazer?

Atualização de 11/07/2023: versões de patch do Ubuntu estão disponíveis.

As seguintes versões do GKE foram atualizadas para incluir as versões mais recentes do Ubuntu que corrigem a vulnerabilidade CVE-2023-31436:

• 1.23.17-gke.8200
• 1.24.14-gke.2600
• 1.25.10-gke.2700
• 1.26.5-gke.2700
• 1.27.2-gke.2700

O código das seguintes versões do GKE foi atualizado para corrigir essa vulnerabilidade. Por motivos de segurança, mesmo que você tenha ativado o upgrade automático de nós, recomendamos que faça upgrade manualmente dos clusters e pools de nós para uma das seguintes versões do GKE:

• 1.22.17-gke.11400
• 1.23.17-gke.6800
• 1.24.14-gke.1200
• 1.25.10-gke.1200
• 1.26.5-gke.1200
• 1.27.2-gke.1200

Um recurso recente dos canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição. Isso permite proteger os nós até que a nova versão se torne o padrão para o canal específico da versão.

Quais vulnerabilidades estão sendo resolvidas?

Com a CVE-2023-31436, foi encontrada uma falha de acesso à memória fora do limite no subsistema de controle de tráfego (QoS) do kernel do Linux em como um usuário aciona a função qfq_change_class com um valor de MTU incorreto do dispositivo de rede usado como lmax. Essa falha permite que um usuário local falhe ou possivelmente encaminhe seus privilégios no sistema.

Uma nova vulnerabilidade (CVE-2023-31436) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó. Os clusters do GKE no VMware foram afetados.

O que devo fazer?

Quais vulnerabilidades estão sendo resolvidas?

Com a CVE-2023-31436, foi encontrada uma falha de acesso à memória fora do limite no subsistema de controle de tráfego (QoS) do kernel do Linux em como um usuário aciona a função qfq_change_class com um valor de MTU incorreto do dispositivo de rede usado como lmax. Essa falha permite que um usuário local falhe ou possivelmente encaminhe seus privilégios no sistema.

Uma nova vulnerabilidade (CVE-2023-31436) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó. Os clusters do GKE na AWS foram afetados.

O que devo fazer?

Quais vulnerabilidades são corrigidas por esse patch?

Com a CVE-2023-31436, foi encontrada uma falha de acesso à memória fora do limite no subsistema de controle de tráfego (QoS) do kernel do Linux em como um usuário aciona a função qfq_change_class com um valor de MTU incorreto do dispositivo de rede usado como lmax. Essa falha permite que um usuário local falhe ou possivelmente encaminhe seus privilégios no sistema.

Uma nova vulnerabilidade (CVE-2023-31436) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó. Os clusters do GKE no Azure foram afetados.

O que devo fazer?

Quais vulnerabilidades são corrigidas por esse patch?

Com a CVE-2023-31436, foi encontrada uma falha de acesso à memória fora do limite no subsistema de controle de tráfego (QoS) do kernel do Linux em como um usuário aciona a função qfq_change_class com um valor de MTU incorreto do dispositivo de rede usado como lmax. Essa falha permite que um usuário local falhe ou possivelmente encaminhe seus privilégios no sistema.

Uma nova vulnerabilidade (CVE-2023-31436) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó.

O Google Distributed Cloud Virtual para Bare Metal não é afetado por essa CVE.

O que devo fazer?

Nenhuma ação é necessária.

Várias vulnerabilidades foram descobertas no Envoy, que é usado no Cloud Service Mesh (ASM, na sigla em inglês). Elas foram relatadas separadamente como GCP-2023-002.

O GKE não é enviado com o ASM e não é afetado por essas vulnerabilidades.

O que devo fazer?

Se você instalou o ASM separadamente para os clusters do GKE, consulte GCP-2023-002.

Um número de vulnerabilidades (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487) foram descobertas no Envoy, é usada no Cloud Service Mesh no GKE no VMware, permitindo que um invasor malicioso causar uma negação de serviço ou uma falha no Envoy. Elas foram registradas separadamente como GCP-2023-002, mas queremos garantir que Os clientes do GKE Enterprise atualizam as versões que incluem o ASM.

O que devo fazer?

O código das seguintes versões do GKE no VMware foi atualizado para corrigir esse problema a vulnerabilidade. Recomendamos que você faça upgrade dos clusters de administrador e usuário para um dos as seguintes versões do GKE no VMware:

• 1.13.8
• 1.14.5
• 1.15.1

Quais vulnerabilidades são corrigidas por esse patch?

CVE-2023-27496: se o Envoy estiver em execução com o filtro OAuth ativado exposto, um ator malicioso poderá criar uma solicitação que causaria a negação do serviço por meio de uma falha do Envoy.

CVE-2023-27488: os invasores podem usar essa vulnerabilidade para ignorar as verificações de autenticação quando ext_authz é usado.

CVE-2023-27493: a configuração do Envoy também precisa incluir uma opção para adicionar cabeçalhos de solicitação que foram gerados usando entradas da solicitação, como o certificado de peering SAN.

CVE-2023-27492: invasores podem enviar corpos de solicitação grandes para rotas com o filtro Lua ativado e acionar falhas.

CVE-2023-27491: os invasores podem enviar solicitações HTTP/2 ou HTTP/3 criadas especificamente para acionar erros de análise no serviço HTTP/1 upstream.

CVE-2023-27487: o cabeçalho x-envoy-original-path precisa ser interno, mas o Envoy não remove esse cabeçalho da solicitação no início do processamento da solicitação quando ele é enviado de um cliente não confiável.

Um número de vulnerabilidades (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487) foram descobertas no Envoy, é usado no Cloud Service Mesh. Elas foram relatadas separadamente como GCP-2023-002.

O GKE na AWS não é enviado com o ASM e não é afetado.

O que devo fazer?

Nenhuma ação é necessária.

Um número de vulnerabilidades (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487) foram descobertas no Envoy, é usado no Cloud Service Mesh. Elas foram relatadas separadamente como GCP-2023-002.

O GKE no Azure não é enviado com o ASM e não é afetado.

O que devo fazer?

Nenhuma ação é necessária.

Um número de vulnerabilidades (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487) foram descobertas no Envoy, é usado no Cloud Service Mesh no GKE em Bare Metal, o que permite que uma conexão o invasor cause uma negação de serviço ou cause uma falha no Envoy. Elas foram registradas separadamente como GCP-2023-002, mas queremos garantir que Os clientes do GKE Enterprise atualizam as versões que incluem o ASM.

O que devo fazer?

As seguintes versões do GKE em Bare Metal foram atualizadas com código para corrigir essa vulnerabilidade. Recomendamos que você faça upgrade dos clusters de administrador e usuário para uma das seguintes versões do GKE em Bare Metal:

• 1.13.9
• 1.14.6
• 1.15.2

Quais vulnerabilidades são corrigidas por esse patch?

CVE-2023-27496: se o Envoy estiver em execução com o filtro OAuth ativado exposto, um ator malicioso poderá criar uma solicitação que causaria a negação do serviço por meio de uma falha do Envoy.

CVE-2023-27488: os invasores podem usar essa vulnerabilidade para ignorar as verificações de autenticação quando ext_authz é usado.

CVE-2023-27493: a configuração do Envoy também precisa incluir uma opção para adicionar cabeçalhos de solicitação que foram gerados usando entradas da solicitação, como o certificado de peering SAN.

CVE-2023-27492: invasores podem enviar corpos de solicitação grandes para rotas com o filtro Lua ativado e acionar falhas.

CVE-2023-27491: os invasores podem enviar solicitações HTTP/2 ou HTTP/3 criadas especificamente para acionar erros de análise no serviço HTTP/1 upstream.

CVE-2023-27487: o cabeçalho x-envoy-original-path precisa ser interno, mas o Envoy não remove esse cabeçalho da solicitação no início do processamento da solicitação quando ele é enviado de um cliente não confiável.

Uma nova vulnerabilidade (CVE-2023-0468) foi descoberta na versão 5.15 do kernel do Linux que pode levar a uma negação de serviço no nó. Os clusters do GKE, incluindo os clusters do Autopilot, foram afetados.

Os clusters do GKE que usam o GKE Sandbox não são afetados.

O que fazer?

O código das seguintes versões do GKE foi atualizado para corrigir essa vulnerabilidade. Por motivos de segurança, mesmo que você tenha ativado o upgrade automático de nós, recomendamos que faça upgrade manualmente dos clusters e pools de nós para uma das seguintes versões do GKE:

• 1.25.7-gke.1200
• 1.26.2-gke.1200

Um recurso recente dos canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição. Isso permite proteger os nós até que a nova versão se torne o padrão para o canal específico da versão.

Quais vulnerabilidades estão sendo resolvidas?

Na CVE-2023-0468, foi encontrada uma falha de uso após a liberação em io_uring/poll.c, em io_poll_check_events, no subcomponente de io_uring do Kernel do Linux. Essa falha pode causar uma desreferência de ponteiro NULL e, possivelmente, uma falha do sistema que leva à negação de serviço.

Uma nova vulnerabilidade (CVE-2023-0468) foi descoberta na versão 5.15 do kernel do Linux que pode levar a uma negação de serviço no nó.

O GKE no VMware usa a versão 5.4 do kernel do Linux e não é afetado por essa CVE.

O que devo fazer?

• Nenhuma ação é necessária.

Uma nova vulnerabilidade (CVE-2023-0468) foi descoberta na versão 5.15 do kernel do Linux que pode levar a uma negação de serviço no nó.

O GKE na AWS não é afetado por essa CVE.

O que devo fazer?

• Nenhuma ação é necessária.

Uma nova vulnerabilidade (CVE-2023-0468) foi descoberta na versão 5.15 do kernel do Linux que pode levar a uma negação de serviço no nó.

O GKE no Azure não é afetado por essa CVE.

O que devo fazer?

• Nenhuma ação é necessária.

Uma nova vulnerabilidade (CVE-2023-0468) foi descoberta na versão 5.15 do kernel do Linux que pode levar a uma negação de serviço no nó.

O Google Distributed Cloud Virtual para Bare Metal não é afetado por essa CVE.

O que devo fazer?

• Nenhuma ação é necessária.

Foram descobertos dois novos problemas de segurança no Kubernetes em que os usuários podem iniciar contêineres que ignoram as restrições da política ao usar contêineres efêmeros e o ImagePolicyWebhook (CVE-2023-2727) ou o plug-in de admissão ServiceAccount (CVE-2023-2728).

O GKE não usa o ImagePolicyWebhook e não é afetado pela CVE-2023-2727.

O que devo fazer?

O código das seguintes versões do GKE foi atualizado para corrigir essa vulnerabilidade. Por motivos de segurança, mesmo que você tenha ativado o upgrade automático de nós, recomendamos que faça upgrade manualmente dos clusters e pools de nós para uma das seguintes versões do GKE:

• 1.27.2-gke.1200
• 1.26.5-gke.1200
• 1.25.10-gke.1200
• 1.24.14-gke.1200
• 1.23.17-gke.6800

Um recurso recente dos canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição. Isso permite proteger os nós até que a nova versão se torne o padrão para o canal de lançamento específico.

Quais vulnerabilidades estão sendo resolvidas?

Com a CVE-2023-2727, os usuários podem iniciar contêineres usando imagens restritas pelo ImagePolicyWebhook durante o uso de contêineres temporários. Os clusters do Kubernetes só serão afetados se o plug-in de admissão ImagePolicyWebhook for usado com contêineres efêmeros. Essa CVE também pode ser atenuada com o uso de webhooks de validação, como Gatekeeper e Kyverno, para aplicar as mesmas restrições.

Na CVE-2023-2728, os usuários podem iniciar contêineres que ignoram a política de chaves secretas montadas aplicadas pelo plug-in de admissão do ServiceAccount ao usar contêineres efêmeros. A política garante que os pods em execução com uma conta de serviço só possam fazer referência a chaves secretas especificadas no campo de chave secreta da conta de serviço. Os clusters serão afetados por essa vulnerabilidade se:

• O plug-in de admissão ServiceAccount é usado.
• A anotação kubernetes.io/enforce-mountable-secrets é usada por uma conta de serviço. Esta anotação não é adicionada por padrão.
• Os pods estão usando contêineres efêmeros.

Dois novos problemas de segurança foram descobertos no Kubernetes, em que os usuários podem iniciar contêineres que ignoram as restrições de política ao usar contêineres efêmeros e o ImagePolicyWebhook (CVE-2023-2727) ou o plug-in de admissão ServiceAccount (CVE-2023-2728) O Anthos no VMware não usa ImagePolicyWebhook e não é afetado pelo CVE-2023-2727.

Todas as versões do Anthos no VMware são vulneráveis a CVE-2023-2728.

O que devo fazer?

Atualização de 11/08/2023:o código das versões a seguir do GKE no VMware foi atualizado para corrigir essa vulnerabilidade. Faça upgrade dos clusters de administrador e usuário para uma das seguintes versões do GKE no VMware:

• 1.13.10
• 1.14.6
• 1.15.3

Quais vulnerabilidades estão sendo resolvidas?

Com a CVE-2023-2727, os usuários podem iniciar contêineres usando imagens restritas pelo ImagePolicyWebhook durante o uso de contêineres temporários. Os clusters do Kubernetes só serão afetados se o plug-in de admissão ImagePolicyWebhook for usado com contêineres efêmeros. Essa CVE também pode ser atenuada com o uso de webhooks de validação, como Gatekeeper e Kyverno, para aplicar as mesmas restrições.

Na CVE-2023-2728, os usuários podem iniciar contêineres que ignoram a política de chaves secretas montadas aplicadas pelo plug-in de admissão do ServiceAccount ao usar contêineres efêmeros. A política garante que os pods em execução com uma conta de serviço só possam fazer referência a chaves secretas especificadas no campo de chave secreta da conta de serviço. Os clusters serão afetados por essa vulnerabilidade se:

• O plug-in de admissão ServiceAccount é usado.
• A anotação kubernetes.io/enforce-mountable-secrets é usada por uma conta de serviço. Esta anotação não é adicionada por padrão.
• Os pods estão usando contêineres efêmeros.

Foram descobertos dois novos problemas de segurança no Kubernetes em que os usuários podem iniciar contêineres que ignoram as restrições de política ao usar contêineres efêmeros e o ImagePolicyWebhook (CVE-2023-2727) ou o plug-in de admissão ServiceAccount (CVE-2023-2728)
O Anthos na AWS não usa ImagePolicyWebhook e não é afetado pelo CVE-2023-2727.
Todas as versões do Anthos na AWS são vulneráveis a CVE-2023-2728.

O que devo fazer?

Atualização de 11/08/2023:a versão a seguir do GKE na AWS foi atualizada com um código para corrigir essa vulnerabilidade. Faça upgrade dos nós para a seguinte versão do GKE na AWS:

• 1.15.2

Quais vulnerabilidades estão sendo resolvidas?

Com a CVE-2023-2727, os usuários podem iniciar contêineres usando imagens restritas pelo ImagePolicyWebhook durante o uso de contêineres temporários. Os clusters do Kubernetes só serão afetados se o plug-in de admissão ImagePolicyWebhook for usado com contêineres efêmeros. Essa CVE também pode ser atenuada com o uso de webhooks de validação, como Gatekeeper e Kyverno, para aplicar as mesmas restrições.

Na CVE-2023-2728, os usuários podem iniciar contêineres que ignoram a política de chaves secretas montadas aplicadas pelo plug-in de admissão do ServiceAccount ao usar contêineres efêmeros. A política garante que os pods em execução com uma conta de serviço só possam fazer referência a chaves secretas especificadas no campo de chave secreta da conta de serviço. Os clusters serão afetados por essa vulnerabilidade se:

• O plug-in de admissão ServiceAccount é usado.
• A anotação kubernetes.io/enforce-mountable-secrets é usada por uma conta de serviço. Esta anotação não é adicionada por padrão.
• Os pods estão usando contêineres efêmeros.

Foram descobertos dois novos problemas de segurança no Kubernetes em que os usuários podem iniciar contêineres que ignoram as restrições de política ao usar contêineres efêmeros e o ImagePolicyWebhook (CVE-2023-2727) ou o plug-in de admissão ServiceAccount (CVE-2023-2728)
O Anthos on Azure não usa ImagePolicyWebhook e não é afetado pelo CVE-2023-2727.
Todas as versões do Anthos on Azure são vulneráveis a CVE-2023-2728.

O que devo fazer?

Atualização de 11/08/2023:a versão a seguir do GKE no Azure foi atualizada com um código para corrigir essa vulnerabilidade. Faça upgrade dos nós para a seguinte versão do GKE no Azure:

• 1.15.2

Quais vulnerabilidades estão sendo resolvidas?

Com a CVE-2023-2727, os usuários podem iniciar contêineres usando imagens restritas pelo ImagePolicyWebhook durante o uso de contêineres temporários. Os clusters do Kubernetes só serão afetados se o plug-in de admissão ImagePolicyWebhook for usado com contêineres efêmeros. Essa CVE também pode ser atenuada com o uso de webhooks de validação, como Gatekeeper e Kyverno, para aplicar as mesmas restrições.

Na CVE-2023-2728, os usuários podem iniciar contêineres que ignoram a política de chaves secretas montadas aplicadas pelo plug-in de admissão do ServiceAccount ao usar contêineres efêmeros. A política garante que os pods em execução com uma conta de serviço só possam fazer referência a chaves secretas especificadas no campo de chave secreta da conta de serviço. Os clusters serão afetados por essa vulnerabilidade se:

• O plug-in de admissão ServiceAccount é usado.
• A anotação kubernetes.io/enforce-mountable-secrets é usada por uma conta de serviço. Esta anotação não é adicionada por padrão.
• Os pods estão usando contêineres efêmeros.

Foram descobertos dois novos problemas de segurança no Kubernetes em que os usuários podem iniciar contêineres que ignoram as restrições de política ao usar contêineres efêmeros e o ImagePolicyWebhook (CVE-2023-2727) ou o plug-in de admissão ServiceAccount (CVE-2023-2728)
O Anthos em Bare Metal não usa ImagePolicyWebhook e não é afetado pela CVE-2023-2727.
Todas as versões do Anthos em Bare Metal são potencialmente vulneráveis à CVE-2023-2728.

O que devo fazer?

Atualização de 11/08/2023:as seguintes versões do Google Distributed Cloud Virtual para Bare Metal foram atualizadas com código para corrigir essa vulnerabilidade. Faça upgrade dos nós para uma das seguintes versões do Google Distributed Cloud Virtual para Bare Metal:

• 1.13.9
• 1.14.7
• 1.15.3

Quais vulnerabilidades estão sendo resolvidas?

Com a CVE-2023-2727, os usuários podem iniciar contêineres usando imagens restritas pelo ImagePolicyWebhook durante o uso de contêineres temporários. Os clusters do Kubernetes só serão afetados se o plug-in de admissão ImagePolicyWebhook for usado com contêineres efêmeros. Essa CVE também pode ser atenuada com o uso de webhooks de validação, como Gatekeeper e Kyverno, para aplicar as mesmas restrições.

Na CVE-2023-2728, os usuários podem iniciar contêineres que ignoram a política de chaves secretas montadas aplicadas pelo plug-in de admissão do ServiceAccount ao usar contêineres efêmeros. A política garante que os pods em execução com uma conta de serviço só possam fazer referência a chaves secretas especificadas no campo de chave secreta da conta de serviço. Os clusters serão afetados por essa vulnerabilidade se:

• O plug-in de admissão ServiceAccount é usado.
• A anotação kubernetes.io/enforce-mountable-secrets é usada por uma conta de serviço. Esta anotação não é adicionada por padrão.
• Os pods estão usando contêineres efêmeros.

Uma nova vulnerabilidade (CVE-2023-2878) foi encontrada no secret-store-csi-driver, em que um ator com acesso aos registros do driver podia observar tokens de conta de serviço. Esses tokens podem ser trocados com provedores de nuvem externos para acessar chaves secretas armazenadas em soluções de nuvem.

O GKE não é afetado por essa CVE.

O que devo fazer?

Embora o GKE não seja afetado, se você tiver instalado o componente secret-store-csi-driver, atualize a instalação com uma versão com patch.

Quais vulnerabilidades são corrigidas por esse patch?

A vulnerabilidade, CVE-2023-2878, foi descoberta no secret-store-csi-driver, em que um ator com acesso aos registros do driver podia observar tokens de conta de serviço. Esses tokens podem ser trocados com provedores de nuvem externos para acessar chaves secretas armazenadas em soluções de nuvem. Os tokens só são registrados quando TokenRequests está configurado no objeto CSIDriver e o driver está configurado para ser executado em nível de registro 2 ou superior por meio da sinalização -v.

Uma nova vulnerabilidade (CVE-2023-2878) foi encontrada no secret-store-csi-driver, em que um ator com acesso aos registros do driver podia observar tokens de conta de serviço. Esses tokens podem ser trocados com provedores de nuvem externos para acessar chaves secretas armazenadas em soluções de nuvem.

O GKE no VMware não é afetado por essa CVE.

O que devo fazer?

Embora o GKE no VMware não seja afetado, se você tiver instalado o componente secrets-store-csi-driver, atualize sua instalação com uma versão com patch.

Quais vulnerabilidades são corrigidas por esse patch?

A vulnerabilidade, CVE-2023-2878, foi descoberta no secret-store-csi-driver, em que um ator com acesso aos registros do driver podia observar tokens de conta de serviço. Esses tokens podem ser trocados com provedores de nuvem externos para acessar chaves secretas armazenadas em soluções de nuvem. Os tokens só são registrados quando TokenRequests está configurado no objeto CSIDriver e o driver está configurado para ser executado em nível de registro 2 ou superior por meio da sinalização -v.

Uma nova vulnerabilidade (CVE-2023-2878) foi encontrada no secret-store-csi-driver, em que um ator com acesso aos registros do driver podia observar tokens de conta de serviço. Esses tokens podem ser trocados com provedores de nuvem externos para acessar chaves secretas armazenadas em soluções de nuvem.

O GKE na AWS não é afetado por essa CVE.

O que devo fazer?

Embora o GKE na AWS não seja afetado, se você tiver instalado o componente secrets-store-csi-driver, atualize sua instalação com uma versão com patch.

Quais vulnerabilidades são corrigidas por esse patch?

A vulnerabilidade, CVE-2023-2878, foi descoberta no secret-store-csi-driver, em que um ator com acesso aos registros do driver podia observar tokens de conta de serviço. Esses tokens podem ser trocados com provedores de nuvem externos para acessar chaves secretas armazenadas em soluções de nuvem. Os tokens só são registrados quando TokenRequests está configurado no objeto CSIDriver e o driver está configurado para ser executado em nível de registro 2 ou superior por meio da sinalização -v.

Uma nova vulnerabilidade (CVE-2023-2878) foi encontrada no secret-store-csi-driver, em que um ator com acesso aos registros do driver podia observar tokens de conta de serviço. Esses tokens podem ser trocados com provedores de nuvem externos para acessar chaves secretas armazenadas em soluções de nuvem.

O GKE no Azure não é afetado por essa CVE

O que devo fazer?

Embora o GKE no Azure não seja afetado, se você tiver instalado o componente secrets-store-csi-driver, atualize sua instalação com uma versão com patch.

Quais vulnerabilidades são corrigidas por esse patch?

A vulnerabilidade, CVE-2023-2878, foi descoberta no secret-store-csi-driver, em que um ator com acesso aos registros do driver podia observar tokens de conta de serviço. Esses tokens podem ser trocados com provedores de nuvem externos para acessar chaves secretas armazenadas em soluções de nuvem. Os tokens só são registrados quando TokenRequests está configurado no objeto CSIDriver e o driver está configurado para ser executado em nível de registro 2 ou superior por meio da sinalização -v.

Uma nova vulnerabilidade (CVE-2023-2878) foi encontrada no secret-store-csi-driver, em que um ator com acesso aos registros do driver podia observar tokens de conta de serviço. Esses tokens podem ser trocados com provedores de nuvem externos para acessar chaves secretas armazenadas em soluções de nuvem.

O GKE em Bare Metal não é afetado por essa CVE.

O que devo fazer?

Embora o GKE em Bare Metal não seja afetado, se você tiver instalado o componente secrets-store-csi-driver, atualize sua instalação com uma versão com patch

Quais vulnerabilidades são corrigidas por esse patch?

A vulnerabilidade, CVE-2023-2878, foi descoberta no secret-store-csi-driver, em que um ator com acesso aos registros do driver podia observar tokens de conta de serviço. Esses tokens podem ser trocados com provedores de nuvem externos para acessar chaves secretas armazenadas em soluções de nuvem. Os tokens só são registrados quando TokenRequests está configurado no objeto CSIDriver e o driver está configurado para ser executado em nível de registro 2 ou superior por meio da sinalização -v.

Uma nova vulnerabilidade (CVE-2023-1872) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios para raiz no nó. Os clusters do GKE Standard e do Autopilot são afetados.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

O código das seguintes versões do GKE foi atualizado para corrigir essa vulnerabilidade. Por motivos de segurança, mesmo que você tenha ativado o upgrade automático de nós, recomendamos que faça upgrade manualmente dos clusters e pools de nós para uma das seguintes versões do GKE:

• 1.22.17-gke.11400
• 1.23.17-gke.5600
• 1.24.13-gke.2500
• 1.25.9-gke.2300
• 1.26.5-gke.1200

Um recurso recente dos canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição. Isso permite proteger os nós até que a nova versão se torne o padrão para o canal específico da versão.

Quais vulnerabilidades são corrigidas por esse patch?

A CVE-2023-1872 é uma vulnerabilidade de uso após a liberação no subsistema io_uring do kernel do Linux que pode ser explorada para alcançar o escalonamento de privilégios locais. A função io_file_get_fixed não tem a presença de ctx->uring_lock, o que pode levar a uma vulnerabilidade de uso após a liberação devido a uma disputa com arquivos fixos não registrados.

Uma nova vulnerabilidade (CVE-2023-1872) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios para raiz no nó.

O que devo fazer?

Quais vulnerabilidades são corrigidas por esse patch?

A CVE-2023-1872 é uma vulnerabilidade de uso após a liberação no subsistema io_uring do kernel do Linux que pode ser explorada para alcançar o escalonamento de privilégios locais. A função io_file_get_fixed não tem a presença de ctx->uring_lock, o que pode levar a uma vulnerabilidade de uso após a liberação devido a uma disputa com arquivos fixos não registrados.

Uma nova vulnerabilidade (CVE-2023-1872) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios para raiz no nó.

O que devo fazer?

O código das seguintes versões do GKE na AWS foi atualizado para corrigir essas vulnerabilidades:

Quais vulnerabilidades são corrigidas por esse patch?

A CVE-2023-1872 é uma vulnerabilidade de uso após a liberação no subsistema io_uring do kernel do Linux que pode ser explorada para alcançar o escalonamento de privilégios locais. A função io_file_get_fixed não tem a presença de ctx->uring_lock, o que pode levar a uma vulnerabilidade de uso após a liberação devido a uma disputa com arquivos fixos não registrados.

Uma nova vulnerabilidade (CVE-2023-1872) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios para raiz no nó.

O que devo fazer?

O código das seguintes versões do GKE no Azure foi atualizado para corrigir essas vulnerabilidades:

Quais vulnerabilidades são corrigidas por esse patch?

A CVE-2023-1872 é uma vulnerabilidade de uso após a liberação no subsistema io_uring do kernel do Linux que pode ser explorada para alcançar o escalonamento de privilégios locais. A função io_file_get_fixed não tem a presença de ctx->uring_lock, o que pode levar a uma vulnerabilidade de uso após a liberação devido a uma disputa com arquivos fixos não registrados.

Uma nova vulnerabilidade (CVE-2023-1872) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios para raiz no nó.

O GKE em Bare Metal não é afetado por essa CVE.

O que devo fazer?

Você não precisa fazer nada.

Duas novas vulnerabilidades (CVE-2023-1281, CVE-2023-1829) foram descobertas no kernel do Linux, o que pode levar a um escalonamento de privilégios na raiz do nó. Os clusters do GKE Standard são afetados.

clusters e clusters do GKE Autopilot usando GKE Sandbox não são afetados.

O que devo fazer?

Atualização de 06/06/2023: versões de patch do Ubuntu estão disponíveis.

As seguintes versões do GKE foram atualizadas para incluir as versões mais recentes do Ubuntu que corrigem CVE-2023-1281 e CVE-2023-1829:

• 1.23.17-gke.6800
• 1.24.14-gke.1200
• 1.25.10-gke.1200
• 1.26.5-gke.1200

O código das seguintes versões do GKE foi atualizado para corrigir essa vulnerabilidade. Por motivos de segurança, mesmo que você tenha ativado o upgrade automático de nós, recomendamos que faça upgrade manualmente dos clusters e pools de nós para uma das seguintes versões do GKE:

• 1.22.17-gke.8100
• 1.23.17-gke.2300
• 1.24.12-gke.1100
• 1.25.8-gke.1000
• 1.26.3-gke.1000

Um recurso recente dos canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição. Isso permite proteger os nós até que a nova versão se torne o padrão para o canal específico da versão.

Quais vulnerabilidades são corrigidas por esse patch?

Tanto a CVE-2023-1281 quanto a CVE-2023-1829 são vulnerabilidades de uso livre no filtro de índice de controle de tráfego do Linux (tcindex), que podem ser exploradas para alcançar o escalonamento de privilégios locais.

Com a CVE-2023-1829, a função tcindex_delete não desativa corretamente os filtros em determinados casos, o que pode levar à liberação dupla de uma estrutura de dados.

Na CVE-2023-1281, a área de hash imperfeita pode ser atualizada enquanto os pacotes estão em transferência, o que causa um uso após a liberação quando tcf_exts_exec() é chamado com o tcf_ext destruído. Um usuário de ataque local pode usar essa vulnerabilidade para elevar os privilégios dele à raiz.

Duas novas vulnerabilidades (CVE-2023-1281, CVE-2023-1829) foram descobertas no kernel do Linux, o que pode levar a um escalonamento de privilégios na raiz do nó.

O que devo fazer?

Quais vulnerabilidades são corrigidas por esse patch?

Tanto a CVE-2023-1281 quanto a CVE-2023-1829 são vulnerabilidades de uso livre no filtro de índice de tráfego de tráfego (tcindex) do Linux, que podem ser exploradas para alcançar o escalonamento de privilégios locais.

Com a CVE-2023-1829, a função tcindex_delete não desativa corretamente os filtros em determinados casos, o que pode levar à liberação dupla de uma estrutura de dados.

Na CVE-2023-1281, a área de hash imperfeita pode ser atualizada enquanto os pacotes estão em transferência, o que causa um uso após a liberação quando tcf_exts_exec() é chamado com o tcf_ext destruído. Um usuário de ataque local pode usar essa vulnerabilidade para elevar os privilégios dele à raiz.

Duas novas vulnerabilidades (CVE-2023-1281, CVE-2023-1829) foram descobertas no kernel do Linux, o que pode levar a um escalonamento de privilégios na raiz do nó.

O que devo fazer?

Quais vulnerabilidades são corrigidas por esse patch?

Tanto a CVE-2023-1281 quanto a CVE-2023-1829 são vulnerabilidades de uso livre no filtro de índice de tráfego de tráfego (tcindex) do Linux, que podem ser exploradas para alcançar o escalonamento de privilégios locais.

Com a CVE-2023-1829, a função tcindex_delete não desativa corretamente os filtros em determinados casos, o que pode levar à liberação dupla de uma estrutura de dados.

Na CVE-2023-1281, a área de hash imperfeita pode ser atualizada enquanto os pacotes estão em transferência, o que causa um uso após a liberação quando tcf_exts_exec() é chamado com o tcf_ext destruído. Um usuário de ataque local pode usar essa vulnerabilidade para elevar os privilégios dele à raiz.

Duas novas vulnerabilidades (CVE-2023-1281, CVE-2023-1829) foram descobertas no kernel do Linux, o que pode levar a um escalonamento de privilégios na raiz do nó.

O que devo fazer?

Quais vulnerabilidades são corrigidas por esse patch?

Tanto a CVE-2023-1281 quanto a CVE-2023-1829 são vulnerabilidades de uso livre no filtro de índice de tráfego de tráfego (tcindex) do Linux, que podem ser exploradas para alcançar o escalonamento de privilégios locais.

Com a CVE-2023-1829, a função tcindex_delete não desativa corretamente os filtros em determinados casos, o que pode levar à liberação dupla de uma estrutura de dados.

Na CVE-2023-1281, a área de hash imperfeita pode ser atualizada enquanto os pacotes estão em transferência, o que causa um uso após a liberação quando tcf_exts_exec() é chamado com o tcf_ext destruído. Um usuário de ataque local pode usar essa vulnerabilidade para elevar os privilégios dele à raiz.

Duas novas vulnerabilidades (CVE-2023-1281, CVE-2023-1829) foram descobertas no kernel do Linux, o que pode levar a um escalonamento de privilégios na raiz do nó.

O GKE em Bare Metal não é afetado por essa CVE.

O que devo fazer?

Você não precisa fazer nada.

Atualização de 21/12/2023: o boletim original informava que o Autopilot era Autopilot. clusters foram afetados, mas isso estava incorreto. Autopilot do GKE clusters na configuração padrão não são afetados, mas podem ficar vulneráveis caso sejam defina explicitamente o perfil seccomp Unconfined ou permitir CAP_NET_ADMIN.

Duas novas vulnerabilidades, CVE-2023-0240 e CVE-2023-23586, foram descobertas no kernel do Linux que poderiam permitir que um usuário sem privilégios aumentasse os privilégios. Os clusters do GKE, incluindo os clusters do Autopilot, com o COS usando o kernel do Linux versão 5.10 até 5.10.162 são afetados. Os clusters do GKE que usam imagens do Ubuntu ou o GKE Sandbox não são afetados.

O que devo fazer?

As versões do GKE a seguir foram atualizadas com código para corrigir essas vulnerabilidades. Por motivos de segurança, mesmo que você tenha ativado o upgrade automático de nós, recomendamos que faça upgrade manualmente dos pools de nós para uma das seguintes versões do GKE:

• 1.22.17-gke.4000
• 1.23.16-gke.1100
• 1.24.10-gke.1200

Um recurso recente dos canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição. Isso permite proteger os nós até que a nova versão se torne o padrão para o canal específico da versão.

Quais vulnerabilidades são corrigidas por esse patch?

Vulnerabilidade 1 (CVE-2023-0240): uma disputa em io_uring pode levar a um detalhamento completo do contêiner na raiz do nó. As versões 5.10 do kernel do Linux foram afetadas até 5.10.162.

Vulnerabilidade 2 (CVE-2023-23586): um uso após o uso gratuito (UAF, na sigla em inglês) em io_uring/time_ns pode levar a um detalhamento completo do contêiner para a raiz no nó. As versões 5.10 do kernel do Linux são afetadas até 5.10.162.

Duas novas vulnerabilidades, CVE-2023-0240 e CVE-2023-23586, foram descobertas no kernel do Linux que poderiam permitir que um usuário sem privilégios aumentasse os privilégios. Clusters do GKE no VMware com COS usando o Linux Kernel versão 5.10 até 5.10.162 são afetadas. Os clusters do GKE Enterprise que usam imagens do Ubuntu não são afetados.

O que devo fazer?

As seguintes versões do GKE no VMware foram atualizadas com código para correção estas vulnerabilidades:

• 1.12.6
• 1.13.5

Quais vulnerabilidades são corrigidas por esse patch?

Vulnerabilidade 1 (CVE-2023-0240): uma disputa em io_uring pode levar a um detalhamento completo do contêiner na raiz do nó. As versões 5.10 do kernel do Linux foram afetadas até 5.10.162.

Vulnerabilidade 2 (CVE-2023-23586): um uso após o uso gratuito (UAF, na sigla em inglês) em io_uring/time_ns pode levar a um detalhamento completo do contêiner para a raiz no nó. As versões 5.10 do kernel do Linux foram afetadas até 5.10.162.

Duas novas vulnerabilidades, CVE-2023-0240 e CVE-2023-23586, foram descobertas no kernel do Linux que poderiam permitir que um usuário sem privilégios aumentasse os privilégios. O GKE na AWS não é afetado por essas CVEs.

O que devo fazer?

Você não precisa fazer nada.

Duas novas vulnerabilidades, CVE-2023-0240 e CVE-2023-23586, foram descobertas no kernel do Linux que poderiam permitir que um usuário sem privilégios aumentasse os privilégios. O GKE no Azure não é afetado por essas CVEs

O que devo fazer?

Você não precisa fazer nada.

Duas novas vulnerabilidades, CVE-2023-0240 e CVE-2023-23586, foram descobertas no kernel do Linux que poderiam permitir que um usuário sem privilégios aumentasse os privilégios. O GKE em Bare Metal não é afetado por essas CVEs.

O que devo fazer?

Você não precisa fazer nada.

Atualização de 21/12/2023: o boletim original informava que o Autopilot era Autopilot. clusters foram afetados, mas isso estava incorreto. Autopilot do GKE clusters na configuração padrão não são afetados, mas podem ficar vulneráveis caso sejam defina explicitamente o perfil seccomp Unconfined ou permitir CAP_NET_ADMIN.

Uma nova vulnerabilidade (CVE-2022-4696) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó. Os clusters do GKE, incluindo os clusters do Autopilot, foram afetados. Os clusters do GKE que usam o GKE Sandbox não são afetados.

O que devo fazer?

O código das seguintes versões do GKE foi atualizado para corrigir essa vulnerabilidade. Por motivos de segurança, mesmo que você tenha ativado o upgrade automático de nós, recomendamos que faça upgrade manualmente dos seus clusters e pools de nós para uma das seguintes versões do GKE:

• 1.22.17-gke.3100
• 1.23.16-gke.200
• 1.24.9-gke.3200

Um recurso recente dos canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição. Isso permite proteger os nós até que a nova versão se torne o padrão para o canal específico da versão.

Quais vulnerabilidades são corrigidas por esse patch?

Com a CVE-2022-4696, foi encontrada uma falha de uso após a liberação em io_uring e ioring_op_splice no kernel do Linux. Essa falha permite que um usuário local crie um escalonamento de privilégios local.

Uma nova vulnerabilidade (CVE-2022-4696) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó. GKE no VMware com as versões v1.12 e para a versão 1.13. O GKE no VMware com a v1.14 ou posterior não foi afetado.

O que devo fazer?

O código das seguintes versões do GKE no VMware foi atualizado para corrigir esse problema a vulnerabilidade. Recomendamos que você faça upgrade dos clusters de administrador e usuário para um dos as seguintes versões do GKE no VMware:

• 1.12.5
• 1.13.5

Quais vulnerabilidades são corrigidas por esse patch?

Com a CVE-2022-4696, foi encontrada uma falha de uso após a liberação em io_uring e ioring_op_splice no kernel do Linux. Essa falha permite que um usuário local crie um escalonamento de privilégios local.

Uma nova vulnerabilidade (CVE-2022-4696) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó. O GKE na AWS não é afetado por essa vulnerabilidade.

O que devo fazer?

Nenhuma ação é necessária.

Uma nova vulnerabilidade (CVE-2022-4696) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó. O GKE no Azure não é afetado por essa vulnerabilidade.

O que devo fazer?

Nenhuma ação é necessária.

Uma nova vulnerabilidade (CVE-2022-4696) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó. O GKE em Bare Metal não é afetado por essa vulnerabilidade.

O que devo fazer?

Nenhuma ação é necessária.

Duas novas vulnerabilidades (CVE-2022-3786 e CVE-2022-3602) foram descobertas no OpenSSL v3.0.6 que podem causar uma falha. Embora ela tenha sido avaliada como alta no banco de dados do NVD, os endpoints do GKE usam boringSSL ou uma versão mais antiga do OpenSSL que não é afetada. Portanto, a classificação foi reduzida a média para o GKE.

O que fazer?

O código das seguintes versões do GKE foi atualizado para corrigir essa vulnerabilidade:

• 1.25.4-gke.1600
• 1.24.8-gke.401
• 1.23.14-gke.401
• 1.22.16-gke.1300
• 1.21.14-gke.14100

Um recurso recente dos canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição. Isso permite proteger os nós até que a nova versão se torne o padrão para o canal específico da versão.

Quais vulnerabilidades são corrigidas por esse patch?

Com a CVE-2022-3786 e a CVE-2022-3602, uma sobrecarga de buffer pode ser acionada na verificação de certificado X.509, o que pode causar uma falha que resultará em negação de serviço. Para ser explorada, essa vulnerabilidade exige que uma CA assine um certificado malicioso ou que um aplicativo continue a verificação do certificado, mesmo que não seja possível criar um caminho para um emissor confiável.

Duas novas vulnerabilidades (CVE-2022-3786 e CVE-2022-3602) foram descobertas no OpenSSL v3.0.6 que podem causar uma falha.

O que devo fazer?

O GKE no VMware não é afetado por essa CVE porque não usa uma versão afetada do OpenSSL.

Quais vulnerabilidades são corrigidas por esse patch?

Você não precisa fazer nada.

Duas novas vulnerabilidades (CVE-2022-3786 e CVE-2022-3602) foram descobertas no OpenSSL v3.0.6 que podem causar uma falha.

O que devo fazer?

O GKE na AWS não é afetado por essa CVE porque não usa uma versão afetada do OpenSSL.

Quais vulnerabilidades são corrigidas por esse patch?

Você não precisa fazer nada.

Duas novas vulnerabilidades (CVE-2022-3786 e CVE-2022-3602) foram descobertas no OpenSSL v3.0.6 que podem causar uma falha.

O que devo fazer?

O GKE no Azure não é afetado por essa CVE porque não usa uma versão afetada do OpenSSL.

Quais vulnerabilidades são corrigidas por esse patch?

Você não precisa fazer nada.

Duas novas vulnerabilidades (CVE-2022-3786 e CVE-2022-3602) foram descobertas no OpenSSL v3.0.6 que podem causar uma falha.

O que devo fazer?

O GKE em Bare Metal não é afetado por essa CVE porque não usa uma versão afetada do OpenSSL.

Quais vulnerabilidades são corrigidas por esse patch?

Você não precisa fazer nada.

Atualização de 21/12/2023: o boletim original informava que o Autopilot era Autopilot. clusters foram afetados, mas isso estava incorreto. Autopilot do GKE clusters na configuração padrão não são afetados, mas podem ficar vulneráveis caso sejam defina explicitamente o perfil seccomp Unconfined ou permitir CAP_NET_ADMIN.

Uma nova vulnerabilidade (CVE-2022-2602) foi descoberta no subsistema io_uring no kernel do Linux e pode permitir que um invasor execute um código arbitrário. Os clusters do GKE, incluindo os clusters do Autopilot, foram afetados.

Os clusters do GKE que usam o GKE Sandbox não são afetados.

O que fazer?

Atualização de 19/01/2023: a versão 1.21.14-gke.14100 está disponível. Faça upgrade dos pools de nós para esta versão ou mais recente.

O código das seguintes versões do GKE foi atualizado para corrigir essa vulnerabilidade em uma versão futura. Por motivos de segurança, mesmo que você tenha ativado o upgrade automático de nós, recomendamos que faça upgrade manualmente dos pools de nós para uma das seguintes versões do GKE:

• Container-optimized OS:
  • 1.22.16-gke.1300 e posterior
  • 1.23.14-gke.401 e posterior
  • 1.24.7-gke.900 e posterior
  • 1.25.4-gke.1600 e posterior
• Ubuntu:
• 1.22.15-gke.2500 e posterior
• 1.23.13-gke.900 e posterior
• 1.24.7-gke.900 e posterior
• 1.25.3-gke.800 e posterior

Um recurso recente dos canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição. Isso permite proteger os nós até que a nova versão se torne o padrão para o canal específico da versão.

Quais vulnerabilidades são corrigidas por esse patch?

Na CVE-2022-2602, uma condição de corrida entre o processamento de solicitações io_uring e a coleta de lixo de soquete Unix pode causar uma vulnerabilidade de uso após a liberação. Um invasor local pode usar isso para acionar uma negação de serviço ou possivelmente executar um código arbitrário.

Uma nova vulnerabilidade (CVE-2022-2602) foi descoberta no subsistema io_uring no kernel do Linux e pode permitir que um invasor execute um código arbitrário.

As versões 1.11, 1.12 e 1.13 do GKE no VMware foram afetadas.

O que devo fazer?

Faça upgrade do cluster para uma versão com patch. As seguintes versões do O GKE no VMware contém um código que corrige essa vulnerabilidade:

• 1.13.2
• 1.12.4
• 1.11.5

Quais vulnerabilidades são corrigidas por esse patch?

Na CVE-2022-2602, uma condição de corrida entre o processamento de solicitações io_uring e a coleta de lixo de soquete Unix pode causar uma vulnerabilidade de uso após a liberação. Um invasor local pode usar isso para acionar uma negação de serviço ou possivelmente executar um código arbitrário.

Uma nova vulnerabilidade (CVE-2022-2602) foi descoberta no subsistema io_uring no kernel do Linux e pode permitir que um invasor execute um código arbitrário.

O que devo fazer?

As seguintes versões atuais e anteriores do GKE na AWS foram atualizado com código para corrigir essa vulnerabilidade. Recomendamos que você faça o upgrade dos nós para uma das seguintes versões do GKE na AWS:

• Geração atual:
  • 1.22.15-gke.100
  • 1.23.11-gke.300
  • 1.24.5-gke.200
• Geração anterior:
• 1.22.15-gke.1400
• 1.23.12-gke.1400
• 1.24.6-gke.1300

Quais vulnerabilidades são corrigidas por esse patch?

Na CVE-2022-2602, uma condição de corrida entre o processamento de solicitações io_uring e a coleta de lixo de soquete Unix pode causar uma vulnerabilidade de uso após a liberação. Um invasor local pode usar isso para acionar uma negação de serviço ou possivelmente executar um código arbitrário.

Uma nova vulnerabilidade (CVE-2022-2602) foi descoberta no subsistema io_uring no kernel do Linux e pode permitir que um invasor execute um código arbitrário.

O que devo fazer?

As seguintes versões do GKE no Azure foram atualizadas com código para correção essa vulnerabilidade. Recomendamos que você faça o upgrade dos nós para um dos seguintes Versões do GKE no Azure:

• 1.22.15-gke.100
• 1.23.11-gke.300
• 1.24.5-gke.200

Quais vulnerabilidades são corrigidas por esse patch?

Na CVE-2022-2602, uma condição de corrida entre o processamento de solicitações io_uring e a coleta de lixo de soquete Unix pode causar uma vulnerabilidade de uso após a liberação. Um invasor local pode usar isso para acionar uma negação de serviço ou possivelmente executar um código arbitrário.

Uma nova vulnerabilidade (CVE-2022-2602) foi descoberta no subsistema io_uring no kernel do Linux e pode permitir que um invasor execute um código arbitrário.

O GKE em Bare Metal não é afetado por essa CVE porque não agrupa de um sistema operacional na distribuição dele.

O que devo fazer?

Você não precisa fazer nada.

Duas novas vulnerabilidades (CVE-2022-2585 e CVE-2022-2588) foram descobertas no kernel do Linux que podem levar a uma divisão completa do contêiner para raiz do nó. Os clusters do GKE, incluindo os clusters do Autopilot, foram afetados.

Os clusters do GKE que usam o GKE Sandbox não são afetados.

O que fazer?

Atualização de 19/01/2023: a versão 1.21.14-gke.14100 está disponível. Faça upgrade dos pools de nós para esta versão ou mais recente.

Atualização de 16/12/2022: uma versão anterior do boletim foi revisada devido a uma regressão de lançamento. Faça upgrade manual dos pools de nós para uma das seguintes versões do GKE:

• 1.22.16-gke.1300 e posterior
• 1.23.14-gke.401 e posterior
• 1.24.7-gke.900 e posterior
• 1.25.4-gke.1600 e posterior

O código das seguintes versões do GKE foi atualizado para corrigir essa vulnerabilidade. Por motivos de segurança, mesmo que você tenha ativado o upgrade automático de nós, recomendamos que faça upgrade manualmente dos pools de nós para uma das seguintes versões do GKE:

• 1.21.14-gke.9500
• 1.24.7-gke.900

As atualizações do GKE v1.22, 1.23 e 1.25 serão disponibilizadas em breve. Este boletim de segurança será atualizado quando estiver disponível.

Um recurso recente dos canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição. Isso permite proteger os nós até que a nova versão se torne o padrão para o canal específico da versão.

Quais vulnerabilidades são corrigidas por esse patch?

• Com a CVE-2022-2585, a limpeza inadequada dos timers no temporizador de CPU posix permite uma exploração de uso após a liberação, dependendo de como os temporizadores são criados e excluídos.
• Na CVE-2022-2588, encontramos uma falha de uso após a liberação em route4_change no kernel do Linux. Essa falha permite que um usuário local cause uma falha no sistema e possivelmente leve a um escalonamento de privilégios local.

Duas novas vulnerabilidades (CVE-2022-2585 e CVE-2022-2588) foram descobertas no kernel do Linux que podem levar a uma divisão completa do contêiner para raiz do nó.

As versões 1.13, 1.12 e 1.11 do GKE no VMware foram afetadas.

O que devo fazer?

Atualização de 16/12/2022:as seguintes versões do O código do GKE no VMware foi atualizado para corrigir essa vulnerabilidade. Recomendamos faça upgrade dos clusters de administrador e usuário para um dos seguintes Versões do GKE no VMware:

• 1.13.2
• 1.12.4
• 1.11.6

• Observação: versões do GKE no VMware que contêm patches do Container-Optimized OS serão lançadas em breve. Este boletim de segurança será atualizado quando as versões do GKE no VMware estiverem disponíveis para download.

Quais vulnerabilidades são corrigidas por esse patch?

• Com a CVE-2022-2585, a limpeza inadequada dos timers no temporizador de CPU posix permite uma exploração de uso após a liberação, dependendo de como os temporizadores são criados e excluídos.
• Na CVE-2022-2588, encontramos uma falha de uso após a liberação em route4_change no kernel do Linux. Essa falha permite que um usuário local cause uma falha no sistema e possivelmente leve a um escalonamento de privilégios local.

Duas novas vulnerabilidades (CVE-2022-2585 e CVE-2022-2588) foram descobertas no kernel do Linux que podem levar a uma divisão completa do contêiner para raiz do nó.

As seguintes versões do Kubernetes na AWS podem ser afetadas:

• 1.23: versões anteriores à 1.23.9-gke.800. As versões secundárias mais recentes não são afetadas.
• 1.22: versões anteriores à 1.22.12-gke.1100. As versões secundárias mais recentes não são afetadas.

O Kubernetes V1.24 não foi afetado.

O que fazer?

Recomendamos que você faça upgrade dos clusters para uma das seguintes versões do Kubernetes da AWS:

• 1.23: uma versão posterior à v1.23.9-gke.800
• 1.22: uma versão posterior a 1.22.12-gke-1100

Quais vulnerabilidades estão sendo resolvidas?

Com a CVE-2022-2585, a limpeza inadequada dos timers no temporizador de CPU posix permite uma exploração de uso após a liberação, dependendo de como os temporizadores são criados e excluídos.

Na CVE-2022-2588, encontramos uma falha de uso após a liberação em route4_change no kernel do Linux. Essa falha permite que um usuário local cause uma falha no sistema e possivelmente leve a um escalonamento de privilégios local.

Duas novas vulnerabilidades (CVE-2022-2585 e CVE-2022-2588) foram descobertas no kernel do Linux que podem levar a uma divisão completa do contêiner para raiz do nó.

As seguintes versões do Kubernetes no Azure podem ser afetadas:

• 1.23: versões anteriores à 1.23.9-gke.800. As versões secundárias mais recentes não são afetadas.
• 1.22: versões anteriores à 1.22.12-gke.1100. As versões secundárias mais recentes não são afetadas.

O Kubernetes V1.24 não foi afetado.

O que fazer?

Recomendamos que você faça upgrade dos clusters para uma das seguintes versões do Azure Kubernetes:

• 1.23: uma versão posterior à v1.23.9-gke.800
• 1.22: uma versão posterior a 1.22.12-gke-1100

Quais vulnerabilidades estão sendo resolvidas?

Com a CVE-2022-2585, a limpeza inadequada dos timers no temporizador de CPU posix permite uma exploração de uso após a liberação, dependendo de como os temporizadores são criados e excluídos.

Na CVE-2022-2588, encontramos uma falha de uso após a liberação em route4_change no kernel do Linux. Essa falha permite que um usuário local cause uma falha no sistema e possivelmente leve a um escalonamento de privilégios local.

Duas novas vulnerabilidades (CVE-2022-2585 e CVE-2022-2588) foram descobertas no kernel do Linux que podem levar a uma divisão completa do contêiner para raiz do nó.

O GKE em Bare Metal não é afetado por essa CVE porque não agrupa um sistema operacional na distribuição.

O que devo fazer?

Você não precisa fazer nada.

Foi descoberta uma vulnerabilidade de segurança, CVE-2022-39278, no Istio, que é usada em Cloud Service Mesh, que permite que um invasor malicioso cause uma falha no plano de controle.

O que devo fazer?

O Google Kubernetes Engine (GKE) não é enviado com o Istio e não é afetado por essa vulnerabilidade. No entanto, se você tiver instalado separadamente o Cloud Service Mesh ou o Istio nos seus cluster do GKE, consulte GCP-2022-020 o boletim de segurança do Cloud Service Mesh neste CVE para mais informações.

Foi descoberta uma vulnerabilidade de segurança, CVE-2022-39278, no Istio, que é usada no Cloud Service Mesh no GKE no VMware, que permite que um invasor cause uma falha plano de controle do Istio.

O que devo fazer?

O código das seguintes versões do GKE no VMware foi atualizado para corrigir esse problema a vulnerabilidade. Recomendamos que você faça upgrade dos clusters de administrador e usuário para um dos as seguintes versões do GKE no VMware:

• 1.11.4
• 1.12.3
• 1.13.1

Quais vulnerabilidades são corrigidas por esse patch?

Com a vulnerabilidade CVE-2022-39278, o plano de controle do Istio istiod está vulnerável a um erro de processamento de solicitação. Ele permite que um invasor envie uma mensagem especialmente criada, o que resulta em falha no plano de controle quando o webhook de validação de um cluster é exposto publicamente. Esse endpoint é exibido pela porta TLS 15017, mas não requer autenticação do invasor.

Foi descoberta uma vulnerabilidade de segurança, CVE-2022-39278, no Istio, que é usada no Cloud Service Mesh, o que permite que um invasor cause falhas no plano de controle.

O que devo fazer?

O GKE na AWS não é afetado por essa vulnerabilidade, e nenhuma ação é necessária.

Foi descoberta uma vulnerabilidade de segurança, CVE-2022-39278, no Istio, que é usada no Cloud Service Mesh, o que permite que um invasor cause falhas no plano de controle.

O que devo fazer?

O GKE no Azure não é afetado por essa vulnerabilidade, e nenhuma ação é obrigatórios.

Foi descoberta uma vulnerabilidade de segurança, CVE-2022-39278, no Istio, que é usada no Cloud Service Mesh no GKE em Bare Metal, que permite que um invasor para causar falhas no plano de controle do Istio.

O que devo fazer?

As seguintes versões do GKE em Bare Metal foram atualizadas com código para corrigir essa vulnerabilidade. Recomendamos que você faça o upgrade dos clusters para um dos seguintes versões do GKE em Bare Metal:

• 1.11.7
• 1.12.4
• 1.13.1

Quais vulnerabilidades são corrigidas por esse patch?

Com a vulnerabilidade CVE-2022-39278, o plano de controle do Istio istiod está vulnerável a um erro de processamento de solicitação. Ele permite que um invasor envie uma mensagem especialmente criada, o que resulta em falha no plano de controle quando o webhook de validação de um cluster é exposto publicamente. Esse endpoint é exibido pela porta TLS 15017, mas não requer autenticação do invasor.

Uma nova vulnerabilidade CVE-2022-20409, foi descoberta no kernel do Linux que pode levar ao escalonamento de privilégios locais. Os clusters do Google Kubernetes Engine (GKE) v1.22, v1.23 e v1.24, incluindo clusters do Autopilot, que usam o Container-Optimized OS versões 93 e 97 são afetados. Outras versões compatíveis do GKE não são afetadas. Os clusters do GKE que usam o GKE Sandbox não são afetados.

O que fazer?

Atualização de 14/12/2022: uma versão anterior do boletim foi revisada devido a uma regressão de lançamento. Faça upgrade manual dos pools de nós para uma das seguintes versões do GKE:

• 1.22.15-gke.2500 e posterior
• 1.23.13-gke.900 e posterior
• 1.24.7-gke.900 e posterior

O código das versões a seguir do GKE que usam o Container-Optimized OS 93 e 97 foi atualizado para corrigir essa vulnerabilidade em uma versão futura. Por motivos de segurança, mesmo que você tenha ativado o upgrade automático de nós, recomendamos que faça upgrade manualmente dos pools de nós para uma das seguintes versões do GKE:

• 1.22.15-gke.2300 e posterior
• 1.23.13-gke.700 e posterior
• 1.24.7-gke.700 e posterior

Um recurso recente dos canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição em um canal. Esse recurso permite que você proteja os nós até que a nova versão se torne o padrão para o canal específico da versão.

Quais vulnerabilidades são corrigidas por esse patch?

Com a CVE-2022-20409, o kernel do Linux tem uma vulnerabilidade em io_identity_cow do subsistema io_urs. Existe um potencial de corrupção de memória devido a uma vulnerabilidade de Use-After-Free (UAF, na sigla em inglês). Um invasor local pode usar essa corrupção de memória para negação de serviço (falha do sistema) ou possivelmente executar código arbitrário.

Uma nova vulnerabilidade (CVE-2022-20409) foi descoberta no kernel do Linux que pode levar ao escalonamento de privilégios locais.

O que devo fazer?

Atualização de 14/12/2022:as seguintes versões do O código do GKE no VMware para Ubuntu foi atualizado para corrigir essa vulnerabilidade. Recomendamos que você faça o upgrade dos nós para um dos seguintes produtos do GKE no VMware versões:

• 1.13.1 ou superior
• 1.12.3 ou superior
• 1.11.4 e posterior

Quais vulnerabilidades são corrigidas por esse patch?

Com a CVE-2022-20409, o kernel do Linux tem uma vulnerabilidade em io_identity_cow do subsistema io_urs. Existe um potencial de corrupção de memória devido a uma vulnerabilidade de Use-After-Free (UAF, na sigla em inglês). Um invasor local pode usar essa corrupção de memória para negação de serviço (falha do sistema) ou possivelmente executar código arbitrário.

Foi descoberta uma nova vulnerabilidade, a CVE-2022-20409, no kernel do Linux que poderia permitir que um usuário sem privilégios encaminhe para o privilégio de execução do sistema.

O que fazer?

Nenhuma ação é necessária. O GKE na AWS não usa as versões afetadas do Kernel do Linux

Quais vulnerabilidades são corrigidas por esse patch?

Com a CVE-2022-20409, o kernel do Linux tem uma vulnerabilidade em io_identity_cow do subsistema io_urs. Existe um potencial de corrupção de memória devido a uma vulnerabilidade de Use-After-Free (UAF, na sigla em inglês). Um invasor local pode usar essa corrupção de memória para negação de serviço (falha do sistema) ou possivelmente executar código arbitrário.

Foi descoberta uma nova vulnerabilidade, a CVE-2022-20409, no kernel do Linux que poderia permitir que um usuário sem privilégios encaminhe para o privilégio de execução do sistema.

O que fazer?

Nenhuma ação é necessária. O GKE no Azure não usa as versões afetadas do kernel do Linux.

Quais vulnerabilidades são corrigidas por esse patch?

Com a CVE-2022-20409, o kernel do Linux tem uma vulnerabilidade em io_identity_cow do subsistema io_urs. Existe um potencial de corrupção de memória devido a uma vulnerabilidade de Use-After-Free (UAF, na sigla em inglês). Um invasor local pode usar essa corrupção de memória para negação de serviço (falha do sistema) ou possivelmente executar código arbitrário.

Uma nova vulnerabilidade (CVE-2022-20409) foi descoberta no kernel do Linux que pode levar ao escalonamento de privilégios locais.

O que fazer?

• Nenhuma ação é necessária. O GKE em Bare Metal não é afetado por isso CVE, já que não agrupa um sistema operacional na distribuição.

Uma nova vulnerabilidade (CVE-2022-3176) foi descoberta no kernel do Linux que pode levar ao escalonamento de privilégios locais. Com essa vulnerabilidade, um usuário sem privilégios pode realizar uma invasão de contêiner completa com acesso root no nó.