安全公告

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2024-26925

GKE Standard 集群会受到影响。默认配置中的 GKE Autopilot 集群不受影响，但如果您明确设置 seccomp Unconfined 配置文件或允许 CAP_NET_ADMIN，则集群可能会易受攻击。

使用 GKE Sandbox 的集群不受影响。

该怎么做？

以下次要版本会受到影响。 将 Container-Optimized OS 节点池升级到以下补丁版本之一或更高版本：

• 1.27.14-gke.1093000
• 1.28.10-gke.1141000
• 1.29.5-gke.1192000
• 1.30.2-gke.1394000

如果您的集群在其自己的发布渠道中运行相同的次要版本，则您可以应用来自较新发布渠道的补丁版本。此功能允许您保护节点，直到补丁版本成为发布渠道中的默认版本。有关详情，请参阅 通过较新的渠道运行补丁版本。

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2024-26925

该怎么做？

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2024-26925

该怎么做？

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2024-26925

该怎么做？

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2024-26925

该怎么做？

您无需执行任何操作。用于裸金属的 GDC 软件不受影响，因为该软件不会在其发行版中捆绑操作系统。

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2024-36972

GKE Standard 和 Autopilot 集群会受到影响。

使用 GKE Sandbox 的集群不受影响。

该怎么做？

以下次要版本会受到影响。 将 Container-Optimized OS 节点池升级到以下补丁版本之一或更高版本：

• 1.27.14-gke.1093000
• 1.28.10-gke.1141000
• 1.29.5-gke.1192000
• 1.30.2-gke.1394000

如果您的集群在其自己的发布渠道中运行相同的次要版本，则您可以应用来自较新发布渠道的补丁版本。此功能允许您保护节点，直到补丁版本成为发布渠道中的默认版本。有关详情，请参阅 通过较新的渠道运行补丁版本。

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2024-36972

该怎么做？

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2024-36972

该怎么做？

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2024-36972

该怎么做？

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2024-36972

该怎么做？

您无需执行任何操作。用于裸金属的 GDC 软件不受影响，因为该软件不会在其发行版中捆绑操作系统。

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2024-26921

GKE Standard 集群会受到影响。默认配置中的 GKE Autopilot 集群不受影响，但如果您明确设置 seccomp Unconfined 配置文件或允许 CAP_NET_ADMIN，则集群可能会易受攻击。

使用 GKE Sandbox 的集群不受影响。

该怎么做？

以下次要版本会受到影响。 将 Container-Optimized OS 节点池升级到以下补丁版本之一或更高版本：

• 1.26.15-gke.1360000
• 1.27.14-gke.1022000
• 1.28.9-gke.1209000
• 1.29.4-gke.1542000
• 1.30.2-gke.1394000

如果您的集群在其自己的发布渠道中运行相同的次要版本，则您可以应用来自较新发布渠道的补丁版本。此功能允许您保护节点，直到补丁版本成为发布渠道中的默认版本。有关详情，请参阅 通过较新的渠道运行补丁版本。

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2024-26921

该怎么做？

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2024-26921

该怎么做？

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2024-26921

该怎么做？

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2024-26921

该怎么做？

您无需执行任何操作。用于裸金属的 GDC 软件不受影响，因为该软件不会在其发行版中捆绑操作系统。

2024 年 7 月 18 日更新 ：本公告的原始版本有误 表示 Autopilot 集群受到了影响。 默认配置不受影响，但如果您明确指定， 设置 seccomp 不受限制的配置文件或允许 CAP_NET_ADMIN 功能。

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2024-26809

GKE Standard 和 Autopilot 集群会受到影响。

使用 GKE Sandbox 的集群不受影响。

该怎么做？

以下次要版本会受到影响。 将 Container-Optimized OS 节点池升级到以下补丁版本之一或更高版本：

• 1.27.13-gke.1166000
• 1.28.9-gke.1209000
• 1.29.4-gke.1542000

以下次要版本会受到影响。 将 Ubuntu 节点池升级到以下补丁版本之一或更高版本：

• 1.26.15-gke.1469000
• 1.27.14-gke.1100000
• 1.28.10-gke.1148000
• 1.29.6-gke.1038000

如果您的集群在其自己的发布渠道中运行相同的次要版本，则您可以应用来自较新发布渠道的补丁版本。此功能允许您保护节点，直到补丁版本成为发布渠道中的默认版本。有关详情，请参阅 通过较新的渠道运行补丁版本。

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2024-26809

该怎么做？

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2024-26809

该怎么做？

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2024-26809

该怎么做？

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2024-26809

该怎么做？

您无需执行任何操作。用于裸金属的 GDC 软件不受影响，因为该软件不会在其发行版中捆绑操作系统。

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2023-52654
• CVE-2023-52656

GKE Standard 和 Autopilot 集群会受到影响。

使用 GKE Sandbox 的集群不受影响。

该怎么做？

2024 年 7 月 19 日更新 ：以下版本的 GKE 包含 以便在 Ubuntu 上修复此漏洞 将 Ubuntu 节点池升级到以下补丁版本之一或更高版本：

• 1.26.15-gke.1469000
• 1.27.14-gke.1100000
• 1.28.10-gke.1148000
• 1.29.6-gke.1038000
• 1.30.2-gke.1394000

以下次要版本会受到影响。 将 Container-Optimized OS 节点池升级到以下补丁版本之一或更高版本：

• 1.26.15-gke.1300000
• 1.27.13-gke.1166000
• 1.28.9-gke.1209000
• 1.29.4-gke.1542000

如果您的集群在其自己的发布渠道中运行相同的次要版本，则您可以应用来自较新发布渠道的补丁版本。此功能允许您保护节点，直到补丁版本成为发布渠道中的默认版本。有关详情，请参阅 通过较新的渠道运行补丁版本。

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2023-52654
• CVE-2023-52656

该怎么做？

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2023-52654
• CVE-2023-52656

该怎么做？

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2023-52654
• CVE-2023-52656

该怎么做？

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2023-52654
• CVE-2023-52656

该怎么做？

您无需执行任何操作。用于裸金属的 GDC 软件不受影响，因为该软件不会在其发行版中捆绑操作系统。

2024 年 7 月 3 日更新 ：正在进行加速发布， 预计将在所有可用区发布新的补丁版本， 美国和加拿大太平洋夏令时间 (UTC-7) 2024 年 7 月 3 日下午 5 点。接收者 在有适用于特定集群的补丁可用时收到通知，请使用 集群通知。

2024 年 7 月 2 日更新 ：此漏洞同时影响 Autopilot 模式 和标准模式集群接下来的每个部分都介绍了 。

远程代码执行漏洞 CVE-2024-6387， 是近期在 OpenSSH 中发现的此漏洞利用了竞态条件 可以用来获取对远程 shell 的访问权限，使攻击者能够获得 root 访问权限 GKE 节点在发布时，我们认为 每台机器受到攻击需要几个小时才能完成。我们对此一无所知 漏洞。

GKE 上所有受支持的 Container Optimized OS 和 Ubuntu 映像版本 运行容易受到该问题攻击的 OpenSSH 版本。

具有公共节点 IP 地址和 SSH 的 GKE 集群向互联网公开 应以最高优先级进行处理。

GKE 控制平面不容易受到此问题的影响。

该怎么做？

2024 年 7 月 3 日更新：GKE 的补丁版本

加速发布正在进行中，预计会采用新的补丁版本 所有可用区将于 2024 年 7 月 3 日下午 5 点（美国和加拿大太平洋夏令时间 (UTC-7)）推出。

随着一周的进行，启用了自动升级的集群和节点将开始升级。 但鉴于此漏洞的严重性，我们建议您手动升级，如下所述 尽快获得补丁

对于 Autopilot 集群和标准集群， 升级控制平面 修补后的版本此外，对于标准模式集群 升级节点池 修补后的版本Autopilot 集群将开始升级您的节点以匹配此价格 控制平面版本 尽快处理。

修补后的 GKE 版本适用于每个受支持的版本， 应用补丁所需的更改每个新版本的版本号 递增。 例如，如果您使用的是 1.27.14-gke.1100000，则需要升级到 1.27.14-gke.1100002 才能 尽可能用最小的变更解决问题以下修补了 GKE 有：

• 1.26.15-gke.1090004
• 1.26.15-gke.1191001
• 1.26.15-gke.1300001
• 1.26.15-gke.1320002
• 1.26.15-gke.1381001
• 1.26.15-gke.1390001
• 1.26.15-gke.1404002
• 1.26.15-gke.1469001
• 1.27.13-gke.1070002
• 1.27.13-gke.1166001
• 1.27.13-gke.1201002
• 1.27.14-gke.1022001
• 1.27.14-gke.1042001
• 1.27.14-gke.1059002
• 1.27.14-gke.1100002
• 1.27.15-gke.1012003
• 1.28.9-gke.1069002
• 1.28.9-gke.1209001
• 1.28.9-gke.1289002
• 1.28.10-gke.1058001
• 1.28.10-gke.1075001
• 1.28.10-gke.1089002
• 1.28.10-gke.1148001
• 1.28.11-gke.1019001
• 1.29.4-gke.1043004
• 1.29.5-gke.1060001
• 1.29.5-gke.1091002
• 1.29.6-gke.1038001
• 1.30.1-gke.1329003
• 1.30.2-gke.1023004

如需检查您的集群可用区或区域中是否有可用的补丁，请运行以下命令 命令：

gcloud container get-server-config --location=LOCATION

将 LOCATION 替换为您的地区或区域。

2024 年 7 月 2 日更新 ：Autopilot 模式和标准模式 应在补丁版本可用后尽快升级。

将制作包含更新的 OpenSSH 的修补 GKE 版本 尽快提供有补丁时，我们会更新本公告。 如需在渠道有可用的补丁时收到 Pub/Sub 通知， 启用集群通知。 我们建议您按照以下步骤检查集群的公开范围，并 必要时应用所述的缓解措施。

确定您的节点是否具有公共 IP 地址

2024 年 7 月 2 日更新： 本部分适用于 Autopilot 和 标准集群。

如果使用 enable-private-nodes 创建集群， 节点将是私有节点，这样可以消除 互联网。运行以下命令以确定您的集群是否已启用专用节点：

gcloud container clusters describe $CLUSTER_NAME \
--format="value(privateClusterConfig.enablePrivateNodes)"

如果返回值为 True，则所有节点都是此集群的专用节点， 以期得到缓解如果值为空或 false，请继续应用以下某个值： 以下各部分中的缓解措施。

如需查找最初创建具有公共节点的所有集群，请使用此 Cloud Asset Inventory 查询 在项目或组织中：

SELECT
  resource.data.name AS cluster_name,
  resource.parent AS project_name,
  resource.data.privateClusterConfig.enablePrivateNodes
FROM
  `container_googleapis_com_Cluster`
WHERE
  resource.data.privateClusterConfig.enablePrivateNodes is null OR
  resource.data.privateClusterConfig.enablePrivateNodes = false

禁止通过 SSH 连接到集群节点

2024 年 7 月 2 日更新： 本部分适用于 Autopilot 和 标准集群。

默认网络预先填充了 default-allow-ssh 防火墙规则 以允许从公共互联网进行 SSH 访问。如需移除此访问权限，您可以执行以下操作：

• （可选）创建规则 允许您需要从可信网络到 GKE 节点的任何 SSH 访问 或其他 Compute Engine 虚拟机
• 使用以下命令停用默认防火墙规则：
  gcloud compute firewall-rules update default-allow-ssh --disabled --project=$PROJECT

如果您已经创建了任何其他防火墙规则，可能允许通过 TCP 使用 SSH 的端口 22， 或者将来源 IP 限制在可信网络中。

验证您是否无法再通过 SSH 连接到集群节点 来自互联网此防火墙配置缓解了此漏洞。

将公共节点池转换为专用节点池

2024 年 7 月 2 日更新 ：适用于最初以如下身份创建的 Autopilot 集群： 你可以将工作负载布置在专用节点上 使用 nodeSelector。 但是，在最初的集群上运行系统工作负载的 Autopilot 节点 仍是公共节点， 使用上一部分介绍的防火墙更改进行保护。

为了更好地保护最初使用公共节点创建的集群，我们建议您先 如上文所述，禁止通过防火墙进行 SSH 连接。如果您无法禁止 通过 SSH 连接到防火墙规则，您可以转换 GKE 上的公共节点池 按照本指南隔离节点池，将标准集群更改为专用集群。

更改 SSHD 配置

2024 年 7 月 2 日更新： 本部分仅适用于标准版 集群。不允许 Autopilot 工作负载修改节点配置。

如果上述缓解措施均无法应用，我们还发布了一个 Daemonset 用于将 SSHD LoginGraceTime 设置为零，并重启 SSH 守护程序。这个 可将 Daemonset 应用于集群以缓解攻击。请注意，此配置 可能会增加拒绝服务攻击的风险， SSH 访问。应用补丁后，应移除此 Daemonset。

2024 年 7 月 11 日更新 ：以下适用于 VMware 的 GDC 软件版本 已更新为修复此漏洞的代码。升级管理员工作站 管理员集群和用户集群（包括节点池）迁移到以下集群之一： 版本或更高版本。有关说明，请参阅 升级集群或节点池。

• 1.16.10-gke.36
• 1.28.700-gke.151
• 1.29.200-gke.245

本公告的 2024 年 7 月 2 日更新错误地指出所有受支持的版本 适用于 VMware 的 GDC 软件中的 Ubuntu 映像会运行 很容易受到此问题的影响适用于 VMware 1.16 版 GDC 软件上的 Ubuntu 映像 运行的 OpenSSH 版本不容易受到此问题的影响。Ubuntu 适用于 VMware 1.28 和 1.29 的 GDC 软件中的映像存在漏洞。 所有受支持的版本上的 Container-Optimized OS 映像 适用于 VMware 的 GDC 软件容易受到此问题的影响。

2024 年 7 月 2 日更新 ：所有受支持的 Container-Optimized OS 版本 和适用于 VMware 的 GDC 软件中的 Ubuntu 映像会运行存在漏洞的 OpenSSH 版本 解决这个问题。

适用于具有公共节点 IP 地址和 SSH 的 VMware 集群的 GDC 软件， 互联网应以最高优先级作为缓解措施。

远程代码执行漏洞 CVE-2024-6387， 是近期在 OpenSSH 中发现的此漏洞利用了竞态条件 可以用来获取对远程 shell 的访问权限，使攻击者能够获得 root 访问权限 GKE 节点在发布时，我们认为 每台机器受到攻击需要几个小时才能完成。我们对此一无所知 漏洞。

该怎么做？

2024 年 7 月 2 日更新： 安装了适用于 VMware 的修补 GDC 软件版本 会尽快提供经过更新的 OpenSSH本公告 将在有补丁可用时更新。我们建议您采用以下做法 必要时采取的缓解措施

禁止通过 SSH 连接到集群节点

您可以更改基础架构网络设置，以禁止来自以下实例的 SSH 连接： 不受信任的来源，例如公共互联网。

更改 sshd 配置

如果您无法应用上述缓解措施， 发布了一个 DaemonSet 用于将 sshd LoginGraceTime 设置为零并重启 SSH 守护程序。这个 DaemonSet 可应用于集群以缓解攻击。请注意， 配置可能会增加拒绝服务攻击的风险， 以及合法的 SSH 访问。在应用补丁后移除此 DaemonSet。

2024 年 7 月 11 日更新 ：以下版本的 GKE on AWS 的代码已更新，以修复此漏洞：

• 1.27.14-gke.1200
• 1.28.10-gke.1300
• 1.29.5-gke.1100

将 GKE on AWS 控制平面和节点池升级到以下某个 修补版本或更高版本。有关说明，请参阅 升级您的 AWS 集群版本 和 更新节点池。

2024 年 7 月 2 日更新 ：所有受支持的 Ubuntu 映像版本 GKE on AWS 运行的 OpenSSH 版本容易受到此问题的影响。

具有公共节点 IP 地址和 SSH 的 GKE on AWS 集群 互联网应以最高优先级作为缓解措施。

远程代码执行漏洞 CVE-2024-6387， 是近期在 OpenSSH 中发现的此漏洞利用了竞态条件 可以用来获取对远程 shell 的访问权限，使攻击者能够获得 root 访问权限 GKE 节点在发布时，我们认为 每台机器受到攻击需要几个小时才能完成。我们对此一无所知 漏洞。

该怎么做？

2024 年 7 月 2 日更新 ：修复了 GKE on AWS 版本， 会尽快提供经过更新的 OpenSSH本公告 将在有补丁可用时更新。我们建议您完成 执行下列步骤以检查集群的暴露情况，并以 。

确定您的节点是否具有公共 IP 地址

GKE on AWS 未预配任何具有公共 IP 地址的机器 也可以指定允许流量流向端口 22 的防火墙规则不过，根据 子网配置 机器可以在预配期间自动获取公共 IP 地址。

如需检查节点是否配置了公共 IP 地址， 查看子网的配置 与 AWS 节点池资源关联的资源

禁止通过 SSH 连接到集群节点

虽然 GKE on AWS 不允许 默认情况下，客户可以将其他安全组连接到节点池，从而启用入站 SSH 流量。

我们建议您 移除或缩小范围 相应规则。

将公共节点池转换为专用节点池

为了更好地保护具有公共节点的集群，我们建议您首先禁止通过 安全群组（如上一部分中所述）。如果您无法禁止 SSH 可以通过安全组规则将公共节点池转换为专用节点池， 停用为子网中的机器自动分配公共 IP 的选项 以及重新预配节点池的方法

2024 年 7 月 11 日更新： 以下版本的 GKE on Azure 的代码已更新，以修复此漏洞：

• 1.27.14-gke.1200
• 1.28.10-gke.1300
• 1.29.5-gke.1100

将 GKE on Azure 控制平面和节点池升级到以下其中一种 修补版本或更高版本。有关说明，请参阅 升级 Azure 集群版本 和 更新节点池。

2024 年 7 月 2 日更新 ：所有受支持的 Ubuntu 映像版本 GKE on Azure 运行的 OpenSSH 版本容易受到此问题的影响。

具有公共节点 IP 地址和 SSH 的 GKE on Azure 集群 互联网应以最高优先级作为缓解措施。

远程代码执行漏洞 CVE-2024-6387， 是近期在 OpenSSH 中发现的此漏洞利用了竞态条件 可以用来获取对远程 shell 的访问权限，使攻击者能够获得 root 访问权限 GKE 节点在发布时，我们认为 每台机器受到攻击需要几个小时才能完成。我们对此一无所知 漏洞。

该怎么做？

2024 年 7 月 2 日更新 ：修复了 GKE on Azure 的版本， 会尽快提供经过更新的 OpenSSH本公告 将在有补丁可用时更新。我们建议您完成 执行下列步骤以检查集群的暴露情况，并以 。

确定您的节点是否具有公共 IP 地址

GKE on Azure 不会预配任何具有 公共 IP 地址 也可以指定允许流量流向端口 22 的防火墙规则要查看您的 用于检查网站上是否配置了任何公共 IP 地址的 Azure 配置 GKE on Azure 集群，请运行以下命令：

az network public-ip list -g CLUSTER_RESOURCE_GROUP_NAME -o tsv

禁止通过 SSH 连接到集群节点

尽管 GKE on Azure 不允许 默认情况下，客户可以将 NetworkSecurityGroup 规则更新为节点池，以启用入站 来自公共互联网的 SSH 流量。

我们强烈建议您查看与 Kubernetes 集群如果存在允许不受限制的入站流量的 NSG 规则 在端口 22 (SSH) 上，执行以下操作之一：

• 完全移除规则：如果未对集群节点进行 SSH 访问 删除规则以消除潜在攻击途径。
• 缩小规则的范围：限制端口 22 上的入站访问， 特定 IP 地址或范围需要这些信息。这样可以最大限度地减小暴露的表面 潜在的攻击

将公共节点池转换为专用节点池

为了更好地保护具有公共节点的集群，我们建议您首先禁止通过 安全群组（如上一部分中所述）。如果您无法禁止 SSH 可以通过安全组规则将公共节点池转换为专用节点池， 移除与虚拟机关联的公共 IP 地址。

从虚拟机中移除公共 IP 地址并将其替换为专用 IP 地址 请参阅 将公共 IP 地址与 Azure 虚拟机取消关联。

影响 ：任何使用公共 IP 地址的现有连接都会受到影响 中断。确保您设置了其他访问方法，例如 VPN 或 Azure 堡垒。

2024 年 7 月 2 日更新 ：本公告的原始版本 用于裸金属的 GDC 软件错误地指出补丁版本正在开发中。 用于裸金属的 GDC 软件不会直接受到影响，因为它不负责管理 操作系统 SSH 守护程序或配置。因此，补丁版本是 （如 我该怎么办？部分。

远程代码执行漏洞 CVE-2024-6387， 是近期在 OpenSSH 中发现的此漏洞利用了竞态条件 可以用来获取对远程 shell 的访问权限，使攻击者能够获得 root 访问权限 GKE 节点在发布时，我们认为 每台机器受到攻击需要几个小时才能完成。我们对此一无所知 漏洞。

该怎么做？

2024 年 7 月 2 日更新： 请与您的操作系统提供商联系，获取适用于 GDC 软件的裸机应用。

在您应用操作系统供应商补丁之前，请确保公共可访问的机器不会 允许来自互联网的 SSH 连接。如果无法做到这一点，可以改用 将 LoginGraceTime 设置为零并重启 sshd 服务器：

grep "^LoginGraceTime" /etc/ssh/sshd_config
            LoginGraceTime 0

请注意，此配置变更可能会增加拒绝服务攻击的风险 可能会导致合法的 SSH 访问出现问题。

原文（2024 年 7 月 1 日）（请参阅之前的 2024 年 7 月 2 日更新，了解更正内容）：

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2024-26923

GKE Standard 和 Autopilot 集群会受到影响。

使用 GKE Sandbox 的集群不受影响。

该怎么做？

以下次要版本会受到影响。 将 Container-Optimized OS 节点池升级到以下补丁版本之一或更高版本：

• 1.26.15-gke.1360000
• 1.27.14-gke.1022000
• 1.28.9-gke.1289000
• 1.29.5-gke.1010000

如果您的集群在其自己的发布渠道中运行相同的次要版本，则您可以应用来自较新发布渠道的补丁版本。此功能允许您保护节点，直到补丁版本成为发布渠道中的默认版本。有关详情，请参阅 通过较新的渠道运行补丁版本。

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2024-26923

该怎么做？

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2024-26923

该怎么做？

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2024-26923

该怎么做？

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2024-26923

该怎么做？

您无需执行任何操作。用于裸金属的 GDC 软件不受影响，因为该软件不会在其发行版中捆绑操作系统。

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2024-26924

GKE Standard 集群会受到影响。默认配置中的 GKE Autopilot 集群不受影响，但如果您明确设置 seccomp Unconfined 配置文件或允许 CAP_NET_ADMIN，则集群可能会易受攻击。

使用 GKE Sandbox 的集群不受影响。

该怎么做？

以下次要版本会受到影响。 将 Container-Optimized OS 节点池升级到以下补丁版本之一或更高版本：

• 1.26.15-gke.1360000
• 1.27.14-gke.1022000
• 1.28.9-gke.1289000
• 1.29.5-gke.1010000

如果您的集群在其自己的发布渠道中运行相同的次要版本，则您可以应用来自较新发布渠道的补丁版本。此功能允许您保护节点，直到补丁版本成为发布渠道中的默认版本。有关详情，请参阅 通过较新的渠道运行补丁版本。

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2024-26924

该怎么做？

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2024-26924

该怎么做？

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2024-26924

该怎么做？

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2024-26924

该怎么做？

您无需执行任何操作。用于裸金属的 GDC 软件不受影响，因为该软件不会在其发行版中捆绑操作系统。

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2024-26584

GKE Standard 和 Autopilot 集群会受到影响。

使用 GKE Sandbox 的集群不受影响。

该怎么做？

以下次要版本会受到影响。 将 Container-Optimized OS 节点池升级到以下补丁版本之一或更高版本：

• 1.28.9-gke.1209000
• 1.29.4-gke.1542000

如果您的集群在其自己的发布渠道中运行相同的次要版本，则您可以应用来自较新发布渠道的补丁版本。此功能允许您保护节点，直到补丁版本成为发布渠道中的默认版本。有关详情，请参阅 通过较新的渠道运行补丁版本。

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2024-26584

该怎么做？

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2024-26584

该怎么做？

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2024-26584

该怎么做？

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2024-26584

该怎么做？

您无需执行任何操作。GKE on Bare Metal 不受影响，因为它不会在其发行版中捆绑操作系统。

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2024-26584

GKE Standard 和 Autopilot 集群会受到影响。

使用 GKE Sandbox 的集群不受影响。

该怎么做？

2024 年 7 月 18 日更新 ：以下版本的 GKE 以修复 Ubuntu 上的此漏洞。 将 Ubuntu 节点池升级到以下补丁版本之一或更高版本：

• 1.26.15-gke.1469000
• 1.27.14-gke.1100000
• 1.28.10-gke.1148000
• 1.29.6-gke.1038000
• 1.30.2-gke.1394000

以下版本的 GKE 已更新，添加了代码来修复此漏洞 Container-Optimized OS 升级您的 Container-Optimized OS 节点池升级到以下补丁版本或更高版本：

• 1.27.15-gke.1125000

以下次要版本会受到影响。 将 Container-Optimized OS 节点池升级到以下补丁版本之一或更高版本：

• 1.28.9-gke.1209000
• 1.29.4-gke.1542000

以下次要版本会受到影响，但没有可用的补丁版本。我们将 在补丁版本可用时更新本公告：

• 1.26
• 1.27

如果您的集群在其自己的发布渠道中运行相同的次要版本，则您可以应用来自较新发布渠道的补丁版本。此功能允许您保护节点，直到补丁版本成为发布渠道中的默认版本。有关详情，请参阅 通过较新的渠道运行补丁版本。

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2024-26584

该怎么做？

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2024-26584

该怎么做？

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2024-26584

该怎么做？

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2024-26584

该怎么做？

您无需执行任何操作。GKE on Bare Metal 不受影响，因为它不会在其发行版中捆绑操作系统。

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2024-26583

GKE Standard 和 Autopilot 集群会受到影响。

使用 GKE Sandbox 的集群不受影响。

该怎么做？

2024 年 7 月 10 日更新 ：以下版本的 GKE 更新了代码以修复此漏洞。将您的 Ubuntu 节点池升级到 以下补丁版本或更高版本：

• 1.26.15-gke.1444000
• 1.27.14-gke.1096000
• 1.28.10-gke.1148000
• 1.29.5-gke.1041001
• 1.30.1-gke.1156001

对于次要版本 1.26 和 1.27，请将 Container-Optimized OS 节点池升级到 以下补丁版本之一或更高版本：

• 1.26.15-gke.1404002
• 1.27.14-gke.1059002

以下次要版本会受到影响。 将 Container-Optimized OS 节点池升级到以下补丁版本之一或更高版本：

• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

如果您的集群在其自己的发布渠道中运行相同的次要版本，则您可以应用来自较新发布渠道的补丁版本。此功能允许您保护节点，直到补丁版本成为发布渠道中的默认版本。有关详情，请参阅 通过较新的渠道运行补丁版本。

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2024-26583

该怎么做？

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2024-26583

该怎么做？

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2024-26583

该怎么做？

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2024-26583

该怎么做？

您无需执行任何操作。GKE on Bare Metal 不受影响，因为它不会在其发行版中捆绑操作系统。

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2022-23222

GKE Standard 和 Autopilot 集群会受到影响。

使用 GKE Sandbox 的集群不受影响。

该怎么做？

以下次要版本会受到影响。 将 Container-Optimized OS 节点池升级到以下补丁版本之一或更高版本：

• 1.26.15-gke.1381000
• 1.27.14-gke.1022000

如果您的集群在其自己的发布渠道中运行相同的次要版本，则您可以应用来自较新发布渠道的补丁版本。此功能允许您保护节点，直到补丁版本成为发布渠道中的默认版本。有关详情，请参阅 通过较新的渠道运行补丁版本。

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2022-23222

该怎么做？

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2022-23222

该怎么做？

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2022-23222

该怎么做？

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2022-23222

该怎么做？

您无需执行任何操作。GKE on Bare Metal 不受影响，因为它不会在其发行版中捆绑操作系统。

我们在 Fluent Bit 中发现了一个新漏洞 (CVE-2024-4323)，该漏洞可能会导致远程代码执行。Fluent Bit 2.0.7 至 3.0.3 版本会受到影响。

GKE 不使用存在漏洞的 Fluent Bit 版本，因此不受影响。

该怎么做？

GKE 不受此漏洞的影响。 您无需采取任何行动。

我们在 Fluent Bit 中发现了一个新漏洞 (CVE-2024-4323)，该漏洞可能会导致远程代码执行。Fluent Bit 2.0.7 至 3.0.3 版本会受到影响。

GKE on VMware 不使用存在漏洞的 Fluent Bit 版本， 不受影响。

该怎么做？

GKE on VMware 不受此漏洞的影响。 您无需采取任何行动。

我们在 Fluent Bit 中发现了一个新漏洞 (CVE-2024-4323)，该漏洞可能会导致远程代码执行。Fluent Bit 2.0.7 至 3.0.3 版本会受到影响。

GKE on AWS 不使用存在漏洞的 Fluent Bit 版本， 不受影响。

该怎么做？

GKE on AWS 不受此漏洞的影响。 您无需采取任何行动。

我们在 Fluent Bit 中发现了一个新漏洞 (CVE-2024-4323)，该漏洞可能会导致远程代码执行。Fluent Bit 2.0.7 至 3.0.3 版本会受到影响。

GKE on Azure 不使用存在漏洞的 Fluent Bit 版本， 不受影响。

该怎么做？

GKE on Azure 不受此漏洞的影响。 您无需采取任何行动。

我们在 Fluent Bit 中发现了一个新漏洞 (CVE-2024-4323)，该漏洞可能会导致远程代码执行。Fluent Bit 2.0.7 至 3.0.3 版本会受到影响。

GKE on Bare Metal 不使用存在漏洞的 Fluent Bit 版本， 不受影响。

该怎么做？

GKE on Bare Metal 不受此漏洞的影响。 您无需采取任何行动。

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2023-52620

GKE Standard 集群会受到影响。默认配置中的 GKE Autopilot 集群不受影响，但如果您明确设置 seccomp Unconfined 配置文件或允许 CAP_NET_ADMIN，则集群可能会易受攻击。

使用 GKE Sandbox 的集群不受影响。

该怎么做？

2024 年 7 月 18 日更新 ：以下版本的 GKE 以修复 Ubuntu 上的此漏洞。 将 Ubuntu 节点池升级到以下补丁版本之一或更高版本：

• 1.26.15-gke.1469000
• 1.27.14-gke.1100000
• 1.28.10-gke.1148000
• 1.29.6-gke.1038000
• 1.30.2-gke.1394000

以下次要版本会受到影响。 将 Container-Optimized OS 节点池升级到以下补丁版本之一或更高版本：

• 1.27.13-gke.1166000
• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

如果您的集群在其自己的发布渠道中运行相同的次要版本，则您可以应用来自较新发布渠道的补丁版本。此功能允许您保护节点，直到补丁版本成为发布渠道中的默认版本。有关详情，请参阅 通过较新的渠道运行补丁版本。

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2023-52620

该怎么做？

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2023-52620

该怎么做？

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2023-52620

该怎么做？

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2023-52620

该怎么做？

您无需执行任何操作。GKE on Bare Metal 不受影响，因为它不会在其发行版中捆绑操作系统。

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2024-26642

GKE Standard 集群会受到影响。默认配置中的 GKE Autopilot 集群不受影响，但如果您明确设置 seccomp Unconfined 配置文件或允许 CAP_NET_ADMIN，则集群可能会易受攻击。

使用 GKE Sandbox 的集群不受影响。

该怎么做？

以下次要版本会受到影响。 将 Container-Optimized OS 节点池升级到以下补丁版本之一或更高版本：

• 1.27.13-gke.1166000
• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

如果您的集群在其自己的发布渠道中运行相同的次要版本，则您可以应用来自较新发布渠道的补丁版本。此功能允许您保护节点，直到补丁版本成为发布渠道中的默认版本。有关详情，请参阅 通过较新的渠道运行补丁版本。

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2024-26642

该怎么做？

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2024-26642

该怎么做？

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2024-26642

该怎么做？

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2024-26642

该怎么做？

您无需执行任何操作。GKE on Bare Metal 不受影响，因为它不会在其发行版中捆绑操作系统。

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2024-26581

GKE Standard 集群会受到影响。默认配置中的 GKE Autopilot 集群不受影响，但如果您明确设置 seccomp Unconfined 配置文件或允许 CAP_NET_ADMIN，则集群可能会易受攻击。

使用 GKE Sandbox 的集群不受影响。

该怎么做？

2024 年 5 月 22 日更新 ：以下版本的 GKE 以修复 Ubuntu 上的此漏洞。升级 Ubuntu 节点池 以下版本或更高版本：

• 1.26.15-gke.1300000
• 1.27.13-gke.1011000
• 1.28.9-gke.1209000
• 1.29.4-gke.1542000
• 1.30.0-gke.1712000

以下次要版本会受到影响。 将 Container-Optimized OS 节点池升级到以下补丁版本之一或更高版本：

• 1.25.16-gke.1596000
• 1.26.14-gke.1076000
• 1.27.11-gke.1202000
• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

以下次要版本会受到影响。 将 Ubuntu 节点池升级到以下补丁版本之一或更高版本：

• 1.26.15-gke.1300000
• 1.28.9-gke.1209000

如果您的集群在其自己的发布渠道中运行相同的次要版本，则您可以应用来自较新发布渠道的补丁版本。此功能允许您保护节点，直到补丁版本成为发布渠道中的默认版本。有关详情，请参阅 通过较新的渠道运行补丁版本。

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2024-26581

该怎么做？

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2024-26581

该怎么做？

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2024-26581

该怎么做？

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2024-26581

该怎么做？

您无需执行任何操作。GKE on Bare Metal 不受影响，因为它不会在其发行版中捆绑操作系统。

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2024-26808

2024 年 5 月 9 日更新：将严重程度从“中”更正为“高”。 原始公告中提到 Autopilot 您的集群会受到影响，但这是不正确的。GKE Autopilot 默认配置中的集群不会受到影响，但如果您 明确设置 seccomp 不受限制的配置文件或 允许 CAP_NET_ADMIN。

GKE Standard 和 Autopilot 集群会受到影响。

使用 GKE Sandbox 的集群不受影响。

该怎么做？

2024 年 5 月 15 日更新：以下版本的 GKE 以修复 Ubuntu 上的此漏洞。升级 Ubuntu 节点池 以下版本或更高版本：

• 1.26.15-gke.1323000
• 1.27.13-gke.1206000
• 1.28.10-gke.1000000
• 1.29.3-gke.1282004
• 1.30.0-gke.1584000

以下次要版本会受到影响。 将 Container-Optimized OS 节点池升级到以下补丁版本之一或更高版本：

• 1.27.8-gke.1067000
• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

如果您的集群在其自己的发布渠道中运行相同的次要版本，则您可以应用来自较新发布渠道的补丁版本。此功能允许您保护节点，直到补丁版本成为发布渠道中的默认版本。有关详情，请参阅 通过较新的渠道运行补丁版本。

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2024-26808

该怎么做？

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2024-26808

该怎么做？

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2024-26808

该怎么做？

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2024-26808

该怎么做？

您无需执行任何操作。GKE on Bare Metal 不受影响，因为它不会在其发行版中捆绑操作系统。

2024 年 5 月 9 日更新：将严重程度从“中”更正为“高”。

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2024-26643

GKE Standard 集群会受到影响。默认配置中的 GKE Autopilot 集群不受影响，但如果您明确设置 seccomp Unconfined 配置文件或允许 CAP_NET_ADMIN，则集群可能会易受攻击。

使用 GKE Sandbox 的集群不受影响。

该怎么做？

以下次要版本会受到影响。 将 Container-Optimized OS 节点池升级到以下补丁版本之一或更高版本：

• 1.27.8-gke.1067000
• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

如果您的集群在其自己的发布渠道中运行相同的次要版本，则您可以应用来自较新发布渠道的补丁版本。此功能允许您保护节点，直到补丁版本成为发布渠道中的默认版本。有关详情，请参阅 通过较新的渠道运行补丁版本。

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2024-26643

该怎么做？

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2024-26643

该怎么做？

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2024-26643

该怎么做？

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2024-26643

该怎么做？

您无需执行任何操作。GKE on Bare Metal 不受影响，因为它不会在其发行版中捆绑操作系统。

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2024-26585

GKE Standard 和 Autopilot 集群会受到影响。

使用 GKE Sandbox 的集群不受影响。

该怎么做？

2024 年 7 月 18 日更新 ：以下版本的 GKE 以修复 Ubuntu 上的此漏洞。 将 Ubuntu 节点池升级到以下补丁版本之一或更高版本：

• 1.26.15-gke.1469000
• 1.27.14-gke.1100000
• 1.28.10-gke.1148000
• 1.29.6-gke.1038000
• 1.30.2-gke.1394000

以下次要版本会受到影响。 将 Container-Optimized OS 节点池升级到以下补丁版本之一或更高版本：

• 1.25.16-gke.1759000
• 1.26.15-gke.1158000
• 1.27.12-gke.1190000
• 1.28.8-gke.1175000
• 1.29.3-gke.1282000

如果您的集群在其自己的发布渠道中运行相同的次要版本，则您可以应用来自较新发布渠道的补丁版本。此功能允许您保护节点，直到补丁版本成为发布渠道中的默认版本。有关详情，请参阅 通过较新的渠道运行补丁版本。

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2024-26585

该怎么做？

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2024-26585

该怎么做？

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2024-26585

该怎么做？

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2024-26585

该怎么做？

您无需执行任何操作。GKE on Bare Metal 不受影响，因为它不会在其发行版中捆绑操作系统。

最近在 HTTP/2 协议的多种实现（包括 Kubernetes 使用的 golang HTTP 服务器）中发现了一个拒绝服务攻击 (DoS) 漏洞 (CVE-2023-45288)。该漏洞可能会导致 Google Kubernetes Engine (GKE) 控制平面遭受 DoS 攻击。配置了授权网络的 GKE 集群会通过限制网络访问权限加以保护，但所有其他集群都会受到影响。

GKE Autopilot 和标准集群会受到影响。

该怎么做？

2024 年 4 月 24 日更新：添加了 GKE 的补丁版本。

以下版本的 GKE 包含可修复此漏洞的 Golang 安全补丁。将 GKE 集群升级到以下版本或更高版本：

• 1.25.16-gke.1759000
• 1.26.15-gke.1158000
• 1.27.12-gke.1190000
• 1.28.8-gke.1175000
• 1.29.3-gke.1282000

golang 项目于 2024 年 4 月 3 日发布了补丁。当包含这些补丁的 GKE 版本可用时，我们会更新此公告。如需加快申请补丁的速度，请与支持团队联系。

通过配置授权网络以进行控制平面访问来缓解此问题：

您可以通过配置授权网络来缓解集群受到此类攻击的影响。按照相关说明为现有集群启用授权网络。

如需详细了解授权网络如何控制对控制平面的访问，请参阅授权网络的工作原理。如需查看默认授权网络访问权限，请查看对控制平面端点的访问权限部分中的表格。

该补丁解决了哪些漏洞？

此漏洞 (CVE-2023-45288) 允许攻击者对 Kubernetes 控制平面执行 DoS 攻击。

最近在 HTTP/2 协议的多种实现（包括 Kubernetes 使用的 golang HTTP 服务器）中发现了一个拒绝服务攻击 (DoS) 漏洞 (CVE-2023-45288)。此漏洞可能会导致 Google Kubernetes Engine (GKE) 控制平面遭到 DoS 攻击。

该怎么做？

2024 年 7 月 17 日更新：添加了 GKE on VMware 的补丁版本。

以下版本的 GKE on VMware 包含修复此问题的代码 漏洞将您的 GKE on VMware 集群升级到以下版本 版本或更高版本：

• 1.29.0
• 1.28.500
• 1.16.8

golang 项目于 2024 年 4 月 3 日发布了补丁。当包含这些补丁的 GKE on VMware 版本可用时，我们会更新此公告。如需加快申请补丁的速度，请与支持团队联系。

该补丁解决了哪些漏洞？

此漏洞 (CVE-2023-45288) 允许攻击者对 Kubernetes 控制平面执行 DoS 攻击。

最近在 HTTP/2 协议的多种实现（包括 Kubernetes 使用的 golang HTTP 服务器）中发现了一个拒绝服务攻击 (DoS) 漏洞 (CVE-2023-45288)。此漏洞可能会导致 Google Kubernetes Engine (GKE) 控制平面遭到 DoS 攻击。

该怎么做？

golang 项目于 2024 年 4 月 3 日发布了补丁。当包含这些补丁的 GKE on AWS 版本可用时，我们会更新此公告。如需加快申请补丁的速度，请与支持团队联系。

该补丁解决了哪些漏洞？

此漏洞 (CVE-2023-45288) 允许攻击者对 Kubernetes 控制平面执行 DoS 攻击。

最近在 HTTP/2 协议的多种实现（包括 Kubernetes 使用的 golang HTTP 服务器）中发现了一个拒绝服务攻击 (DoS) 漏洞 (CVE-2023-45288)。此漏洞可能会导致 Google Kubernetes Engine (GKE) 控制平面遭到 DoS 攻击。

该怎么做？

golang 项目于 2024 年 4 月 3 日发布了补丁。当包含这些补丁的 GKE on Azure 版本可用时，我们会更新此公告。如需加快申请补丁的速度，请与支持团队联系。

该补丁解决了哪些漏洞？

此漏洞 (CVE-2023-45288) 允许攻击者对 Kubernetes 控制平面执行 DoS 攻击。

最近在 HTTP/2 协议的多种实现（包括 Kubernetes 使用的 golang HTTP 服务器）中发现了一个拒绝服务攻击 (DoS) 漏洞 (CVE-2023-45288)。此漏洞可能会导致 Google Kubernetes Engine (GKE) 控制平面遭到 DoS 攻击。

该怎么做？

2024 年 7 月 9 日更新：添加了 GKE on Bare Metal 的补丁版本。

以下版本的 GKE on Bare Metal 包含用于修复此问题的代码 漏洞将 GKE on Bare Metal 集群升级为以下集群 版本或更高版本：

• 1.29.100
• 1.28.600
• 1.16.9

golang 项目于 2024 年 4 月 3 日发布了补丁。当包含这些补丁的 GKE on Bare Metal 版本可用时，我们会更新此公告。如需加快申请补丁的速度，请与支持团队联系。

该补丁解决了哪些漏洞？

此漏洞 (CVE-2023-45288) 允许攻击者对 Kubernetes 控制平面执行 DoS 攻击。

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2024-1085

GKE Standard 集群会受到影响。默认配置中的 GKE Autopilot 集群不受影响，但如果您明确设置 seccomp Unconfined 配置文件或允许 CAP_NET_ADMIN，则集群可能会易受攻击。

使用 GKE Sandbox 的集群不受影响。

该怎么做？

2024 年 5 月 6 日更新：以下版本的 GKE 以修复 Ubuntu 中的此漏洞。将 Ubuntu 节点池升级到 以下版本或更高版本。

• 1.26.15-gke.1158000
• 1.27.12-gke.1190000
• 1.28.8-gke.1175000
• 1.29.3-gke.1093000

2024 年 4 月 4 日更新：更正了 GKE Container-Optimized OS 节点池的最低版本。

包含先前列出的 Container-Optimized OS 修复的最低 GKE 版本不正确。以下版本的 GKE 已更新，并添加了代码以修复 Container-Optimized OS 上的此漏洞。将 Container-Optimized OS 节点池升级到以下版本或更高版本：

• 1.25.16-gke.1520000
• 1.26.13-gke.1221000
• 1.27.10-gke.1243000
• 1.28.8-gke.1083000
• 1.29.3-gke.1054000

以下次要版本会受到影响。 将 Container-Optimized OS 节点池升级到以下补丁版本之一或更高版本：

• 1.25.16-gke.1518000
• 1.26.13-gke.1219000
• 1.27.10-gke.1240000
• 1.28.6-gke.1433000
• 1.29.1-gke.1716000

如果您的集群在其自己的发布渠道中运行相同的次要版本，则您可以应用来自较新发布渠道的补丁版本。此功能允许您保护节点，直到补丁版本成为发布渠道中的默认版本。有关详情，请参阅 通过较新的渠道运行补丁版本。

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2024-1085

该怎么做？

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2024-1085

该怎么做？

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2024-1085

该怎么做？

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2024-1085

该怎么做？

您无需执行任何操作。GKE on Bare Metal 不受影响，因为它不会在其发行版中捆绑操作系统。

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2023-3611

GKE Standard 集群会受到影响。默认配置中的 GKE Autopilot 集群不受影响，但如果您明确设置 seccomp Unconfined 配置文件或允许 CAP_NET_ADMIN，则集群可能会易受攻击。

使用 GKE Sandbox 的集群不受影响。

该怎么做？

以下次要版本会受到影响。 将 Container-Optimized OS 节点池升级到以下补丁版本之一或更高版本：

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

以下次要版本会受到影响。 将 Ubuntu 节点池升级到以下补丁版本之一或更高版本：

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

如果您的集群在其自己的发布渠道中运行相同的次要版本，则您可以应用来自较新发布渠道的补丁版本。此功能允许您保护节点，直到补丁版本成为发布渠道中的默认版本。有关详情，请参阅 通过较新的渠道运行补丁版本。

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2023-3611

该怎么做？

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2023-3611

该怎么做？

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2023-3611

该怎么做？

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2023-3611

该怎么做？

您无需执行任何操作。GKE on Bare Metal 不受影响，因为它不会在其发行版中捆绑操作系统。

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2023-3776

GKE Standard 集群会受到影响。默认配置中的 GKE Autopilot 集群不受影响，但如果您明确设置 seccomp Unconfined 配置文件或允许 CAP_NET_ADMIN，则集群可能会易受攻击。

使用 GKE Sandbox 的集群不受影响。

该怎么做？

以下次要版本会受到影响。 将 Container-Optimized OS 节点池升级到以下补丁版本之一或更高版本：

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1014001
• 1.27.3-gke.1001002
• 1.28.0-gke.100

以下次要版本会受到影响。 将 Ubuntu 节点池升级到以下补丁版本之一或更高版本：

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

如果您的集群在其自己的发布渠道中运行相同的次要版本，则您可以应用来自较新发布渠道的补丁版本。此功能允许您保护节点，直到补丁版本成为发布渠道中的默认版本。有关详情，请参阅 通过较新的渠道运行补丁版本。

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2023-3776

该怎么做？

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2023-3776

该怎么做？

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2023-3776

该怎么做？

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2023-3776

该怎么做？

您无需执行任何操作。GKE on Bare Metal 不受影响，因为它不会在其发行版中捆绑操作系统。

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2023-3610

GKE Standard 集群会受到影响。默认配置中的 GKE Autopilot 集群不受影响，但如果您明确设置 seccomp Unconfined 配置文件或允许 CAP_NET_ADMIN，则集群可能会易受攻击。

使用 GKE Sandbox 的集群不受影响。

该怎么做？

以下次要版本会受到影响。 将 Container-Optimized OS 节点池升级到以下补丁版本之一或更高版本：

• 1.27.3-gke.1001002
• 1.28.0-gke.100

以下次要版本会受到影响。 将 Ubuntu 节点池升级到以下补丁版本之一或更高版本：

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

如果您的集群在其自己的发布渠道中运行相同的次要版本，则您可以应用来自较新发布渠道的补丁版本。此功能允许您保护节点，直到补丁版本成为发布渠道中的默认版本。有关详情，请参阅 通过较新的渠道运行补丁版本。

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2023-3610

该怎么做？

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2023-3610

该怎么做？

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2023-3610

该怎么做？

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2023-3610

该怎么做？

您无需执行任何操作。GKE on Bare Metal 不受影响，因为它不会在其发行版中捆绑操作系统。

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2024-0193

GKE Standard 集群会受到影响。默认配置中的 GKE Autopilot 集群不受影响，但如果您明确设置 seccomp Unconfined 配置文件或允许 CAP_NET_ADMIN，则集群可能会易受攻击。

使用 GKE Sandbox 的集群不受影响。

该怎么做？

以下次要版本会受到影响。 将 Container-Optimized OS 节点池升级到以下补丁版本之一或更高版本：

• 1.27.10-gke.1149000
• 1.28.6-gke.1274000
• 1.29.1-gke.1388000

以下次要版本会受到影响。 将 Ubuntu 节点池升级到以下补丁版本之一或更高版本：

• 1.25.16-gke.1412001
• 1.26.6-gke.1017002
• 1.27.10-gke.1055001
• 1.28.6-gke.1276000
• 1.29.1-gke.1392000

如果您的集群在其自己的发布渠道中运行相同的次要版本，则您可以应用来自较新发布渠道的补丁版本。此功能允许您保护节点，直到补丁版本成为发布渠道中的默认版本。有关详情，请参阅 通过较新的渠道运行补丁版本。

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2024-0193

该怎么做？

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2024-0193

该怎么做？

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2024-0193

该怎么做？

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2024-0193

该怎么做？

您无需执行任何操作。GKE on Bare Metal 不受影响，因为它不会在其发行版中捆绑操作系统。

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2023-6932

GKE Standard 集群会受到影响。默认配置中的 GKE Autopilot 集群不受影响，但如果您明确设置 seccomp Unconfined 配置文件或允许 CAP_NET_ADMIN，可能会受到攻击

使用 GKE Sandbox 的集群不受影响。

该怎么做？

以下次要版本会受到影响。 将 Container-Optimized OS 节点池升级到以下补丁版本之一或更高版本：

• 1.24.17-gke.2364001
• 1.25.16-gke.1229000
• 1.26.6-gke.1017002
• 1.27.3-gke.1001003
• 1.28.5-gke.1194000
• 1.29.0-gke.1340000

以下次要版本会受到影响。 将 Ubuntu 节点池升级到以下补丁版本之一或更高版本：

• 1.25.16-gke.1412001
• 1.26.6-gke.1017002
• 1.27.10-gke.1055001
• 1.28.6-gke.1276000
• 1.29.1-gke.1221000

如果您的集群在其自己的发布渠道中运行相同的次要版本，则您可以应用来自较新发布渠道的补丁版本。此功能允许您保护节点，直到补丁版本成为发布渠道中的默认版本。有关详情，请参阅 通过较新的渠道运行补丁版本。

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2023-6932

该怎么做？

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2023-6932

该怎么做？

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2023-6932

该怎么做？

在 Linux 内核中发现了以下漏洞， 提权：

• CVE-2023-6932

该怎么做？

您无需执行任何操作。GKE on Bare Metal 不受影响，因为它不会在其发行版中捆绑操作系统。

在 Linux 内核中发现了以下漏洞， 提升 Container-Optimized OS 和 Ubuntu 节点的权限。

• CVE-2023-6931

GKE Standard 集群会受到影响。默认配置中的 GKE Autopilot 集群不受影响，但如果您明确设置 seccomp Unconfined 配置文件或允许 CAP_NET_ADMIN，则集群可能会易受攻击。

使用 GKE Sandbox 的集群不受影响。

该怎么做？

以下次要版本会受到影响。 将 Container-Optimized OS 节点池升级到以下补丁版本之一或更高版本：

• 1.24.17-gke.2364001
• 1.25.16-gke.1229000
• 1.26.6-gke.1017002
• 1.27.3-gke.1001003
• 1.28.5-gke.1194000
• 1.29.0-gke.1340000

以下次要版本会受到影响。 将 Ubuntu 节点池升级到以下补丁版本之一或更高版本：

• 1.25.16-gke.1412001
• 1.26.6-gke.1017002
• 1.27.10-gke.1055001
• 1.28.6-gke.1276000
• 1.29.1-gke.1221000

如果您的集群在其自己的发布渠道中运行相同的次要版本，则您可以应用来自较新发布渠道的补丁版本。此功能允许您保护节点，直到补丁版本成为发布渠道中的默认版本。有关详情，请参阅 通过较新的渠道运行补丁版本。

在 Linux 内核中发现了以下漏洞， 提升 Container-Optimized OS 和 Ubuntu 节点的权限。

• CVE-2023-6931

该怎么做？

2024 年 4 月 17 日更新：添加了 GKE on VMware 的补丁版本。

以下版本的 GKE on VMware 已更新为修复此漏洞的代码。将集群升级到以下版本或更高版本：

• 1.28.200
• 1.16.6
• 1.15.10

在 Linux 内核中发现了以下漏洞， 提升 Container-Optimized OS 和 Ubuntu 节点的权限。

• CVE-2023-6931

该怎么做？

在 Linux 内核中发现了以下漏洞， 提升 Container-Optimized OS 和 Ubuntu 节点的权限。

• CVE-2023-6931

该怎么做？

在 Linux 内核中发现了以下漏洞， 提升 Container-Optimized OS 和 Ubuntu 节点的权限。

• CVE-2023-6931

该怎么做？

您无需执行任何操作。GKE on Bare Metal 不受影响，因为它不会在其发行版中捆绑操作系统。

CVE-2023-5528 允许攻击者在 Windows 节点上创建 Pod 和永久性卷，从而在这些节点上实现管理员权限提升。

运行 GKE Standard 集群， Windows Server 节点和使用树内存储插件可能会受到影响。

使用 GKE Sandbox 的 GKE Autopilot 集群和 GKE 节点池不受影响，因为它们不支持 Windows Server 节点。

该怎么做？

确定您的集群上是否使用了 Windows Server 节点：

kubectl get nodes -l kubernetes.io/os=windows

检查审核日志是否存在漏洞被利用的迹象。您可以审核 Kubernetes 审核日志 确定此漏洞是否被利用。如果永久性卷创建事件的本地路径字段包含特殊字符，则明显表明漏洞被利用了。

将 GKE 集群和节点池更新到修补后的版本。通过 已更新以下版本的 GKE 以修复此漏洞。 即使您已启用节点自动升级，我们也建议您 手动升级 将您的集群和 Windows Server 节点池迁移到以下 GKE 集群之一： 版本或更高版本：

• 1.24.17-gke.6100
• 1.25.15-gke.2000
• 1.26.10-gke.2000
• 1.27.7-gke.2000
• 1.28.3-gke.1600

如果您的集群在其自己的发布渠道中运行相同的次要版本，则您可以应用来自较新发布渠道的补丁版本。此功能允许您保护节点，直到补丁版本成为发布渠道中的默认版本。有关详情，请参阅 通过较新的渠道运行补丁版本。

该补丁解决了哪些漏洞？

CVE-2023-5528 允许攻击者在 Windows 节点上创建 Pod 和永久性卷，从而在这些节点上实现管理员权限提升。

CVE-2023-5528 允许攻击者在 Windows 节点上创建 Pod 和永久性卷，从而在这些节点上实现管理员权限提升。

运行 GKE on VMware 集群 Windows Server 节点和使用树内存储插件可能会受到影响。

该怎么做？

确定您的集群上是否使用了 Windows Server 节点：

kubectl get nodes -l kubernetes.io/os=windows

检查审核日志是否存在漏洞被利用的迹象。您可以审核 Kubernetes 审核日志 确定此漏洞是否被利用。如果永久性卷创建事件的本地路径字段包含特殊字符，则明显表明漏洞被利用了。

将 GKE on VMware 集群和节点池更新到修补后的版本。通过 为了修复此漏洞，我们更新了以下版本的 GKE on VMware。 即使您已启用节点自动升级，我们也建议您 手动升级 将您的集群和 Windows Server 节点池迁移到以下某个 GKE on VMware 版本或更高版本：

• 1.28.100-gke.131
• 1.16.5-gke.28
• 1.15.8-gke.41

该补丁解决了哪些漏洞？

CVE-2023-5528 允许攻击者在 Windows 节点上创建 Pod 和永久性卷，从而在这些节点上实现管理员权限提升。

CVE-2023-5528 允许攻击者在 Windows 节点上创建 Pod 和永久性卷，从而在这些节点上实现管理员权限提升。

GKE on AWS 集群不受影响。

该怎么做？

无需执行任何操作

CVE-2023-5528 允许攻击者在 Windows 节点上创建 Pod 和永久性卷，从而在这些节点上实现管理员权限提升。

GKE on Azure 集群不受影响。

该怎么做？

无需执行任何操作

CVE-2023-5528 允许攻击者在 Windows 节点上创建 Pod 和永久性卷，从而在这些节点上实现管理员权限提升。

GKE on Bare Metal 集群不受影响。

该怎么做？

无需执行任何操作

在 runc 中发现了一个安全漏洞 CVE-2024-21626，有权在 Container-Optimized OS 和 Ubuntu 节点上创建 Pod 的用户也许可以获得对节点文件系统的完整访问权限。

GKE Standard 和 Autopilot 集群会受到影响。

使用 GKE Sandbox 的集群 不会受到影响

该怎么做？

2024 年 2 月 28 日更新：以下版本的 GKE 已使用代码进行了更新，以修复 Ubuntu 中的此漏洞。将 Ubuntu 节点池升级到以下补丁版本之一或更高版本：

• 1.25.16-gke.1537000
• 1.26.14-gke.1006000

2024 年 2 月 15 日更新：由于某个问题，以下 Ubuntu 补丁版本 的 2024-02-14 更新可能会导致您的节点进入健康状况不佳的状态。请勿升级到以下补丁版本。当 Ubuntu 的较新补丁版本可用于 1.25 和 1.26 时，我们将更新本公告。

• 1.25.16-gke.1497000
• 1.26.13-gke.1189000

如果您已升级到这些补丁版本之一，请将节点池手动降级到发布渠道中的早期版本。

2024 年 2 月 14 日更新：以下版本的 GKE 已使用代码进行了更新，以修复 Ubuntu 中的此漏洞。将 Ubuntu 节点池升级到以下补丁版本之一或更高版本：

• 1.25.16-gke.1497000
• 1.26.13-gke.1189000
• 1.27.10-gke.1207000
• 1.28.6-gke.1369000
• 1.29.1-gke.1575000

2024 年 2 月 6 日更新：以下版本的 GKE 已更新为修复 Container-Optimized OS 中的此漏洞的代码。 出于安全考虑，即使您启用了节点自动升级，我们仍建议您将集群和 Container-Optimized OS 节点池手动升级到以下 GKE 版本之一或更高版本：

• 1.25.16-gke.1460000
• 1.26.13-gke.1144000
• 1.27.10-gke.1152000
• 1.28.6-gke.1289000
• 1.29.1-gke.1425000

如果您的集群在其自己的发布渠道中运行相同的次要版本，则您可以应用来自较新发布渠道的补丁版本。此功能允许您保护节点，直到补丁版本成为发布渠道中的默认版本。有关详情，请参阅 通过较新的渠道运行补丁版本。

我们正在使用代码更新 GKE 以修复此漏洞。在补丁版本可用后，我们将更新本公告。

该补丁解决了哪些漏洞？

runc 是一种低级工具，用于生成和运行 Kubernetes Pod在本安全公告中发布的补丁之前的 runc 版本中，有几个文件描述符被意外泄露到容器内运行的 runc init 进程中。runc还执行了以下操作： 不验证容器的最终工作目录是否在容器的装载中 命名空间。恶意容器映像或有权运行任意 Pod 的用户可能会结合使用泄露的文件描述符和缺少工作目录验证来获取节点的主机装载命名空间的访问权限，以及访问整个主机文件系统并覆盖节点上的任意二进制文件。

在 runc 中发现了一个安全漏洞 CVE-2024-21626，有权在 Container-Optimized OS 和 Ubuntu 节点上创建 Pod 的用户也许可以获得对节点文件系统的完整访问权限。

该怎么做？

2024 年 3 月 6 日更新：以下版本的 GKE on VMware 的代码，以修复此漏洞。将集群升级到以下版本或更高版本：

• 1.28.200
• 1.16.6
• 1.15.9

GKE on VMware 的补丁版本正在开发，GKE on VMware 的严重程度评估正在进行。如果有进展信息，我们将相应更新此公告。

该补丁解决了哪些漏洞？

runc 是一种低级工具，用于生成和运行 Kubernetes Pod在本安全公告中发布的补丁之前的 runc 版本中，有几个文件描述符被意外泄露到容器内运行的 runc init 进程中。runc还执行了以下操作： 不验证容器的最终工作目录是否在容器的装载中 命名空间。恶意容器映像或有权运行任意 Pod 的用户可能会结合使用泄露的文件描述符和缺少工作目录验证来获取节点的主机装载命名空间的访问权限，以及访问整个主机文件系统并覆盖节点上的任意二进制文件。

在 runc 中发现了一个安全漏洞 CVE-2024-21626，有权在 Container-Optimized OS 和 Ubuntu 节点上创建 Pod 的用户也许可以获得对节点文件系统的完整访问权限。

该怎么做？

2024 年 5 月 6 日更新：以下版本的 GKE on AWS 更新了 CVE-2024-21626 的补丁：

• 1.28.5-gke.1200
• 1.27.10-gke.500
• 1.26.13-gke.400

GKE on AWS 的补丁版本正在开发，GKE on AWS 的严重程度评估正在进行。如果有进展信息，我们将相应更新此公告。

该补丁解决了哪些漏洞？

runc 是一种低级工具，用于生成和运行 Kubernetes Pod在本安全公告中发布的补丁之前的 runc 版本中，有几个文件描述符被意外泄露到容器内运行的 runc init 进程中。runc还执行了以下操作： 不验证容器的最终工作目录是否在容器的装载中 命名空间。恶意容器映像或有权运行任意 Pod 的用户可能会结合使用泄露的文件描述符和缺少工作目录验证来获取节点的主机装载命名空间的访问权限，以及访问整个主机文件系统并覆盖节点上的任意二进制文件。

在 runc 中发现了一个安全漏洞 CVE-2024-21626，有权在 Container-Optimized OS 和 Ubuntu 节点上创建 Pod 的用户也许可以获得对节点文件系统的完整访问权限。

该怎么做？

2024 年 5 月 6 日更新：以下版本的 GKE on Azure 更新了 CVE-2024-21626 的补丁：

• 1.28.5-gke.1200
• 1.27.10-gke.500
• 1.26.13-gke.400

GKE on Azure 的补丁版本正在开发，GKE on Azure 的严重程度评估正在进行。如果有进展信息，我们将相应更新此公告。

该补丁解决了哪些漏洞？

runc 是一种低级工具，用于生成和运行 Kubernetes Pod在本安全公告中发布的补丁之前的 runc 版本中，有几个文件描述符被意外泄露到容器内运行的 runc init 进程中。runc还执行了以下操作： 不验证容器的最终工作目录是否在容器的装载中 命名空间。恶意容器映像或有权运行任意 Pod 的用户可能会结合使用泄露的文件描述符和缺少工作目录验证来获取节点的主机装载命名空间的访问权限，以及访问整个主机文件系统并覆盖节点上的任意二进制文件。

在 runc 中发现了一个安全漏洞 CVE-2024-21626： 拥有创建 Pod 权限的用户或许能够获得对节点文件系统的完全访问权限。

该怎么做？

2024 年 4 月 2 日更新：以下版本的 GKE on Bare Metal 的代码，以修复此漏洞。将集群升级到以下版本或更高版本：

• 1.28.200-gke.118
• 1.16.6
• 1.15.10

GKE on Bare Metal 的补丁版本正在开发，GKE on Bare Metal 的严重程度评估正在进行。如果有进展信息，我们将相应更新此公告。

该补丁解决了哪些漏洞？

runc 是一种低级工具，用于生成和运行 Kubernetes Pod在本安全公告中发布的补丁之前的 runc 版本中，有几个文件描述符被意外泄露到容器内运行的 runc init 进程中。runc还执行了以下操作： 不验证容器的最终工作目录是否在容器的装载中 命名空间。恶意容器映像或有权运行任意 Pod 的用户可能会结合使用泄露的文件描述符和缺少工作目录验证来获取节点的主机装载命名空间的访问权限，以及访问整个主机文件系统并覆盖节点上的任意二进制文件。

在 Linux 内核中发现了以下漏洞， 提升 Container-Optimized OS 和 Ubuntu 节点的权限。

• CVE-2023-6817

GKE Standard 集群会受到影响。默认配置中的 GKE Autopilot 集群不受影响，但如果您明确设置 seccomp Unconfined 配置文件或允许 CAP_NET_ADMIN，可能会受到攻击

使用 GKE Sandbox 的集群不受影响。

该怎么做？

2024 年 2 月 7 日更新：以下次要版本会受到影响。 将 Ubuntu 节点池升级到以下补丁版本之一或更高版本：

• 1.25.16-gke.1458000
• 1.26.13-gke.1143000
• 1.27.10-gke.1152000
• 1.28.6-gke.1276000
• 1.29.1-gke.1221000

以下次要版本会受到影响。 将 Container-Optimized OS 节点池升级到以下补丁版本之一或更高版本：

• 1.25.16-gke.1229000
• 1.26.12-gke.1087000
• 1.27.3-gke.1001003
• 1.28.5-gke.1194000
• 1.29.0-gke.1340000

如果您的集群在其自己的发布渠道中运行相同的次要版本，则您可以应用来自较新发布渠道的补丁版本。此功能允许您保护节点，直到补丁版本成为发布渠道中的默认版本。有关详情，请参阅 通过较新的渠道运行补丁版本。

在 Linux 内核中发现了以下漏洞， 提升 Container-Optimized OS 和 Ubuntu 节点的权限。

• CVE-2023-6817

该怎么做？

在 Linux 内核中发现了以下漏洞， 提升 Container-Optimized OS 和 Ubuntu 节点的权限。

• CVE-2023-6817

该怎么做？

在 Linux 内核中发现了以下漏洞， 提升 Container-Optimized OS 和 Ubuntu 节点的权限。

• CVE-2023-6817

该怎么做？

在 Linux 内核中发现了以下漏洞， 提升 Container-Optimized OS 和 Ubuntu 节点的权限。

• CVE-2023-6817

该怎么做？

您无需执行任何操作。GKE on Bare Metal 不受影响，因为它不会在其发行版中捆绑操作系统。

2024 年 1 月 26 日更新：发现少数 GKE 集群存在客户创建的涉及 system:authenticated 群组的错误配置的安全研究现已发布。研究人员的博文引用了 1,300 个存在某些错误配置的绑定的集群和 108 个具有高权限的集群。我们已与受影响的客户密切合作，通知他们并协助处理 并移除配置有误的绑定

我们已经确定了若干集群，其中用户已向 system:authenticated 群组（包括拥有 Google 账号的所有用户）授予了 Kubernetes 权限。我们不建议进行上述类型的绑定，因为这违反了最小权限原则，向大量用户授予了访问权限。请参阅“我该怎么做”下的指南用于 有关如何查找这些类型的绑定的说明。

最近，一位安全研究人员报告了使用 RBAC 创建的集群的发现结果 错误配置。

Google 的身份验证方法是向 Google Cloud 进行身份验证 在不添加复杂的配置步骤的情况下，尽可能简单、安全地使用 GKE。 身份验证只能验证用户的身份，授权则决定了用户的访问权限。因此，system:authenticated 群组 GKE 包含通过 Google 身份提供方进行身份验证的所有用户 其运行方式符合预期，其运行方式与 IAM allAuthenticatedUsers 标识符进行身份验证。

考虑到这一点，我们采取了多项措施来降低用户对 Kubernetes 内置用户和群组（包括 system:anonymous、system:authenticated 和 system:unauthenticated）进行错误授权的风险。如果获得权限，所有这些用户/群组都会给集群带来风险。周三 讨论了针对 RBAC 配置错误的一些攻击者活动， 可用的防御措施 2023 年 11 月发布的 Kubecon 报告。

为了防止用户在使用这些系统用户/群组时发生意外授权错误，我们采取了以下措施：

• 在 GKE 1.28 版本中，默认情况下禁止新增权限较高的 ClusterRole cluster-admin 与用户 system:anonymous、群组 system:authenticated 或群组 system:unauthenticated 的绑定。
• 将检测规则作为 Security Command Center 的一部分内置于 Event Threat Detection (GKE_CONTROL_PLANE_CREATE_SENSITIVE_BINDING)。
• 通过 K8sRestrictRoleBindings 在 Policy Controller 中内置可配置的防护规则。
• 向所有 GKE 用户发送了电子邮件通知，这些用户已绑定到这些客户 用户/群组，请他们检查自己的配置。
• 建立网络授权功能，并建议限制集群的网络访问权限，以此作为第一层防护措施。
• 通过实施这一解决方案， 2023 年 11 月在 Kubecon 举办的演讲。

应用授权网络限制的集群有第一层防御：它们无法直接从互联网遭受攻击。但我们仍建议移除这些绑定，以实现纵深防御并防止网络控制错误。
请注意，在很多情况下，与 Kubernetes 系统用户或群组的绑定是有意使用的：例如，用于 kubeadm 引导、Rancher 信息中心和 Bitnami Sealed Secrets。我们已与相关软件供应商确认，这些绑定的工作方式符合设计预期。

我们正在研究如何进一步防范用户 RBAC 通过预防和 检测。

该怎么做？

为防止任何新的 cluster-admin 绑定到用户 system:anonymous、群组 system:authenticated 或群组 system:unauthenticated，用户可以升级到 GKE v1.28 或更高版本（版本说明），系统会阻止创建这些绑定。

应按照以下 本指南。

在 Linux 内核中发现了以下漏洞， Container-Optimized OS 节点上的提权。

• CVE-2023-6111

GKE Standard 集群会受到影响。默认配置中的 GKE Autopilot 集群不受影响，但如果您明确设置 seccomp Unconfined 配置文件或允许 CAP_NET_ADMIN，可能会受到攻击

使用 GKE Sandbox 的集群不受影响。

该怎么做？

以下次要版本会受到影响。 将 Container-Optimized OS 节点池升级到以下补丁版本之一或更高版本：

• 1.27.7-gke.1063001
• 1.28.5-gke.1194000
• 1.29.0-gke.1340000

如果您的集群在其自己的发布渠道中运行相同的次要版本，则您可以应用来自较新发布渠道的补丁版本。此功能允许您保护节点，直到补丁版本成为发布渠道中的默认版本。有关详情，请参阅 通过较新的渠道运行补丁版本。

在 Linux 内核中发现了以下漏洞， Container-Optimized OS 节点上的提权。

• CVE-2023-6111

该怎么做？

2024 年 2 月 20 日更新：更新了以下版本的 GKE on VMware，并添加了代码来修复此漏洞。将集群升级到以下版本或更高版本：1.28.100

在 Linux 内核中发现了以下漏洞， Container-Optimized OS 节点上的提权。

• CVE-2023-6111

该怎么做？

在 Linux 内核中发现了以下漏洞， Container-Optimized OS 节点上的提权。

• CVE-2023-6111

该怎么做？

在 Linux 内核中发现了以下漏洞， Container-Optimized OS 节点上的提权。

• CVE-2023-6111

该怎么做？

您无需执行任何操作。GKE on Bare Metal 不受影响，因为它不会在其发行版中捆绑操作系统。

在 Linux 内核中发现了以下漏洞， 提升 Container-Optimized OS 和 Ubuntu 节点的权限。

• CVE-2023-3609

GKE Standard 集群会受到影响。默认配置中的 GKE Autopilot 集群不受影响，但如果您明确设置 seccomp Unconfined 配置文件或允许 CAP_NET_ADMIN，则集群可能会易受攻击。

使用 GKE Sandbox 的集群不受影响。

该怎么做？

以下次要版本会受到影响。 将 Container-Optimized OS 节点池升级到以下补丁版本之一或更高版本：

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1014001
• 1.27.3-gke.1001002
• 1.28.0-gke.100

以下次要版本会受到影响。 将 Ubuntu 节点池升级到以下补丁版本之一或更高版本：

• 1.24.14-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

如果您的集群在其自己的发布渠道中运行相同的次要版本，则您可以应用来自较新发布渠道的补丁版本。此功能允许您保护节点，直到补丁版本成为发布渠道中的默认版本。有关详情，请参阅 通过较新的渠道运行补丁版本。

在 Linux 内核中发现了以下漏洞， 提升 Container-Optimized OS 和 Ubuntu 节点的权限。

• CVE-2023-3609

该怎么做？

在 Linux 内核中发现了以下漏洞， 提升 Container-Optimized OS 和 Ubuntu 节点的权限。

• CVE-2023-3609

该怎么做？

在 Linux 内核中发现了以下漏洞， 提升 Container-Optimized OS 和 Ubuntu 节点的权限。

• CVE-2023-3609

该怎么做？

在 Linux 内核中发现了以下漏洞， 提升 Container-Optimized OS 和 Ubuntu 节点的权限。

• CVE-2023-3609

该怎么做？

您无需执行任何操作。GKE on Bare Metal 不受影响，因为它不会在其发行版中捆绑操作系统。

在 Linux 内核中发现了以下漏洞， 提升 Container-Optimized OS 和 Ubuntu 节点的权限。

• CVE-2023-3389

GKE Standard 和 Autopilot 集群会受到影响。

使用 GKE Sandbox 的集群不受影响。

该怎么做？

以下次要版本会受到影响。 将 Container-Optimized OS 节点池升级到以下补丁版本之一或更高版本：

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1014001
• 1.27.3-gke.1001002
• 1.28.0-gke.100

以下次要版本会受到影响。 将 Ubuntu 节点池升级到以下补丁版本之一或更高版本：

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1014001
• 1.27.3-gke.1001002
• 1.28.1-gke.1002003

如果您的集群在其自己的发布渠道中运行相同的次要版本，则您可以应用来自较新发布渠道的补丁版本。此功能允许您保护节点，直到补丁版本成为发布渠道中的默认版本。有关详情，请参阅 通过较新的渠道运行补丁版本。

在 Linux 内核中发现了以下漏洞， 提升 Container-Optimized OS 和 Ubuntu 节点的权限。

• CVE-2023-3389

该怎么做？

在 Linux 内核中发现了以下漏洞， 提升 Container-Optimized OS 和 Ubuntu 节点的权限。

• CVE-2023-3389

该怎么做？

在 Linux 内核中发现了以下漏洞， 提升 Container-Optimized OS 和 Ubuntu 节点的权限。

• CVE-2023-3389

该怎么做？

在 Linux 内核中发现了以下漏洞， 提升 Container-Optimized OS 和 Ubuntu 节点的权限。

• CVE-2023-3389

该怎么做？

您无需执行任何操作。GKE on Bare Metal 不受影响，因为它不会在其发行版中捆绑操作系统。

在 Linux 内核中发现了以下漏洞， 提升 Container-Optimized OS 和 Ubuntu 节点的权限。

• CVE-2023-3090

GKE Standard 集群会受到影响。默认配置中的 GKE Autopilot 集群不受影响，但如果您明确设置 seccomp Unconfined 配置文件或允许 CAP_NET_ADMIN，则可能会受此漏洞影响。

使用 GKE Sandbox 的集群不受影响。

该怎么做？

以下次要版本会受到影响。 将 Container-Optimized OS 节点池升级到以下补丁版本之一或更高版本：

• 1.24.14-gke.1027001
• 1.25.12-gke.900
• 1.26.5-gke.1014001
• 1.27.4-gke.400
• 1.28.0-gke.100

以下次要版本会受到影响。 将 Ubuntu 节点池升级到以下补丁版本之一或更高版本：

• 1.24.14-gke.1027001
• 1.25.12-gke.900
• 1.26.5-gke.1014001
• 1.27.4-gke.900
• 1.28.1-gke.1050000

如果您的集群在其自己的发布渠道中运行相同的次要版本，则您可以应用来自较新发布渠道的补丁版本。此功能允许您保护节点，直到补丁版本成为发布渠道中的默认版本。有关详情，请参阅 通过较新的渠道运行补丁版本。

在 Linux 内核中发现了以下漏洞， 提升 Container-Optimized OS 和 Ubuntu 节点的权限。

• CVE-2023-3090

该怎么做？

在 Linux 内核中发现了以下漏洞， 提升 Container-Optimized OS 和 Ubuntu 节点的权限。

• CVE-2023-3090

该怎么做？

在 Linux 内核中发现了以下漏洞， 提升 Container-Optimized OS 和 Ubuntu 节点的权限。

• CVE-2023-3090

该怎么做？

在 Linux 内核中发现了以下漏洞， 提升 Container-Optimized OS 和 Ubuntu 节点的权限。

• CVE-2023-3090

该怎么做？

您无需执行任何操作。GKE on Bare Metal 不受影响，因为它不会在其发行版中捆绑操作系统。

在 Linux 内核中发现了以下漏洞， 提升 Container-Optimized OS 和 Ubuntu 节点的权限。

• CVE-2023-3390

2023 年 12 月 21 日更新：原始公告中注明 Autopilot 您的集群会受到影响，但这是不正确的。GKE Autopilot 默认配置中的集群不会受到影响，但如果您 明确设置 seccomp 不受限制的配置文件或 允许 CAP_NET_ADMIN。

GKE Standard 和 Autopilot 集群会受到影响。

使用 GKE Sandbox 的集群不受影响。

该怎么做？

以下次要版本会受到影响。 将 Container-Optimized OS 节点池升级到以下补丁版本之一或更高版本：

• 1.27.4-gke.400
• 1.28.0-gke.100

以下次要版本会受到影响。 将 Ubuntu 节点池升级到以下补丁版本之一或更高版本：

• 1.24.14-gke.1027001
• 1.25.12-gke.900
• 1.26.5-gke.1014001
• 1.27.4-gke.900
• 1.28.1-gke.1050000

如果您的集群在其自己的发布渠道中运行相同的次要版本，则您可以应用来自较新发布渠道的补丁版本。此功能允许您保护节点，直到补丁版本成为发布渠道中的默认版本。有关详情，请参阅 通过较新的渠道运行补丁版本。

在 Linux 内核中发现了以下漏洞， 提升 Container-Optimized OS 和 Ubuntu 节点的权限。

• CVE-2023-3390

该怎么做？

在 Linux 内核中发现了以下漏洞， 提升 Container-Optimized OS 和 Ubuntu 节点的权限。

• CVE-2023-3390

该怎么做？

在 Linux 内核中发现了以下漏洞， 提升 Container-Optimized OS 和 Ubuntu 节点的权限。

• CVE-2023-3390

该怎么做？

在 Linux 内核中发现了以下漏洞， 提升 Container-Optimized OS 和 Ubuntu 节点的权限。

• CVE-2023-3390

该怎么做？

您无需执行任何操作。GKE on Bare Metal 不受影响，因为它不会在其发行版中捆绑操作系统。

入侵了 Fluent Bit 日志记录容器的攻击者可以将两者合并在一起， 具有 Cloud Service Mesh 所需的高特权访问权限（针对具有 启用）以提升集群中的权限。对于 Fluent Bit 和 Cloud Service Mesh 已缓解，现提供修复。这些漏洞 不可在 GKE 中被单独利用，需要初始入侵。 我们尚未发现任何利用这些漏洞的实例。

这些问题是通过我们的 漏洞奖励计划。

该怎么做？

以下版本的 GKE 已更新，包含修复了 对于 出于安全考虑，即使您启用了节点自动升级，我们也建议您 您 手动升级 您的集群和节点池迁移到以下某个 GKE 版本，或者 稍后：

• 1.25.16-gke.1020000
• 1.26.10-gke.1235000
• 1.27.7-gke.1293000
• 1.28.4-gke.1083000

借助发布渠道的最新功能，您可以应用补丁，而不必退订渠道。这样，您就可以保护节点，直到新版本成为特定发布渠道的默认版本。

如果您的集群使用集群内 Cloud Service Mesh， 手动升级为 以下版本 （版本说明）：

• 1.17.8-asm.8
• 1.18.6-asm.2
• 1.19.5-asm.4

该补丁解决了哪些漏洞？

本公告中修复的漏洞需要攻击者破坏 Fluent Bit 日志记录容器。我们不知道 Fluent Bit 中是否有任何会导致此提升权限先决条件的漏洞。我们已经修补这些漏洞，作为加固措施，防止可能的 完整的攻击链

GKE 使用 Fluent Bit 来处理集群上运行的工作负载的日志。 Fluent Bit on GKE 还被配置为 Cloud Run 工作负载。配置为收集这些日志的卷装载 Fluent Bit 拥有在集群中运行的其他 Pod 的 Kubernetes 服务账号令牌的访问权限， 节点。研究人员利用此访问权限发现了具有较高特权的服务账号 令牌。

Cloud Service Mesh 需要较高的权限，才能对 包括创建和删除 Pod 的功能。通过 研究人员使用 Cloud Service Mesh 的特权 Kubernetes 服务账号令牌 通过创建新 Pod 来提升最初被盗用的权限， cluster-admin 权限

我们已移除 Fluent Bit 对服务账号令牌的访问权限，并 重新设计了 Cloud Service Mesh 的功能，以移除多余的权限。

只有使用 Cloud Service Mesh 的 GKE on VMware 集群会受到影响。

该怎么做？

如果您的集群使用集群内 Cloud Service Mesh， 手动升级到 以下某个版本 （版本说明）：

• 1.17.8-asm.8
• 1.18.6-asm.2
• 1.19.5-asm.4

该补丁解决了哪些漏洞？

本公告解决的漏洞要求攻击者首先入侵或以其他方式破解容器，或者拥有集群节点上的 root 权限。周三 不知道会导致此前提条件的任何现有漏洞 提权的条件。我们已将这些漏洞作为安全强化型 以防止将来出现潜在的完整攻击链。

Cloud Service Mesh 需要较高的权限，才能对 包括创建和删除 Pod 的功能。研究员 使用 Cloud Service Mesh 的特权 Kubernetes 服务账号令牌上报其 通过创建具有 cluster-admin 权限的新 Pod 来移除初始被盗用权限。

我们重新设计了 Cloud Service Mesh 的功能， 权限。

只有使用 Cloud Service Mesh 的 GKE on AWS 集群会受到影响。

该怎么做？

如果您的集群使用集群内 Cloud Service Mesh， 手动升级 以下某个版本 （版本说明）：

• 1.17.8-asm.8
• 1.18.6-asm.2
• 1.19.5-asm.4

该补丁解决了哪些漏洞？

本公告解决的漏洞要求攻击者首先入侵或以其他方式破解容器，或者拥有集群节点上的 root 权限。我们是 不知道会导致此先决条件的任何现有漏洞 进行提权。我们已修补这些漏洞，以强化 防止将来出现潜在的完整攻击链。

Cloud Service Mesh 需要较高的权限，才能对 包括创建和删除 Pod 的功能。研究员 使用 Cloud Service Mesh 的特权 Kubernetes 服务账号令牌上报其 通过创建具有 cluster-admin 权限的新 Pod 来移除初始被盗用权限。

我们重新设计了 Cloud Service Mesh 的功能， 权限。

只有使用 Cloud Service Mesh 的 GKE on Azure 集群会受到影响。

该怎么做？

如果您的集群使用集群内 Cloud Service Mesh， 手动升级 以下某个版本 （版本说明）：

• 1.17.8-asm.8
• 1.18.6-asm.2
• 1.19.5-asm.4

该补丁解决了哪些漏洞？

本公告解决的漏洞要求攻击者首先入侵或以其他方式破解容器，或者拥有集群节点上的 root 权限。我们是 不知道会导致此先决条件的任何现有漏洞 进行提权。我们已修补这些漏洞，以加固措施 以防止将来出现潜在的完整攻击链。

Cloud Service Mesh 需要较高的权限，才能对 包括创建和删除 Pod 的功能。研究员 使用 Cloud Service Mesh 的特权 Kubernetes 服务账号令牌上报其 通过创建具有 cluster-admin 权限的新 Pod 来移除初始被盗用权限。

我们重新设计了 Cloud Service Mesh 的功能， 权限。

只有使用 Cloud Service Mesh 的 GKE on Bare Metal 集群会受到影响。

该怎么做？

如果您的集群使用集群内 Cloud Service Mesh， 手动升级到 以下某个版本 （版本说明）：

• 1.17.8-asm.8
• 1.18.6-asm.2
• 1.19.5-asm.4

该补丁解决了哪些漏洞？

本公告解决的漏洞要求攻击者首先入侵或以其他方式破解容器，或者拥有集群节点上的 root 权限。我们是 不知道会导致此先决条件的任何现有漏洞 进行提权。我们已修补这些漏洞，以强化 防止将来出现潜在的完整攻击链。

Anthos Service Mesh 需要较高的权限，才能对 包括创建和删除 Pod 的功能。研究员 使用 Cloud Service Mesh 的特权 Kubernetes 服务账号令牌上报其 通过创建具有 cluster-admin 权限的新 Pod 来移除初始被盗用权限。

我们重新设计了 Cloud Service Mesh 的功能， 权限。

在 Linux 内核中发现了以下漏洞， 提升 Container-Optimized OS 和 Ubuntu 节点的权限。

• CVE-2023-5717

GKE Standard 和 Autopilot 集群会受到影响。

使用 GKE Sandbox 的集群不受影响。

该怎么做？

2024 年 1 月 22 日更新：以下次要版本会受到影响。 将 Ubuntu 节点池升级到以下补丁版本之一或更高版本：

• 1.24.17-gke.2472000
• 1.25.16-gke.1268000
• 1.26.12-gke.1111000
• 1.27.9-gke.1092000
• 1.28.5-gke.1217000
• 1.29.0-gke.138100

以下次要版本会受到影响。 将 Container-Optimized OS 节点池升级到以下补丁版本之一或更高版本：

• 1.24.17-gke.2113000
• 1.25.14-gke.1421000
• 1.25.15-gke.1083000
• 1.26.10-gke.1073000
• 1.27.7-gke.1088000
• 1.28.3-gke.1203000

如果您的集群在其自己的发布渠道中运行相同的次要版本，则您可以应用来自较新发布渠道的补丁版本。此功能允许您保护节点，直到补丁版本成为发布渠道中的默认版本。有关详情，请参阅 通过较新的渠道运行补丁版本。

在 Linux 内核中发现了以下漏洞， 提升 Container-Optimized OS 和 Ubuntu 节点的权限。

• CVE-2023-5717

该怎么做？

2024 年 3 月 4 日更新：以下版本的 GKE on VMware 更新了代码以修复此漏洞。升级集群 以下版本或更高版本：

• 1.28.200
• 1.16.5
• 1.15.8

在 Linux 内核中发现了以下漏洞， 提升 Container-Optimized OS 和 Ubuntu 节点的权限。

• CVE-2023-5717

该怎么做？

在 Linux 内核中发现了以下漏洞， 提升 Container-Optimized OS 和 Ubuntu 节点的权限。

• CVE-2023-5717

该怎么做？

在 Linux 内核中发现了以下漏洞， 提升 Container-Optimized OS 和 Ubuntu 节点的权限。

• CVE-2023-5717

该怎么做？

您无需执行任何操作。GKE on Bare Metal 不受影响，因为它不会在其发行版中捆绑操作系统。

在 Linux 内核中发现了以下漏洞， 提升 Container-Optimized OS 和 Ubuntu 节点的权限。

• CVE-2023-5197

2023 年 12 月 21 日更新：原始公告中注明 Autopilot 您的集群会受到影响，但这是不正确的。GKE Autopilot 默认配置中的集群不会受到影响，但如果您 明确设置 seccomp 不受限制的配置文件或 允许 CAP_NET_ADMIN。

GKE Standard 和 Autopilot 集群会受到影响。

使用 GKE Sandbox 的集群不受影响。

该怎么做？

以下次要版本会受到影响。 将 Container-Optimized OS 节点池升级到以下补丁版本之一或更高版本：

• 1.25.13-gke.1002003
• 1.26.9-gke.1514000
• 1.27.6-gke.1513000
• 1.28.2-gke.1164000

以下次要版本会受到影响。 将 Ubuntu 节点池升级到以下补丁版本之一或更高版本：

• 1.24.16-gke.1005001
• 1.25.13-gke.1002003
• 1.26.9-gke.1548000
• 1.27.7-gke.1039000
• 1.28.3-gke.1061000

如果您的集群在其自己的发布渠道中运行相同的次要版本，则您可以应用来自较新发布渠道的补丁版本。此功能允许您保护节点，直到补丁版本成为发布渠道中的默认版本。有关详情，请参阅 通过较新的渠道运行补丁版本。

在 Linux 内核中发现了以下漏洞， 提升 Container-Optimized OS 和 Ubuntu 节点的权限。

• CVE-2023-5197

该怎么做？

在 Linux 内核中发现了以下漏洞， 提升 Container-Optimized OS 和 Ubuntu 节点的权限。

• CVE-2023-5197

该怎么做？

在 Linux 内核中发现了以下漏洞， 提升 Container-Optimized OS 和 Ubuntu 节点的权限。

• CVE-2023-5197

该怎么做？

在 Linux 内核中发现了以下漏洞， 提升 Container-Optimized OS 和 Ubuntu 节点的权限。

• CVE-2023-5197

该怎么做？

您无需执行任何操作。GKE on Bare Metal 不受影响，因为它不会在其发行版中捆绑操作系统。

在 Linux 内核中发现了以下漏洞， 提升 Container-Optimized OS 和 Ubuntu 节点的权限。

• CVE-2023-4147

GKE Standard 集群会受到影响。GKE Autopilot 集群不受影响。

使用 GKE Sandbox 的集群不受影响。

该怎么做？

2023 年 11 月 15 日更新：您只需升级到其中一个修补版本 列出的其他次要版本。例如： 如果您使用的是 GKE 1.27 版，则应升级到相应的修补 版本。但是，如果您使用的是 GKE 1.24 版本，则无需升级到 经过修补的版本

升级您的 将 Container-Optimized OS 节点池迁移到以下某个版本或更高版本：

• 1.27.5-gke.200
• 1.28.2-gke.1157000

将您的 Ubuntu 节点池升级到以下某个版本或更高版本：

• 1.25.14-gke.1421000
• 1.26.9-gke.1437000
• 1.27.6-gke.1248000
• 1.28.2-gke.1157000

如果您的集群在其自己的发布渠道中运行相同的次要版本，则您可以应用来自较新发布渠道的补丁版本。借助此功能，您可以确保节点 经过修补的版本会成为您发布渠道中的默认版本。有关详情，请参阅 通过较新的渠道运行补丁版本。

在 Linux 内核中发现了以下漏洞， 提升 Container-Optimized OS 和 Ubuntu 节点的权限。

• CVE-2023-4147

该怎么做？

在 Linux 内核中发现了以下漏洞， 提升 Container-Optimized OS 和 Ubuntu 节点的权限。

• CVE-2023-4147

该怎么做？

在 Linux 内核中发现了以下漏洞， 提升 Container-Optimized OS 和 Ubuntu 节点的权限。

• CVE-2023-4147

该怎么做？

在 Linux 内核中发现了以下漏洞， 提升 Container-Optimized OS 和 Ubuntu 节点的权限。

• CVE-2023-4147

该怎么做？

您无需执行任何操作。GKE on Bare Metal 不受影响，因为它不会在其发行版中捆绑操作系统。

在 Linux 内核中发现了以下漏洞， 提升 Container-Optimized OS 和 Ubuntu 节点的权限。

• CVE-2023-4004

2023 年 12 月 21 日更新：原始公告中注明 Autopilot 您的集群会受到影响，但这是不正确的。GKE Autopilot 默认配置中的集群不会受到影响，但如果您 明确设置 seccomp 不受限制的配置文件或 允许 CAP_NET_ADMIN。

Autopilot 集群会受到影响。

使用 GKE Sandbox 的集群不受影响。

该怎么做？

2023 年 12 月 5 日更新：之前缺少某些 GKE 版本。以下是更新后的 GKE 版本列表，您可以将 Container-Optimized OS 更新为这些版本：

• 1.24.17-gke.200 或更高版本
• 1.25.13-gke.200 或更高版本
• 1.26.8-gke.200 或更高版本
• 1.27.4-gke.2300 或更高版本
• 1.28.1-gke.1257000 或更高版本

2023 年 11 月 21 日更新：如果您在节点中使用该次要版本，只需升级到本公告中列出的其中一个补丁版本。未列出的次要版本不会受到影响。

将 Container-Optimized OS 节点池升级到以下某个版本或更高版本：

• 1.27.4-gke.2300
• 1.28.1-gke.1257000

将您的 Ubuntu 节点池升级到以下某个版本或更高版本：

• 1.24.14-gke.1027001
• 1.25.13-gke.700
• 1.26.8-gke.700
• 1.27.5-gke.700
• 1.28.1-gke.1050000

在 Linux 内核中发现了以下漏洞， 提升 Container-Optimized OS 和 Ubuntu 节点的权限。

• CVE-2023-4004

该怎么做？

在 Linux 内核中发现了以下漏洞， 提升 Container-Optimized OS 和 Ubuntu 节点的权限。

• CVE-2023-4004

该怎么做？

在 Linux 内核中发现了以下漏洞， 提升 Container-Optimized OS 和 Ubuntu 节点的权限。

• CVE-2023-4004

该怎么做？

在 Linux 内核中发现了以下漏洞， 提升 Container-Optimized OS 和 Ubuntu 节点的权限。

• CVE-2023-4004

该怎么做？

您无需执行任何操作。GKE on Bare Metal 不受影响，因为它不会在发行版中捆绑操作系统。

在 Linux 内核中发现了以下漏洞， 提升 Container-Optimized OS 和 Ubuntu 节点的权限。

• CVE-2023-4921

2023 年 12 月 21 日更新：原始公告中注明 Autopilot 您的集群会受到影响，但这是不正确的。GKE Autopilot 默认配置中的集群不会受到影响，但如果您 明确设置 seccomp 不受限制的配置文件或 允许 CAP_NET_ADMIN。

Autopilot 集群会受到影响。

使用 GKE Sandbox 的集群不受影响。

该怎么做？

2023 年 11 月 21 日更新：如果您在节点中使用该次要版本，只需升级到本公告中列出的其中一个补丁版本。未列出的次要版本不会受到影响。

将 Container-Optimized OS 节点池升级到以下某个版本或更高版本：

• 1.24.14-gke.1027001
• 1.25.14-gke.1351000
• 1.26.9-gke.1345000
• 1.27.6-gke.1389000

将您的 Ubuntu 节点池升级到以下某个版本或更高版本：

• 1.24.17-gke.2186000
• 1.25.15-gke.1016000
• 1.26.9-gke.1548000
• 1.27.6-gke.1551000
• 1.28.2-gke.1256000

在 Linux 内核中发现了以下漏洞， 提升 Container-Optimized OS 和 Ubuntu 节点的权限。

• CVE-2023-4921

该怎么做？

在 Linux 内核中发现了以下漏洞， 提升 Container-Optimized OS 和 Ubuntu 节点的权限。

• CVE-2023-4921

该怎么做？

在 Linux 内核中发现了以下漏洞， 提升 Container-Optimized OS 和 Ubuntu 节点的权限。

• CVE-2023-4921

该怎么做？

在 Linux 内核中发现了以下漏洞， 提升 Container-Optimized OS 和 Ubuntu 节点的权限。

• CVE-2023-4921

该怎么做？

您无需执行任何操作。GKE on Bare Metal 不受影响，因为它不会在发行版中捆绑操作系统。

在 Linux 内核中发现了以下漏洞， 提升 Container-Optimized OS 和 Ubuntu 节点的权限。

• CVE-2023-4623

Autopilot 集群会受到影响。

使用 GKE Sandbox 的集群不受影响。

该怎么做？

2023 年 11 月 21 日更新：如果您在节点中使用该次要版本，只需升级到本公告中列出的其中一个补丁版本。未列出的次要版本不会受到影响。

将 Container-Optimized OS 节点池升级到以下某个版本或更高版本：

• 1.24.14-gke.1027001
• 1.25.14-gke.1351000
• 1.26.9-gke.1345000
• 1.27.5-gke.1647000

将您的 Ubuntu 节点池升级到以下某个版本或更高版本：

• 1.24.17-gke.2186000
• 1.25.15-gke.1016000
• 1.26.9-gke.1548000
• 1.27.6-gke.1551000
• 1.28.2-gke.1256000

在 Linux 内核中发现了以下漏洞， 提升 Container-Optimized OS 和 Ubuntu 节点的权限。

• CVE-2023-4623

该怎么做？

在 Linux 内核中发现了以下漏洞， 提升 Container-Optimized OS 和 Ubuntu 节点的权限。

• CVE-2023-4623

该怎么做？

在 Linux 内核中发现了以下漏洞， 提升 Container-Optimized OS 和 Ubuntu 节点的权限。

• CVE-2023-4623

该怎么做？

在 Linux 内核中发现了以下漏洞， 提升 Container-Optimized OS 和 Ubuntu 节点的权限。

• CVE-2023-4623

该怎么做？

您无需执行任何操作。GKE on Bare Metal 不受影响，因为它不会在发行版中捆绑操作系统。

在 Linux 内核中发现了以下漏洞， 提升 Container-Optimized OS 和 Ubuntu 节点的权限。

• CVE-2023-4623

2023 年 12 月 21 日更新：原始公告中注明 Autopilot 您的集群会受到影响，但这是不正确的。GKE Autopilot 默认配置中的集群不会受到影响，但如果您 明确设置 seccomp 不受限制的配置文件或 允许 CAP_NET_ADMIN。

Autopilot 集群会受到影响。

使用 GKE Sandbox 的集群不受影响。

该怎么做？

2023 年 11 月 21 日更新：如果您在节点中使用该次要版本，只需升级到本公告中列出的其中一个补丁版本。未列出的次要版本不会受到影响。

将 Container-Optimized OS 节点池升级到以下某个版本或更高版本：

• 1.24.14-gke.1027001
• 1.25.14-gke.1351000
• 1.26.9-gke.1345000
• 1.27.6-gke.1389000

将您的 Ubuntu 节点池升级到以下某个版本或更高版本：

• 1.24.17-gke.2186000
• 1.25.15-gke.1016000
• 1.26.9-gke.1548000
• 1.27.6-gke.1551000
• 1.28.2-gke.1256000

在 Linux 内核中发现了以下漏洞， 提升 Container-Optimized OS 和 Ubuntu 节点的权限。

• CVE-2023-4623

该怎么做？

在 Linux 内核中发现了以下漏洞， 提升 Container-Optimized OS 和 Ubuntu 节点的权限。

• CVE-2023-4623

该怎么做？

在 Linux 内核中发现了以下漏洞， 提升 Container-Optimized OS 和 Ubuntu 节点的权限。

• CVE-2023-4623

该怎么做？

在 Linux 内核中发现了以下漏洞， 提升 Container-Optimized OS 和 Ubuntu 节点的权限。

• CVE-2023-4623

该怎么做？

您无需执行任何操作。GKE on Bare Metal 不受影响，因为它不会在发行版中捆绑操作系统。

在 Linux 内核中发现了以下漏洞， 提升 Container-Optimized OS 和 Ubuntu 节点的权限。

• CVE-2023-4015

2023 年 12 月 21 日更新：原始公告中注明 Autopilot 您的集群会受到影响，但这是不正确的。GKE Autopilot 默认配置中的集群不会受到影响，但如果您 明确设置 seccomp 不受限制的配置文件或 允许 CAP_NET_ADMIN。

Autopilot 集群会受到影响。

使用 GKE Sandbox 的集群不受影响。

该怎么做？

2023 年 11 月 21 日更新：如果您在节点中使用该次要版本，只需升级到本公告中列出的其中一个补丁版本。未列出的次要版本不会受到影响。

将 Container-Optimized OS 节点池升级到以下某个版本或更高版本：

• 1.27.5-gke.1647000

将您的 Ubuntu 节点池升级到以下某个版本或更高版本：

• 1.24.14-gke.1027001
• 1.25.13-gke.700
• 1.26.8-gke.700
• 1.27.5-gke.700
• 1.28.1-gke.1050000

在 Linux 内核中发现了以下漏洞， 提升 Container-Optimized OS 和 Ubuntu 节点的权限。

• CVE-2023-4015

该怎么做？

在 Linux 内核中发现了以下漏洞， 提升 Container-Optimized OS 和 Ubuntu 节点的权限。

• CVE-2023-4015

该怎么做？

在 Linux 内核中发现了以下漏洞， 提升 Container-Optimized OS 和 Ubuntu 节点的权限。

• CVE-2023-4015

该怎么做？

在 Linux 内核中发现了以下漏洞， 提升 Container-Optimized OS 和 Ubuntu 节点的权限。

• CVE-2023-4015

该怎么做？

您无需执行任何操作。GKE on Bare Metal 不受影响，因为它不会在发行版中捆绑操作系统。

在 Linux 内核中发现了以下漏洞， 提升 Container-Optimized OS 和 Ubuntu 节点的权限。

• CVE-2023-4206
• CVE-2023-4207
• CVE-2023-4208
• CVE-2023-4128

2023 年 12 月 21 日更新：原始公告中注明 Autopilot 您的集群会受到影响，但这是不正确的。GKE Autopilot 默认配置中的集群不会受到影响，但如果您 明确设置 seccomp 不受限制的配置文件或 允许 CAP_NET_ADMIN。

Autopilot 集群会受到影响。

使用 GKE Sandbox 的集群不受影响。

该怎么做？

2023 年 11 月 21 日更新：如果您在节点中使用该次要版本，只需升级到本公告中列出的其中一个补丁版本。未列出的次要版本不会受到影响。

将 Container-Optimized OS 节点池升级到以下某个版本或更高版本：

• 1.24.14-gke.1027001
• 1.25.13-gke.1008000
• 1.26.8-gke.1647000
• 1.27.5-gke.200

将您的 Ubuntu 节点池升级到以下某个版本或更高版本：

• 1.24.14-gke.1027001
• 1.25.13-gke.1706000
• 1.26.8-gke.1647000
• 1.27.5-gke.1648000
• 1.28.1-gke.1050000

在 Linux 内核中发现了以下漏洞， 提升 Container-Optimized OS 和 Ubuntu 节点的权限。

• CVE-2023-4206
• CVE-2023-4207
• CVE-2023-4208
• CVE-2023-4128

该怎么做？

在 Linux 内核中发现了以下漏洞， 提升 Container-Optimized OS 和 Ubuntu 节点的权限。

• CVE-2023-4206
• CVE-2023-4207
• CVE-2023-4208
• CVE-2023-4128

该怎么做？

在 Linux 内核中发现了以下漏洞， 提升 Container-Optimized OS 和 Ubuntu 节点的权限。

• CVE-2023-4206
• CVE-2023-4207
• CVE-2023-4208
• CVE-2023-4128

该怎么做？

在 Linux 内核中发现了以下漏洞， 提升 Container-Optimized OS 和 Ubuntu 节点的权限。

• CVE-2023-4206
• CVE-2023-4207
• CVE-2023-4208
• CVE-2023-4128

该怎么做？

您无需执行任何操作。GKE on Bare Metal 不受影响，因为它不会在发行版中捆绑操作系统。

在 Linux 内核中发现了以下漏洞， 提升 Container-Optimized OS 和 Ubuntu 节点的权限。

• CVE-2023-3777

2023 年 12 月 21 日更新：原始公告中注明 Autopilot 您的集群会受到影响，但这是不正确的。GKE Autopilot 默认配置中的集群不会受到影响，但如果您 明确设置 seccomp 不受限制的配置文件或 允许 CAP_NET_ADMIN。 GKE Sandbox 工作负载也不受影响。

Autopilot 集群会受到影响。

使用 GKE Sandbox 的集群会受到影响。

该怎么做？

2023 年 11 月 21 日更新：如果您在节点中使用该次要版本，只需升级到本公告中列出的其中一个补丁版本。未列出的次要版本不会受到影响。

将 Container-Optimized OS 节点池升级到以下某个版本或更高版本：

• 1.24.16-gke.2200
• 1.25.12-gke.2200
• 1.26.7-gke.2200
• 1.27.4-gke.2300

将您的 Ubuntu 节点池升级到以下某个版本或更高版本：

• 1.24.17-gke.700
• 1.25.13-gke.700
• 1.26.8-gke.700
• 1.27.5-gke.700
• 1.28.0-gke.100

在 Linux 内核中发现了以下漏洞， 提升 Container-Optimized OS 和 Ubuntu 节点的权限。

• CVE-2023-3777

该怎么做？

在 Linux 内核中发现了以下漏洞， 提升 Container-Optimized OS 和 Ubuntu 节点的权限。

• CVE-2023-3777

该怎么做？

在 Linux 内核中发现了以下漏洞， 提升 Container-Optimized OS 和 Ubuntu 节点的权限。

• CVE-2023-3777

该怎么做？

在 Linux 内核中发现了以下漏洞， 提升 Container-Optimized OS 和 Ubuntu 节点的权限。

• CVE-2023-3777

该怎么做？

您无需执行任何操作。GKE on Bare Metal 不受影响，因为它不会在其发行版中捆绑操作系统。

最近在 HTTP/2 协议 (CVE-2023-44487) 的多种实现（包括 Kubernetes 使用的 golang HTTP 服务器）中发现了一个拒绝服务攻击 (DoS) 漏洞。该漏洞可能会导致 Google Kubernetes Engine (GKE) 控制平面遭受 DoS 攻击。配置了授权网络的 GKE 集群会通过限制网络访问权限加以保护，但所有其他集群都会受到影响。

该怎么做？

2023 年 11 月 9 日更新：我们发布了包含 Go 和 Kubernetes 安全补丁的 GKE 新版本，您现在可以将集群更新为这些版本。在接下来的几周内，我们将发布更多 更改 GKE 控制平面，以进一步缓解这一问题。

以下 GKE 版本已使用补丁 CVE-2023-44487 和 CVE-2023-39325：

• 1.24.17-gke.2155000
• 1.25.14-gke.1474000
• 1.26.10-gke.1024000
• 1.27.7-gke.1038000
• 1.28.3-gke.1090000

我们建议您尽快应用以下缓解措施，并升级到最新的修补版本（如果可用）。

Golang 补丁将于 10 月 10 日发布。一旦可用，我们将使用这些补丁构建和限定新的 Kubernetes API 服务器，并发布 GKE 修补版本。GKE 版本可用后，我们将更新本公告，提供升级控制平面的指导；在可用于您的集群时，我们也会在 GKE 安全状况中显示补丁。如需在您的渠道有可用的补丁时接收 Pub/Sub 通知，请启用集群通知。

借助发布渠道的最新功能，您可以应用补丁程序，而不必退订渠道。这样，您就可以保护节点，直到新版本成为特定发布渠道的默认版本。

通过为控制平面访问权限配置授权网络来缓解此问题：

您可以为现有集群添加授权网络。如需了解详情，请参阅现有集群的授权网络。

除了您添加的授权网络之外，还有可以访问 GKE 控制平面的预设 IP 地址。如需详细了解这些地址，请参阅访问控制平面端点。以下各项对集群隔离进行了总结：

• 配置了 --master-authorized-networks 的专用集群以及配置了 --master-authorized-networks 和 --no-enable-google-cloud 的基于 PSC 的集群隔离性最强。
• 配置了 --master-authorized-networks 的旧版公共集群以及配置了 --master-authorized-networks 和 --enable-google-cloud（默认）的基于 PSC 的集群还可以通过以下地址访问：
  • Google Cloud 中所有 Compute Engine 虚拟机的公共 IP 地址
  • Google Cloud Platform IP 地址

该补丁解决了哪些漏洞？

漏洞 CVE-2023-44487 允许攻击者对 GKE 控制平面节点执行拒绝服务攻击。

最近在 HTTP/2 协议 (CVE-2023-44487) 的多种实现（包括 Kubernetes 使用的 golang HTTP 服务器）中发现了一个拒绝服务攻击 (DoS) 漏洞。该漏洞可能会导致 Kubernetes 控制平面受到 DoS 攻击。默认情况下，GKE on VMware 创建的 Kubernetes 集群无法直接访问互联网，因此可受到该漏洞的保护。

该怎么做？

2024 年 2 月 14 日更新：以下 GKE on VMware 版本已更新，内含修复此漏洞的代码。将集群升级到以下补丁版本或更高版本：

• 1.28.100
• 1.16.6
• 1.15.8

如果您已将 GKE on VMware Kubernetes 集群配置为可直接访问互联网或其他不受信任的网络，我们建议您与防火墙管理员联系，以阻止或限制此类访问。

在最新的补丁版本可用时，我们建议您尽快升级到该版本。

Golang 补丁将于 10 月 10 日发布。一旦可用，我们将使用这些补丁构建和限定新的 Kubernetes API 服务器，并发布 GKE 修补版本。GKE 版本发布后，我们将更新本公告，在其中提供将控制平面升级到哪个版本的指南。

该补丁解决了哪些漏洞？

漏洞 CVE-2023-44487 允许攻击者对 Kubernetes 控制平面节点执行拒绝服务攻击。

最近在 HTTP/2 协议 (CVE-2023-44487) 的多种实现（包括 Kubernetes 使用的 golang HTTP 服务器）中发现了一个拒绝服务攻击 (DoS) 漏洞。该漏洞可能会导致 Kubernetes 控制平面受到 DoS 攻击。GKE on AWS 默认创建无法通过互联网直接访问的专用 Kubernetes 集群，这些集群受到保护，能够抵御此漏洞。

该怎么做？

2024 年 3 月 20 日更新：以下 GKE on AWS 版本已更新， CVE-2023-44487:

• 1.26.10-gke.600
• 1.27.7-gke.600
• 1.28.3-gke.700

如果您已将 GKE on AWS 配置为可直接访问互联网或其他不受信任的网络，我们建议您与防火墙管理员联系，以阻止或限制此类访问。

在最新的补丁版本可用时，我们建议您尽快升级到该版本。

Golang 补丁将于 10 月 10 日发布。一旦可用，我们将使用这些补丁构建和限定新的 Kubernetes API 服务器，并发布 GKE 修补版本。GKE 版本发布后，我们将更新本公告，在其中提供将控制平面升级到哪个版本的指南。

该补丁解决了哪些漏洞？

漏洞 CVE-2023-44487 允许攻击者对 Kubernetes 控制平面节点执行拒绝服务攻击。

最近在 HTTP/2 协议 (CVE-2023-44487) 的多种实现（包括 Kubernetes 使用的 golang HTTP 服务器）中发现了一个拒绝服务攻击 (DoS) 漏洞。该漏洞可能会导致 Kubernetes 控制平面受到 DoS 攻击。GKE on Azure 创建的专用 Kubernetes 集群默认情况下无法直接通过互联网访问，并且可抵御此漏洞。

该怎么做？

2024 年 3 月 20 日更新：以下 GKE on Azure 版本已针对 CVE-2023-44487:

• 1.26.10-gke.600
• 1.27.7-gke.600
• 1.28.3-gke.700

如果您已将 GKE on Azure 集群配置为可直接访问互联网或其他不受信任的网络，我们建议您与防火墙管理员联系，以阻止或限制此类访问。

在最新的补丁版本可用时，我们建议您尽快升级到该版本。

该补丁解决了哪些漏洞？

漏洞 CVE-2023-44487 允许攻击者对 Kubernetes 控制平面节点执行拒绝服务攻击。

最近在 HTTP/2 协议 (CVE-2023-44487) 的多种实现（包括 Kubernetes 使用的 golang HTTP 服务器）中发现了一个拒绝服务攻击 (DoS) 漏洞。该漏洞可能会导致 Kubernetes 控制平面受到 DoS 攻击。Anthos on Bare Metal 会创建 Kubernetes 集群，这些集群默认无法直接访问互联网，因此可以防范此漏洞。

该怎么做？

如果您已配置 Anthos on Bare Metal Kubernetes 集群以直接访问互联网或其他不受信任的网络，我们建议您与防火墙管理员联系，以阻止或限制此类访问。如需了解详情，请参阅 GKE on Bare Metal 安全概览。

在最新的补丁版本可用时，我们建议您尽快升级到该版本。

Golang 补丁将于 10 月 10 日发布。一旦可用，我们将使用这些补丁构建和限定新的 Kubernetes API 服务器，并发布 GKE 修补版本。GKE 版本发布后，我们将更新本公告，在其中提供将控制平面升级到哪个版本的指南。

该补丁解决了哪些漏洞？

漏洞 CVE-2023-44487 允许攻击者对 Kubernetes 控制平面节点执行拒绝服务攻击。

在 Kubernetes 中发现了三个漏洞（CVE-2023-3676、CVE-2023-3955、CVE-2023-3893），利用这些漏洞，可以在 Windows 节点上创建 Pod 的用户也许能够升级到这些节点上的管理员权限。以下漏洞会影响 Windows 版本的 Kubelet 和 Kubernetes CSI 代理。

GKE 集群仅在包含 Windows 节点时才会受到影响。

该怎么做？

以下版本的 GKE 已进行了代码更新，修复了此漏洞。出于安全考虑，即使您启用了节点自动升级，我们仍建议您将集群和节点池手动升级到以下 GKE 版本之一：

• 1.24.17-gke.200
• 1.25.13-gke.200
• 1.26.8-gke.200
• 1.27.5-gke.200
• 1.28.1-gke.200

GKE 控制平面将于 2023 年 9 月 4 日当周更新， 从 csi-proxy 迁移到版本 1.1.3。如果您在控制平面更新之前更新节点， 您需要在更新后再次更新节点， 代理。您可以再次更新节点，即使不更改节点版本，也可以运行以下命令： gcloud container clusters upgrade 命令，并将 --cluster-version 标志与节点的 GKE 版本相同 池已在运行您必须使用 gcloud CLI 才能解决此问题。 请注意，无论维护窗口如何，此操作都会导致更新。

借助发布渠道的最新功能，您可以应用补丁，而不必退订渠道。这样，您就可以保护节点，直到新版本成为特定发布渠道的默认版本。

该补丁解决了哪些漏洞？

利用 CVE-2023-3676，恶意行为者可以利用主机路径字符串来编写 Pod 规范， 包含 PowerShell 命令。Kubelet 没有对输入进行清理，并将此生成的 路径字符串作为参数传递给命令执行程序，该命令将在该执行程序中执行部分命令 作为单独的命令运行。这些命令将使用与 Kubelet 相同的管理员权限来运行。

在 CVE-2023-3955 中，Kubelet 会为可以创建 Pod 的用户授予使用与 Kubelet 代理相同的权限级别（特权）执行代码的权限。

使用 CVE-2023-3893 时，同样缺少输入排错功能， 运行 kubernetes-csi-proxy 的 Windows 节点，以升级到这些节点的管理员权限。

Kubernetes 审核日志可用于检测此漏洞是否被利用。使用嵌入式 PowerShell 命令的 pod 创建事件是利用漏洞的一种明显迹象。 包含嵌入式 PowerShell 命令并装载到 Pod 的 ConfigMap 和 Secret 也是利用漏洞的一种明显迹象。

在 Kubernetes 中发现了三个漏洞（CVE-2023-3676、CVE-2023-3955、CVE-2023-3893），利用这些漏洞，可以在 Windows 节点上创建 Pod 的用户也许能够升级到这些节点上的管理员权限。以下漏洞会影响 Windows 版本的 Kubelet 和 Kubernetes CSI 代理。

只有包含 Windows 节点的集群才会受到影响。

该怎么做？

该补丁解决了哪些漏洞？

利用 CVE-2023-3676，恶意行为者可以利用主机路径字符串来编写 Pod 规范， 包含 PowerShell 命令。Kubelet 没有对输入进行清理，并将此生成的 路径字符串作为参数传递给命令执行程序，该命令将在该执行程序中执行部分命令 作为单独的命令运行。这些命令将使用与 Kubelet 相同的管理员权限来运行。

在 CVE-2023-3955 中，Kubelet 会为可以创建 Pod 的用户授予使用与 Kubelet 代理相同的权限级别（特权）执行代码的权限。

使用 CVE-2023-3893 时，同样缺少输入排错功能， 运行 kubernetes-csi-proxy 的 Windows 节点，以升级到这些节点的管理员权限。

Kubernetes 审核日志可用于检测此漏洞是否被利用。使用嵌入式 PowerShell 命令的 pod 创建事件是利用漏洞的一种明显迹象。 包含嵌入式 PowerShell 命令并装载到 Pod 的 ConfigMap 和 Secret 也是利用漏洞的一种明显迹象。

在 Kubernetes 中发现了三个漏洞（CVE-2023-3676、CVE-2023-3955、CVE-2023-3893），利用这些漏洞，可以在 Windows 节点上创建 Pod 的用户也许能够升级到这些节点上的管理员权限。以下漏洞会影响 Windows 版本的 Kubelet 和 Kubernetes CSI 代理。

该怎么做？

GKE on AWS 不受这些 CVE 的影响。您无需采取任何行动。

在 Kubernetes 中发现了三个漏洞（CVE-2023-3676、CVE-2023-3955、CVE-2023-3893），利用这些漏洞，可以在 Windows 节点上创建 Pod 的用户也许能够升级到这些节点上的管理员权限。以下漏洞会影响 Windows 版本的 Kubelet 和 Kubernetes CSI 代理。

该怎么做？

GKE on Azure 不受这些 CVE 的影响您无需采取任何行动。

在 Kubernetes 中发现了三个漏洞（CVE-2023-3676、CVE-2023-3955、CVE-2023-3893），利用这些漏洞，可以在 Windows 节点上创建 Pod 的用户也许能够升级到这些节点上的管理员权限。以下漏洞会影响 Windows 版本的 Kubelet 和 Kubernetes CSI 代理。

该怎么做？

GKE on Bare Metal 不受这些 CVE 的影响。您无需采取任何行动。

在 Linux 内核中发现了一个新漏洞 (CVE-2023-2235)，此漏洞可能会导致节点上的权限提升。GKE Autopilot 集群会受到影响，因为 GKE Autopilot 节点始终使用 Container-Optimized OS 节点映像。运行 Container-Optimized OS 节点映像的 1.25 版或更高版本的 GKE Standard 集群会受到影响。

如果 GKE 集群仅运行 Ubuntu 节点映像、运行 1.25 之前的版本或使用 GKE Sandbox，则不会受到影响。

该怎么做？

以下版本的 GKE 已进行了代码更新，修复了此漏洞。出于安全考虑，即使您启用了节点自动升级，我们仍建议您将集群和节点池手动升级到以下 GKE 版本之一：

• 1.25.9-gke.1400
• 1.26.4-gke.1500
• 1.27.1-gke.2400

借助发布渠道的最新功能，您可以应用补丁程序，而不必退订渠道。这样，您就可以保护节点，直到新版本成为特定发布渠道的默认版本。

解决了哪些漏洞？

在 CVE-2023-2235 漏洞中，perf_group_separated 函数在调用 add_event_to_groups() 之前不检查事件的同级子事件的 attach_state，但 remove_on_exec 使得从其群组分离之前可以调用 list_del_event()，从而可以使用悬垂指针，导致 use-after-free 漏洞。

在 Linux 内核中发现了一个新漏洞 (CVE-2023-2235)，此漏洞可能会导致节点上的权限提升。GKE on VMware 集群会受到影响。

该怎么做？

解决了哪些漏洞？

在 CVE-2023-2235 漏洞中，perf_group_separated 函数在调用 add_event_to_groups() 之前不检查事件的同级子事件的 attach_state，但 remove_on_exec 使得从其群组分离之前可以调用 list_del_event()，从而可以使用悬垂指针，导致 use-after-free 漏洞。

在 Linux 内核中发现了一个新漏洞 (CVE-2023-2235)，此漏洞可能会导致节点上的权限提升。GKE on AWS 集群会受到影响。

该怎么做？

该补丁解决了哪些漏洞？

在 CVE-2023-2235 漏洞中，perf_group_separated 函数在调用 add_event_to_groups() 之前不检查事件的同级子事件的 attach_state，但 remove_on_exec 使得从其群组分离之前可以调用 list_del_event()，从而可以使用悬垂指针，导致 use-after-free 漏洞。

在 Linux 内核中发现了一个新漏洞 (CVE-2023-2235)，此漏洞可能会导致节点上的权限提升。GKE on Azure 集群会受到影响。

该怎么做？

该补丁解决了哪些漏洞？

在 CVE-2023-2235 漏洞中，perf_group_separated 函数在调用 add_event_to_groups() 之前不检查事件的同级子事件的 attach_state，但 remove_on_exec 使得从其群组分离之前可以调用 list_del_event()，从而可以使用悬垂指针，导致 use-after-free 漏洞。

在 Linux 内核中发现了一个新漏洞 (CVE-2023-2235)，此漏洞可能会导致节点上的权限提升。

Google Distributed Cloud Virtual for Bare Metal 不受此 CVE 的影响。

该怎么做？

您无需采取任何行动。

在 Linux 内核中发现了一个新漏洞 (CVE-2023-31436)，此漏洞可能会导致节点上的权限提升。GKE 集群（包括 Autopilot 集群）会受到影响。

使用 GKE Sandbox 的 GKE 集群不受影响。

该怎么做？

2023-07-11 更新：Ubuntu 补丁版本已发布。

以下 GKE 版本已更新，包含修复 CVE-2023-31436 的最新 Ubuntu 版本：

• 1.23.17-gke.8200
• 1.24.14-gke.2600
• 1.25.10-gke.2700
• 1.26.5-gke.2700
• 1.27.2-gke.2700

以下版本的 GKE 已进行了代码更新，修复了此漏洞。出于安全考虑，即使您启用了节点自动升级，我们仍建议您将集群和节点池手动升级到以下 GKE 版本之一：

• 1.22.17-gke.11400
• 1.23.17-gke.6800
• 1.24.14-gke.1200
• 1.25.10-gke.1200
• 1.26.5-gke.1200
• 1.27.2-gke.1200

借助发布渠道的最新功能，您可以应用补丁程序，而不必退订渠道。这样，您就可以保护节点，直到新版本成为特定发布渠道的默认版本。

解决了哪些漏洞？

在 CVE-2023-31436 中，在 Linux 内核的流量控制 (QoS) 子系统中发现了一个越界内存访问漏洞，攻击者通过不正确的网络设备 MTU 值（用作 lmax）触发 qfq_change_class 函数。本地用户可利用此漏洞使系统崩溃或提升其在系统上的权限。

在 Linux 内核中发现了一个新漏洞 (CVE-2023-31436)，此漏洞可能会导致节点上的权限提升。GKE on VMware 集群会受到影响。

该怎么做？

解决了哪些漏洞？

在 CVE-2023-31436 中，在 Linux 内核的流量控制 (QoS) 子系统中发现了一个越界内存访问漏洞，攻击者通过不正确的网络设备 MTU 值（用作 lmax）触发 qfq_change_class 函数。本地用户可利用此漏洞使系统崩溃或提升其在系统上的权限。

在 Linux 内核中发现了一个新漏洞 (CVE-2023-31436)，此漏洞可能会导致节点上的权限提升。GKE on AWS 集群会受到影响。

该怎么做？

该补丁解决了哪些漏洞？

在 CVE-2023-31436 中，在 Linux 内核的流量控制 (QoS) 子系统中发现了一个越界内存访问漏洞，攻击者通过不正确的网络设备 MTU 值（用作 lmax）触发 qfq_change_class 函数。本地用户可利用此漏洞使系统崩溃或提升其在系统上的权限。

在 Linux 内核中发现了一个新漏洞 (CVE-2023-31436)，此漏洞可能会导致节点上的权限提升。GKE on Azure 集群会受到影响。

该怎么做？

该补丁解决了哪些漏洞？

在 CVE-2023-31436 中，在 Linux 内核的流量控制 (QoS) 子系统中发现了一个越界内存访问漏洞，攻击者通过不正确的网络设备 MTU 值（用作 lmax）触发 qfq_change_class 函数。本地用户可利用此漏洞使系统崩溃或提升其在系统上的权限。

在 Linux 内核中发现了一个新漏洞 (CVE-2023-31436)，此漏洞可能会导致节点上的权限提升。

Google Distributed Cloud Virtual for Bare Metal 不受此 CVE 的影响。

该怎么做？

您无需采取任何行动。

在 Cloud Service Mesh 中使用的 Envoy 中发现了许多漏洞 (ASM)。这些漏洞单独报告为 GCP-2023-002。

GKE 不附带 ASM，因此不受这些漏洞的影响。

该怎么做？

如果您已为 GKE 集群单独安装 ASM，请参阅 GCP-2023-002。

许多漏洞（CVE-2023-27496、CVE-2023-27488、CVE-2023-27493、 CVE-2023-27492、CVE-2023-27491、CVE-2023-27487）， 用于 GKE on VMware 的 Cloud Service Mesh，让恶意攻击者 或导致 Envoy 崩溃。这些漏洞单独报告为 GCP-2023-002，但我们希望确保 GKE Enterprise 客户更新包含 ASM 的版本。

该怎么做？

为了修复此漏洞，我们已对以下版本的 GKE on VMware 进行了代码更新。我们建议您将管理员集群和用户集群升级到以下 GKE on VMware 版本之一：

• 1.13.8
• 1.14.5
• 1.15.1

该补丁解决了哪些漏洞？

CVE-2023-27496：如果 Envoy 在启用 OAuth 过滤器的情况下运行，恶意行为体可能会构造请求，通过使 Envoy 崩溃形成拒绝服务攻击。

CVE-2023-27488：使用 ext_authz 时，攻击者可以利用此漏洞绕过身份验证检查。

CVE-2023-27493：Envoy 配置还必须包含一个选项，用于添加使用请求中的输入生成的请求标头，例如对等证书 SAN。

CVE-2023-27492：攻击者可能针对启用 Lua 过滤器的路由发送大型请求正文并触发崩溃。

CVE-2023-27491：攻击者可能发送特别设计的 HTTP/2 或 HTTP/3 请求，从而触发 HTTP/1 上游服务的解析错误。

CVE-2023-27487：标头 x-envoy-original-path 应该是内部标头，但当请求从不受信任的客户端发出时，Envoy 不会在请求处理开始时从请求中移除此标头。

许多漏洞（CVE-2023-27496、CVE-2023-27488、CVE-2023-27493、 CVE-2023-27492、CVE-2023-27491、CVE-2023-27487）， 用于 Cloud Service Mesh。这些漏洞单独报告为 GCP-2023-002。

GKE on AWS 不附带 ASM，因此不受影响。

该怎么做？

您无需采取任何行动。

许多漏洞（CVE-2023-27496、CVE-2023-27488、CVE-2023-27493、 CVE-2023-27492、CVE-2023-27491、CVE-2023-27487）， 用于 Cloud Service Mesh。这些漏洞单独报告为 GCP-2023-002。

GKE on Azure 不附带 ASM，因此不受影响。

该怎么做？

您无需采取任何行动。

许多漏洞（CVE-2023-27496、CVE-2023-27488、CVE-2023-27493、 CVE-2023-27492、CVE-2023-27491、CVE-2023-27487）， 用于 GKE on Bare Metal 的 Cloud Service Mesh，允许恶意 或导致 Envoy 崩溃。这些漏洞单独报告为 GCP-2023-002，但我们希望确保 GKE Enterprise 客户更新包含 ASM 的版本。

该怎么做？

为了修复此漏洞，我们已对以下版本的 GKE on Bare Metal 进行了代码更新。我们建议您将管理员集群和用户集群升级到以下 GKE on Bare Metal 版本之一：

• 1.13.9
• 1.14.6
• 1.15.2

该补丁解决了哪些漏洞？

CVE-2023-27496：如果 Envoy 在启用 OAuth 过滤器的情况下运行，恶意行为体可能会构造请求，通过使 Envoy 崩溃形成拒绝服务攻击。

CVE-2023-27488：使用 ext_authz 时，攻击者可以利用此漏洞绕过身份验证检查。

CVE-2023-27493：Envoy 配置还必须包含一个选项，用于添加使用请求中的输入生成的请求标头，例如对等证书 SAN。

CVE-2023-27492：攻击者可能针对启用 Lua 过滤器的路由发送大型请求正文并触发崩溃。

CVE-2023-27491：攻击者可能发送特别设计的 HTTP/2 或 HTTP/3 请求，从而触发 HTTP/1 上游服务的解析错误。

CVE-2023-27487：标头 x-envoy-original-path 应该是内部标头，但当请求从不受信任的客户端发出时，Envoy 不会在请求处理开始时从请求中移除此标头。

在 Linux 内核 5.15 版中发现了一个新漏洞 (CVE-2023-0468)，此漏洞可能导致节点上的拒绝服务攻击。GKE 集群（包括 Autopilot 集群）会受到影响。

使用 GKE Sandbox 的 GKE 集群不受影响。

该怎么做？

以下版本的 GKE 已进行了代码更新，修复了此漏洞。出于安全考虑，即使您启用了节点自动升级，我们仍建议您将集群和节点池手动升级到以下 GKE 版本之一：

• 1.25.7-gke.1200
• 1.26.2-gke.1200

借助发布渠道的最新功能，您可以应用补丁程序，而不必退订渠道。这样，您就可以保护节点，直到新版本成为特定发布渠道的默认版本。

解决了哪些漏洞？

在 CVE-2023-0468 中，在 Linux 内核中 io_uring 子组件中的 io_poll_check_events 中的 io_uring/poll.c 中发现了 use-after-free 漏洞。此漏洞可能会导致 NULL 指针解引用，并且可能导致系统崩溃，进而导致拒绝服务攻击。

在 Linux 内核 5.15 版中发现了一个新漏洞 (CVE-2023-0468)，此漏洞可能导致节点上的拒绝服务攻击。

GKE on VMware 使用的是 5.4 版 Linux 内核，不受此 CVE 的影响。

该怎么做？

• 您无需执行任何操作

在 Linux 内核 5.15 版中发现了一个新漏洞 (CVE-2023-0468)，此漏洞可能导致节点上的拒绝服务攻击。

GKE on AWS 不受此 CVE 的影响。

该怎么做？

• 您无需执行任何操作

在 Linux 内核 5.15 版中发现了一个新漏洞 (CVE-2023-0468)，此漏洞可能导致节点上的拒绝服务攻击。

GKE on Azure 不受此 CVE 的影响

该怎么做？

• 您无需执行任何操作

在 Linux 内核 5.15 版中发现了一个新漏洞 (CVE-2023-0468)，此漏洞可能导致节点上的拒绝服务攻击。

Google Distributed Cloud Virtual for Bare Metal 不受此 CVE 的影响。

该怎么做？

• 您无需执行任何操作

在 Kubernetes 中发现了两个新的安全问题：使用临时容器以及 ImagePolicyWebhook (CVE-2023-2727) 或 ServiceAccount 准入插件 (CVE-2023-2728) 时，用户可能能够启动绕过政策限制的容器。

GKE 不使用 ImagePolicyWebhook，因此不受 CVE-2023-2727 的影响。

该怎么做？

以下版本的 GKE 已进行了代码更新，修复了此漏洞。出于安全考虑，即使您启用了节点自动升级，我们仍建议您将集群和节点池手动升级到以下 GKE 版本之一：

• 1.27.2-gke.1200
• 1.26.5-gke.1200
• 1.25.10-gke.1200
• 1.24.14-gke.1200
• 1.23.17-gke.6800

借助发布渠道的最新功能，您可以应用补丁程序，而不必退订渠道。这样，您就可以保护节点，直到新版本成为特定发布渠道的默认版本。

解决了哪些漏洞？

在 CVE-2023-2727 中，在使用临时容器时，用户可能能够使用受 ImagePolicyWebhook 限制的映像启动容器。仅当 ImagePolicyWebhook 准入插件与临时容器一起使用时，Kubernetes 集群才会受到影响。还可以使用验证 webhook（例如 Gatekeeper 和 Kyverno）来强制执行相同的限制，以缓解此 CVE。

在 CVE-2023-2728 中，在使用临时容器时，用户可能能够启动绕过 ServiceAccount 准入插件强制执行的可装载 Secret 政策的容器。该政策可确保使用服务账号运行的 Pod 只能引用服务账号的 Secret 字段中指定的 Secret。在以下情况下，集群会受到此漏洞的影响：

• 使用了 ServiceAccount 准入插件。
• 服务账号使用 kubernetes.io/enforce-mountable-secrets 注解。默认不添加此注解。
• Pod 使用临时容器。

在 Kubernetes 中发现了两个新的安全问题：使用临时容器以及 ImagePolicyWebhook (CVE-2023-2727) 或 ServiceAccount 准入插件 (CVE-2023-2728) 时，用户可能能够启动绕过政策限制的容器。 Anthos on VMware 不使用 ImagePolicyWebhook，因此不受 CVE-2023-2727 的影响。

所有版本的 Anthos on VMware 都可能易受 CVE-2023-2728 的影响。

该怎么做？

2023 年 8 月 11 日更新：以下版本的 GKE on VMware 已更新，添加了代码来修复此漏洞。将管理员集群和用户集群升级到以下 GKE on VMware 版本之一：

• 1.13.10
• 1.14.6
• 1.15.3

解决了哪些漏洞？

在 CVE-2023-2727 中，在使用临时容器时，用户可能能够使用受 ImagePolicyWebhook 限制的映像启动容器。仅当 ImagePolicyWebhook 准入插件与临时容器一起使用时，Kubernetes 集群才会受到影响。还可以使用验证 webhook（例如 Gatekeeper 和 Kyverno）来强制执行相同的限制，以缓解此 CVE。

在 CVE-2023-2728 中，在使用临时容器时，用户可能能够启动绕过 ServiceAccount 准入插件强制执行的可装载 Secret 政策的容器。该政策可确保使用服务账号运行的 Pod 只能引用服务账号的 Secret 字段中指定的 Secret。在以下情况下，集群会受到此漏洞的影响：

• 使用了 ServiceAccount 准入插件。
• 服务账号使用 kubernetes.io/enforce-mountable-secrets 注解。默认不添加此注解。
• Pod 使用临时容器。

在 Kubernetes 中发现了两个新的安全问题：使用临时容器以及 ImagePolicyWebhook (CVE-2023-2727) 或 ServiceAccount 准入插件 (CVE-2023-2728) 时，用户可能能够启动绕过政策限制的容器。
Anthos on AWS 不使用 ImagePolicyWebhook，因此不受 CVE-2023-2727 的影响。
所有版本的 Anthos on AWS 都可能易受 CVE-2023-2728 的影响。

该怎么做？

2023 年 8 月 11 日更新：以下版本的 GKE on AWS 已更新，添加了代码来修复此漏洞。将节点升级到以下 GKE on AWS 版本：

• 1.15.2

解决了哪些漏洞？

在 CVE-2023-2727 中，在使用临时容器时，用户可能能够使用受 ImagePolicyWebhook 限制的映像启动容器。仅当 ImagePolicyWebhook 准入插件与临时容器一起使用时，Kubernetes 集群才会受到影响。还可以使用验证 webhook（例如 Gatekeeper 和 Kyverno）来强制执行相同的限制，以缓解此 CVE。

在 CVE-2023-2728 中，在使用临时容器时，用户可能能够启动绕过 ServiceAccount 准入插件强制执行的可装载 Secret 政策的容器。该政策可确保使用服务账号运行的 Pod 只能引用服务账号的 Secret 字段中指定的 Secret。在以下情况下，集群会受到此漏洞的影响：

• 使用了 ServiceAccount 准入插件。
• 服务账号使用 kubernetes.io/enforce-mountable-secrets 注解。默认不添加此注解。
• Pod 使用临时容器。

在 Kubernetes 中发现了两个新的安全问题：使用临时容器以及 ImagePolicyWebhook (CVE-2023-2727) 或 ServiceAccount 准入插件 (CVE-2023-2728) 时，用户可能能够启动绕过政策限制的容器。
Anthos on Azure 不使用 ImagePolicyWebhook，因此不受 CVE-2023-2727 的影响。
所有版本的 Anthos on Azure 都可能易受 CVE-2023-2728 的影响。

该怎么做？

2023 年 8 月 11 日更新：以下版本的 GKE on Azure 已更新，添加了代码来修复此漏洞。将节点升级到以下 GKE on Azure 版本：

• 1.15.2

解决了哪些漏洞？

在 CVE-2023-2727 中，在使用临时容器时，用户可能能够使用受 ImagePolicyWebhook 限制的映像启动容器。仅当 ImagePolicyWebhook 准入插件与临时容器一起使用时，Kubernetes 集群才会受到影响。还可以使用验证 webhook（例如 Gatekeeper 和 Kyverno）来强制执行相同的限制，以缓解此 CVE。

在 CVE-2023-2728 中，在使用临时容器时，用户可能能够启动绕过 ServiceAccount 准入插件强制执行的可装载 Secret 政策的容器。该政策可确保使用服务账号运行的 Pod 只能引用服务账号的 Secret 字段中指定的 Secret。在以下情况下，集群会受到此漏洞的影响：

• 使用了 ServiceAccount 准入插件。
• 服务账号使用 kubernetes.io/enforce-mountable-secrets 注解。默认不添加此注解。
• Pod 使用临时容器。

在 Kubernetes 中发现了两个新的安全问题：使用临时容器以及 ImagePolicyWebhook (CVE-2023-2727) 或 ServiceAccount 准入插件 (CVE-2023-2728) 时，用户可能能够启动绕过政策限制的容器。
Anthos on Bare Metal 不使用 ImagePolicyWebhook，因此不受 CVE-2023-2727 的影响。
所有版本的 Anthos on Bare Metal 都可能易受 CVE-2023-2728 的影响。

该怎么做？

2023 年 8 月 11 日更新：以下版本的 Google Distributed Cloud Virtual for Bare Metal 已更新，并添加了代码以修复此漏洞。将节点升级到以下 Google Distributed Cloud Virtual for Bare Metal 版本之一：

• 1.13.9
• 1.14.7
• 1.15.3

解决了哪些漏洞？

在 CVE-2023-2727 中，在使用临时容器时，用户可能能够使用受 ImagePolicyWebhook 限制的映像启动容器。仅当 ImagePolicyWebhook 准入插件与临时容器一起使用时，Kubernetes 集群才会受到影响。还可以使用验证 webhook（例如 Gatekeeper 和 Kyverno）来强制执行相同的限制，以缓解此 CVE。

在 CVE-2023-2728 中，在使用临时容器时，用户可能能够启动绕过 ServiceAccount 准入插件强制执行的可装载 Secret 政策的容器。该政策可确保使用服务账号运行的 Pod 只能引用服务账号的 Secret 字段中指定的 Secret。在以下情况下，集群会受到此漏洞的影响：

• 使用了 ServiceAccount 准入插件。
• 服务账号使用 kubernetes.io/enforce-mountable-secrets 注解。默认不添加此注解。
• Pod 使用临时容器。

在 secrets-store-csi-driver 中发现了一个新漏洞 (CVE-2023-2878)，有权访问驱动程序日志的行为体可以看到服务账号令牌。然后，这些令牌可能用于与外部云服务商交换，以访问存储在云保险柜解决方案中的密钥。

GKE 不受此 CVE 的影响。

该怎么做？

虽然 GKE 不受影响，但如果您安装了 secrets-store-csi-driver 组件，应使用补丁版本更新安装。

该补丁解决了哪些漏洞？

在 secrets-store-csi-driver 中发现了漏洞 CVE-2023-2878，有权访问驱动程序日志的行为体可以看到服务账号令牌。然后，这些令牌可能用于与外部云服务商交换，以访问存储在云保险柜解决方案中的密钥。只有在 CSIDriver 对象中配置了 TokenRequest 并且通过 -v 标志将驱动程序设置为在日志级别 2 或更高级别运行时，系统才会记录令牌。

在 secrets-store-csi-driver 中发现了一个新漏洞 (CVE-2023-2878)，有权访问驱动程序日志的行为体可以看到服务账号令牌。然后，这些令牌可能用于与外部云服务商交换，以访问存储在云保险柜解决方案中的密钥。

GKE on VMware 不受此 CVE 的影响。

该怎么做？

虽然 GKE on VMware 不受影响，但如果您安装了 secrets-store-csi-driver 组件，应使用补丁版本更新安装。

该补丁解决了哪些漏洞？

在 secrets-store-csi-driver 中发现了漏洞 CVE-2023-2878，有权访问驱动程序日志的行为体可以看到服务账号令牌。然后，这些令牌可能用于与外部云服务商交换，以访问存储在云保险柜解决方案中的密钥。只有在 CSIDriver 对象中配置了 TokenRequest 并且通过 -v 标志将驱动程序设置为在日志级别 2 或更高级别运行时，系统才会记录令牌。

在 secrets-store-csi-driver 中发现了一个新漏洞 (CVE-2023-2878)，有权访问驱动程序日志的行为体可以看到服务账号令牌。然后，这些令牌可能用于与外部云服务商交换，以访问存储在云保险柜解决方案中的密钥。

GKE on AWS 不受此 CVE 的影响。

该怎么做？

虽然 GKE on AWS 不受影响，但如果您安装了 secrets-store-csi-driver 组件，应使用补丁版本更新安装。

该补丁解决了哪些漏洞？

在 secrets-store-csi-driver 中发现了漏洞 CVE-2023-2878，有权访问驱动程序日志的行为体可以看到服务账号令牌。然后，这些令牌可能用于与外部云服务商交换，以访问存储在云保险柜解决方案中的密钥。只有在 CSIDriver 对象中配置了 TokenRequest 并且通过 -v 标志将驱动程序设置为在日志级别 2 或更高级别运行时，系统才会记录令牌。

在 secrets-store-csi-driver 中发现了一个新漏洞 (CVE-2023-2878)，有权访问驱动程序日志的行为体可以看到服务账号令牌。然后，这些令牌可能用于与外部云服务商交换，以访问存储在云保险柜解决方案中的密钥。

GKE on Azure 不受此 CVE 的影响

该怎么做？

虽然 GKE on Azure 不受影响，但如果您安装了 secrets-store-csi-driver 组件，应使用补丁版本更新安装。

该补丁解决了哪些漏洞？

在 secrets-store-csi-driver 中发现了漏洞 CVE-2023-2878，有权访问驱动程序日志的行为体可以看到服务账号令牌。然后，这些令牌可能用于与外部云服务商交换，以访问存储在云保险柜解决方案中的密钥。只有在 CSIDriver 对象中配置了 TokenRequest 并且通过 -v 标志将驱动程序设置为在日志级别 2 或更高级别运行时，系统才会记录令牌。

在 secrets-store-csi-driver 中发现了一个新漏洞 (CVE-2023-2878)，有权访问驱动程序日志的行为体可以看到服务账号令牌。然后，这些令牌可能用于与外部云服务商交换，以访问存储在云保险柜解决方案中的密钥。

GKE on Bare Metal 不受此 CVE 的影响。

该怎么做？

虽然 GKE on Bare Metal 不受影响，但如果您安装了 secrets-store-csi-driver 组件，应使用补丁版本更新安装。

该补丁解决了哪些漏洞？

在 secrets-store-csi-driver 中发现了漏洞 CVE-2023-2878，有权访问驱动程序日志的行为体可以看到服务账号令牌。然后，这些令牌可能用于与外部云服务商交换，以访问存储在云保险柜解决方案中的密钥。只有在 CSIDriver 对象中配置了 TokenRequest 并且通过 -v 标志将驱动程序设置为在日志级别 2 或更高级别运行时，系统才会记录令牌。

在 Linux 内核中发现了一个新漏洞 (CVE-2023-1872)，此漏洞可能会导致节点上的权限提升为 root。GKE Standard 和 Autopilot 集群会受到影响。

使用 GKE Sandbox 的集群不受影响。

该怎么做？

以下版本的 GKE 已进行了代码更新，修复了此漏洞。出于安全考虑，即使您启用了节点自动升级，我们仍建议您将集群和节点池手动升级到以下 GKE 版本之一：

• 1.22.17-gke.11400
• 1.23.17-gke.5600
• 1.24.13-gke.2500
• 1.25.9-gke.2300
• 1.26.5-gke.1200

借助发布渠道的最新功能，您可以应用补丁程序，而不必退订渠道。这样，您就可以保护节点，直到新版本成为特定发布渠道的默认版本。

该补丁解决了哪些漏洞？

CVE-2023-1872 是 Linux 内核的 io_uring 子系统中的 use-after-free 漏洞，攻击者利用此漏洞可以实现本地权限提升。io_file_get_fixed 函数缺少 ctx->uring_lock，从而导致因竞态条件（固定文件变为未注册）引起的 use-after-free 漏洞。

在 Linux 内核中发现了一个新漏洞 (CVE-2023-1872)，此漏洞可能会导致节点上的权限提升为 root。

该怎么做？

该补丁解决了哪些漏洞？

CVE-2023-1872 是 Linux 内核的 io_uring 子系统中的 use-after-free 漏洞，攻击者利用此漏洞可以实现本地权限提升。io_file_get_fixed 函数缺少 ctx->uring_lock，从而导致因竞态条件（固定文件变为未注册）引起的 use-after-free 漏洞。

在 Linux 内核中发现了一个新漏洞 (CVE-2023-1872)，此漏洞可能会导致节点上的权限提升为 root。

该怎么做？

以下版本的 GKE on AWS 已更新，添加了代码来修复这些漏洞：

该补丁解决了哪些漏洞？

CVE-2023-1872 是 Linux 内核的 io_uring 子系统中的 use-after-free 漏洞，攻击者利用此漏洞可以实现本地权限提升。io_file_get_fixed 函数缺少 ctx->uring_lock，从而导致因竞态条件（固定文件变为未注册）引起的 use-after-free 漏洞。

在 Linux 内核中发现了一个新漏洞 (CVE-2023-1872)，此漏洞可能会导致节点上的权限提升为 root。

该怎么做？

为了修复这些漏洞，我们已对以下版本的 GKE on Azure 进行了代码更新：

该补丁解决了哪些漏洞？

CVE-2023-1872 是 Linux 内核的 io_uring 子系统中的 use-after-free 漏洞，攻击者利用此漏洞可以实现本地权限提升。io_file_get_fixed 函数缺少 ctx->uring_lock，从而导致因竞态条件（固定文件变为未注册）引起的 use-after-free 漏洞。

在 Linux 内核中发现了一个新漏洞 (CVE-2023-1872)，此漏洞可能会导致节点上的权限提升为 root。

GKE on Bare Metal 不受此 CVE 的影响。

该怎么做？

您无需执行任何操作。

在 Linux 内核中发现了两个新漏洞（CVE-2023-1281、CVE-2023-1829），这些漏洞可能会导致节点上的权限提升为 root。GKE Standard 集群会受到影响。

GKE Autopilot 集群和使用 GKE Sandbox 不受影响。

该怎么做？

2023-06-06 更新：Ubuntu 补丁版本已发布。

以下 GKE 版本已更新，包含修复 CVE-2023-1281 和 CVE-2023-1829 的最新 Ubuntu 版本：

• 1.23.17-gke.6800
• 1.24.14-gke.1200
• 1.25.10-gke.1200
• 1.26.5-gke.1200

以下版本的 GKE 已进行了代码更新，修复了此漏洞。出于安全考虑，即使您启用了节点自动升级，我们仍建议您将集群和节点池手动升级到以下 GKE 版本之一：

• 1.22.17-gke.8100
• 1.23.17-gke.2300
• 1.24.12-gke.1100
• 1.25.8-gke.1000
• 1.26.3-gke.1000

借助发布渠道的最新功能，您可以应用补丁程序，而不必退订渠道。这样，您就可以保护节点，直到新版本成为特定发布渠道的默认版本。

该补丁解决了哪些漏洞？

CVE-2023-1281 和 CVE-2023-1829 都是 Linux 内核流量控制索引过滤器 (tcindex) 中的 use-after-free 漏洞，攻击者可以利用这些漏洞实现本地权限提升。

在 CVE-2023-1829 中，在某些情况下，tcindex_delete 函数不能正确停用过滤器，这可能会导致双重释放数据结构。

在 CVE-2023-1281 中，不完整的哈希区域可以在数据包传输时更新，当使用已销毁的 tcf_ext 调用 tcf_exts_exec() 时将导致 use-after-free 漏洞。本地攻击者可以利用此漏洞将其权限提升为 root。

在 Linux 内核中发现了两个新漏洞（CVE-2023-1281、CVE-2023-1829），这些漏洞可能会导致节点上的权限提升为 root。

该怎么做？

该补丁解决了哪些漏洞？

CVE-2023-1281 和 CVE-2023-1829 都是 Linux 内核流量控制索引过滤器 (tcindex) 中的 use-after-free 漏洞，攻击者可以利用这些漏洞实现本地权限提升。

在 CVE-2023-1829 中，在某些情况下，tcindex_delete 函数不能正确停用过滤器，这可能会导致双重释放数据结构。

在 CVE-2023-1281 中，不完整的哈希区域可以在数据包传输时更新，当使用已销毁的 tcf_ext 调用 tcf_exts_exec() 时将导致 use-after-free 漏洞。本地攻击者可以利用此漏洞将其权限提升为 root。

在 Linux 内核中发现了两个新漏洞（CVE-2023-1281、CVE-2023-1829），这些漏洞可能会导致节点上的权限提升为 root。

该怎么做？

该补丁解决了哪些漏洞？

CVE-2023-1281 和 CVE-2023-1829 都是 Linux 内核流量控制索引过滤器 (tcindex) 中的 use-after-free 漏洞，攻击者可以利用这些漏洞实现本地权限提升。

在 CVE-2023-1829 中，在某些情况下，tcindex_delete 函数不能正确停用过滤器，这可能会导致双重释放数据结构。

在 CVE-2023-1281 中，不完整的哈希区域可以在数据包传输时更新，当使用已销毁的 tcf_ext 调用 tcf_exts_exec() 时将导致 use-after-free 漏洞。本地攻击者可以利用此漏洞将其权限提升为 root。

在 Linux 内核中发现了两个新漏洞（CVE-2023-1281、CVE-2023-1829），这些漏洞可能会导致节点上的权限提升为 root。

该怎么做？

该补丁解决了哪些漏洞？

CVE-2023-1281 和 CVE-2023-1829 都是 Linux 内核流量控制索引过滤器 (tcindex) 中的 use-after-free 漏洞，攻击者可以利用这些漏洞实现本地权限提升。

在 CVE-2023-1829 中，在某些情况下，tcindex_delete 函数不能正确停用过滤器，这可能会导致双重释放数据结构。

在 CVE-2023-1281 中，不完整的哈希区域可以在数据包传输时更新，当使用已销毁的 tcf_ext 调用 tcf_exts_exec() 时将导致 use-after-free 漏洞。本地攻击者可以利用此漏洞将其权限提升为 root。

在 Linux 内核中发现了两个新漏洞（CVE-2023-1281、CVE-2023-1829），这些漏洞可能会导致节点上的权限提升为 root。

GKE on Bare Metal 不受此 CVE 的影响。

该怎么做？

您无需执行任何操作。

2023 年 12 月 21 日更新：原始公告中注明 Autopilot 您的集群会受到影响，但这是不正确的。GKE Autopilot 默认配置中的集群不会受到影响，但如果您 明确设置 seccomp 不受限制的配置文件或 允许 CAP_NET_ADMIN。

在 Linux 内核中发现了两个新漏洞 CVE-2023-0240 和 CVE-2023-23586，无特权的用户可以利用这些漏洞来提升权限。COS 使用 5.10.162 之前的 Linux 内核 5.10 版本的 GKE 集群（包括 Autopilot 集群）会受到影响。使用 Ubuntu 映像或使用 GKE Sandbox 的 GKE 集群不受影响。

该怎么做？

为了修复这些漏洞，我们已对以下 GKE 版本进行了代码更新。出于安全考虑，即使您启用了节点自动升级，我们仍建议您将节点池手动升级到以下 GKE 版本之一：

• 1.22.17-gke.4000
• 1.23.16-gke.1100
• 1.24.10-gke.1200

借助发布渠道的最新功能，您可以应用补丁，而不必退订渠道。这样，您就可以保护节点，直到新版本成为特定发布渠道的默认版本。

该补丁解决了哪些漏洞？

漏洞 1 (CVE-2023-0240)：io_uring 中的竞态条件可能导致完全的容器逃逸，从而获得节点的 root 权限。5.10.162 之前的 Linux 内核 5.10 版本不受影响。

漏洞 2 (CVE-2023-23586)：io_uring/time_ns 中的 use-after-free (UAF) 漏洞可能导致完全的容器逃逸，从而获得节点的 root 权限。5.10.162 之前的 Linux 内核 5.10 版本不受影响。

在 Linux 内核中发现了两个新漏洞 CVE-2023-0240 和 CVE-2023-23586，无特权的用户可以利用这些漏洞来提升权限。具有 COS 且使用 Linux 内核版本 5.10 至 5.10.162 的 GKE on VMware 集群 会受到影响使用 Ubuntu 映像的 GKE Enterprise 集群不受影响。

该怎么做？

以下版本的 GKE on VMware 已更新，现在修复了 以下漏洞：

• 1.12.6
• 1.13.5

该补丁解决了哪些漏洞？

漏洞 1 (CVE-2023-0240)：io_uring 中的竞态条件可能导致完全的容器逃逸，从而获得节点的 root 权限。5.10.162 之前的 Linux 内核 5.10 版本不受影响。

漏洞 2 (CVE-2023-23586)：io_uring/time_ns 中的 use-after-free (UAF) 漏洞可能导致完全的容器逃逸，从而获得节点的 root 权限。5.10.162 之前的 Linux 内核 5.10 版本不受影响。

在 Linux 内核中发现了两个新漏洞 CVE-2023-0240 和 CVE-2023-23586，无特权的用户可以利用这些漏洞来提升权限。GKE on AWS 不受这些 CVE 的影响。

该怎么做？

您无需执行任何操作。

在 Linux 内核中发现了两个新漏洞 CVE-2023-0240 和 CVE-2023-23586，无特权的用户可以利用这些漏洞来提升权限。GKE on Azure 不受这些 CVE 的影响

该怎么做？

您无需执行任何操作。

在 Linux 内核中发现了两个新漏洞 CVE-2023-0240 和 CVE-2023-23586，无特权的用户可以利用这些漏洞来提升权限。GKE on Bare Metal 不受这些 CVE 的影响。

该怎么做？

您无需执行任何操作。

2023 年 12 月 21 日更新：原始公告中注明 Autopilot 您的集群会受到影响，但这是不正确的。GKE Autopilot 默认配置中的集群不会受到影响，但如果您 明确设置 seccomp 不受限制的配置文件或 允许 CAP_NET_ADMIN。

在 Linux 内核中发现了一个新漏洞 (CVE-2022-4696)，此漏洞可能会导致节点上的权限提升。GKE 集群（包括 Autopilot 集群）会受到影响。使用 GKE Sandbox 的 GKE 集群不受影响。

该怎么做？

以下版本的 GKE 已进行了代码更新，修复了此漏洞。出于安全考虑，即使您启用了节点自动升级，我们仍建议您将集群和节点池手动升级到以下 GKE 版本之一：

• 1.22.17-gke.3100
• 1.23.16-gke.200
• 1.24.9-gke.3200

借助发布渠道的最新功能，您可以应用补丁，而不必退订渠道。这样，您就可以保护节点，直到新版本成为特定发布渠道的默认版本。

该补丁解决了哪些漏洞？

CVE-2022-4696 是在 Linux 内核中的 io_uring 和 ioring_op_splice 中发现的 use-after-free 漏洞。本地用户可利用此漏洞创建本地权限提升。

在 Linux 内核中发现了一个新漏洞 (CVE-2022-4696)，此漏洞可能会导致节点上的权限提升。运行 v1.12 和 v1.13 会受到影响。运行 v1.14 或更高版本的 GKE on VMware 不受影响。

该怎么做？

为了修复此漏洞，我们已对以下版本的 GKE on VMware 进行了代码更新。我们建议您将管理员集群和用户集群升级到以下 GKE on VMware 版本之一：

• 1.12.5
• 1.13.5

该补丁解决了哪些漏洞？

CVE-2022-4696 是在 Linux 内核中的 io_uring 和 ioring_op_splice 中发现的 use-after-free 漏洞。本地用户可利用此漏洞创建本地权限提升。

在 Linux 内核中发现了一个新漏洞 (CVE-2022-4696)，此漏洞可能会导致节点上的权限提升。GKE on AWS 不受此漏洞的影响。

该怎么做？

您无需采取任何行动。

在 Linux 内核中发现了一个新漏洞 (CVE-2022-4696)，此漏洞可能会导致节点上的权限提升。GKE on Azure 不受此漏洞的影响。

该怎么做？

您无需采取任何行动。

在 Linux 内核中发现了一个新漏洞 (CVE-2022-4696)，此漏洞可能会导致节点上的权限提升。GKE on Bare Metal 不受此漏洞的影响。

该怎么做？

您无需采取任何行动。

在 OpenSSL 版本 3.0.6 中发现了两个可能导致崩溃的新漏洞（CVE-2022-3786 和 CVE-2022-3602）。虽然这在 NVD 数据库中被评为高，但 GKE 端点使用 boringSSL 或不受影响的旧版 OpenSSL，因此 GKE 的评级已降至中等。

该怎么做？

以下版本的 GKE 已进行了代码更新，修复了此漏洞：

• 1.25.4-gke.1600
• 1.24.8-gke.401
• 1.23.14-gke.401
• 1.22.16-gke.1300
• 1.21.14-gke.14100

借助发布渠道的最新功能，您可以应用补丁，而不必退订渠道。这样，您就可以保护节点，直到新版本成为特定发布渠道的默认版本。

该补丁解决了哪些漏洞？

对于 CVE-2022-3786 和 CVE-2022-3602，X.509 证书验证可能会触发缓冲区溢出，从而导致崩溃，并进一步导致拒绝服务。为了利用此漏洞，此漏洞需要 CA 签署恶意证书或让应用继续执行证书验证，即使未能构建通向受信任颁发者的路径也是如此。

在 OpenSSL 版本 3.0.6 中发现了两个可能导致崩溃的新漏洞（CVE-2022-3786 和 CVE-2022-3602）。

该怎么做？

GKE on VMware 不受此 CVE 的影响，因为它不使用受影响的 OpenSSL 版本。

该补丁解决了哪些漏洞？

您无需执行任何操作。

在 OpenSSL 版本 3.0.6 中发现了两个可能导致崩溃的新漏洞（CVE-2022-3786 和 CVE-2022-3602）。

该怎么做？

GKE on AWS 不受此 CVE 的影响，因为它不使用受影响的 OpenSSL 版本。

该补丁解决了哪些漏洞？

您无需执行任何操作。

在 OpenSSL 版本 3.0.6 中发现了两个可能导致崩溃的新漏洞（CVE-2022-3786 和 CVE-2022-3602）。

该怎么做？

GKE on Azure 不受此 CVE 的影响，因为它未使用受影响的版本 OpenSSL

该补丁解决了哪些漏洞？

您无需执行任何操作。

在 OpenSSL 版本 3.0.6 中发现了两个可能导致崩溃的新漏洞（CVE-2022-3786 和 CVE-2022-3602）。

该怎么做？

GKE on Bare Metal 不受此 CVE 的影响，因为它不使用受影响的 OpenSSL 版本。

该补丁解决了哪些漏洞？

您无需执行任何操作。

2023 年 12 月 21 日更新：原始公告中注明 Autopilot 您的集群会受到影响，但这是不正确的。GKE Autopilot 默认配置中的集群不会受到影响，但如果您 明确设置 seccomp 不受限制的配置文件或 允许 CAP_NET_ADMIN。

我们在 Linux 内核的 io_uring 子系统中发现了一个新漏洞 (CVE-2022-2602)，该漏洞可能会允许攻击者执行任意代码。GKE 集群（包括 Autopilot 集群）会受到影响。

使用 GKE Sandbox 的 GKE 集群不受影响。

该怎么做？

2023 年 1 月 19 日更新：1.21.14-gke.14100 版已发布。将节点池升级到此版本或更高版本。

以下版本的 GKE 已更新代码以在即将发布的版本中修复此漏洞。出于安全考虑，即使您启用了节点自动升级，我们仍建议您将节点池手动升级到以下 GKE 版本之一：

• Container-Optimized OS：
  • 1.22.16-gke.1300 及更高版本
  • 1.23.14-gke.401 及更高版本
  • 1.24.7-gke.900 及更高版本
  • 1.25.4-gke.1600 及更高版本
• Ubuntu：
• 1.22.15-gke.2500 及更高版本
• 1.23.13-gke.900 及更高版本
• 1.24.7-gke.900 及更高版本
• 1.25.3-gke.800 及更高版本

借助发布渠道的最新功能，您可以应用补丁，而不必退订渠道。这样，您就可以保护节点，直到新版本成为特定发布渠道的默认版本。

该补丁解决了哪些漏洞？

使用 CVE-2022-2602 时，io_uring 请求处理和 Unix 套接字垃圾回收之间的竞态条件可能会导致 use-after-free 漏洞。本地攻击者可能会利用此漏洞触发拒绝服务攻击或执行任意代码。

我们在 Linux 内核的 io_uring 子系统中发现了一个新漏洞 (CVE-2022-2602)，该漏洞可能会允许攻击者执行任意代码。

GKE on VMware 1.11、1.12 和 1.13 版本会受到影响。

该怎么做？

将集群升级到修补后的版本。以下版本的 GKE on VMware 包含修复了此漏洞的代码：

• 1.13.2
• 1.12.4
• 1.11.5

该补丁解决了哪些漏洞？

使用 CVE-2022-2602 时，io_uring 请求处理和 Unix 套接字垃圾回收之间的竞态条件可能会导致 use-after-free 漏洞。本地攻击者可能会利用此漏洞触发拒绝服务攻击或执行任意代码。

我们在 Linux 内核的 io_uring 子系统中发现了一个新漏洞 (CVE-2022-2602)，该漏洞可能会允许攻击者执行任意代码。

该怎么做？

以下当前一代和上一代版本的 GKE on AWS 已更新，包含用于修复此漏洞的代码。我们建议您将节点升级到 以下 GKE on AWS 版本之一：

• 当前一代：
  • 1.22.15-gke.100
  • 1.23.11-gke.300
  • 1.24.5-gke.200
• 上一代：
• 1.22.15-gke.1400
• 1.23.12-gke.1400
• 1.24.6-gke.1300

该补丁解决了哪些漏洞？

使用 CVE-2022-2602 时，io_uring 请求处理和 Unix 套接字垃圾回收之间的竞态条件可能会导致 use-after-free 漏洞。本地攻击者可能会利用此漏洞触发拒绝服务攻击或执行任意代码。

我们在 Linux 内核的 io_uring 子系统中发现了一个新漏洞 (CVE-2022-2602)，该漏洞可能会允许攻击者执行任意代码。

该怎么做？

以下版本的 GKE on Azure 已更新，包含用于修复此漏洞的代码。我们建议您将节点升级到以下 GKE on Azure 版本之一：

• 1.22.15-gke.100
• 1.23.11-gke.300
• 1.24.5-gke.200

该补丁解决了哪些漏洞？

使用 CVE-2022-2602 时，io_uring 请求处理和 Unix 套接字垃圾回收之间的竞态条件可能会导致 use-after-free 漏洞。本地攻击者可能会利用此漏洞触发拒绝服务攻击或执行任意代码。

我们在 Linux 内核的 io_uring 子系统中发现了一个新漏洞 (CVE-2022-2602)，该漏洞可能会允许攻击者执行任意代码。

GKE on Bare Metal 不受此 CVE 的影响，因为它未在其发行版中捆绑操作系统。

该怎么做？

您无需执行任何操作。

Linux 内核中发现了两个新漏洞（CVE-2022-2585 和 CVE-2022-2588），这些漏洞可能会导致容器被完全破解到节点上。GKE 集群（包括 Autopilot 集群）会受到影响。

使用 GKE Sandbox 的 GKE 集群不受影响。

该怎么做？

2023 年 1 月 19 日更新：1.21.14-gke.14100 版已发布。将节点池升级到此版本或更高版本。

2022 年 12 月 16 日更新：因版本后退而对先前版本的公告进行了修订。请将节点池手动升级到以下 GKE 版本之一：

• 1.22.16-gke.1300 及更高版本
• 1.23.14-gke.401 及更高版本
• 1.24.7-gke.900 及更高版本
• 1.25.4-gke.1600 及更高版本

以下版本的 GKE 已进行了代码更新，修复了此漏洞。出于安全考虑，即使您启用了节点自动升级，我们仍建议您将节点池手动升级到以下 GKE 版本之一：

• 1.21.14-gke.9500
• 1.24.7-gke.900

GKE v1.22、1.23 和 1.25 的更新将很快推出。推出以后，此安全公告会更新。

借助发布渠道的最新功能，您可以应用补丁程序，而不必退订渠道。这样，您就可以保护节点，直到新版本成为特定发布渠道的默认版本。

该补丁解决了哪些漏洞？

• 对于 CVE-2022-2585，posix cpu 定时器中的定时器清理不当会导致出现“释放后使用”漏洞，具体取决于定时器的创建和删除方式。
• 对于 CVE-2022-2588，Linux 内核的 route4_change 中发现“释放后使用”缺陷。此缺陷允许本地用户让系统崩溃，并可能导致本地权限提升。

Linux 内核中发现了两个新漏洞（CVE-2022-2585 和 CVE-2022-2588），这些漏洞可能会导致容器被完全破解到节点上。

GKE on VMware 1.13、1.12 和 1.11 版本会受到影响。

该怎么做？

2022 年 12 月 16 日更新：以下版本的 GKE on VMware 已更新，包含用于修复此漏洞的代码。我们建议 将管理员集群和用户集群升级到 GKE on VMware 版本：

• 1.13.2
• 1.12.4
• 1.11.6

• 注意：包含 Container-Optimized OS 补丁的 GKE on VMware 版本很快就会发布。当 GKE on VMware 版本可供下载时，我们会更新此安全公告。

该补丁解决了哪些漏洞？

• 对于 CVE-2022-2585，posix cpu 定时器中的定时器清理不当会导致出现“释放后使用”漏洞，具体取决于定时器的创建和删除方式。
• 对于 CVE-2022-2588，Linux 内核的 route4_change 中发现“释放后使用”缺陷。此缺陷允许本地用户让系统崩溃，并可能导致本地权限提升。

Linux 内核中发现了两个新漏洞（CVE-2022-2585 和 CVE-2022-2588），这些漏洞可能会导致容器被完全破解到节点上。

AWS 上的以下 Kubernetes 版本可能会受到影响：

• 1.23：1.23.9-gke.800 之前的版本。较新的次要版本不受影响
• 1.22：1.22.12-gke.1100 之前的版本。较新的次要版本不受影响

Kubernetes V1.24 不受影响。

该怎么做？

我们建议您将集群升级到以下 AWS Kubernetes 版本之一：

• 1.23：高于 v1.23.9-gke.800 的版本
• 1.22：高于 1.22.12-gke-1100 的版本

解决了哪些漏洞？

对于 CVE-2022-2585，posix cpu 定时器中的定时器清理不当会导致出现“释放后使用”漏洞，具体取决于定时器的创建和删除方式。

对于 CVE-2022-2588，Linux 内核的 route4_change 中发现“释放后使用”缺陷。此缺陷允许本地用户让系统崩溃，并可能导致本地权限提升。

Linux 内核中发现了两个新漏洞（CVE-2022-2585 和 CVE-2022-2588），这些漏洞可能会导致容器被完全破解到节点上。

Azure 上的以下 Kubernetes 版本可能会受到影响：

• 1.23：1.23.9-gke.800 之前的版本。较新的次要版本不受影响。
• 1.22：1.22.12-gke.1100 之前的版本。较新的次要版本不受影响。

Kubernetes V1.24 不受影响。

该怎么做？

我们建议您将集群升级到以下 Azure Kubernetes 版本之一：

• 1.23：高于 v1.23.9-gke.800 的版本
• 1.22：高于 1.22.12-gke-1100 的版本

解决了哪些漏洞？

对于 CVE-2022-2585，posix cpu 定时器中的定时器清理不当会导致出现“释放后使用”漏洞，具体取决于定时器的创建和删除方式。

对于 CVE-2022-2588，Linux 内核的 route4_change 中发现“释放后使用”缺陷。此缺陷允许本地用户让系统崩溃，并可能导致本地权限提升。

Linux 内核中发现了两个新漏洞（CVE-2022-2585 和 CVE-2022-2588），这些漏洞可能会导致容器被完全破解到节点上。

GKE on Bare Metal 不受此 CVE 的影响，因为它未在其发行版中捆绑操作系统。

该怎么做？

您无需执行任何操作。

在 Istio 中发现了一个安全漏洞 CVE-2022-39278，用于 Cloud Service Mesh，可让恶意攻击者崩溃控制平面。

该怎么做？

Google Kubernetes Engine (GKE) 未随 Istio 一起提供，因此不受此影响 漏洞但是，如果您在自己的集群上单独安装了 Cloud Service Mesh 或 Istio， 请参阅 GCP-2022-020、 有关此 CVE 的 Cloud Service Mesh 安全公告。

我们在 Istio 中发现了一个安全漏洞 CVE-2022-39278， Cloud Service Mesh 中，使恶意攻击者能够 Istio 控制平面。

该怎么做？

为了修复此漏洞，我们已对以下版本的 GKE on VMware 进行了代码更新。我们建议您将管理员集群和用户集群升级到以下 GKE on VMware 版本之一：

• 1.11.4
• 1.12.3
• 1.13.1

该补丁解决了哪些漏洞？

由于存在 CVE-2022-39278 漏洞，Istio 控制平面 istiod 容易受到请求处理错误的影响，允许恶意攻击者发送特制消息，从而在集群的验证网络钩子公开暴露时导致控制平面崩溃。此端点通过 TLS 端口 15017 提供，但不需要攻击者进行任何身份验证。

我们在 Istio 中发现了一个安全漏洞 CVE-2022-39278， Cloud Service Mesh 中引入，使恶意攻击者能够使控制平面崩溃。

该怎么做？

GKE on AWS 不受此漏洞的影响，无需执行任何操作。

我们在 Istio 中发现了一个安全漏洞 CVE-2022-39278， Cloud Service Mesh 中引入，使恶意攻击者能够使控制平面崩溃。

该怎么做？

GKE on Azure 不受此漏洞的影响，因此不会采取任何措施 必填字段。

我们在 Istio 中发现了一个安全漏洞 CVE-2022-39278， GKE on Bare Metal 的 Cloud Service Mesh 功能，让恶意攻击者 让 Istio 控制平面崩溃

该怎么做？

为了修复此漏洞，我们已对以下版本的 GKE on Bare Metal 进行了代码更新。我们建议您将集群升级到 以下 GKE on Bare Metal 版本：

• 1.11.7
• 1.12.4
• 1.13.1

该补丁解决了哪些漏洞？

由于存在 CVE-2022-39278 漏洞，Istio 控制平面 istiod 容易受到请求处理错误的影响，允许恶意攻击者发送特制消息，从而在集群的验证网络钩子公开暴露时导致控制平面崩溃。此端点通过 TLS 端口 15017 提供，但不需要攻击者进行任何身份验证。

我们在 Linux 内核中发现了一个新漏洞 (CVE-2022-20409)，该漏洞可能会导致本地权限提升。Google Kubernetes Engine (GKE) v1.22、v1.23 和 v1.24 集群，包括 Autopilot 集群 版本 93 和 97 会受到影响。其他支持 GKE 版本 不受影响GKE 集群 GKE Sandbox 不受影响。

该怎么做？

2022 年 12 月 14 日更新：因版本后退而对先前版本的公告进行了修订。请将节点池手动升级到以下 GKE 版本之一：

• 1.22.15-gke.2500 及更高版本
• 1.23.13-gke.900 及更高版本
• 1.24.7-gke.900 及更高版本

使用 Container-Optimized OS 版本 93 和 97 的以下 GKE 版本已更新代码以在即将发布的版本中修复此漏洞。出于安全考虑，即使您启用了节点自动升级，我们仍建议您将节点池手动升级到以下 GKE 版本之一：

• 1.22.15-gke.2300 及更高版本
• 1.23.13-gke.700 及更高版本
• 1.24.7-gke.700 及更高版本

发布渠道的最新功能可让您应用补丁，而无需退订渠道。此功能允许您保护节点，直到新版本成为您的发布专用渠道的默认版本。

该补丁解决了哪些漏洞？

由于 CVE-2022-20409，Linux 内核在 io_uring 子系统的 io_identity_cow 中有一个漏洞。因 Use-After-Free (UAF) 漏洞，可能会发生内存损坏。本地攻击者可以利用此内存损坏进行拒绝 服务（系统崩溃），也有可能执行任意代码。

我们在 Linux 内核中发现了一个新漏洞 (CVE-2022-20409)，该漏洞可能会导致本地权限提升。

该怎么做？

2022 年 12 月 14 日更新：以下版本的 GKE on VMware for Ubuntu 已更新，内含修复此漏洞的代码。我们建议您将节点升级到以下 GKE on VMware 之一 版本：

• 1.13.1 及更高版本
• 1.12.3 及更高版本
• 1.11.4 及更高版本

该补丁解决了哪些漏洞？

由于 CVE-2022-20409，Linux 内核在 io_uring 子系统的 io_identity_cow 中有一个漏洞。因 Use-After-Free (UAF) 漏洞，可能会发生内存损坏。本地攻击者可以利用此内存损坏进行拒绝 服务（系统崩溃），也有可能执行任意代码。

在 Linux 内核中发现了一个新漏洞 CVE-2022-20409，该漏洞可能会允许无特权的用户提升到拥有系统执行特权。

该怎么做？

您无需执行任何操作。GKE on AWS 不会使用 Linux 内核。

该补丁解决了哪些漏洞？

由于 CVE-2022-20409，Linux 内核在 io_uring 子系统的 io_identity_cow 中有一个漏洞。因 Use-After-Free (UAF) 漏洞，可能会发生内存损坏。本地攻击者可以利用此内存损坏进行拒绝 服务（系统崩溃），也有可能执行任意代码。

在 Linux 内核中发现了一个新漏洞 CVE-2022-20409，该漏洞可能会允许无特权的用户提升到拥有系统执行特权。

该怎么做？

您无需执行任何操作。GKE on Azure 不使用受影响的版本 Linux 内核版本。

该补丁解决了哪些漏洞？

由于 CVE-2022-20409，Linux 内核在 io_uring 子系统的 io_identity_cow 中有一个漏洞。因 Use-After-Free (UAF) 漏洞，可能会发生内存损坏。本地攻击者可以利用此内存损坏进行拒绝 服务（系统崩溃），也有可能执行任意代码。

我们在 Linux 内核中发现了一个新漏洞 (CVE-2022-20409)，该漏洞可能会导致本地权限提升。

该怎么做？

• 您无需执行任何操作。GKE on Bare Metal 不受此 CVE 的影响，因为它未在发行版中捆绑操作系统。

我们在 Linux 内核中发现了一个新漏洞 (CVE-2022-3176)，该漏洞可能会导致本地权限提升。此漏洞允许无特权的用户实现完全的容器逃逸，从而获得节点的 root 权限。