Boletines de seguridad

Infórmate sobre los boletines de seguridad de Anthos para equipos físicos.

GCP-2021-003

Fecha de publicación: 19 de abril de 2021
Descripción Gravedad Notas

El proyecto de Kubernetes anunció recientemente una nueva vulnerabilidad de seguridad, CVE-2021-25735, que podría permitir que las actualizaciones del nodo omitan un webhook de admisión y validación.

En una situación en la que un atacante tiene privilegios suficientes y en la que se implementa un webhook de admisión y validación que usa propiedades del objeto Node antiguas (por ejemplo, campos en Node.NodeSpec), el atacante podría actualizar las propiedades de un nodo que podría provocar el compromiso del clúster. Ninguna de las políticas que aplican los controladores de admisión integrados de GKE y Kubernetes se ve afectada, pero recomendamos que los clientes verifiquen cualquier webhook de admisión adicional que hayan instalado.

¿Qué debo hacer?

En una versión de parche próxima, se incluirá una mitigación para esta vulnerabilidad.

Medio

CVE-2021-25735

GCP-2021-001

Fecha de publicación: 2021-01-28
Descripción Gravedad Notas

Recientemente, se descubrió una vulnerabilidad en la utilidad sudo de Linux, descrita en CVE-2021-3156, que puede permitir a un atacante con acceso de shell local sin privilegios en un sistema con sudo instalado escalar sus privilegios a la raíz del sistema.

La vulnerabilidad no afecta a los clústeres de Anthos en equipos físicos:

  • A los usuarios que están autorizados a usar SSH de Anthos en los nodos del equipo físico ya se consideran muy privilegiados y pueden usar sudo para obtener privilegios raíz de diseño. La vulnerabilidad no produce rutas de elevación de privilegios adicionales en esta situación.
  • La mayoría de los contenedores de Anthos en sistemas de equipos físicos se compilan a partir de imágenes base diferenciadas que no tienen una shell o una sudo instalada. Otras imágenes se compilan a partir de una imagen base de debian que no contiene sudo. Incluso si sudo estaba presente, el acceso a sudo dentro del contenedor no te otorga acceso al host debido al límite del contenedor.

Esta vulnerabilidad se puede usar en contenedores de aplicaciones del cliente para escalar privilegios a permisos de administrador dentro del contenedor. Si el contenedor de tu aplicación está diseñado para ejecutarse como no raíz, considera actualizar tu imagen base de contenedor a una versión que contenga la corrección.

¿Qué debo hacer?

Dado que esta vulnerabilidad no afecta a los clústeres de Anthos en equipos físicos, no es necesario que realices ninguna otra acción.

Anthos en equipos físicos aplicará el parche para esta vulnerabilidad en una versión próxima a cadencia normal.

Ninguna CVE-2021-3156