Bollettini sulla sicurezza

Un problema di sicurezza rilevato nei cluster Kubernetes potrebbe comportare l'esecuzione di codice remoto utilizzando un volume gitRepo. Se il repository Git è stato creato con intenti dannosi, un utente con la possibilità di creare un pod e associare un volume gitRepo potrebbe eseguire comandi arbitrari oltre il confine del contenitore.

Che cosa devo fare?

Esegui l'upgrade del cluster GKE e dei pool di nodi a una versione con patch. Le seguenti versioni di GKE sono state aggiornate per correggere questa vulnerabilità:

• 1.27.16-gke.1008000
• 1.28.12-gke.1052000
• 1.29.7-gke.1008000
• 1.30.3-gke.1225000
• 1.31.0-gke.1058000

Per motivi di sicurezza, anche con l'upgrade automatico dei nodi abilitato, ti consigliamo di eseguire manualmente l'upgrade del tuo cluster e dei tuoi pool di nodi a una versione GKE con patch. I canali di rilascio GKE ti consentono di applicare patch senza dover annullare l'iscrizione o modificare i canali di rilascio. In questo modo puoi proteggere il cluster e i nodi prima che la nuova versione diventi predefinita sul canale di rilascio selezionato.

Quali vulnerabilità vengono affrontate da questa patch?

CVE-2024-10220 consente a un utente malintenzionato di creare un pod e associare un volume gitRepo per eseguire comandi arbitrari oltre il confine del contenitore.

Un problema di sicurezza rilevato nei cluster Kubernetes potrebbe comportare l'esecuzione di codice remoto utilizzando un volume gitRepo. Se il repository Git è stato creato con intenti dannosi, un utente con la capacità di creare un pod e associare un volume gitRepo potrebbe eseguire comandi arbitrari oltre il confine del contenitore.

Che cosa devo fare?

Un problema di sicurezza rilevato nei cluster Kubernetes potrebbe comportare l'esecuzione di codice remoto utilizzando un volume gitRepo. Se il repository Git è stato creato con intenti dannosi, un utente con la capacità di creare un pod e associare un volume gitRepo potrebbe eseguire comandi arbitrari oltre il confine del contenitore.

Che cosa devo fare?

Un problema di sicurezza rilevato nei cluster Kubernetes potrebbe comportare l'esecuzione di codice remoto utilizzando un volume gitRepo. Se il repository Git è stato creato con intenti dannosi, un utente con la capacità di creare un pod e associare un volume gitRepo potrebbe eseguire comandi arbitrari oltre il confine del contenitore.

Che cosa devo fare?

Un problema di sicurezza rilevato nei cluster Kubernetes potrebbe comportare l'esecuzione di codice remoto utilizzando un volume gitRepo. Se il repository Git è stato creato con intenti dannosi, un utente con la capacità di creare un pod e associare un volume gitRepo potrebbe eseguire comandi arbitrari oltre il confine del contenitore.

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-45016

I cluster GKE Standard sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o consenti CAP_NET_ADMIN.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento del 19/11/2024: le seguenti versioni di GKE sono aggiornate con il codice per correggere questa vulnerabilità su Ubuntu. Esegui l'upgrade dei pool di nodi Ubuntu alle seguenti versioni o versioni successive:

• 1.27.16-gke.1784000
• 1.28.15-gke.1080000
• 1.29.10-gke.1155000
• 1.30.6-gke.1059000
• 1.31.2-gke.1354000

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:

• 1.27.16-gke.1478000
• 1.28.14-gke.1099000
• 1.29.9-gke.1177000
• 1.30.5-gke.1145000

Puoi applicare le versioni delle patch dei canali di rilascio più recenti se il tuo cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i tuoi nodi finché la versione della patch non diventa predefinita nel canale di rilascio. Per maggiori dettagli, vedi Eseguire le versioni con patch da un canale più recente.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-45016

Che cosa devo fare?

Aggiornamento del 15/10/2024: le seguenti versioni di GDC (VMware) sono state aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade dei cluster GDC (VMware) alle seguenti versioni o versioni successive:

• 1.30.100-gke.96
• 1.29.600-gke.109
• 1.28.1000-gke.59

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-45016

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-45016

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-45016

Che cosa devo fare?

Non sono necessarie ulteriori azioni. Il software GDC per bare metal non è interessato perché non include un sistema operativo nella distribuzione.

Nel sistema di stampa CUPS utilizzato da alcune distribuzioni Linux è stata scoperta una catena di vulnerabilità (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177) che potrebbe comportare l'esecuzione di codice da remoto. Un malintenzionato può sfruttare questa vulnerabilità se i servizi CUPS sono in ascolto sulla porta UDP 631 e possono connettersi.

GKE non utilizza il sistema di stampa CUPS e non è interessato.

Che cosa devo fare?

Nessuna azione richiesta

Nel sistema di stampa CUPS utilizzato da alcune distribuzioni Linux è stata scoperta una catena di vulnerabilità (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177) che potrebbe comportare l'esecuzione di codice da remoto. Un malintenzionato può sfruttare questa vulnerabilità se i servizi CUPS sono in ascolto sulla porta UDP 631 e possono connettersi.

Il software GDC per VMware non utilizza il sistema di stampa CUPS e non è interessato.

Che cosa devo fare?

Nessuna azione richiesta

Nel sistema di stampa CUPS utilizzato da alcune distribuzioni Linux è stata scoperta una catena di vulnerabilità (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177) che potrebbe comportare l'esecuzione di codice da remoto. Un malintenzionato può sfruttare questa vulnerabilità se i servizi CUPS sono in ascolto sulla porta UDP 631 e possono connettersi.

GKE su AWS non utilizza il sistema di stampa CUPS e non è interessato.

Che cosa devo fare?

Nessuna azione richiesta

Nel sistema di stampa CUPS utilizzato da alcune distribuzioni Linux è stata scoperta una catena di vulnerabilità (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177) che potrebbe comportare l'esecuzione di codice da remoto. Un malintenzionato può sfruttare questa vulnerabilità se i servizi CUPS sono in ascolto sulla porta UDP 631 e possono connettersi.

GKE su Azure non utilizza il sistema di stampa CUPS e non è interessato.

Che cosa devo fare?

Nessuna azione richiesta

Nel sistema di stampa CUPS utilizzato da alcune distribuzioni Linux è stata scoperta una catena di vulnerabilità (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177) che potrebbe comportare l'esecuzione di codice da remoto. Un malintenzionato può sfruttare questa vulnerabilità se i servizi CUPS sono in ascolto sulla porta UDP 631 e possono connettersi.

Il software GDC per bare metal non è interessato perché non include un sistema operativo nella distribuzione.

Che cosa devo fare?

Nessuna azione richiesta

È stato rilevato un problema di sicurezza nei cluster Kubernetes con nodi Windows in cui BUILTIN\Users potrebbe essere in grado di leggere i log dei contenitori e AUTHORITY\Authenticated gli utenti potrebbero essere in grado di modificarli.

È interessato qualsiasi ambiente Kubernetes con nodi Windows. Esegui kubectl get nodes -l kubernetes.io/os=windows per verificare se sono in uso eventuali nodi Windows.

Versioni GKE interessate

• 1.27.15 e versioni precedenti
• 1.28.11 e versioni precedenti
• 1.29.6 e versioni precedenti
• 1.30.2 e versioni precedenti

Che cosa devo fare?

Le seguenti versioni di GKE sono state aggiornate per correggere questa vulnerabilità. Per motivi di sicurezza, anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire manualmente l'upgrade del cluster e dei pool di nodi a una delle seguenti versioni di GKE o successive:

• 1.27.16-gke.1008000
• 1.28.12-gke.1052000
• 1.29.7-gke.1008000
• 1.30.3-gke.1225000

Puoi applicare le versioni delle patch dei canali di rilascio più recenti se il tuo cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i tuoi nodi finché la versione della patch non diventa predefinita nel canale di release. Per maggiori dettagli, vedi Eseguire le versioni con patch da un canale più recente.

Quali vulnerabilità vengono affrontate?

CVE-2024-5321

È stato rilevato un problema di sicurezza nei cluster Kubernetes con nodi Windows in cui BUILTIN\Users potrebbe essere in grado di leggere i log dei contenitori e gli utenti AUTHORITY\Authenticated potrebbero essere in grado di modificarli.

È interessato qualsiasi ambiente Kubernetes con nodi Windows. Esegui kubectl get nodes -l kubernetes.io/os=windows per verificare se sono presenti nodi Windows in uso.

Che cosa devo fare?

Le versioni delle patch per il software GDC per VMware sono in corso di elaborazione. Aggiorneremo questo bollettino con queste informazioni non appena saranno disponibili.

Quali vulnerabilità vengono affrontate?

CVE-2024-5321

È stato rilevato un problema di sicurezza nei cluster Kubernetes con nodi Windows in cui BUILTIN\Users potrebbe essere in grado di leggere i log dei contenitori e AUTHORITY\Authenticated gli utenti potrebbero essere in grado di modificarli.

I cluster GKE su AWS non supportano i nodi Windows e non sono interessati.

Che cosa devo fare?

Nessuna azione richiesta

È stato rilevato un problema di sicurezza nei cluster Kubernetes con nodi Windows in cui BUILTIN\Users potrebbe essere in grado di leggere i log dei contenitori e AUTHORITY\Authenticated gli utenti potrebbero essere in grado di modificarli.

I cluster GKE su Azure non supportano i nodi Windows e non sono interessati.

Che cosa devo fare?

Nessuna azione richiesta

È stato rilevato un problema di sicurezza nei cluster Kubernetes con nodi Windows in cui BUILTIN\Users potrebbe essere in grado di leggere i log dei contenitori e AUTHORITY\Authenticated gli utenti potrebbero essere in grado di modificarli.

Il software GDC per i cluster bare metal non supporta i nodi Windows e non è interessato.

Che cosa devo fare?

Nessuna azione richiesta

In Windows è stata scoperta una nuova vulnerabilità di esecuzione di codice remoto (CVE-2024-38063). Un malintenzionato potrebbe sfruttare questa vulnerabilità da remoto inviando pacchetti IPv6 appositamente creati a un host.

Che cosa devo fare?

GKE non supporta IPv6 su Windows e non è interessato da questa CVE. Non è richiesta alcuna azione da parte tua.

In Windows è stata scoperta una nuova vulnerabilità di esecuzione di codice remoto (CVE-2024-38063). Un malintenzionato potrebbe sfruttare questa vulnerabilità da remoto inviando pacchetti IPv6 appositamente creati a un host.

Che cosa devo fare?

Il software GDC per VMware non supporta IPv6 su Windows e non è interessato da questa CVE. Non è richiesta alcuna azione da parte tua.

In Windows è stata scoperta una nuova vulnerabilità di esecuzione di codice remoto (CVE-2024-38063). Un malintenzionato potrebbe sfruttare questa vulnerabilità da remoto inviando pacchetti IPv6 appositamente creati a un host.

Che cosa devo fare?

GKE su AWS non è interessato da questa CVE. Non è richiesta alcuna azione da parte tua.

In Windows è stata scoperta una nuova vulnerabilità di esecuzione di codice remoto (CVE-2024-38063). Un malintenzionato potrebbe sfruttare questa vulnerabilità da remoto inviando pacchetti IPv6 appositamente creati a un host.

Che cosa devo fare?

GKE su Azure non è interessato da questa CVE. Non è richiesta alcuna azione da parte tua.

In Windows è stata scoperta una nuova vulnerabilità di esecuzione di codice remoto (CVE-2024-38063). Un malintenzionato potrebbe sfruttare questa vulnerabilità da remoto inviando pacchetti IPv6 appositamente creati a un host.

Che cosa devo fare?

GDC (bare metal) non è interessato da questa CVE. Non è richiesta alcuna azione da parte tua.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-36978

I cluster GKE Standard sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o consenti CAP_NET_ADMIN.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento del 01/11/2024: le seguenti versioni di GKE sono aggiornate con il codice per correggere questa vulnerabilità su Ubuntu. Esegui l'upgrade dei pool di nodi Ubuntu alle seguenti versioni o versioni successive:

• 1.27.16-gke.1576000
• 1.28.14-gke.1175000
• 1.29.9-gke.1341000
• 1.30.5-gke.1355000
• 1.31.1-gke.1678000

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:

• 1.27.16-gke.1008000
• 1.28.12-gke.1052000
• 1.29.7-gke.1008000
• 1.30.3-gke.1225000
• 1.31.0-gke.1058000

Puoi applicare le versioni delle patch dei canali di rilascio più recenti se il tuo cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i tuoi nodi finché la versione della patch non diventa predefinita nel canale di rilascio. Per maggiori dettagli, vedi Eseguire le versioni con patch da un canale più recente.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-36978

Che cosa devo fare?

Aggiornamento del 21/10/2024: le seguenti versioni del software GDC per VMware sono state aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade del software GDC per i cluster VMware alle seguenti versioni o versioni successive:

• 1.28.1100-gke.91
• 1.30.200-gke.101
• 1.29.600-gke.109

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-36978

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-36978

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-36978

Che cosa devo fare?

Non sono necessarie ulteriori azioni. Il software GDC per bare metal non è interessato perché non include un sistema operativo nella distribuzione.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-41009

I cluster GKE Standard e Autopilot sono interessati.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento del 30/10/2024: le seguenti versioni di GKE sono aggiornate con il codice per correggere questa vulnerabilità su Ubuntu. Esegui l'upgrade dei pool di nodi Ubuntu alle seguenti versioni o versioni successive:

• 1.27.16-gke.1576000
• 1.28.14-gke.1175000
• 1.29.9-gke.1341000
• 1.30.5-gke.1355000
• 1.31.1-gke.1678000

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:

• 1.27.16-gke.1008000
• 1.28.12-gke.1052000
• 1.29.7-gke.1008000
• 1.30.3-gke.1225000
• 1.31.0-gke.1058000

Puoi applicare le versioni delle patch dei canali di rilascio più recenti se il tuo cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i tuoi nodi finché la versione della patch non diventa predefinita nel canale di rilascio. Per maggiori dettagli, vedi Eseguire le versioni con patch da un canale più recente.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-41009

Che cosa devo fare?

Aggiornamento del 25/10/2024: le seguenti versioni del software GDC per VMware sono aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade del software GDC per i cluster VMware alle seguenti versioni o versioni successive:

• 1.29.700-gke.110
• 1.28.1100-gke.91
• 1.30.200-gke.101

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-41009

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-41009

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-41009

Che cosa devo fare?

Non sono necessarie ulteriori azioni. Il software GDC per bare metal non è interessato perché non include un sistema operativo nella distribuzione.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-39503

I cluster GKE Standard sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o consenti CAP_NET_ADMIN.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento del 30/10/2024: le seguenti versioni di GKE sono aggiornate con il codice per correggere questa vulnerabilità su Ubuntu. Esegui l'upgrade dei pool di nodi Ubuntu alle seguenti versioni o versioni successive:

• 1.27.16-gke.1576000
• 1.28.14-gke.1175000
• 1.29.9-gke.1341000
• 1.30.5-gke.1355000
• 1.31.1-gke.1678000

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:

• 1.27.15-gke.1125000
• 1.28.11-gke.1170000
• 1.29.6-gke.1137000
• 1.30.3-gke.1225000

Puoi applicare le versioni delle patch dei canali di rilascio più recenti se il tuo cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i tuoi nodi finché la versione della patch non diventa predefinita nel canale di rilascio. Per maggiori dettagli, vedi Eseguire le versioni con patch da un canale più recente.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-39503

Che cosa devo fare?

Aggiornamento del 21/10/2024: le seguenti versioni del software GDC per VMware sono state aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade del software GDC per i cluster VMware alle seguenti versioni o versioni successive:

• 1.30.200-gke.101
• 1.29.600-gke.109
• 1.28.1100-gke.91

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-39503

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-39503

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-39503

Che cosa devo fare?

Non sono necessarie ulteriori azioni. Il software GDC per bare metal non è interessato perché non include un sistema operativo nella distribuzione.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-26925

I cluster GKE Standard sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o consenti CAP_NET_ADMIN.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento del 21/08/2024: le seguenti versioni di GKE sono aggiornate con il codice per correggere questa vulnerabilità su Ubuntu. Esegui l'upgrade dei pool di nodi Ubuntu alle seguenti versioni o versioni successive:

• 1.27.16-gke.1051000
• 1.28.12-gke.1052000
• 1.29.7-gke.1174000
• 1.30.3-gke.1225000

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:

• 1.27.14-gke.1093000
• 1.28.10-gke.1141000
• 1.29.5-gke.1192000
• 1.30.2-gke.1394000

Puoi applicare le versioni delle patch dei canali di rilascio più recenti se il tuo cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i tuoi nodi finché la versione della patch non diventa predefinita nel canale di rilascio. Per maggiori dettagli, vedi Eseguire le versioni con patch da un canale più recente.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-26925

Che cosa devo fare?

Aggiornamento del 19 settembre 2024: le seguenti versioni del software GDC per VMware sono aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade del software GDC per i cluster VMware alle seguenti versioni o versioni successive:

• 1.29.400
• 1.28.900

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-26925

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-26925

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-26925

Che cosa devo fare?

Non sono necessarie ulteriori azioni. Il software GDC per bare metal non è interessato perché non include un sistema operativo nella distribuzione.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-36972

I cluster GKE Standard e Autopilot sono interessati.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento del 30/10/2024: le seguenti versioni di GKE sono aggiornate con il codice per correggere questa vulnerabilità su Ubuntu. Esegui l'upgrade dei pool di nodi Ubuntu alle seguenti versioni o versioni successive:

• 1.27.16-gke.1576000
• 1.28.14-gke.1175000
• 1.29.9-gke.1341000
• 1.30.5-gke.1355000
• 1.31.1-gke.1678000

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:

• 1.27.14-gke.1093000
• 1.28.10-gke.1141000
• 1.29.5-gke.1192000
• 1.30.2-gke.1394000

Puoi applicare le versioni delle patch dei canali di rilascio più recenti se il tuo cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i tuoi nodi finché la versione della patch non diventa predefinita nel canale di rilascio. Per maggiori dettagli, vedi Eseguire le versioni con patch da un canale più recente.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-36972

Che cosa devo fare?

Aggiornamento del 21/10/2024: le seguenti versioni del software GDC per VMware sono state aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade del software GDC per i cluster VMware alle seguenti versioni o versioni successive:

• 1.30.200-gke.101
• 1.29.600-gke.109
• 1.28.1100-gke.91

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-36972

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-36972

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-36972

Che cosa devo fare?

Non sono necessarie ulteriori azioni. Il software GDC per bare metal non è interessato perché non include un sistema operativo nella distribuzione.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-26921

I cluster GKE Standard sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o consenti CAP_NET_ADMIN.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento del 02/10/2024: le seguenti versioni di GKE sono aggiornate con il codice per correggere questa vulnerabilità su Ubuntu. Esegui l'upgrade dei pool di nodi Ubuntu alle seguenti versioni o versioni successive:

• 1.27.16-gke.1287000
• 1.28.13-gke.1042000
• 1.29.8-gke.1096000
• 1.30.4-gke.1476000
• 1.30.4-gke.1476000
• 1.31.0-gke.1577000

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:

• 1.26.15-gke.1360000
• 1.27.14-gke.1022000
• 1.28.9-gke.1209000
• 1.29.4-gke.1542000
• 1.30.2-gke.1394000

Puoi applicare le versioni delle patch dei canali di rilascio più recenti se il tuo cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i tuoi nodi finché la versione della patch non diventa predefinita nel canale di rilascio. Per maggiori dettagli, vedi Eseguire le versioni con patch da un canale più recente.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-26921

Che cosa devo fare?

Aggiornamento del 20/09/2024: le seguenti versioni del software GDC per VMware sono aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade del software GDC per i cluster VMware alle seguenti versioni o versioni successive:

• 1.30.200
• 1.29.500
• 1.28.1000

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-26921

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-26921

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-26921

Che cosa devo fare?

Non sono necessarie ulteriori azioni. Il software GDC per bare metal non è interessato perché non include un sistema operativo nella distribuzione.

Aggiornamento del 18/07/2024: la versione originale di questo bollettino affermava erroneamente che i cluster Autopilot erano interessati. I cluster Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se impostate esplicitamente il profilo seccomp Unconfined o consentite la funzionalità CAP_NET_ADMIN.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-26809

I cluster GKE Standard e Autopilot sono interessati.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:

• 1.27.13-gke.1166000
• 1.28.9-gke.1209000
• 1.29.4-gke.1542000

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni patch o successive:

• 1.26.15-gke.1469000
• 1.27.14-gke.1100000
• 1.28.10-gke.1148000
• 1.29.6-gke.1038000

Puoi applicare le versioni delle patch dei canali di rilascio più recenti se il tuo cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i tuoi nodi finché la versione della patch non diventa predefinita nel canale di rilascio. Per maggiori dettagli, vedi Eseguire le versioni con patch da un canale più recente.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-26809

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-26809

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-26809

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-26809

Che cosa devo fare?

Non sono necessarie ulteriori azioni. Il software GDC per bare metal non è interessato perché non include un sistema operativo nella distribuzione.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2023-52654
• CVE-2023-52656

I cluster GKE Standard e Autopilot sono interessati.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento del 19/07/2024: le seguenti versioni di GKE contengono il codice per correggere questa vulnerabilità su Ubuntu. Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni patch o successive:

• 1.26.15-gke.1469000
• 1.27.14-gke.1100000
• 1.28.10-gke.1148000
• 1.29.6-gke.1038000
• 1.30.2-gke.1394000

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:

• 1.26.15-gke.1300000
• 1.27.13-gke.1166000
• 1.28.9-gke.1209000
• 1.29.4-gke.1542000

Puoi applicare le versioni delle patch dei canali di rilascio più recenti se il tuo cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i tuoi nodi finché la versione della patch non diventa predefinita nel canale di rilascio. Per maggiori dettagli, vedi Eseguire le versioni con patch da un canale più recente.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2023-52654
• CVE-2023-52656

Che cosa devo fare?

Aggiornamento del 16/09/2024: le seguenti versioni del software GDC per VMware sono state aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade del software GDC per i cluster VMware alle seguenti versioni o versioni successive:

• 1.29.200
• 1.28.700
• 1.16.11

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2023-52654
• CVE-2023-52656

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2023-52654
• CVE-2023-52656

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2023-52654
• CVE-2023-52656

Che cosa devo fare?

Non sono necessarie ulteriori azioni. Il software GDC per bare metal non è interessato perché non include un sistema operativo nella distribuzione.

Aggiornamento del 03/07/2024: è in corso un'implementazione accelerata che dovrebbe rendere disponibili le nuove versioni con patch in tutte le zone entro il 3 luglio 2024 alle ore 17:00 (ora legale del Pacifico USA e Canada) (UTC-7). Per ricevere una notifica non appena una patch è disponibile per il tuo cluster specifico, utilizza le notifiche del cluster.

Aggiornamento del 02/07/2024: questa vulnerabilità interessa sia i cluster in modalità Autopilot sia quelli in modalità Standard. Ogni sezione che segue indica le modalità a cui si applica.

Di recente è stata scoperta in OpenSSH una vulnerabilità di esecuzione di codice da remoto, CVE-2024-6387. La vulnerabilità sfrutta una race condition che potrebbe essere utilizzata per ottenere l'accesso a una shell remota, consentendo agli attaccanti di ottenere l'accesso root ai nodi GKE. Al momento della pubblicazione, si ritiene che lo sfruttamento sia difficile e richieda diverse ore per ogni macchina attaccata. Non siamo a conoscenza di alcun tentativo di sfruttamento.

Tutte le versioni supportate di Container-Optimized OS e delle immagini Ubuntu su GKE eseguono versioni di OpenSSH vulnerabili a questo problema.

I cluster GKE con indirizzi IP dei nodi pubblici e SSH esposti a internet devono essere trattati con la massima priorità per la mitigazione.

Il piano di controllo GKE non è vulnerabile a questo problema.

Che cosa devo fare?

Aggiornamento del 03/07/2024: versioni patch per GKE

È in corso un'implementazione accelerata e si prevede che le nuove versioni con patch saranno disponibili in tutte le zone entro le ore 17:00 (ora legale del Pacifico USA e del Canada) del 3 luglio 2024 (UTC-7).

L'upgrade dei cluster e dei nodi con l'upgrade automatico abilitato inizierà nel corso della settimana, ma a causa della gravità della vulnerabilità consigliamo di eseguire l'upgrade manualmente come segue per ricevere le patch il più rapidamente possibile.

Per i cluster Autopilot e Standard, esegui l'upgrade del piano di controllo a una versione con patch. Inoltre, per i cluster in modalità Standard, esegui l'upgrade dei node pool a una versione con patch. I cluster Autopilot inizieranno a eseguire l'upgrade dei nodi in modo che corrispondano alla versione del piano di controllo il prima possibile.

Le versioni di GKE con patch sono disponibili per ogni versione supportata per ridurre al minimo le modifiche necessarie per applicare la patch. Il numero di versione di ogni nuova versione è un incremento della cifra finale del numero di versione di una versione esistente corrispondente. Ad esempio, se utilizzi la versione 1.27.14-gke.1100000, esegui l'upgrade alla versione 1.27.14-gke.1100002 per applicare la correzione con la modifica più piccola possibile. Sono disponibili le seguenti versioni GKE con patch:

• 1.26.15-gke.1090004
• 1.26.15-gke.1191001
• 1.26.15-gke.1300001
• 1.26.15-gke.1320002
• 1.26.15-gke.1381001
• 1.26.15-gke.1390001
• 1.26.15-gke.1404002
• 1.26.15-gke.1469001
• 1.27.13-gke.1070002
• 1.27.13-gke.1166001
• 1.27.13-gke.1201002
• 1.27.14-gke.1022001
• 1.27.14-gke.1042001
• 1.27.14-gke.1059002
• 1.27.14-gke.1100002
• 1.27.15-gke.1012003
• 1.28.9-gke.1069002
• 1.28.9-gke.1209001
• 1.28.9-gke.1289002
• 1.28.10-gke.1058001
• 1.28.10-gke.1075001
• 1.28.10-gke.1089002
• 1.28.10-gke.1148001
• 1.28.11-gke.1019001
• 1.29.4-gke.1043004
• 1.29.5-gke.1060001
• 1.29.5-gke.1091002
• 1.29.6-gke.1038001
• 1.30.1-gke.1329003
• 1.30.2-gke.1023004

Per verificare se è disponibile una patch nella zona o nella regione del cluster, esegui il seguente comando:

gcloud container get-server-config --location=LOCATION

Sostituisci LOCATION con la tua zona o regione.

Aggiornamento del 02/07/2024: l'upgrade dei cluster in modalità Autopilot e in modalità standard deve essere eseguito il prima possibile dopo che le versioni delle patch sono disponibili.

Una versione di GKE con patch che include OpenSSH aggiornato sarà messa a disposizione il prima possibile. Questo bollettino verrà aggiornato quando saranno disponibili le patch. Per ricevere una notifica Pub/Sub quando è disponibile una patch per il tuo canale, abilita le notifiche del cluster. Ti consigliamo di seguire i passaggi riportati di seguito per verificare l'esposizione del tuo cluster e di applicare le mitigazioni descritte, se necessario.

Determinare se i nodi hanno indirizzi IP pubblici

Aggiornamento del 02/07/2024: questa sezione si applica sia ai cluster Autopilot che ai cluster Standard.

Se un cluster viene creato con enable-private-nodes, i nodi saranno privati, il che mitiga la vulnerabilità rimuovendo l'esposizione a internet. Esegui il seguente comando per determinare se nel cluster sono abilitati i nodi privati:

gcloud container clusters describe $CLUSTER_NAME \
--format="value(privateClusterConfig.enablePrivateNodes)"

Se il valore restituito è True, tutti i nodi sono privati per questo cluster e la vulnerabilità è attenuata. Se il valore è vuoto o falso, continua ad applicare una delle misure di mitigazione riportate nelle sezioni seguenti.

Per trovare tutti i cluster creati originariamente con nodi pubblici, utilizza questa query di Cloud Asset Inventory nel progetto o nell'organizzazione:

SELECT
  resource.data.name AS cluster_name,
  resource.parent AS project_name,
  resource.data.privateClusterConfig.enablePrivateNodes
FROM
  `container_googleapis_com_Cluster`
WHERE
  resource.data.privateClusterConfig.enablePrivateNodes is null OR
  resource.data.privateClusterConfig.enablePrivateNodes = false

Non consentire l'accesso SSH ai nodi del cluster

Aggiornamento del 02/07/2024: questa sezione si applica sia ai cluster Autopilot che ai cluster Standard.

La rete predefinita è precaricata con una regola firewall default-allow-ssh per consentire l'accesso SSH dall'internet pubblico. Per rimuovere questo accesso, puoi:

• Se vuoi, crea regole per consentire qualsiasi accesso SSH necessario dalle reti attendibili ai nodi GKE o ad altre VM Compute Engine del progetto.
• Disattiva la regola firewall predefinita con il seguente comando:
  gcloud compute firewall-rules update default-allow-ssh --disabled --project=$PROJECT

Se hai creato altre regole firewall che potrebbero consentire SSH tramite TCP sulla porta 22, disabilitale o limita gli IP di origine alle reti attendibili.

Verifica di non poter più accedere tramite SSH ai nodi del cluster da internet. Questa configurazione del firewall riduce la vulnerabilità.

Convertire i pool di nodi pubblici in privati

Aggiornamento del 02/07/2024: per i cluster Autopilot creati originariamente come cluster pubblici, puoi posizionare i tuoi carichi di lavoro su nodi privati utilizzando nodeSelectors. Tuttavia, i nodi Autopilot che eseguono carichi di lavoro di sistema su cluster inizialmente creati come cluster pubblici continueranno a essere nodi pubblici e devono essere protetti utilizzando le modifiche al firewall descritte nella sezione precedente.

Per proteggere al meglio i cluster creati originariamente con nodi pubblici, ti consigliamo innanzitutto di non consentire SSH tramite il firewall come già descritto. Se non riesci a disattivare SSH tramite le regole firewall, puoi convertire i pool di nodi pubblici nei cluster GKE Standard in privati seguendo queste indicazioni per isolare i pool di nodi.

Modificare la configurazione di SSHD

Aggiornamento del 02/07/2024: questa sezione si applica solo ai cluster standard. I carichi di lavoro Autopilot non sono autorizzati a modificare la configurazione dei nodi.

Se non è possibile applicare nessuna di queste misure di mitigazione, abbiamo anche pubblicato un daemonset che imposta SSHD LoginGraceTime su zero e riavvia il demone SSH. Questo daemonset può essere applicato al cluster per mitigare l'attacco. Tieni presente che questa configurazione potrebbe aumentare il rischio di attacchi di denial of service e causare problemi con l'accesso SSH legittimo. Questo daemonset deve essere rimosso dopo l'applicazione di una patch.

Aggiornamento del 11/07/2024: le seguenti versioni del software GDC per VMware sono state aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade della workstation di amministrazione, dei cluster di amministrazione e dei cluster utente (inclusi i pool di nodi) a una delle seguenti versioni o versioni successive. Per le istruzioni, consulta Eseguire l'upgrade di un cluster o di un pool di nodi.

• 1.16.10-gke.36
• 1.28.700-gke.151
• 1.29.200-gke.245

L'aggiornamento del 2 luglio 2024 di questo bollettino indicava erroneamente che tutte le versioni supportate delle immagini Ubuntu sul software GDC per VMware eseguono versioni di OpenSSH vulnerabili a questo problema. Le immagini Ubuntu sul software GDC per i cluster VMware versione 1.16 eseguono versioni di OpenSSH che non sono vulnerabili a questo problema. Le immagini Ubuntu nel software GDC per VMware 1.28 e 1.29 sono vulnerabili. Le immagini Container-Optimized OS su tutte le versioni supportate del software GDC per VMware sono vulnerabili a questo problema.

Aggiornamento del 02/07/2024: tutte le versioni supportate di Container-Optimized OS e le immagini Ubuntu sul software GDC per VMware eseguono versioni di OpenSSH vulnerabili a questo problema.

Il software GDC per i cluster VMware con indirizzi IP dei nodi pubblici e SSH esposti a internet deve essere trattato con la massima priorità per la mitigazione.

Di recente è stata scoperta in OpenSSH una vulnerabilità di esecuzione di codice da remoto, CVE-2024-6387. La vulnerabilità sfrutta una race condition che potrebbe essere utilizzata per ottenere l'accesso a una shell remota, consentendo agli utenti malintenzionati di ottenere l'accesso root ai nodi GKE. Al momento della pubblicazione, si ritiene che lo sfruttamento sia difficile e richieda diverse ore per ogni macchina attaccata. Non siamo a conoscenza di alcun tentativo di sfruttamento.

Che cosa devo fare?

Aggiornamento del 02/07/2024: verrà resa disponibile il prima possibile una versione del software GDC per VMware con patch che include OpenSSH aggiornato. Questo bollettino verrà aggiornato quando saranno disponibili le patch. Ti consigliamo di applicare le seguenti misure di mitigazione, se necessario.

Non consentire l'accesso SSH ai nodi del cluster

Puoi modificare la configurazione di rete dell'infrastruttura per non consentire la connettività SSH da fonti non attendibili, come internet pubblico.

Modificare la configurazione di sshd

Se non puoi applicare la mitigazione precedente, abbiamo pubblicato un DaemonSet che imposta LoginGraceTime di sshd su zero e riavvia il daemon SSH. Questo DaemonSet può essere applicato al cluster per mitigare l'attacco. Tieni presente che questa configurazione potrebbe aumentare il rischio di attacchi di denial of service e causare problemi con l'accesso SSH legittimo. Rimuovi questo DaemonSet dopo aver applicato una patch.

Aggiornamento del 11/07/2024: le seguenti versioni di GKE su AWS sono state aggiornate con il codice per correggere questa vulnerabilità:

• 1.27.14-gke.1200
• 1.28.10-gke.1300
• 1.29.5-gke.1100

Esegui l'upgrade del piano di controllo e dei pool di nodi GKE su AWS a una di queste versioni con patch o successive. Per istruzioni, consulta Eseguire l'upgrade della versione del cluster AWS e Aggiornare un node pool.

Aggiornamento del 02/07/2024: tutte le versioni supportate delle immagini Ubuntu su GKE su AWS eseguono versioni di OpenSSH vulnerabili a questo problema.

I cluster GKE su AWS con indirizzi IP dei nodi pubblici e SSH esposti a internet devono essere trattati con la massima priorità per la mitigazione.

Di recente è stata scoperta in OpenSSH una vulnerabilità di esecuzione di codice da remoto, CVE-2024-6387. La vulnerabilità sfrutta una race condition che potrebbe essere utilizzata per ottenere l'accesso a una shell remota, consentendo agli attaccanti di ottenere l'accesso root ai nodi GKE. Al momento della pubblicazione, si ritiene che lo sfruttamento sia difficile e richieda diverse ore per ogni macchina attaccata. Non siamo a conoscenza di alcun tentativo di sfruttamento.

Che cosa devo fare?

Aggiornamento del 02/07/2024: una versione di GKE su AWS con patch che include OpenSSH aggiornato sarà resa disponibile il prima possibile. Questo bollettino verrà aggiornato quando le patch saranno disponibili. Ti consigliamo di seguire i passaggi riportati di seguito per verificare l'esposizione del tuo cluster e applicare le mitigazioni descritte, se necessario.

Determinare se i nodi hanno indirizzi IP pubblici

GKE su AWS non esegue il provisioning di macchine con indirizzi IP pubblici o con regole firewall che consentono il traffico alla porta 22 per impostazione predefinita. Tuttavia, a seconda della configurazione della subnet, le macchine possono ottenere automaticamente un indirizzo IP pubblico durante il provisioning.

Per verificare se i nodi sono stati provisionati con indirizzi IP pubblici, controlla la configurazione della subnet associata alla risorsa del pool di nodi AWS.

Non consentire l'accesso SSH ai nodi del cluster

Anche se GKE su AWS non consente il traffico sulla porta 22 su nessun nodo per impostazione predefinita, i clienti possono collegare gruppi di sicurezza aggiuntivi ai pool di nodi, attivando il traffico SSH in entrata.

Ti consigliamo di rimuovere o limitare l'ambito delle regole corrispondenti dai gruppi di sicurezza forniti.

Convertire i pool di nodi pubblici in privati

Per proteggere al meglio i cluster con nodi pubblici, ti consigliamo innanzitutto di non consentire SSH tramite il gruppo di sicurezza, come descritto nella sezione precedente. Se non riesci a disattivare SSH tramite le regole del gruppo di sicurezza, puoi convertire i pool di nodi pubblici in privati disattivando l'opzione per assegnare automaticamente gli IP pubblici alle macchine all'interno di una sottorete e eseguendo nuovamente il provisioning del pool di nodi.

Aggiornamento del 11/07/2024: le seguenti versioni di GKE su Azure sono state aggiornate con il codice per correggere questa vulnerabilità:

• 1.27.14-gke.1200
• 1.28.10-gke.1300
• 1.29.5-gke.1100

Esegui l'upgrade del piano di controllo e dei node pool di GKE su Azure a una di queste versioni con patch o successive. Per istruzioni, consulta Eseguire l'upgrade della versione del cluster Azure e Aggiornare un node pool.

Aggiornamento del 02/07/2024: tutte le versioni supportate delle immagini Ubuntu su GKE su Azure eseguono versioni di OpenSSH vulnerabili a questo problema.

I cluster GKE su Azure con indirizzi IP dei nodi pubblici e SSH esposti a internet devono essere trattati con la massima priorità per la mitigazione.

Di recente è stata scoperta in OpenSSH una vulnerabilità di esecuzione di codice da remoto, CVE-2024-6387. La vulnerabilità sfrutta una race condition che potrebbe essere utilizzata per ottenere l'accesso a una shell remota, consentendo agli attaccanti di ottenere l'accesso root ai nodi GKE. Al momento della pubblicazione, si ritiene che lo sfruttamento sia difficile e richieda diverse ore per ogni macchina attaccata. Non siamo a conoscenza di alcun tentativo di sfruttamento.

Che cosa devo fare?

Aggiornamento del 02/07/2024: una versione di GKE su Azure con patch che include un OpenSSH aggiornato sarà resa disponibile il prima possibile. Questo bollettino verrà aggiornato quando le patch saranno disponibili. Ti consigliamo di seguire i passaggi riportati di seguito per verificare l'esposizione del tuo cluster e applicare le mitigazioni descritte, se necessario.

Determinare se i nodi hanno indirizzi IP pubblici

GKE su Azure non esegue il provisioning di alcuna macchina con indirizzi IP pubblici o con regole del firewall che consentono il traffico alla porta 22 per impostazione predefinita. Per esaminare la configurazione di Azure e verificare se sono presenti indirizzi IP pubblici configurati nel cluster GKE su Azure, esegui il seguente comando:

az network public-ip list -g CLUSTER_RESOURCE_GROUP_NAME -o tsv

Non consentire l'accesso SSH ai nodi del cluster

Anche se GKE su Azure non consente il traffico sulla porta 22 su nessun nodo per impostazione predefinita, i clienti possono aggiornare le regole NetworkSecurityGroup nei pool di nodi, attivando il traffico SSH in entrata dalla rete internet pubblica.

Ti consigliamo vivamente di esaminare i gruppi di sicurezza di rete (NSG) associati ai tuoi cluster Kubernetes. Se esiste una regola NSG che consente il traffico in entrata illimitato sulla porta 22 (SSH), esegui una delle seguenti operazioni:

• Rimuovi completamente la regola: se l'accesso SSH ai nodi del cluster non è richiesto da internet, rimuovi la regola per eliminare potenziali vettori di attacco.
• Restringi l'ambito della regola: limita l'accesso in entrata sulla porta 22 solo agli indirizzi IP o agli intervalli specifici che lo richiedono. In questo modo, la superficie esposta per i potenziali attacchi viene ridotta al minimo.

Convertire i pool di nodi pubblici in privati

Per proteggere al meglio i cluster con nodi pubblici, ti consigliamo innanzitutto di non consentire SSH tramite il gruppo di sicurezza, come descritto nella sezione precedente. Se non riesci a disattivare SSH tramite le regole del gruppo di sicurezza, puoi convertire i pool di nodi pubblici in privati rimuovendo gli indirizzi IP pubblici associati alle VM.

Per rimuovere un indirizzo IP pubblico da una VM e sostituirlo con una configurazione di indirizzo IP privato, consulta Disassociare un indirizzo IP pubblico da una VM Azure.

Impatto: tutte le connessioni esistenti che utilizzano l'indirizzo IP pubblico verranno interrotte. Assicurati di avere implementato metodi di accesso alternativi, ad esempio una VPN o Azure Bastion.

Aggiornamento del 02/07/2024: la versione originale di questo bollettino per il software GDC per bare metal indicava erroneamente che le versioni delle patch erano in corso. Il software GDC per bare metal non è direttamente interessato perché non gestisce il daemon o la configurazione SSH del sistema operativo. Le versioni delle patch sono quindi di responsabilità del fornitore del sistema operativo, come descritto nella sezione Che cosa devo fare?.

Di recente è stata scoperta in OpenSSH una vulnerabilità di esecuzione di codice da remoto, CVE-2024-6387. La vulnerabilità sfrutta una race condition che potrebbe essere utilizzata per ottenere l'accesso a una shell remota, consentendo agli attaccanti di ottenere l'accesso root ai nodi GKE. Al momento della pubblicazione, si ritiene che lo sfruttamento sia difficile e richieda diverse ore per ogni macchina attaccata. Non siamo a conoscenza di alcun tentativo di sfruttamento.

Che cosa devo fare?

Aggiornamento del 02/07/2024: contatta il tuo fornitore di sistemi operativi per ottenere una patch per i sistemi operativi in uso con il software GDC per bare metal.

Fino a quando non avrai applicato la patch del fornitore del sistema operativo, assicurati che le macchine raggiungibili pubblicamente non consentano connessioni SSH da internet. Se non è possibile, un'alternativa è impostare LoginGraceTime su zero e riavviare il server sshd:

grep "^LoginGraceTime" /etc/ssh/sshd_config
            LoginGraceTime 0

Tieni presente che questa modifica della configurazione potrebbe aumentare il rischio di attacchi di denial of service e potrebbe causare problemi con l'accesso SSH legittimo.

Testo originale del 01-07-2024 (vedi l'aggiornamento precedente del 02-07-2024 per una correzione):

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-26923

I cluster GKE Standard e Autopilot sono interessati.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento del 20/08/2024: le seguenti versioni di GKE sono aggiornate con il codice per correggere questa vulnerabilità su Ubuntu. Esegui l'upgrade dei pool di nodi Ubuntu alle seguenti versioni o versioni successive:

• 1.27.16-gke.1051000
• 1.28.12-gke.1052000
• 1.29.7-gke.1174000
• 1.30.3-gke.1225000

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:

• 1.26.15-gke.1360000
• 1.27.14-gke.1022000
• 1.28.9-gke.1289000
• 1.29.5-gke.1010000

Puoi applicare le versioni delle patch dei canali di rilascio più recenti se il tuo cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i tuoi nodi finché la versione della patch non diventa predefinita nel canale di rilascio. Per maggiori dettagli, vedi Eseguire le versioni con patch da un canale più recente.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-26923

Che cosa devo fare?

Aggiornamento del 25/09/2024: le seguenti versioni del software GDC per VMware sono state aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade del software GDC per i cluster VMware alle seguenti versioni o versioni successive:

• 1.29.400
• 1.28.900

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-26923

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-26923

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-26923

Che cosa devo fare?

Non sono necessarie ulteriori azioni. Il software GDC per bare metal non è interessato perché non include un sistema operativo nella distribuzione.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-26924

I cluster GKE Standard sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o consenti CAP_NET_ADMIN.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento del 06/08/2024: sono state aggiunte le versioni patch per i pool di nodi Ubuntu su GKE.

Le seguenti versioni di GKE sono aggiornate con il codice per correggere questa vulnerabilità su Ubuntu. Esegui l'upgrade dei pool di nodi Ubuntu alle seguenti versioni o versioni successive:

• 1.27.15-gke.1252000
• 1.28.11-gke.1260000
• 1.29.6-gke.1326000
• 1.30.2-gke.1394003

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:

• 1.26.15-gke.1360000
• 1.27.14-gke.1022000
• 1.28.9-gke.1289000
• 1.29.5-gke.1010000

Puoi applicare le versioni delle patch dei canali di rilascio più recenti se il tuo cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i tuoi nodi finché la versione della patch non diventa predefinita nel canale di rilascio. Per maggiori dettagli, vedi Eseguire le versioni con patch da un canale più recente.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-26924

Che cosa devo fare?

Aggiornamento del 17 settembre 2024: le seguenti versioni del software GDC per VMware sono aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade del software GDC per i cluster VMware alle seguenti versioni o versioni successive:

• 1.29.400
• 1.28.800
• 1.16.11

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-26924

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-26924

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-26924

Che cosa devo fare?

Non sono necessarie ulteriori azioni. Il software GDC per bare metal non è interessato perché non include un sistema operativo nella distribuzione.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2024-26584

I cluster GKE Standard e Autopilot sono interessati.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:

• 1.28.9-gke.1209000
• 1.29.4-gke.1542000

Puoi applicare le versioni delle patch dei canali di rilascio più recenti se il tuo cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i tuoi nodi finché la versione della patch non diventa predefinita nel canale di rilascio. Per maggiori dettagli, vedi Eseguire le versioni con patch da un canale più recente.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2024-26584

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2024-26584

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2024-26584

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2024-26584

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non include un sistema operativo nella distribuzione.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-26584

I cluster GKE Standard e Autopilot sono interessati.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento del 18/07/2024: le seguenti versioni di GKE sono aggiornate con il codice per correggere questa vulnerabilità su Ubuntu. Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni patch o successive:

• 1.26.15-gke.1469000
• 1.27.14-gke.1100000
• 1.28.10-gke.1148000
• 1.29.6-gke.1038000
• 1.30.2-gke.1394000

La seguente versione di GKE è aggiornata con il codice per correggere questa vulnerabilità su Container-Optimized OS. Esegui l'upgrade dei pool di nodi Container-Optimized OS alla seguente versione della patch o a una successiva:

• 1.27.15-gke.1125000

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:

• 1.28.9-gke.1209000
• 1.29.4-gke.1542000

Le seguenti versioni secondarie sono interessate, ma non è disponibile una versione con patch. Aggiorneremo questo bollettino quando saranno disponibili le versioni con patch:

• 1,26
• 1,27

Puoi applicare le versioni delle patch dei canali di rilascio più recenti se il tuo cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i tuoi nodi finché la versione della patch non diventa predefinita nel canale di rilascio. Per maggiori dettagli, vedi Eseguire le versioni con patch da un canale più recente.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-26584

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-26584

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-26584

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-26584

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non include un sistema operativo nella distribuzione.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2024-26583

I cluster GKE Standard e Autopilot sono interessati.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento del 10/07/2024: le seguenti versioni di GKE sono aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni delle patch o successive:

• 1.26.15-gke.1444000
• 1.27.14-gke.1096000
• 1.28.10-gke.1148000
• 1.29.5-gke.1041001
• 1.30.1-gke.1156001

Per le versioni secondarie 1.26 e 1.27, esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:

• 1.26.15-gke.1404002
• 1.27.14-gke.1059002

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:

• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

Puoi applicare le versioni delle patch dei canali di rilascio più recenti se il tuo cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i tuoi nodi finché la versione della patch non diventa predefinita nel canale di rilascio. Per maggiori dettagli, vedi Eseguire le versioni con patch da un canale più recente.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2024-26583

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2024-26583

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2024-26583

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2024-26583

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non include un sistema operativo nella distribuzione.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2022-23222

I cluster GKE Standard e Autopilot sono interessati.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:

• 1.26.15-gke.1381000
• 1.27.14-gke.1022000

Puoi applicare le versioni delle patch dei canali di rilascio più recenti se il tuo cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i tuoi nodi finché la versione della patch non diventa predefinita nel canale di rilascio. Per maggiori dettagli, vedi Eseguire le versioni con patch da un canale più recente.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2022-23222

Che cosa devo fare?

Aggiornamento del 26/09/2024: le seguenti versioni del software GDC per VMware sono aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade del software GDC per i cluster VMware alle seguenti versioni o versioni successive:

• 1.28.900-gke.113
• 1.29.400-gke.8

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2022-23222

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2022-23222

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2022-23222

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non include un sistema operativo nella distribuzione.

In Fluent Bit è stata scoperta una nuova vulnerabilità (CVE-2024-4323) che potrebbe comportare l'esecuzione di codice da remoto. Sono interessate le versioni di Fluent Bit da 2.0.7 a 3.0.3.

GKE non utilizza una versione vulnerabile di Fluent Bit e non è interessato.

Che cosa devo fare?

GKE non è interessato da questa vulnerabilità. Non è richiesta alcuna azione da parte tua.

In Fluent Bit è stata scoperta una nuova vulnerabilità (CVE-2024-4323) che potrebbe comportare l'esecuzione di codice da remoto. Sono interessate le versioni di Fluent Bit da 2.0.7 a 3.0.3.

GKE on VMware non utilizza una versione vulnerabile di Fluent Bit e non è interessato.

Che cosa devo fare?

GKE on VMware non è interessato da questa vulnerabilità. Non è richiesta alcuna azione da parte tua.

In Fluent Bit è stata scoperta una nuova vulnerabilità (CVE-2024-4323) che potrebbe comportare l'esecuzione di codice da remoto. Sono interessate le versioni di Fluent Bit da 2.0.7 a 3.0.3.

GKE su AWS non utilizza una versione vulnerabile di Fluent Bit e non è interessato.

Che cosa devo fare?

GKE su AWS non è interessato da questa vulnerabilità. Non è richiesta alcuna azione da parte tua.

In Fluent Bit è stata scoperta una nuova vulnerabilità (CVE-2024-4323) che potrebbe comportare l'esecuzione di codice da remoto. Sono interessate le versioni di Fluent Bit da 2.0.7 a 3.0.3.

GKE su Azure non utilizza una versione vulnerabile di Fluent Bit e non è interessato.

Che cosa devo fare?

GKE su Azure non è interessato da questa vulnerabilità. Non è richiesta alcuna azione da parte tua.

In Fluent Bit è stata scoperta una nuova vulnerabilità (CVE-2024-4323) che potrebbe comportare l'esecuzione di codice da remoto. Sono interessate le versioni di Fluent Bit da 2.0.7 a 3.0.3.

GKE on Bare Metal non utilizza una versione vulnerabile di Fluent Bit e non è interessato.

Che cosa devo fare?

GKE on Bare Metal non è interessato da questa vulnerabilità. Non è richiesta alcuna azione da parte tua.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2023-52620

I cluster GKE Standard sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o consenti CAP_NET_ADMIN.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento del 18/07/2024: le seguenti versioni di GKE sono aggiornate con il codice per correggere questa vulnerabilità su Ubuntu. Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni patch o successive:

• 1.26.15-gke.1469000
• 1.27.14-gke.1100000
• 1.28.10-gke.1148000
• 1.29.6-gke.1038000
• 1.30.2-gke.1394000

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:

• 1.27.13-gke.1166000
• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

Puoi applicare le versioni delle patch dei canali di rilascio più recenti se il tuo cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i tuoi nodi finché la versione della patch non diventa predefinita nel canale di rilascio. Per maggiori dettagli, vedi Eseguire le versioni con patch da un canale più recente.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2023-52620

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2023-52620

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2023-52620

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2023-52620

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non include un sistema operativo nella distribuzione.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-26642

I cluster GKE Standard sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o consenti CAP_NET_ADMIN.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento del 19/08/2024: le seguenti versioni di GKE sono aggiornate con il codice per correggere questa vulnerabilità su Ubuntu. Esegui l'upgrade dei pool di nodi Ubuntu alle seguenti versioni o versioni successive:

• 1.27.16-gke.1051000
• 1.28.12-gke.1052000
• 1.29.7-gke.1174000
• 1.30.3-gke.1225000

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:

• 1.27.13-gke.1166000
• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

Puoi applicare le versioni delle patch dei canali di rilascio più recenti se il tuo cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i tuoi nodi finché la versione della patch non diventa predefinita nel canale di rilascio. Per maggiori dettagli, vedi Eseguire le versioni con patch da un canale più recente.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-26642

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-26642

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-26642

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-26642

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non include un sistema operativo nella distribuzione.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-26581

I cluster GKE Standard sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o consenti CAP_NET_ADMIN.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento del 22/05/2024: le seguenti versioni di GKE sono aggiornate con il codice per correggere questa vulnerabilità su Ubuntu. Esegui l'upgrade dei pool di nodi Ubuntu alle seguenti versioni o versioni successive:

• 1.26.15-gke.1300000
• 1.27.13-gke.1011000
• 1.28.9-gke.1209000
• 1.29.4-gke.1542000
• 1.30.0-gke.1712000

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:

• 1.25.16-gke.1596000
• 1.26.14-gke.1076000
• 1.27.11-gke.1202000
• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni patch o successive:

• 1.26.15-gke.1300000
• 1.28.9-gke.1209000

Puoi applicare le versioni delle patch dei canali di rilascio più recenti se il tuo cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i tuoi nodi finché la versione della patch non diventa predefinita nel canale di rilascio. Per maggiori dettagli, vedi Eseguire le versioni con patch da un canale più recente.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-26581

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-26581

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-26581

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-26581

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non include un sistema operativo nella distribuzione.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-26808

Aggiornamento del 09/05/2024: gravità corretta da Media ad Alta. Il bollettino originale indicava che i cluster Autopilot erano interessati, ma non era corretto. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se impostate esplicitamente il profilo seccomp Unconfined o se consentite CAP_NET_ADMIN.

I cluster GKE Standard e Autopilot sono interessati.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento del 15 maggio 2024: le seguenti versioni di GKE sono aggiornate con il codice per correggere questa vulnerabilità su Ubuntu. Esegui l'upgrade dei pool di nodi Ubuntu alle seguenti versioni o versioni successive:

• 1.26.15-gke.1323000
• 1.27.13-gke.1206000
• 1.28.10-gke.1000000
• 1.29.3-gke.1282004
• 1.30.0-gke.1584000

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:

• 1.27.8-gke.1067000
• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

Puoi applicare le versioni delle patch dei canali di rilascio più recenti se il tuo cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i tuoi nodi finché la versione della patch non diventa predefinita nel canale di rilascio. Per maggiori dettagli, vedi Eseguire le versioni con patch da un canale più recente.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-26808

Che cosa devo fare?

Aggiornamento del 25/09/2024: le seguenti versioni del software GDC per VMware sono state aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade del software GDC per i cluster VMware alle seguenti versioni o versioni successive:

• 1.28.600
• 1.16.9

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-26808

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-26808

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-26808

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non include un sistema operativo nella distribuzione.

Aggiornamento del 09/05/2024: la gravità è stata corretta da Media ad Alta.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-26643

I cluster GKE Standard sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o consenti CAP_NET_ADMIN.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento del 06/08/2024: sono state aggiunte le versioni patch per i pool di nodi Ubuntu su GKE.

Le seguenti versioni di GKE sono aggiornate con il codice per correggere questa vulnerabilità su Ubuntu. Esegui l'upgrade dei pool di nodi Ubuntu alle seguenti versioni o versioni successive:

• 1.27.15-gke.1252000
• 1.28.11-gke.1260000
• 1.29.6-gke.1326000
• 1.30.2-gke.1394003

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:

• 1.27.8-gke.1067000
• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

Puoi applicare le versioni delle patch dei canali di rilascio più recenti se il tuo cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i tuoi nodi finché la versione della patch non diventa predefinita nel canale di rilascio. Per maggiori dettagli, vedi Eseguire le versioni con patch da un canale più recente.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-26643

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-26643

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-26643

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-26643

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non include un sistema operativo nella distribuzione.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-26585

I cluster GKE Standard e Autopilot sono interessati.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento del 18/07/2024: le seguenti versioni di GKE sono aggiornate con il codice per correggere questa vulnerabilità su Ubuntu. Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni patch o successive:

• 1.26.15-gke.1469000
• 1.27.14-gke.1100000
• 1.28.10-gke.1148000
• 1.29.6-gke.1038000
• 1.30.2-gke.1394000

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:

• 1.25.16-gke.1759000
• 1.26.15-gke.1158000
• 1.27.12-gke.1190000
• 1.28.8-gke.1175000
• 1.29.3-gke.1282000

Puoi applicare le versioni delle patch dei canali di rilascio più recenti se il tuo cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i tuoi nodi finché la versione della patch non diventa predefinita nel canale di rilascio. Per maggiori dettagli, vedi Eseguire le versioni con patch da un canale più recente.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-26585

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-26585

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-26585

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-26585

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non include un sistema operativo nella distribuzione.

Di recente è stata scoperta una vulnerabilità di tipo denial of service (DoS) (CVE-2023-45288) in più implementazioni del protocollo HTTP/2, incluso il server HTTP golang utilizzato da Kubernetes. La vulnerabilità potrebbe causare un attacco DoS del piano di controllo di Google Kubernetes Engine (GKE). I cluster GKE con reti autorizzate configurate sono protetti limitando l'accesso alla rete, ma tutti gli altri cluster sono interessati.

I cluster GKE Autopilot e Standard sono interessati.

Che cosa devo fare?

Aggiornamento del 24/04/2024: sono state aggiunte le versioni con patch per GKE.

Le seguenti versioni di GKE includono le patch di sicurezza Golang per correggere questa vulnerabilità. Esegui l'upgrade dei cluster GKE alle seguenti versioni o versioni successive:

• 1.25.16-gke.1759000
• 1.26.15-gke.1158000
• 1.27.12-gke.1190000
• 1.28.8-gke.1175000
• 1.29.3-gke.1282000

Il progetto golang ha rilasciato patch il 3 aprile 2024. Aggiorneremo questo bollettino quando saranno disponibili le versioni di GKE che incorporano queste patch. Per richiedere una patch con tempistiche accelerate, contatta l'assistenza.

Per mitigare il problema, configura le reti autorizzate per l'accesso al control plane:

Puoi proteggere i tuoi cluster da questa classe di attacchi configurando le reti autorizzate. Segui le istruzioni per abilitare le reti autorizzate per un cluster esistente.

Per scoprire di più su come le reti autorizzate controllano l'accesso al piano di controllo, consulta Come funzionano le reti autorizzate. Per visualizzare l'accesso di rete autorizzato predefinito, consulta la tabella nella sezione Accesso agli endpoint del piano di controllo.

Quali vulnerabilità vengono affrontate da questa patch?

La vulnerabilità (CVE-2023-45288) consente a un utente malintenzionato di eseguire un attacco DoS sul piano di controllo di Kubernetes.

Di recente è stata scoperta una vulnerabilità di tipo denial of service (DoS) (CVE-2023-45288) in più implementazioni del protocollo HTTP/2, incluso il server HTTP golang utilizzato da Kubernetes. La vulnerabilità potrebbe causare un attacco DoS del piano di controllo di Google Kubernetes Engine (GKE).

Che cosa devo fare?

Aggiornamento del 17/07/2024: sono state aggiunte le versioni delle patch per GKE su VMware.

Le seguenti versioni di GKE su VMware includono codice per correggere questa vulnerabilità. Esegui l'upgrade dei cluster GKE on VMware alle seguenti versioni o versioni successive:

• 1.29.0
• 1.28.500
• 1.16.8

Il progetto golang ha rilasciato patch il 3 aprile 2024. Aggiorneremo questo bollettino quando saranno disponibili le versioni di GKE on VMware che incorporano queste patch. Per richiedere una patch con tempistiche accelerate, contatta l'assistenza.

Quali vulnerabilità vengono affrontate da questa patch?

La vulnerabilità (CVE-2023-45288) consente a un utente malintenzionato di eseguire un attacco DoS sul piano di controllo di Kubernetes.

Di recente è stata scoperta una vulnerabilità di tipo denial of service (DoS) (CVE-2023-45288) in più implementazioni del protocollo HTTP/2, incluso il server HTTP golang utilizzato da Kubernetes. La vulnerabilità potrebbe causare un attacco DoS del piano di controllo di Google Kubernetes Engine (GKE).

Che cosa devo fare?

Il progetto golang ha rilasciato patch il 3 aprile 2024. Aggiorneremo questo bollettino quando saranno disponibili le versioni di GKE su AWS che incorporano queste patch. Per richiedere una patch con tempistiche accelerate, contatta l'assistenza.

Quali vulnerabilità vengono affrontate da questa patch?

La vulnerabilità (CVE-2023-45288) consente a un utente malintenzionato di eseguire un attacco DoS sul piano di controllo di Kubernetes.

Di recente è stata scoperta una vulnerabilità di tipo denial of service (DoS) (CVE-2023-45288) in più implementazioni del protocollo HTTP/2, incluso il server HTTP golang utilizzato da Kubernetes. La vulnerabilità potrebbe causare un attacco DoS del piano di controllo di Google Kubernetes Engine (GKE).

Che cosa devo fare?

Il progetto golang ha rilasciato patch il 3 aprile 2024. Aggiorneremo questo bollettino quando saranno disponibili le versioni di GKE su Azure che incorporano queste patch. Per richiedere una patch con tempistiche accelerate, contatta l'assistenza.

Quali vulnerabilità vengono affrontate da questa patch?

La vulnerabilità (CVE-2023-45288) consente a un utente malintenzionato di eseguire un attacco DoS sul piano di controllo di Kubernetes.

Di recente è stata scoperta una vulnerabilità di tipo denial of service (DoS) (CVE-2023-45288) in più implementazioni del protocollo HTTP/2, incluso il server HTTP golang utilizzato da Kubernetes. La vulnerabilità potrebbe causare un attacco DoS del piano di controllo di Google Kubernetes Engine (GKE).

Che cosa devo fare?

Aggiornamento del 09/07/2024: sono state aggiunte le versioni delle patch per GKE on Bare Metal.

Le seguenti versioni di GKE on Bare Metal includono il codice per correggere questa vulnerabilità. Esegui l'upgrade dei cluster GKE on Bare Metal alle seguenti versioni o versioni successive:

• 1.29.100
• 1.28.600
• 1.16.9

Il progetto golang ha rilasciato patch il 3 aprile 2024. Aggiorneremo questo bollettino quando saranno disponibili le versioni di GKE on Bare Metal che incorporano queste patch. Per richiedere una patch con tempistiche accelerate, contatta l'assistenza.

Quali vulnerabilità vengono affrontate da questa patch?

La vulnerabilità (CVE-2023-45288) consente a un utente malintenzionato di eseguire un attacco DoS sul piano di controllo di Kubernetes.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-1085

I cluster GKE Standard sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o consenti CAP_NET_ADMIN.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento del 06/05/2024: le seguenti versioni di GKE sono aggiornate con il codice per correggere questa vulnerabilità in Ubuntu. Esegui l'upgrade dei node pool Ubuntu alle seguenti versioni o versioni successive.

• 1.26.15-gke.1158000
• 1.27.12-gke.1190000
• 1.28.8-gke.1175000
• 1.29.3-gke.1093000

Aggiornamento del 04/04/2024: sono state corrette le versioni minime per i pool di nodi GKE Container-Optimized OS.

Le versioni minime di GKE contenenti le correzioni di Container-Optimized OS elencate in precedenza non erano corrette. Le seguenti versioni di GKE sono aggiornate con il codice per correggere questa vulnerabilità su Container-Optimized OS. Esegui l'upgrade dei pool di nodi Container-Optimized OS alle seguenti versioni o versioni successive:

• 1.25.16-gke.1520000
• 1.26.13-gke.1221000
• 1.27.10-gke.1243000
• 1.28.8-gke.1083000
• 1.29.3-gke.1054000

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:

• 1.25.16-gke.1518000
• 1.26.13-gke.1219000
• 1.27.10-gke.1240000
• 1.28.6-gke.1433000
• 1.29.1-gke.1716000

Puoi applicare le versioni delle patch dei canali di rilascio più recenti se il tuo cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i tuoi nodi finché la versione della patch non diventa predefinita nel canale di rilascio. Per maggiori dettagli, vedi Eseguire le versioni con patch da un canale più recente.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-1085

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-1085

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-1085

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-1085

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non include un sistema operativo nella distribuzione.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2023-3611

I cluster GKE Standard sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o consenti CAP_NET_ADMIN.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni patch o successive:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

Puoi applicare le versioni delle patch dei canali di rilascio più recenti se il tuo cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i tuoi nodi finché la versione della patch non diventa predefinita nel canale di rilascio. Per maggiori dettagli, vedi Eseguire le versioni con patch da un canale più recente.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2023-3611

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2023-3611

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2023-3611

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2023-3611

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non include un sistema operativo nella distribuzione.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2023-3776

I cluster GKE Standard sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o consenti CAP_NET_ADMIN.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1014001
• 1.27.3-gke.1001002
• 1.28.0-gke.100

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni patch o successive:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

Puoi applicare le versioni delle patch dei canali di rilascio più recenti se il tuo cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i tuoi nodi finché la versione della patch non diventa predefinita nel canale di rilascio. Per maggiori dettagli, vedi Eseguire le versioni con patch da un canale più recente.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2023-3776

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2023-3776

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2023-3776

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2023-3776

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non include un sistema operativo nella distribuzione.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2023-3610

I cluster GKE Standard sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o consenti CAP_NET_ADMIN.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:

• 1.27.3-gke.1001002
• 1.28.0-gke.100

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni patch o successive:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

Puoi applicare le versioni delle patch dei canali di rilascio più recenti se il tuo cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i tuoi nodi finché la versione della patch non diventa predefinita nel canale di rilascio. Per maggiori dettagli, vedi Eseguire le versioni con patch da un canale più recente.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2023-3610

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2023-3610

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2023-3610

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2023-3610

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non include un sistema operativo nella distribuzione.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-0193

I cluster GKE Standard sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o consenti CAP_NET_ADMIN.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:

• 1.27.10-gke.1149000
• 1.28.6-gke.1274000
• 1.29.1-gke.1388000

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni patch o successive:

• 1.25.16-gke.1412001
• 1.26.6-gke.1017002
• 1.27.10-gke.1055001
• 1.28.6-gke.1276000
• 1.29.1-gke.1392000

Puoi applicare le versioni delle patch dei canali di rilascio più recenti se il tuo cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i tuoi nodi finché la versione della patch non diventa predefinita nel canale di rilascio. Per maggiori dettagli, vedi Eseguire le versioni con patch da un canale più recente.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-0193

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-0193

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-0193

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-0193

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non include un sistema operativo nella distribuzione.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2023-6932

I cluster GKE Standard sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o consenti CAP_NET_ADMIN

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:

• 1.24.17-gke.2364001
• 1.25.16-gke.1229000
• 1.26.6-gke.1017002
• 1.27.3-gke.1001003
• 1.28.5-gke.1194000
• 1.29.0-gke.1340000

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni patch o successive:

• 1.25.16-gke.1412001
• 1.26.6-gke.1017002
• 1.27.10-gke.1055001
• 1.28.6-gke.1276000
• 1.29.1-gke.1221000

Puoi applicare le versioni delle patch dei canali di rilascio più recenti se il tuo cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i tuoi nodi finché la versione della patch non diventa predefinita nel canale di rilascio. Per maggiori dettagli, vedi Eseguire le versioni con patch da un canale più recente.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2023-6932

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2023-6932

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2023-6932

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2023-6932

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non include un sistema operativo nella distribuzione.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-6931

I cluster GKE Standard sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o consenti CAP_NET_ADMIN.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:

• 1.24.17-gke.2364001
• 1.25.16-gke.1229000
• 1.26.6-gke.1017002
• 1.27.3-gke.1001003
• 1.28.5-gke.1194000
• 1.29.0-gke.1340000

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni patch o successive:

• 1.25.16-gke.1412001
• 1.26.6-gke.1017002
• 1.27.10-gke.1055001
• 1.28.6-gke.1276000
• 1.29.1-gke.1221000

Puoi applicare le versioni delle patch dei canali di rilascio più recenti se il tuo cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i tuoi nodi finché la versione della patch non diventa predefinita nel canale di rilascio. Per maggiori dettagli, vedi Eseguire le versioni con patch da un canale più recente.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-6931

Che cosa devo fare?

Aggiornamento del 17/04/2024: sono state aggiunte le versioni delle patch per GKE su VMware.

Le seguenti versioni di GKE on VMware sono aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade dei cluster alle seguenti versioni o versioni successive:

• 1.28.200
• 1.16.6
• 1.15.10

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-6931

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-6931

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-6931

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non include un sistema operativo nella distribuzione.

CVE-2023-5528 consente a un malintenzionato di creare pod e volumi permanenti sui nodi Windows in modo da consentire l'escalation dei privilegi amministrativi su questi nodi.

I cluster GKE Standard che eseguono i nodi Windows Server e utilizzano un plug-in di archiviazione in-tree potrebbero essere interessati.

I cluster GKE Autopilot e i pool di nodi GKE che utilizzano GKE Sandbox non sono interessati perché non supportano i nodi Windows Server.

Che cosa devo fare?

Determina se sono presenti nodi Windows Server in uso nei tuoi cluster:

kubectl get nodes -l kubernetes.io/os=windows

Controlla i log di controllo per verificare la presenza di prove di sfruttamento. È possibile eseguire il controllo dei log di controllo di Kubernetes per determinare se questa vulnerabilità viene sfruttata. Gli eventi di creazione di volumi permanenti con campi del percorso locale contenenti caratteri speciali sono un'indicazione forte di sfruttamento.

Aggiorna il cluster GKE e i pool di nodi a una versione con patch. Le seguenti versioni di GKE sono state aggiornate per correggere questa vulnerabilità. Anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire l'upgrade manuale del cluster e dei pool di nodi Windows Server a una delle seguenti versioni GKE o successive:

• 1.24.17-gke.6100
• 1.25.15-gke.2000
• 1.26.10-gke.2000
• 1.27.7-gke.2000
• 1.28.3-gke.1600

Puoi applicare le versioni delle patch dei canali di rilascio più recenti se il tuo cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i tuoi nodi finché la versione della patch non diventa predefinita nel canale di rilascio. Per maggiori dettagli, vedi Eseguire le versioni con patch da un canale più recente.

Quali vulnerabilità vengono affrontate da questa patch?

CVE-2023-5528 consente a un malintenzionato di creare pod e volumi permanenti sui nodi Windows in modo da consentire l'escalation dei privilegi amministrativi su questi nodi.

CVE-2023-5528 consente a un malintenzionato di creare pod e volumi permanenti sui nodi Windows in modo da consentire l'escalation dei privilegi amministrativi su questi nodi.

I cluster GKE on VMware che eseguono i nodi Windows Server e utilizzano un plug-in di archiviazione in-tree potrebbero essere interessati.

Che cosa devo fare?

Determina se sono presenti nodi Windows Server in uso nei tuoi cluster:

kubectl get nodes -l kubernetes.io/os=windows

Controlla i log di controllo per verificare la presenza di prove di sfruttamento. È possibile eseguire il controllo dei log di controllo di Kubernetes per determinare se questa vulnerabilità viene sfruttata. Gli eventi di creazione di volumi permanenti con campi del percorso locale contenenti caratteri speciali sono un'indicazione forte di sfruttamento.

Aggiorna il cluster GKE on VMware e i pool di nodi a una versione con patch. Le seguenti versioni di GKE on VMware sono state aggiornate per correggere questa vulnerabilità. Anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire l'upgrade manuale del cluster e dei pool di nodi Windows Server a una delle seguenti versioni GKE su VMware o successive:

• 1.28.100-gke.131
• 1.16.5-gke.28
• 1.15.8-gke.41

Quali vulnerabilità vengono affrontate da questa patch?

CVE-2023-5528 consente a un malintenzionato di creare pod e volumi permanenti sui nodi Windows in modo da consentire l'escalation dei privilegi amministrativi su questi nodi.

CVE-2023-5528 consente a un malintenzionato di creare pod e volumi permanenti sui nodi Windows in modo da consentire l'escalation dei privilegi amministrativi su questi nodi.

I cluster GKE su AWS non sono interessati.

Che cosa devo fare?

Nessuna azione richiesta

CVE-2023-5528 consente a un malintenzionato di creare pod e volumi permanenti sui nodi Windows in modo da consentire l'escalation dei privilegi amministrativi su questi nodi.

I cluster GKE su Azure non sono interessati.

Che cosa devo fare?

Nessuna azione richiesta

CVE-2023-5528 consente a un malintenzionato di creare pod e volumi permanenti sui nodi Windows in modo da consentire l'escalation dei privilegi amministrativi su questi nodi.

I cluster GKE on Bare Metal non sono interessati.

Che cosa devo fare?

Nessuna azione richiesta

In runc è stata scoperta una vulnerabilità di sicurezza (CVE-2024-21626) in cui un utente con l'autorizzazione per creare pod su Container-Optimized OS e nodi Ubuntu potrebbe riuscire ad accedere completamente al file system del nodo.

I cluster GKE Standard e Autopilot sono interessati.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento del 28/02/2024: le seguenti versioni di GKE sono state aggiornate con il codice per correggere questa vulnerabilità in Ubuntu. Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni patch o successive:

• 1.25.16-gke.1537000
• 1.26.14-gke.1006000

Aggiornamento del 15/02/2024: a causa di un problema, le seguenti versioni delle patch di Ubuntu dell'aggiornamento del 14/02/2024 potrebbero causare il passaggio dei nodi a uno stato non corretto. Non eseguire l'upgrade alle seguenti versioni delle patch. Aggiorneremo questo bollettino quando saranno disponibili patch più recenti per Ubuntu per le versioni 1.25 e 1.26.

• 1.25.16-gke.1497000
• 1.26.13-gke.1189000

Se hai già eseguito l'upgrade a una di queste versioni con patch, esegui il downgrade manuale del tuo pool di nodi a una versione precedente nel tuo canale di rilascio.

Aggiornamento del 14/02/2024: le seguenti versioni di GKE sono state aggiornate con il codice per correggere questa vulnerabilità in Ubuntu. Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni patch o successive:

• 1.25.16-gke.1497000
• 1.26.13-gke.1189000
• 1.27.10-gke.1207000
• 1.28.6-gke.1369000
• 1.29.1-gke.1575000

Aggiornamento del 06/02/2024: le seguenti versioni di GKE sono state aggiornate con il codice per correggere questa vulnerabilità in Container-Optimized OS. Per motivi di sicurezza, anche se hai attivato l'upgrade automatico dei nodi, ti consigliamo di eseguire manualmente l'upgrade del cluster e dei pool di nodi con Container-Optimized OS a una delle seguenti versioni GKE o successive:

• 1.25.16-gke.1460000
• 1.26.13-gke.1144000
• 1.27.10-gke.1152000
• 1.28.6-gke.1289000
• 1.29.1-gke.1425000

Puoi applicare le versioni delle patch dei canali di rilascio più recenti se il tuo cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i tuoi nodi finché la versione della patch non diventa predefinita nel canale di rilascio. Per maggiori dettagli, vedi Eseguire le versioni con patch da un canale più recente.

Stiamo aggiornando GKE con il codice per correggere questa vulnerabilità. Aggiorneremo questo bollettino quando saranno disponibili le versioni con patch.

Quali vulnerabilità vengono affrontate da questa patch?

runc è uno strumento di basso livello per la generazione ed esecuzione di container Linux utilizzati nei pod Kubernetes. Nelle versioni di runc precedenti alle patch rilasciate in questo bollettino sulla sicurezza, diversi descrittori file sono stati inavvertitamente divulgati nel processo runc init che viene eseguito all'interno di un contenitore. runc inoltre non ha verificato che la directory di lavoro finale di un contenitore fosse all'interno dello spazio dei nomi mount del contenitore. Un'immagine container dannosa o un utente con l'autorizzazione a eseguire pod arbitrari potrebbe utilizzare una combinazione di descrittori file trapelati e della mancanza di convalida della directory di lavoro per ottenere l'accesso allo spazio dei nomi di montaggio dell'host di un nodo e accedere all'intero file system dell'host e sovrascrivere binari arbitrari sul nodo.

In runc è stata scoperta una vulnerabilità di sicurezza (CVE-2024-21626) in cui un utente con l'autorizzazione per creare pod su Container-Optimized OS e nodi Ubuntu potrebbe riuscire ad accedere completamente al file system del nodo.

Che cosa devo fare?

Aggiornamento del 06/03/2024: le seguenti versioni di GKE su VMware sono state aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade dei cluster alle seguenti versioni o versioni successive:

• 1.28.200
• 1.16.6
• 1.15.9

Le versioni delle patch e una valutazione della gravità per GKE on VMware sono in corso. Aggiorneremo questo bollettino con queste informazioni non appena saranno disponibili.

Quali vulnerabilità vengono affrontate da questa patch?

runc è uno strumento di basso livello per la generazione ed esecuzione di container Linux utilizzati nei pod Kubernetes. Nelle versioni di runc precedenti alle patch rilasciate in questo bollettino sulla sicurezza, diversi descrittori file sono stati inavvertitamente divulgati nel processo runc init in esecuzione all'interno di un contenitore. runc inoltre non ha verificato che la directory di lavoro finale di un contenitore fosse all'interno dello spazio dei nomi di montaggio del contenitore. Un'immagine container dannosa o un utente con l'autorizzazione a eseguire pod arbitrari potrebbe utilizzare una combinazione di descrittori file trapelati e della mancanza di convalida della directory di lavoro per ottenere l'accesso allo spazio dei nomi di montaggio dell'host di un nodo e accedere all'intero file system dell'host e sovrascrivere binari arbitrari sul nodo.

In runc è stata scoperta una vulnerabilità di sicurezza (CVE-2024-21626) in cui un utente con l'autorizzazione per creare pod su Container-Optimized OS e nodi Ubuntu potrebbe riuscire ad accedere completamente al file system del nodo.

Che cosa devo fare?

Aggiornamento del 06/05/2024: le seguenti versioni di GKE su AWS sono state aggiornate con patch per CVE-2024-21626:

• 1.28.5-gke.1200
• 1.27.10-gke.500
• 1.26.13-gke.400

Le versioni delle patch e una valutazione della gravità per GKE su AWS sono in corso. Aggiorneremo questo bollettino con queste informazioni non appena saranno disponibili.

Quali vulnerabilità vengono affrontate da questa patch?

runc è uno strumento di basso livello per la generazione ed esecuzione di container Linux utilizzati nei pod Kubernetes. Nelle versioni di runc precedenti alle patch rilasciate in questo bollettino sulla sicurezza, diversi descrittori file sono stati inavvertitamente divulgati nel processo runc init in esecuzione all'interno di un contenitore. runc inoltre non ha verificato che la directory di lavoro finale di un contenitore fosse all'interno dello spazio dei nomi di montaggio del contenitore. Un'immagine container dannosa o un utente con l'autorizzazione a eseguire pod arbitrari potrebbe utilizzare una combinazione di descrittori file trapelati e della mancanza di convalida della directory di lavoro per ottenere l'accesso allo spazio dei nomi di montaggio dell'host di un nodo e accedere all'intero file system dell'host e sovrascrivere binari arbitrari sul nodo.

In runc è stata scoperta una vulnerabilità di sicurezza (CVE-2024-21626) in cui un utente con l'autorizzazione per creare pod su Container-Optimized OS e nodi Ubuntu potrebbe riuscire ad accedere completamente al file system del nodo.

Che cosa devo fare?

Aggiornamento del 06/05/2024: le seguenti versioni di GKE su Azure sono state aggiornate con patch per CVE-2024-21626:

• 1.28.5-gke.1200
• 1.27.10-gke.500
• 1.26.13-gke.400

Le versioni delle patch e una valutazione della gravità per GKE su Azure sono in corso. Aggiorneremo questo bollettino con queste informazioni non appena saranno disponibili.

Quali vulnerabilità vengono affrontate da questa patch?

runc è uno strumento di basso livello per la generazione ed esecuzione di container Linux utilizzati nei pod Kubernetes. Nelle versioni di runc precedenti alle patch rilasciate in questo bollettino sulla sicurezza, diversi descrittori file sono stati inavvertitamente divulgati nel processo runc init in esecuzione all'interno di un contenitore. runc inoltre non ha verificato che la directory di lavoro finale di un contenitore fosse all'interno dello spazio dei nomi di montaggio del contenitore. Un'immagine container dannosa o un utente con l'autorizzazione a eseguire pod arbitrari potrebbe utilizzare una combinazione di descrittori file trapelati e della mancanza di convalida della directory di lavoro per ottenere l'accesso allo spazio dei nomi di montaggio dell'host di un nodo e accedere all'intero file system dell'host e sovrascrivere binari arbitrari sul nodo.

È stata scoperta una vulnerabilità di sicurezza, CVE-2024-21626, in runc in cui un utente con l'autorizzazione per creare pod potrebbe essere in grado di ottenere l'accesso completo al file system del nodo.

Che cosa devo fare?

Aggiornamento del 02/04/2024: le seguenti versioni di GKE on Bare Metal sono state aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade dei cluster alle seguenti versioni o versioni successive:

• 1.28.200-gke.118
• 1.16.6
• 1.15.10

Le versioni delle patch e una valutazione della gravità per GKE on Bare Metal sono in corso. Aggiorneremo questo bollettino con queste informazioni non appena saranno disponibili.

Quali vulnerabilità vengono affrontate da questa patch?

runc è uno strumento di basso livello per la generazione ed esecuzione di container Linux utilizzati nei pod Kubernetes. Nelle versioni di runc precedenti alle patch rilasciate in questo bollettino sulla sicurezza, diversi descrittori file sono stati inavvertitamente divulgati nel processo runc init in esecuzione all'interno di un contenitore. runc inoltre non ha verificato che la directory di lavoro finale di un contenitore fosse all'interno dello spazio dei nomi di montaggio del contenitore. Un'immagine container dannosa o un utente con l'autorizzazione a eseguire pod arbitrari potrebbe utilizzare una combinazione di descrittori file trapelati e della mancanza di convalida della directory di lavoro per ottenere l'accesso allo spazio dei nomi di montaggio dell'host di un nodo e accedere all'intero file system dell'host e sovrascrivere binari arbitrari sul nodo.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-6817

I cluster GKE Standard sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o consenti CAP_NET_ADMIN

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento del 07/02/2024: sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni patch o successive:

• 1.25.16-gke.1458000
• 1.26.13-gke.1143000
• 1.27.10-gke.1152000
• 1.28.6-gke.1276000
• 1.29.1-gke.1221000

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:

• 1.25.16-gke.1229000
• 1.26.12-gke.1087000
• 1.27.3-gke.1001003
• 1.28.5-gke.1194000
• 1.29.0-gke.1340000

Puoi applicare le versioni delle patch dei canali di rilascio più recenti se il tuo cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i tuoi nodi finché la versione della patch non diventa predefinita nel canale di rilascio. Per maggiori dettagli, vedi Eseguire le versioni con patch da un canale più recente.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-6817

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-6817

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-6817

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-6817

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non include un sistema operativo nella distribuzione.

Aggiornamento del 26/01/2024: è stata pubblicata una ricerca sulla sicurezza che ha rilevato un numero limitato di cluster GKE con una configurazione errata creata dal cliente che coinvolge il gruppo system:authenticated. Il post del blog del ricercatore fa riferimento a 1300 cluster con alcune associazioni configurate in modo errato e 108 con privilegi elevati. Abbiamo lavorato a stretto contatto con i clienti interessati per informarli e aiutarli a rimuovere le associazioni configurate in modo errato.

Abbiamo identificato diversi cluster in cui gli utenti hanno concesso i privilegi Kubernetes al gruppo system:authenticated, che include tutti gli utenti con un Account Google. Questi tipi di associazioni non sono consigliati, in quanto violano il principio del privilegio minimo e concedono l'accesso a gruppi di utenti molto grandi. Consulta le indicazioni riportate nella sezione "Cosa devo fare" per istruzioni su come trovare questi tipi di associazioni.

Di recente, un ricercatore di sicurezza ha segnalato la presenza di cluster con configurazioni errate del RBAC tramite il nostro programma di segnalazione delle vulnerabilità.

L'approccio di Google all'autenticazione è rendere l'autenticazione su Google Cloud e GKE il più semplice e sicuro possibile senza aggiungere passaggi di configurazione complessi. L'autenticazione ci dice solo chi è l'utente, mentre l'autorizzazione è dove viene stabilito l'accesso. Pertanto, il gruppo system:authenticated in GKE che contiene tutti gli utenti autenticati tramite il provider di identità di Google funziona come previsto e allo stesso modo dell'identificatore IAM allAuthenticatedUsers.

Tenendo presente questo, abbiamo adottato diversi passaggi per ridurre il rischio che gli utenti commisero errori di autorizzazione con gli utenti e i gruppi integrati di Kubernetes, tra cui system:anonymous, system:authenticated e system:unauthenticated. Tutti questi utenti/gruppi rappresentano un rischio per il cluster se vengono concesse le autorizzazioni. Abbiamo discusso di alcune attività degli attaccanti che hanno come target le configurazioni errate del RBAC e delle difese disponibili al KubeCon di novembre 2023.

Per proteggere gli utenti da errori di autorizzazione accidentali con questi gruppi/utenti di sistema, abbiamo:

• Per impostazione predefinita, le nuove associazioni del ClusterRole cluster-admin ad accesso altamente privilegiato all'utente system:anonymous, al gruppo system:authenticated o al gruppo system:unauthenticated sono state bloccate nella versione 1.28 di GKE.
• Regole di rilevamento integrate in Event Threat Detection (GKE_CONTROL_PLANE_CREATE_SENSITIVE_BINDING) nell'ambito di Security Command Center.
• Regole di prevenzione configurabili integrate in Policy Controller con K8sRestrictRoleBindings.
• Sono state inviate notifiche via email a tutti gli utenti GKE con associazioni a questi utenti/gruppi chiedendo loro di rivedere la configurazione.
• Abbiamo creato funzionalità di autorizzazione di rete e fornito consigli per limitare l'accesso alla rete ai cluster come primo livello di difesa.
• Abbiamo sensibilizzato su questo problema tramite un intervento a Kubecon a novembre 2023.

I cluster che applicano limitazioni per le reti autorizzate hanno un primo livello di difesa: non possono essere attaccati direttamente da internet. Tuttavia, consigliamo comunque di rimuovere queste associazioni per una difesa in profondità e per proteggerti da errori nei controlli di rete.
Tieni presente che esistono diversi casi in cui le associazioni a gruppi o utenti di sistema Kubernetes vengono utilizzate intenzionalmente: ad esempio per il bootstrap di kubeadm, la dashboard di Rancher e i segreti sigillati di Bitnami. Abbiamo verificato con i fornitori di software che queste associazioni funzionano come previsto.

Stiamo studiando dei modi per proteggerci ulteriormente dalla configurazione errata del RBAC degli utenti con questi utenti/gruppi di sistema tramite prevenzione e rilevamento.

Che cosa devo fare?

Per impedire eventuali nuove associazioni di cluster-admin a Utente system:anonymous, Gruppo system:authenticated o Gruppo system:unauthenticated, gli utenti possono eseguire l'upgrade a GKE 1.28 o versioni successive (note di rilascio), in cui la creazione di queste associazioni è bloccata.

Le associazioni esistenti devono essere esaminate in base a queste indicazioni.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS.

• CVE-2023-6111

I cluster GKE Standard sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o consenti CAP_NET_ADMIN

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:

• 1.27.7-gke.1063001
• 1.28.5-gke.1194000
• 1.29.0-gke.1340000

Puoi applicare le versioni delle patch dei canali di rilascio più recenti se il tuo cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i tuoi nodi finché la versione della patch non diventa predefinita nel canale di rilascio. Per maggiori dettagli, vedi Eseguire le versioni con patch da un canale più recente.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS.

• CVE-2023-6111

Che cosa devo fare?

Aggiornamento del 20/02/2024: le seguenti versioni di GKE su VMware sono aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade dei cluster alle seguenti versioni o versioni successive: 1.28.100

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS.

• CVE-2023-6111

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS.

• CVE-2023-6111

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS.

• CVE-2023-6111

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non include un sistema operativo nella distribuzione.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-3609

I cluster GKE Standard sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o consenti CAP_NET_ADMIN.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1014001
• 1.27.3-gke.1001002
• 1.28.0-gke.100

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni patch o successive:

• 1.24.14-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

Puoi applicare le versioni delle patch dei canali di rilascio più recenti se il tuo cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i tuoi nodi finché la versione della patch non diventa predefinita nel canale di rilascio. Per maggiori dettagli, vedi Eseguire le versioni con patch da un canale più recente.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-3609

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-3609

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-3609

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-3609

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non include un sistema operativo nella distribuzione.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-3389

I cluster GKE Standard e Autopilot sono interessati.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1014001
• 1.27.3-gke.1001002
• 1.28.0-gke.100

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni patch o successive:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1014001
• 1.27.3-gke.1001002
• 1.28.1-gke.1002003

Puoi applicare le versioni delle patch dei canali di rilascio più recenti se il tuo cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i tuoi nodi finché la versione della patch non diventa predefinita nel canale di rilascio. Per maggiori dettagli, vedi Eseguire le versioni con patch da un canale più recente.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-3389

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-3389

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-3389

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-3389

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non include un sistema operativo nella distribuzione.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-3090

I cluster GKE Standard sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o allow CAP_NET_ADMIN.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:

• 1.24.14-gke.1027001
• 1.25.12-gke.900
• 1.26.5-gke.1014001
• 1.27.4-gke.400
• 1.28.0-gke.100

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni patch o successive:

• 1.24.14-gke.1027001
• 1.25.12-gke.900
• 1.26.5-gke.1014001
• 1.27.4-gke.900
• 1.28.1-gke.1050000

Puoi applicare le versioni delle patch dei canali di rilascio più recenti se il tuo cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i tuoi nodi finché la versione della patch non diventa predefinita nel canale di rilascio. Per maggiori dettagli, vedi Eseguire le versioni con patch da un canale più recente.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-3090

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-3090

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-3090

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-3090

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non include un sistema operativo nella distribuzione.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-3390

Aggiornamento del 21/12/2023: il bollettino originale indicava che i cluster Autopilot erano interessati, ma questa informazione non era corretta. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se impostate esplicitamente il profilo seccomp Unconfined o se consentite CAP_NET_ADMIN.

I cluster GKE Standard e Autopilot sono interessati.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:

• 1.27.4-gke.400
• 1.28.0-gke.100

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni patch o successive:

• 1.24.14-gke.1027001
• 1.25.12-gke.900
• 1.26.5-gke.1014001
• 1.27.4-gke.900
• 1.28.1-gke.1050000

Puoi applicare le versioni delle patch dei canali di rilascio più recenti se il tuo cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i tuoi nodi finché la versione della patch non diventa predefinita nel canale di rilascio. Per maggiori dettagli, vedi Eseguire le versioni con patch da un canale più recente.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-3390

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-3390

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-3390

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-3390

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non include un sistema operativo nella distribuzione.

Un malintenzionato che ha compromesso il contenitore di registrazione di Fluent Bit potrebbe combinare questo accesso con i privilegi elevati richiesti da Cloud Service Mesh (sui cluster in cui è stato attivato) per eseguire la riassegnazione dei privilegi nel cluster. I problemi relativi a Fluent Bit e Cloud Service Mesh sono stati attenuati e sono ora disponibili correzioni. Queste vulnerabilità non sono sfruttabili da sole in GKE e richiedono un compromesso iniziale. Non siamo a conoscenza di casi di sfruttamento di queste vulnerabilità.

Questi problemi sono stati segnalati tramite il nostro Vulnerability Reward Program.

Che cosa devo fare?

Le seguenti versioni di GKE sono state aggiornate con il codice per correggere queste vulnerabilità in Fluent Bit e per gli utenti di Cloud Service Mesh gestito. Per motivi di sicurezza, anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire manualmente l'upgrade del cluster e dei pool di nodi a una delle seguenti versioni di GKE o a una successiva:

• 1.25.16-gke.1020000
• 1.26.10-gke.1235000
• 1.27.7-gke.1293000
• 1.28.4-gke.1083000

Una funzionalità recente dei canali di release consente di applicare una patch senza dover annullare l'iscrizione a un canale. In questo modo, puoi proteggere i tuoi nodi finché la nuova versione non diventa predefinita per il tuo canale di rilascio specifico.

Se il tuo cluster utilizza Cloud Service Mesh all'interno del cluster, devi eseguire l'upgrade manuale a una delle seguenti versioni (note di rilascio):

• 1.17.8-asm.8
• 1.18.6-asm.2
• 1.19.5-asm.4

Quali vulnerabilità vengono affrontate da questa patch?

Le vulnerabilità affrontate da questo bollettino richiedono che un malintenzionato comprometta il contenitore di log di Fluent Bit. Non siamo a conoscenza di vulnerabilità esistenti in Fluent Bit che potrebbero portare a questa condizione di prerequisito per escalation dei privilegi. Abbiamo applicato patch a queste vulnerabilità come misure di rafforzamento per evitare una potenziale catena di attacchi completa in futuro

GKE utilizza Fluent Bit per elaborare i log dei carichi di lavoro in esecuzione sui cluster. Fluent Bit su GKE è stato configurato anche per raccogliere i log per i carichi di lavoro Cloud Run. Il montaggio del volume configurato per raccogliere questi log ha dato accesso a Fluent Bit ai token degli account di servizio Kubernetes per altri pod in esecuzione sul node. Il ricercatore ha utilizzato questo accesso per scoprire un token di account di servizio altamente privilegiato per i cluster in cui è abilitato Cloud Service Mesh.

Cloud Service Mesh richiedeva privilegi elevati per apportare le modifiche necessarie alla configurazione di un cluster, inclusa la possibilità di creare ed eliminare pod. Il ricercatore ha utilizzato il token dell'account di servizio Kubernetes con privilegi per eseguire la riassegnazione dei privilegi compromessi iniziali creando un nuovo pod con privilegi di amministratore del cluster

Abbiamo rimosso l'accesso di Fluent Bit ai token dell'account di servizio e abbiamo redesignato la funzionalità di Cloud Service Mesh per rimuovere i privilegi in eccesso.

Sono interessati solo i cluster GKE su VMware che utilizzano Cloud Service Mesh.

Che cosa devo fare?

Se il tuo cluster utilizza Cloud Service Mesh all'interno del cluster, devi eseguire l'upgrade manuale a una delle seguenti versioni (note di rilascio):

• 1.17.8-asm.8
• 1.18.6-asm.2
• 1.19.5-asm.4

Quali vulnerabilità vengono affrontate da questa patch?

Le vulnerabilità trattate in questo bollettino richiedono innanzitutto all'utente malintenzionato di compromettere o di uscire in altro modo da un contenitore o di avere i privilegi di root su un nodo del cluster. Non siamo a conoscenza di vulnerabilità esistenti che potrebbero portare a questa condizione obbligatoria per escalation dei privilegi. Abbiamo corretto queste vulnerabilità come misure di rafforzamento per evitare una potenziale catena di attacchi completa in futuro.

Cloud Service Mesh richiedeva privilegi elevati per apportare le modifiche necessarie alla configurazione di un cluster, inclusa la possibilità di creare ed eliminare pod. Il ricercatore ha utilizzato il token dell'account di servizio Kubernetes con privilegi di Cloud Service Mesh per eseguire la riassegnazione dei suoi privilegi compromessi iniziali creando un nuovo pod con privilegi di amministratore del cluster.

Abbiamo riprogettato la funzionalità di Cloud Service Mesh per rimuovere i privilegi eccessivi.

Sono interessati solo i cluster GKE su AWS che utilizzano Cloud Service Mesh.

Che cosa devo fare?

Se il tuo cluster utilizza Cloud Service Mesh all'interno del cluster, devi eseguire l'upgrade manuale a una delle seguenti versioni (note di rilascio):

• 1.17.8-asm.8
• 1.18.6-asm.2
• 1.19.5-asm.4

Quali vulnerabilità vengono affrontate da questa patch?

Le vulnerabilità trattate in questo bollettino richiedono innanzitutto all'utente malintenzionato di compromettere o di uscire in altro modo da un contenitore o di avere i privilegi di root su un nodo del cluster. Non siamo a conoscenza di vulnerabilità esistenti che potrebbero portare a questa condizione obbligatoria per escalation dei privilegi. Abbiamo applicato patch a queste vulnerabilità come misure di rafforzamento per evitare una potenziale catena di attacchi completa in futuro.

Cloud Service Mesh richiedeva privilegi elevati per apportare le modifiche necessarie alla configurazione di un cluster, inclusa la possibilità di creare ed eliminare pod. Il ricercatore ha utilizzato il token dell'account di servizio Kubernetes con privilegi di Cloud Service Mesh per eseguire la riassegnazione dei suoi privilegi compromessi iniziali creando un nuovo pod con privilegi di amministratore del cluster.

Abbiamo riprogettato la funzionalità di Cloud Service Mesh per rimuovere i privilegi eccessivi.

Sono interessati solo i cluster GKE su Azure che utilizzano Cloud Service Mesh.

Che cosa devo fare?

Se il tuo cluster utilizza Cloud Service Mesh all'interno del cluster, devi eseguire l'upgrade manuale a una delle seguenti versioni (note di rilascio):

• 1.17.8-asm.8
• 1.18.6-asm.2
• 1.19.5-asm.4

Quali vulnerabilità vengono affrontate da questa patch?

Le vulnerabilità trattate in questo bollettino richiedono innanzitutto all'utente malintenzionato di compromettere o di uscire in altro modo da un contenitore o di avere i privilegi di root su un nodo del cluster. Non siamo a conoscenza di vulnerabilità esistenti che potrebbero portare a questa condizione obbligatoria per escalation dei privilegi. Abbiamo applicato patch a queste vulnerabilità come misure di rafforzamento per evitare una potenziale catena di attacchi completa in futuro.

Cloud Service Mesh richiedeva privilegi elevati per apportare le modifiche necessarie alla configurazione di un cluster, inclusa la possibilità di creare ed eliminare pod. Il ricercatore ha utilizzato il token dell'account di servizio Kubernetes con privilegi di Cloud Service Mesh per eseguire la riassegnazione dei suoi privilegi compromessi iniziali creando un nuovo pod con privilegi di amministratore del cluster.

Abbiamo riprogettato la funzionalità di Cloud Service Mesh per rimuovere i privilegi eccessivi.

Sono interessati solo i cluster GKE on Bare Metal che utilizzano Cloud Service Mesh.

Che cosa devo fare?

Se il tuo cluster utilizza Cloud Service Mesh all'interno del cluster, devi eseguire l'upgrade manuale a una delle seguenti versioni (note di rilascio):

• 1.17.8-asm.8
• 1.18.6-asm.2
• 1.19.5-asm.4

Quali vulnerabilità vengono affrontate da questa patch?

Le vulnerabilità trattate in questo bollettino richiedono innanzitutto all'utente malintenzionato di compromettere o di uscire in altro modo da un contenitore o di avere i privilegi di root su un nodo del cluster. Non siamo a conoscenza di vulnerabilità esistenti che potrebbero portare a questa condizione obbligatoria per escalation dei privilegi. Abbiamo applicato patch a queste vulnerabilità come misure di rafforzamento per evitare una potenziale catena di attacchi completa in futuro.

Anthos Service Mesh richiedeva privilegi elevati per apportare le modifiche necessarie alla configurazione di un cluster, inclusa la possibilità di creare ed eliminare pod. Il ricercatore ha utilizzato il token dell'account di servizio Kubernetes con privilegi di Cloud Service Mesh per eseguire la riassegnazione dei suoi privilegi compromessi iniziali creando un nuovo pod con privilegi di amministratore del cluster.

Abbiamo riprogettato la funzionalità di Cloud Service Mesh per rimuovere i privilegi eccessivi.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-5717

I cluster GKE Standard e Autopilot sono interessati.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento del 22/01/2024: sono interessate le seguenti versioni minori. Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni patch o successive:

• 1.24.17-gke.2472000
• 1.25.16-gke.1268000
• 1.26.12-gke.1111000
• 1.27.9-gke.1092000
• 1.28.5-gke.1217000
• 1.29.0-gke.138100

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:

• 1.24.17-gke.2113000
• 1.25.14-gke.1421000
• 1.25.15-gke.1083000
• 1.26.10-gke.1073000
• 1.27.7-gke.1088000
• 1.28.3-gke.1203000

Puoi applicare le versioni delle patch dei canali di rilascio più recenti se il tuo cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i tuoi nodi finché la versione della patch non diventa predefinita nel canale di rilascio. Per maggiori dettagli, vedi Eseguire le versioni con patch da un canale più recente.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-5717

Che cosa devo fare?

Aggiornamento del 04/03/2024: le seguenti versioni di GKE su VMware sono aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade dei cluster alle seguenti versioni o versioni successive:

• 1.28.200
• 1.16.5
• 1.15.8

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-5717

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-5717

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-5717

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non include un sistema operativo nella distribuzione.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-5197

Aggiornamento del 21/12/2023: il bollettino originale indicava che i cluster Autopilot erano interessati, ma questa informazione non era corretta. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o se consenti CAP_NET_ADMIN.

I cluster GKE Standard e Autopilot sono interessati.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:

• 1.25.13-gke.1002003
• 1.26.9-gke.1514000
• 1.27.6-gke.1513000
• 1.28.2-gke.1164000

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni patch o successive:

• 1.24.16-gke.1005001
• 1.25.13-gke.1002003
• 1.26.9-gke.1548000
• 1.27.7-gke.1039000
• 1.28.3-gke.1061000

Puoi applicare le versioni delle patch dei canali di rilascio più recenti se il tuo cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i tuoi nodi finché la versione della patch non diventa predefinita nel canale di rilascio. Per maggiori dettagli, vedi Eseguire le versioni con patch da un canale più recente.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-5197

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-5197

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-5197

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-5197

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non include un sistema operativo nella distribuzione.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-4147

I cluster GKE Standard sono interessati. I cluster GKE Autopilot non sono interessati.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento del 15/11/2023: devi eseguire l'upgrade a una delle versioni con patch elencate in questo bollettino solo se utilizzi la versione secondaria nei tuoi nodi. Ad esempio, se utilizzi la versione 1.27 di GKE, devi eseguire l'upgrade alla versione corretta con patch. Tuttavia, se utilizzi GKE 1.24, non è necessario eseguire l'upgrade a una versione con patch.

Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni o versioni successive:

• 1.27.5-gke.200
• 1.28.2-gke.1157000

Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni o versioni successive:

• 1.25.14-gke.1421000
• 1.26.9-gke.1437000
• 1.27.6-gke.1248000
• 1.28.2-gke.1157000

Puoi applicare le versioni delle patch dei canali di rilascio più recenti se il tuo cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i tuoi nodi fino a quando la versione con patch non diventa predefinita nel canale di rilascio. Per maggiori dettagli, vedi Eseguire le versioni con patch da un canale più recente.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-4147

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-4147

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-4147

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-4147

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non include un sistema operativo nella distribuzione.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-4004

Aggiornamento del 21/12/2023: il bollettino originale indicava che i cluster Autopilot erano interessati, ma questa informazione non era corretta. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o se consenti CAP_NET_ADMIN.

I cluster Autopilot sono interessati.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento del 05/12/2023: alcune versioni di GKE non erano precedentemente disponibili. Di seguito è riportato un elenco aggiornato delle versioni GKE a cui puoi eseguire l'upgrade di Container-Optimized OS:

• 1.24.17-gke.200 o versioni successive
• 1.25.13-gke.200 o versioni successive
• 1.26.8-gke.200 o versioni successive
• 1.27.4-gke.2300 o successive
• 1.28.1-gke.1257000 o versioni successive

Aggiornamento del 21/11/2023: devi eseguire l'upgrade a una delle versioni con patch elencate in questo bollettino solo se utilizzi la versione minore nei tuoi nodi. Le versioni secondarie non elencate non sono interessate.

Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni o versioni successive:

• 1.27.4-gke.2300
• 1.28.1-gke.1257000

Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni o versioni successive:

• 1.24.14-gke.1027001
• 1.25.13-gke.700
• 1.26.8-gke.700
• 1.27.5-gke.700
• 1.28.1-gke.1050000

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-4004

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-4004

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-4004

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-4004

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non include un sistema operativo nella distribuzione.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-4921

Aggiornamento del 21/12/2023: il bollettino originale indicava che i cluster Autopilot erano interessati, ma questa informazione non era corretta. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o se consenti CAP_NET_ADMIN.

I cluster Autopilot sono interessati.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento del 21/11/2023: devi eseguire l'upgrade a una delle versioni con patch elencate in questo bollettino solo se utilizzi la versione minore nei tuoi nodi. Le versioni secondarie non elencate non sono interessate.

Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni o versioni successive:

• 1.24.14-gke.1027001
• 1.25.14-gke.1351000
• 1.26.9-gke.1345000
• 1.27.6-gke.1389000

Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni o versioni successive:

• 1.24.17-gke.2186000
• 1.25.15-gke.1016000
• 1.26.9-gke.1548000
• 1.27.6-gke.1551000
• 1.28.2-gke.1256000

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-4921

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-4921

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-4921

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-4921

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non include un sistema operativo nella distribuzione.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-4623

I cluster Autopilot sono interessati.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento del 21/11/2023: devi eseguire l'upgrade a una delle versioni con patch elencate in questo bollettino solo se utilizzi la versione minore nei tuoi nodi. Le versioni secondarie non elencate non sono interessate.

Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni o versioni successive:

• 1.24.14-gke.1027001
• 1.25.14-gke.1351000
• 1.26.9-gke.1345000
• 1.27.5-gke.1647000

Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni o versioni successive:

• 1.24.17-gke.2186000
• 1.25.15-gke.1016000
• 1.26.9-gke.1548000
• 1.27.6-gke.1551000
• 1.28.2-gke.1256000

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-4623

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-4623

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-4623

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-4623

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non include un sistema operativo nella distribuzione.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-4623

Aggiornamento del 21/12/2023: il bollettino originale indicava che i cluster Autopilot erano interessati, ma questa informazione non era corretta. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o se consenti CAP_NET_ADMIN.

I cluster Autopilot sono interessati.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento del 21/11/2023: devi eseguire l'upgrade a una delle versioni con patch elencate in questo bollettino solo se utilizzi la versione minore nei tuoi nodi. Le versioni secondarie non elencate non sono interessate.

Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni o versioni successive:

• 1.24.14-gke.1027001
• 1.25.14-gke.1351000
• 1.26.9-gke.1345000
• 1.27.6-gke.1389000

Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni o versioni successive:

• 1.24.17-gke.2186000
• 1.25.15-gke.1016000
• 1.26.9-gke.1548000
• 1.27.6-gke.1551000
• 1.28.2-gke.1256000

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-4623

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-4623

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-4623

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-4623

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non include un sistema operativo nella distribuzione.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-4015

Aggiornamento del 21/12/2023: il bollettino originale indicava che i cluster Autopilot erano interessati, ma questa informazione non era corretta. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o se consenti CAP_NET_ADMIN.

I cluster Autopilot sono interessati.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento del 21/11/2023: devi eseguire l'upgrade a una delle versioni con patch elencate in questo bollettino solo se utilizzi la versione minore nei tuoi nodi. Le versioni secondarie non elencate non sono interessate.

Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni o versioni successive:

• 1.27.5-gke.1647000

Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni o versioni successive:

• 1.24.14-gke.1027001
• 1.25.13-gke.700
• 1.26.8-gke.700
• 1.27.5-gke.700
• 1.28.1-gke.1050000

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-4015

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-4015

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-4015

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-4015

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non include un sistema operativo nella distribuzione.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-4206
• CVE-2023-4207
• CVE-2023-4208
• CVE-2023-4128

Aggiornamento del 21/12/2023: il bollettino originale indicava che i cluster Autopilot erano interessati, ma questa informazione non era corretta. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o se consenti CAP_NET_ADMIN.

I cluster Autopilot sono interessati.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento del 21/11/2023: devi eseguire l'upgrade a una delle versioni con patch elencate in questo bollettino solo se utilizzi la versione minore nei tuoi nodi. Le versioni secondarie non elencate non sono interessate.

Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni o versioni successive:

• 1.24.14-gke.1027001
• 1.25.13-gke.1008000
• 1.26.8-gke.1647000
• 1.27.5-gke.200

Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni o versioni successive:

• 1.24.14-gke.1027001
• 1.25.13-gke.1706000
• 1.26.8-gke.1647000
• 1.27.5-gke.1648000
• 1.28.1-gke.1050000

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-4206
• CVE-2023-4207
• CVE-2023-4208
• CVE-2023-4128

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-4206
• CVE-2023-4207
• CVE-2023-4208
• CVE-2023-4128

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-4206
• CVE-2023-4207
• CVE-2023-4208
• CVE-2023-4128

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-4206
• CVE-2023-4207
• CVE-2023-4208
• CVE-2023-4128

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non include un sistema operativo nella distribuzione.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-3777

Aggiornamento del 21/12/2023: il bollettino originale indicava che i cluster Autopilot erano interessati, ma questa informazione non era corretta. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se impostate esplicitamente il profilo seccomp Unconfined o se consentite CAP_NET_ADMIN. Anche i carichi di lavoro di GKE Sandbox non sono interessati.

I cluster Autopilot sono interessati.

I cluster che utilizzano GKE Sandbox sono interessati.

Che cosa devo fare?

Aggiornamento del 21/11/2023: devi eseguire l'upgrade a una delle versioni con patch elencate in questo bollettino solo se utilizzi la versione minore nei tuoi nodi. Le versioni secondarie non elencate non sono interessate.

Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni o versioni successive:

• 1.24.16-gke.2200
• 1.25.12-gke.2200
• 1.26.7-gke.2200
• 1.27.4-gke.2300

Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni o versioni successive:

• 1.24.17-gke.700
• 1.25.13-gke.700
• 1.26.8-gke.700
• 1.27.5-gke.700
• 1.28.0-gke.100

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-3777

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-3777

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-3777

Che cosa devo fare?

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-3777

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non include un sistema operativo nella distribuzione.

Di recente è stata scoperta una vulnerabilità di tipo Denial of Service (DoS) in più implementazioni del protocollo HTTP/2 (CVE-2023-44487), incluso il server HTTP golang utilizzato da Kubernetes. La vulnerabilità potrebbe causare un attacco DoS del piano di controllo di Google Kubernetes Engine (GKE). I cluster GKE con reti autorizzate configurate sono protetti limitando l'accesso alla rete, ma tutti gli altri cluster sono interessati.

Che cosa devo fare?

Aggiornamento del 09/11/2023: abbiamo rilasciato nuove versioni di GKE che includono le patch di sicurezza di Go e Kubernetes, a cui ora puoi aggiornare i tuoi cluster. Nelle prossime settimane pubblicheremo ulteriori modifiche al piano di controllo di GKE per attenuare ulteriormente il problema.

Le seguenti versioni di GKE sono state aggiornate con patch per CVE-2023-44487 e CVE-2023-39325:

• 1.24.17-gke.2155000
• 1.25.14-gke.1474000
• 1.26.10-gke.1024000
• 1.27.7-gke.1038000
• 1.28.3-gke.1090000

Ti consigliamo di applicare la seguente mitigazione il prima possibile ed eseguire l'upgrade alla versione più recente con patch, se disponibile.

Le patch Golang verranno rilasciate il 10 ottobre. Una volta disponibili, creeremo e convalideremo un nuovo server API Kubernetes con queste patch e pubblicheremo una release di GKE con patch. Una volta che la release di GKE sarà disponibile, aggiorneremo questo bollettino con indicazioni sulla versione a cui eseguire l'upgrade del piano di controllo e renderemo visibili le patch all'interno della postura di sicurezza di GKE, se disponibili per il tuo cluster. Per ricevere una notifica Pub/Sub quando è disponibile una patch per il tuo canale, abilita le notifiche del cluster.

Una funzionalità recente dei canali di rilascio ti consente di applicare una patch senza dover annullare l'iscrizione a un canale. In questo modo puoi proteggere i tuoi nodi fino a quando la nuova versione non diventa predefinita per il canale specifico della release.

Evita il problema configurando le reti autorizzate per l'accesso al control plane:

Puoi aggiungere reti autorizzate per i cluster esistenti. Per saperne di più, consulta la sezione Rete autorizzata per i cluster esistenti.

Oltre alle reti autorizzate che aggiungi, esistono indirizzi IP preimpostati che possono accedere al control plane di GKE. Per scoprire di più su questi indirizzi, vedi Accedere agli endpoint del piano di controllo. I seguenti elementi riepilogano l'isolamento del cluster:

• I cluster privati con --master-authorized-networks e i cluster basati su PSC con --master-authorized-networks e --no-enable-google-cloud configurati sono i più isolati.
• I cluster pubblici precedenti con --master-authorized-networks e i cluster basati su PSC con --master-authorized-networks e --enable-google-cloud (predefinito) configurati sono accessibili anche tramite:
  • Indirizzi IP pubblici di tutte le VM Compute Engine in Google Cloud
  • Indirizzi IP della piattaforma Google Cloud

Quali vulnerabilità vengono affrontate da questa patch?

La vulnerabilità CVE-2023-44487 consente a un utente malintenzionato di eseguire un attacco di tipo denial of service sui nodi del piano di controllo GKE.

Di recente è stata scoperta una vulnerabilità di tipo Denial of Service (DoS) in più implementazioni del protocollo HTTP/2 (CVE-2023-44487), incluso il server HTTP golang utilizzato da Kubernetes. La vulnerabilità potrebbe causare un attacco DoS del piano di controllo Kubernetes. GKE su VMware crea cluster Kubernetes che non sono direttamente accessibili a internet per impostazione predefinita e sono protetti da questa vulnerabilità.

Che cosa devo fare?

Aggiornamento del 14/02/2024: le seguenti versioni di GKE su VMware sono state aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade dei cluster alle seguenti versioni delle patch o versioni successive:

• 1.28.100
• 1.16.6
• 1.15.8

Se hai configurato GKE sui cluster Kubernetes di VMware in modo che abbia accesso diretto a internet o ad altre reti non attendibili, ti consigliamo di collaborare con l'amministratore della firewall per bloccare o limitare questo accesso.

Ti consigliamo di eseguire l'upgrade alla versione patch più recente, se disponibile, il prima possibile.

Le patch Golang verranno rilasciate il 10 ottobre. Una volta disponibili, creeremo e convalideremo un nuovo server API Kubernetes con queste patch e pubblicheremo una release di GKE con patch. Una volta che la release di GKE sarà disponibile, aggiorneremo questo bollettino con indicazioni su quale versione eseguire l'upgrade del tuo piano di controllo.

Quali vulnerabilità vengono affrontate da questa patch?

La vulnerabilità CVE-2023-44487 consente a un utente malintenzionato di eseguire un attacco denial of service sui nodi del piano di controllo Kubernetes.

Di recente è stata scoperta una vulnerabilità di tipo Denial of Service (DoS) in più implementazioni del protocollo HTTP/2 (CVE-2023-44487), incluso il server HTTP golang utilizzato da Kubernetes. La vulnerabilità potrebbe causare un attacco DoS del piano di controllo Kubernetes. GKE su AWS crea cluster Kubernetes privati che non sono direttamente accessibili a internet per impostazione predefinita e sono protetti da questa vulnerabilità.

Che cosa devo fare?

Aggiornamento del 20/03/2024: le seguenti versioni di GKE su AWS sono state aggiornate con le patch per la vulnerabilità CVE-2023-44487:

• 1.26.10-gke.600
• 1.27.7-gke.600
• 1.28.3-gke.700

Se hai configurato GKE su AWS in modo che abbia accesso diretto a internet o ad altre reti non attendibili, ti consigliamo di collaborare con l'amministratore del firewall per bloccare o limitare questo accesso.

Ti consigliamo di eseguire l'upgrade alla versione patch più recente, se disponibile, il prima possibile.

Le patch Golang verranno rilasciate il 10 ottobre. Una volta disponibili, creeremo e convalideremo un nuovo server API Kubernetes con queste patch e pubblicheremo una release di GKE con patch. Una volta che la release di GKE sarà disponibile, aggiorneremo questo bollettino con indicazioni su quale versione eseguire l'upgrade del tuo piano di controllo.

Quali vulnerabilità vengono affrontate da questa patch?

La vulnerabilità CVE-2023-44487 consente a un utente malintenzionato di eseguire un attacco denial of service sui nodi del piano di controllo Kubernetes.

Di recente è stata scoperta una vulnerabilità di tipo Denial of Service (DoS) in più implementazioni del protocollo HTTP/2 (CVE-2023-44487), incluso il server HTTP golang utilizzato da Kubernetes. La vulnerabilità potrebbe causare un attacco DoS del piano di controllo Kubernetes. GKE su Azure crea cluster Kubernetes privati che non sono direttamente accessibili a internet per impostazione predefinita e sono protetti da questa vulnerabilità.

Che cosa devo fare?

Aggiornamento del 20/03/2024: le seguenti versioni di GKE su Azure sono state aggiornate con le patch per CVE-2023-44487:

• 1.26.10-gke.600
• 1.27.7-gke.600
• 1.28.3-gke.700

Se hai configurato i tuoi cluster GKE su Azure in modo che abbiano accesso diretto a internet o ad altre reti non attendibili, ti consigliamo di collaborare con l'amministratore della firewall per bloccare o limitare questo accesso.

Ti consigliamo di eseguire l'upgrade alla versione patch più recente, se disponibile, il prima possibile.

Quali vulnerabilità vengono affrontate da questa patch?

La vulnerabilità CVE-2023-44487 consente a un utente malintenzionato di eseguire un attacco denial of service sui nodi del piano di controllo Kubernetes.

Di recente è stata scoperta una vulnerabilità di tipo Denial of Service (DoS) in più implementazioni del protocollo HTTP/2 (CVE-2023-44487), incluso il server HTTP golang utilizzato da Kubernetes. La vulnerabilità potrebbe causare un attacco DoS del piano di controllo Kubernetes. Anthos on Bare Metal crea cluster Kubernetes che non sono direttamente accessibili a internet per impostazione predefinita e sono protetti da questa vulnerabilità.

Che cosa devo fare?

Se hai configurato i tuoi cluster Kubernetes Anthos on Bare Metal in modo che abbiano accesso diretto a internet o ad altre reti non attendibili, ti consigliamo di collaborare con l'amministratore della firewall per bloccare o limitare questo accesso. Per scoprire di più, consulta la Panoramica della sicurezza di GKE on Bare Metal.

Ti consigliamo di eseguire l'upgrade alla versione patch più recente, se disponibile, il prima possibile.

Le patch Golang verranno rilasciate il 10 ottobre. Una volta disponibili, creeremo e convalideremo un nuovo server API Kubernetes con queste patch e pubblicheremo una release di GKE con patch. Una volta che la release di GKE sarà disponibile, aggiorneremo questo bollettino con indicazioni su quale versione eseguire l'upgrade del tuo piano di controllo.

Quali vulnerabilità vengono affrontate da questa patch?

La vulnerabilità CVE-2023-44487 consente a un utente malintenzionato di eseguire un attacco denial of service sui nodi del piano di controllo Kubernetes.

In Kubernetes sono state scoperte tre vulnerabilità (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) che consentono a un utente che può creare pod su nodi Windows di eseguire l'escalation ai privilegi amministrativi su questi nodi. Queste vulnerabilità interessano le versioni Windows di Kubelet e del proxy CSI di Kubernetes.

I cluster GKE sono interessati solo se includono nodi Windows.

Che cosa devo fare?

Le seguenti versioni di GKE sono state aggiornate con il codice per correggere questa vulnerabilità. Per motivi di sicurezza, anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire l'upgrade manuale del cluster e dei pool di nodi a una delle seguenti versioni di GKE:

• 1.24.17-gke.200
• 1.25.13-gke.200
• 1.26.8-gke.200
• 1.27.5-gke.200
• 1.28.1-gke.200

Il piano di controllo GKE verrà aggiornato la settimana del 04-09-2023 per aggiornare csi-proxy alla versione 1.1.3. Se aggiorni i nodi prima dell'aggiornamento del piano di controllo, dovrai aggiornarli di nuovo dopo l'aggiornamento per sfruttare il nuovo proxy. Puoi aggiornare di nuovo i nodi, anche senza modificare la versione del nodo, eseguendo il comando gcloud container clusters upgrade e passando il flag --cluster-version con la stessa versione GKE già in esecuzione nel pool di nodi. Per questa soluzione alternativa devi utilizzare gcloud CLI. Tieni presente che questo causerà un aggiornamento indipendentemente dalle finestre di manutenzione.

Una funzionalità recente dei canali di release consente di applicare una patch senza dover annullare l'iscrizione a un canale. In questo modo, puoi proteggere i tuoi nodi finché la nuova versione non diventa predefinita per il tuo canale di release specifico.

Quali vulnerabilità vengono affrontate da questa patch?

Con la vulnerabilità CVE-2023-3676, un utente malintenzionato potrebbe creare una specifica del pod con stringhe di percorso dell'host che contengono comandi PowerShell. Kubelet non dispone della sanitizzazione degli input e passa questa stringa del percorso creata dall'utente all'eseguitore dei comandi come argomento, dove eseguirà parti della stringa come comandi separati. Questi comandi verranno eseguiti con gli stessi privilegi amministrativi di Kubelet.

Con CVE-2023-3955, Kubelet concede agli utenti che possono creare pod la possibilità di eseguire codice allo stesso livello di autorizzazione dell'agente Kubelet, ovvero autorizzazioni privilegiate.

Con CVE-2023-3893, una simile mancanza di convalida dell'input consente a un utente che può creare pod su nodi Windows che eseguono kubernetes-csi-proxy di eseguire la riassegnazione dei privilegi amministrativi su questi nodi.

I log di controllo di Kubernetes possono essere utilizzati per rilevare se questa vulnerabilità viene sfruttata. Gli eventi di creazione del pod con comandi PowerShell incorporati sono un'indicazione chiara di sfruttamento. Anche i ConfigMap e i secret che contengono comandi PowerShell incorporati e sono montati nei pod sono un'indicazione chiara di sfruttamento.

In Kubernetes sono state scoperte tre vulnerabilità (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) che consentono a un utente che può creare pod su nodi Windows di eseguire l'escalation ai privilegi amministrativi su questi nodi. Queste vulnerabilità interessano le versioni Windows di Kubelet e del proxy CSI di Kubernetes.

I cluster sono interessati solo se includono nodi Windows.

Che cosa devo fare?

Quali vulnerabilità vengono affrontate da questa patch?

Con la vulnerabilità CVE-2023-3676, un utente malintenzionato potrebbe creare una specifica del pod con stringhe di percorso dell'host che contengono comandi PowerShell. Kubelet non dispone della sanitizzazione degli input e passa questa stringa del percorso creata dall'utente all'eseguitore dei comandi come argomento, dove eseguirà parti della stringa come comandi separati. Questi comandi verranno eseguiti con gli stessi privilegi amministrativi di Kubelet.

Con CVE-2023-3955, Kubelet concede agli utenti che possono creare pod la possibilità di eseguire codice allo stesso livello di autorizzazione dell'agente Kubelet, ovvero autorizzazioni privilegiate.

Con CVE-2023-3893, una simile mancanza di convalida dell'input consente a un utente che può creare pod su nodi Windows che eseguono kubernetes-csi-proxy di eseguire la riassegnazione dei privilegi amministrativi su questi nodi.

I log di controllo di Kubernetes possono essere utilizzati per rilevare se questa vulnerabilità viene sfruttata. Gli eventi di creazione di pod con comandi PowerShell incorporati sono un'indicazione chiara di sfruttamento. Anche i ConfigMap e i secret che contengono comandi PowerShell incorporati e sono montati nei pod sono un'indicazione chiara di sfruttamento.

In Kubernetes sono state scoperte tre vulnerabilità (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) che consentono a un utente che può creare pod su nodi Windows di eseguire l'escalation ai privilegi amministrativi su questi nodi. Queste vulnerabilità interessano le versioni Windows di Kubelet e del proxy CSI di Kubernetes.

Che cosa devo fare?

GKE su AWS non è interessato da queste CVE. Non è richiesta alcuna azione da parte tua.

In Kubernetes sono state scoperte tre vulnerabilità (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) che consentono a un utente che può creare pod su nodi Windows di eseguire l'escalation ai privilegi amministrativi su questi nodi. Queste vulnerabilità interessano le versioni Windows di Kubelet e del proxy CSI di Kubernetes.

Che cosa devo fare?

GKE su Azure non è interessato da queste CVE. Non è richiesta alcuna azione da parte tua.

In Kubernetes sono state scoperte tre vulnerabilità (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) che consentono a un utente che può creare pod su nodi Windows di eseguire l'escalation ai privilegi amministrativi su questi nodi. Queste vulnerabilità interessano le versioni Windows di Kubelet e del proxy CSI di Kubernetes.

Che cosa devo fare?

GKE on Bare Metal non è interessato da queste CVE. Non è richiesta alcuna azione da parte tua.

Nel kernel di Linux è stata scoperta una nuova vulnerabilità (CVE-2023-2235) che può portare a un'escalation dei privilegi sul nodo. I cluster GKE Autopilot sono interessati perché i nodi GKE Autopilot utilizzano sempre immagini dei nodi Container-Optimized OS. I cluster GKE Standard con versioni 1.25 o successive che eseguono immagini dei nodi Container-Optimized OS sono interessati.

I cluster GKE non sono interessati se eseguono solo immagini dei nodi Ubuntu, versioni precedenti alla 1.25 o GKE Sandbox.

Che cosa devo fare?

Le seguenti versioni di GKE sono state aggiornate con il codice per correggere questa vulnerabilità. Per motivi di sicurezza, anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire l'upgrade manuale del cluster e dei pool di nodi a una delle seguenti versioni di GKE:

• 1.25.9-gke.1400
• 1.26.4-gke.1500
• 1.27.1-gke.2400

Una funzionalità recente dei canali di rilascio ti consente di applicare una patch senza dover annullare l'iscrizione a un canale. In questo modo puoi proteggere i tuoi nodi fino a quando la nuova versione non diventa predefinita per il canale specifico della release.

Quali vulnerabilità vengono affrontate?

Con CVE-2023-2235, la funzione perf_group_detach non controllava lo stato attach_state dei fratelli dell'evento prima di chiamare add_event_to_groups(), ma remove_on_exec consentiva di chiamare list_del_event() prima di scollegarsi dal gruppo, il che rendeva possibile l'utilizzo di un puntatore inutilizzato che causava una vulnerabilità di tipo use-after-free.

Nel kernel di Linux è stata scoperta una nuova vulnerabilità (CVE-2023-2235) che può portare a un'escalation dei privilegi sul nodo. I cluster GKE on VMware sono interessati.

Che cosa devo fare?

Quali vulnerabilità vengono affrontate?

Con CVE-2023-2235, la funzione perf_group_detach non controllava lo stato attach_state dei fratelli dell'evento prima di chiamare add_event_to_groups(), ma remove_on_exec consentiva di chiamare list_del_event() prima di scollegarsi dal gruppo, il che rendeva possibile l'utilizzo di un puntatore inutilizzato che causava una vulnerabilità di tipo use-after-free.

Nel kernel di Linux è stata scoperta una nuova vulnerabilità (CVE-2023-2235) che può portare a un'escalation dei privilegi sul nodo. I cluster GKE su AWS sono interessati.

Che cosa devo fare?

Quali vulnerabilità vengono affrontate da questa patch?

Con CVE-2023-2235, la funzione perf_group_detach non controllava lo stato attach_state dei fratelli dell'evento prima di chiamare add_event_to_groups(), ma remove_on_exec consentiva di chiamare list_del_event() prima di scollegarsi dal gruppo, il che rendeva possibile l'utilizzo di un puntatore inutilizzato che causava una vulnerabilità di tipo use-after-free.

Nel kernel di Linux è stata scoperta una nuova vulnerabilità (CVE-2023-2235) che può portare a un'escalation dei privilegi sul nodo. I cluster GKE su Azure sono interessati.

Che cosa devo fare?

Quali vulnerabilità vengono affrontate da questa patch?

Con CVE-2023-2235, la funzione perf_group_detach non controllava lo stato attach_state dei fratelli dell'evento prima di chiamare add_event_to_groups(), ma remove_on_exec consentiva di chiamare list_del_event() prima di scollegarsi dal gruppo, il che rendeva possibile l'utilizzo di un puntatore inutilizzato che causava una vulnerabilità di tipo use-after-free.

Nel kernel di Linux è stata scoperta una nuova vulnerabilità (CVE-2023-2235) che può portare a un'escalation dei privilegi sul nodo.

Google Distributed Cloud Virtual for Bare Metal non è interessato da questa CVE.

Che cosa devo fare?

Non è richiesta alcuna azione da parte tua.

Nel kernel di Linux è stata scoperta una nuova vulnerabilità (CVE-2023-31436) che può portare a un'escalation dei privilegi sul nodo. I cluster GKE, inclusi i cluster Autopilot, sono interessati.

I cluster GKE che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento del 11/07/2023: sono disponibili le versioni con patch per Ubuntu.

Le seguenti versioni di GKE sono state aggiornate per includere le versioni Ubuntu più recenti che correggono la vulnerabilità CVE-2023-31436:

• 1.23.17-gke.8200
• 1.24.14-gke.2600
• 1.25.10-gke.2700
• 1.26.5-gke.2700
• 1.27.2-gke.2700

Le seguenti versioni di GKE sono state aggiornate con il codice per correggere questa vulnerabilità. Per motivi di sicurezza, anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire l'upgrade manuale del cluster e dei pool di nodi a una delle seguenti versioni di GKE:

• 1.22.17-gke.11400
• 1.23.17-gke.6800
• 1.24.14-gke.1200
• 1.25.10-gke.1200
• 1.26.5-gke.1200
• 1.27.2-gke.1200

Una funzionalità recente dei canali di rilascio ti consente di applicare una patch senza dover annullare l'iscrizione a un canale. In questo modo puoi proteggere i tuoi nodi fino a quando la nuova versione non diventa predefinita per il canale specifico della release.

Quali vulnerabilità vengono affrontate?

Con CVE-2023-31436 è stato rilevato un difetto di accesso alla memoria fuori limite nel sottosistema di controllo del traffico (QoS) del kernel Linux nel modo in cui un utente attiva la funzione qfq_change_class con un valore MTU errato del dispositivo di rete utilizzato come lmax. Questa falla consente a un utente locale di arrestare il sistema o potenzialmente di eseguire l'escalation dei propri privilegi sul sistema.

Nel kernel di Linux è stata scoperta una nuova vulnerabilità (CVE-2023-31436) che può portare a un'escalation dei privilegi sul nodo. I cluster GKE on VMware sono interessati.

Che cosa devo fare?

Quali vulnerabilità vengono affrontate?

Con CVE-2023-31436 è stato rilevato un difetto di accesso alla memoria fuori limite nel sottosistema di controllo del traffico (QoS) del kernel Linux nel modo in cui un utente attiva la funzione qfq_change_class con un valore MTU errato del dispositivo di rete utilizzato come lmax. Questa falla consente a un utente locale di arrestare il sistema o potenzialmente di eseguire l'escalation dei propri privilegi sul sistema.

Nel kernel di Linux è stata scoperta una nuova vulnerabilità (CVE-2023-31436) che può portare a un'escalation dei privilegi sul nodo. I cluster GKE su AWS sono interessati.

Che cosa devo fare?

Quali vulnerabilità vengono affrontate da questa patch?

Con CVE-2023-31436 è stato rilevato un difetto di accesso alla memoria fuori limite nel sottosistema di controllo del traffico (QoS) del kernel Linux nel modo in cui un utente attiva la funzione qfq_change_class con un valore MTU errato del dispositivo di rete utilizzato come lmax. Questa falla consente a un utente locale di arrestare il sistema o potenzialmente di eseguire l'escalation dei propri privilegi sul sistema.

Nel kernel di Linux è stata scoperta una nuova vulnerabilità (CVE-2023-31436) che può portare a un'escalation dei privilegi sul nodo. I cluster GKE su Azure sono interessati.

Che cosa devo fare?

Quali vulnerabilità vengono affrontate da questa patch?

Con CVE-2023-31436 è stato rilevato un difetto di accesso alla memoria fuori limite nel sottosistema di controllo del traffico (QoS) del kernel Linux nel modo in cui un utente attiva la funzione qfq_change_class con un valore MTU errato del dispositivo di rete utilizzato come lmax. Questa falla consente a un utente locale di arrestare il sistema o potenzialmente di eseguire l'escalation dei propri privilegi sul sistema.

Nel kernel di Linux è stata scoperta una nuova vulnerabilità (CVE-2023-31436) che può portare a un'escalation dei privilegi sul nodo.

Google Distributed Cloud Virtual for Bare Metal non è interessato da questa CVE.

Che cosa devo fare?

Non è richiesta alcuna azione da parte tua.

Sono state scoperte diverse vulnerabilità in Envoy, utilizzato in Cloud Service Mesh (ASM). Questi problemi sono stati segnalati separatamente come GCP-2023-002.

GKE non viene fornito con ASM e non è interessato da queste vulnerabilità.

Che cosa devo fare?

Se hai installato separatamente ASM per i tuoi cluster GKE, consulta GCP-2023-002.

In Envoy, che viene utilizzato in Cloud Service Mesh in GKE su VMware, sono state scoperte diverse vulnerabilità (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487) che consentono a un malintenzionato di provocare un denial of service o un arresto anomalo di Envoy. Questi problemi sono stati segnalati separatamente come GCP-2023-002, ma vogliamo assicurarci che i clienti di GKE Enterprise aggiornino le versioni che includono ASM.

Che cosa devo fare?

Le seguenti versioni di GKE on VMware sono state aggiornate con il codice per correggere questa vulnerabilità. Ti consigliamo di eseguire l'upgrade dei cluster di amministrazione e utente a una delle seguenti versioni di GKE on VMware:

• 1.13.8
• 1.14.5
• 1.15.1

Quali vulnerabilità vengono affrontate da questa patch?

CVE-2023-27496: se Envoy è in esecuzione con il filtro OAuth abilitato, un attore malintenzionato potrebbe creare una richiesta che causerebbe denial of service facendo arrestare in modo anomalo Envoy.

CVE-2023-27488: gli attaccanti possono utilizzare questa vulnerabilità per bypassare i controlli di autenticazione quando viene utilizzato ext_authz.

CVE-2023-27493: la configurazione di Envoy deve includere anche un'opzione per aggiungere intestazioni di richiesta generate utilizzando gli input della richiesta, ad esempio il SAN del certificato peer.

CVE-2023-27492: gli utenti malintenzionati possono inviare corpo di richieste di grandi dimensioni per i percorsi in cui è attivato il filtro Lua e attivare arresti anomali.

CVE-2023-27491: gli aggressori possono inviare richieste HTTP/2 o HTTP/3 appositamente create per attivare errori di analisi sul servizio upstream HTTP/1.

CVE-2023-27487: l'intestazione x-envoy-original-path dovrebbe essere interna, ma Envoy non la rimuove dalla richiesta all'inizio dell'elaborazione della richiesta quando viene inviata da un client non attendibile.

In Envoy, utilizzato in Cloud Service Mesh, sono state scoperte diverse vulnerabilità (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487). Questi problemi sono stati segnalati separatamente come GCP-2023-002.

GKE su AWS non viene fornito con ASM e non è interessato.

Che cosa devo fare?

Non è richiesta alcuna azione da parte tua.

In Envoy, utilizzato in Cloud Service Mesh, sono state scoperte diverse vulnerabilità (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487). Questi problemi sono stati segnalati separatamente come GCP-2023-002.

GKE su Azure non viene fornito con ASM e non è interessato.

Che cosa devo fare?

Non è richiesta alcuna azione da parte tua.

In Envoy, che viene utilizzato in Cloud Service Mesh in GKE on Bare Metal, sono state scoperte diverse vulnerabilità (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487) che consentono a un malintenzionato di causare un denial of service o un arresto anomalo di Envoy. Questi problemi sono stati segnalati separatamente come GCP-2023-002, ma vogliamo assicurarci che i clienti di GKE Enterprise aggiornino le versioni che includono ASM.

Che cosa devo fare?

Le seguenti versioni di GKE on Bare Metal sono state aggiornate con codice per correggere questa vulnerabilità. Ti consigliamo di eseguire l'upgrade dei cluster di amministrazione e utente a una delle seguenti versioni di GKE on Bare Metal:

• 1.13.9
• 1.14.6
• 1.15.2

Quali vulnerabilità vengono affrontate da questa patch?

CVE-2023-27496: se Envoy è in esecuzione con il filtro OAuth abilitato, un attore malintenzionato potrebbe creare una richiesta che causerebbe denial of service facendo arrestare in modo anomalo Envoy.

CVE-2023-27488: gli attaccanti possono utilizzare questa vulnerabilità per bypassare i controlli di autenticazione quando viene utilizzato ext_authz.

CVE-2023-27493: la configurazione di Envoy deve includere anche un'opzione per aggiungere intestazioni di richiesta generate utilizzando gli input della richiesta, ad esempio il SAN del certificato peer.

CVE-2023-27492: gli utenti malintenzionati possono inviare corpo di richieste di grandi dimensioni per i percorsi in cui è attivato il filtro Lua e attivare arresti anomali.

CVE-2023-27491: gli aggressori possono inviare richieste HTTP/2 o HTTP/3 appositamente create per attivare errori di analisi sul servizio upstream HTTP/1.

CVE-2023-27487: l'intestazione x-envoy-original-path dovrebbe essere interna, ma Envoy non la rimuove dalla richiesta all'inizio dell'elaborazione della richiesta quando viene inviata da un client non attendibile.

Nella versione 5.15 del kernel Linux è stata scoperta una nuova vulnerabilità (CVE-2023-0468) che può causare un denial of service sul nodo. I cluster GKE, inclusi i cluster Autopilot, sono interessati.

I cluster GKE che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Le seguenti versioni di GKE sono state aggiornate con il codice per correggere questa vulnerabilità. Per motivi di sicurezza, anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire l'upgrade manuale del cluster e dei pool di nodi a una delle seguenti versioni di GKE:

• 1.25.7-gke.1200
• 1.26.2-gke.1200

Una funzionalità recente dei canali di rilascio ti consente di applicare una patch senza dover annullare l'iscrizione a un canale. In questo modo puoi proteggere i tuoi nodi fino a quando la nuova versione non diventa predefinita per il canale specifico della release.

Quali vulnerabilità vengono affrontate?

In CVE-2023-0468 è stato rilevato un difetto di uso dopo svuotamento in io_uring/poll.c in io_poll_check_events nel sottocomponente io_uring del kernel Linux. Questo difetto potrebbe causare un dereferenziamento del puntatore NULL e potenzialmente un arresto anomalo del sistema che porta a un Denial of Service.

Nella versione 5.15 del kernel Linux è stata scoperta una nuova vulnerabilità (CVE-2023-0468) che può causare un denial of service sul nodo.

GKE on VMware utilizza la versione 5.4 del kernel di Linux e non è interessato da questa CVE.

Che cosa devo fare?

• Non è richiesta alcuna azione

Nella versione 5.15 del kernel Linux è stata scoperta una nuova vulnerabilità (CVE-2023-0468) che può causare un denial of service sul nodo.

GKE su AWS non è interessato da questa CVE.

Che cosa devo fare?

• Non è richiesta alcuna azione

Nella versione 5.15 del kernel Linux è stata scoperta una nuova vulnerabilità (CVE-2023-0468) che può causare un denial of service sul nodo.

GKE su Azure non è interessato da questa CVE.

Che cosa devo fare?

• Non è richiesta alcuna azione

Nella versione 5.15 del kernel Linux è stata scoperta una nuova vulnerabilità (CVE-2023-0468) che può causare un denial of service sul nodo.

Google Distributed Cloud Virtual for Bare Metal non è interessato da questa CVE.

Che cosa devo fare?

• Non è richiesta alcuna azione

In Kubernetes sono stati scoperti due nuovi problemi di sicurezza che potrebbero consentire agli utenti di lanciare contenitori che aggirino le restrizioni dei criteri quando utilizzano contenitori effimeri e ImagePolicyWebhook (CVE-2023-2727) o il plug-in di ammissione ServiceAccount (CVE-2023-2728).

GKE non utilizza ImagePolicyWebhook e non è interessato da CVE-2023-2727.

Che cosa devo fare?

Le seguenti versioni di GKE sono state aggiornate con il codice per correggere questa vulnerabilità. Per motivi di sicurezza, anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire l'upgrade manuale del cluster e dei pool di nodi a una delle seguenti versioni di GKE:

• 1.27.2-gke.1200
• 1.26.5-gke.1200
• 1.25.10-gke.1200
• 1.24.14-gke.1200
• 1.23.17-gke.6800

Una funzionalità recente dei canali di rilascio ti consente di applicare una patch senza dover annullare l'iscrizione a un canale. In questo modo puoi proteggere i tuoi nodi finché la nuova versione non diventa predefinita per il tuo canale di rilascio specifico.

Quali vulnerabilità vengono affrontate?

Con la vulnerabilità CVE-2023-2727, gli utenti potrebbero essere in grado di avviare container utilizzando immagini limitate da ImagePolicyWebhook quando utilizzano container temporanei. I cluster Kubernetes sono interessati solo se il plug-in di ammissione ImagePolicyWebhook viene utilizzato insieme a container effimeri. Questa CVE può essere mitigata anche utilizzando webhook di convalida, come Gatekeeper e Kyverno, per applicare le stesse limitazioni.

Nella vulnerabilità CVE-2023-2728, gli utenti potrebbero essere in grado di avviare contenitori che aggirano il criterio dei secret montabili applicato dal plug-in di ammissione del servizio account quando vengono utilizzati contenitori effimeri. Il criterio garantisce che i pod in esecuzione con un account di servizio possano fare riferimento solo ai secret specificati nel campo dei secret dell'account di servizio. I cluster sono interessati da questa vulnerabilità se:

• Viene utilizzato il plug-in di ammissione ServiceAccount.
• L'annotazione kubernetes.io/enforce-mountable-secrets viene utilizzata da un account di servizio. Questa annotazione non viene aggiunta per impostazione predefinita.
• I pod utilizzano container temporanei.

In Kubernetes sono stati scoperti due nuovi problemi di sicurezza che potrebbero consentire agli utenti di lanciare contenitori che aggirino le restrizioni dei criteri quando utilizzano contenitori effimeri e ImagePolicyWebhook (CVE-2023-2727) o il plug-in di ammissione ServiceAccount (CVE-2023-2728) Anthos on VMware non utilizza ImagePolicyWebhook e non è interessato da CVE-2023-2727.

Tutte le versioni di Anthos on VMware sono potenzialmente vulnerabili a CVE-2023-2728.

Che cosa devo fare?

Aggiornamento del 11/08/2023: le seguenti versioni di GKE on VMware sono state aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade dei cluster di amministrazione e utente a una delle seguenti versioni di GKE on VMware:

• 1.13.10
• 1.14.6
• 1.15.3

Quali vulnerabilità vengono affrontate?

Con la vulnerabilità CVE-2023-2727, gli utenti potrebbero essere in grado di avviare container utilizzando immagini limitate da ImagePolicyWebhook quando utilizzano container temporanei. I cluster Kubernetes sono interessati solo se il plug-in di ammissione ImagePolicyWebhook viene utilizzato insieme a container effimeri. Questa CVE può essere mitigata anche utilizzando webhook di convalida, come Gatekeeper e Kyverno, per applicare le stesse limitazioni.

Nella vulnerabilità CVE-2023-2728, gli utenti potrebbero essere in grado di avviare contenitori che aggirano il criterio dei secret montabili applicato dal plug-in di ammissione del servizio account quando vengono utilizzati contenitori effimeri. Il criterio garantisce che i pod in esecuzione con un account di servizio possano fare riferimento solo ai secret specificati nel campo dei secret dell'account di servizio. I cluster sono interessati da questa vulnerabilità se:

• Viene utilizzato il plug-in di ammissione ServiceAccount.
• L'annotazione kubernetes.io/enforce-mountable-secrets viene utilizzata da un account di servizio. Questa annotazione non viene aggiunta per impostazione predefinita.
• I pod utilizzano container temporanei.

In Kubernetes sono stati scoperti due nuovi problemi di sicurezza che potrebbero consentire agli utenti di lanciare container che aggirino le restrizioni dei criteri quando utilizzano container temporanei e ImagePolicyWebhook (CVE-2023-2727) o il plug-in di ammissione ServiceAccount (CVE-2023-2728)
Anthos on AWS non utilizza ImagePolicyWebhook e non è interessato da CVE-2023-2727.
Tutte le versioni di Anthos su AWS sono potenzialmente vulnerabili a CVE-2023-2728.

Che cosa devo fare?

Aggiornamento del 11/08/2023: la seguente versione di GKE su AWS è stata aggiornata con il codice per correggere questa vulnerabilità. Esegui l'upgrade dei nodi alla seguente versione di GKE su AWS:

• 1.15.2

Quali vulnerabilità vengono affrontate?

Con la vulnerabilità CVE-2023-2727, gli utenti potrebbero essere in grado di avviare container utilizzando immagini limitate da ImagePolicyWebhook quando utilizzano container temporanei. I cluster Kubernetes sono interessati solo se il plug-in di ammissione ImagePolicyWebhook viene utilizzato insieme a container effimeri. Questa CVE può essere mitigata anche utilizzando webhook di convalida, come Gatekeeper e Kyverno, per applicare le stesse limitazioni.

Nella vulnerabilità CVE-2023-2728, gli utenti potrebbero essere in grado di avviare contenitori che aggirano il criterio dei secret montabili applicato dal plug-in di ammissione del servizio account quando vengono utilizzati contenitori effimeri. Il criterio garantisce che i pod in esecuzione con un account di servizio possano fare riferimento solo ai secret specificati nel campo dei secret dell'account di servizio. I cluster sono interessati da questa vulnerabilità se:

• Viene utilizzato il plug-in di ammissione ServiceAccount.
• L'annotazione kubernetes.io/enforce-mountable-secrets viene utilizzata da un account di servizio. Questa annotazione non viene aggiunta per impostazione predefinita.
• I pod utilizzano container temporanei.

In Kubernetes sono stati scoperti due nuovi problemi di sicurezza che potrebbero consentire agli utenti di lanciare contenitori che aggirano le restrizioni dei criteri quando utilizzano contenitori effimeri e ImagePolicyWebhook (CVE-2023-2727) o il plug-in di ammissione ServiceAccount (CVE-2023-2728)
Anthos on Azure non utilizza ImagePolicyWebhook e non è interessato da CVE-2023-2727.
Tutte le versioni di Anthos on Azure sono potenzialmente vulnerabili a CVE-2023-2728.

Che cosa devo fare?

Aggiornamento del 11/08/2023: la seguente versione di GKE su Azure è stata aggiornata con il codice per correggere questa vulnerabilità. Esegui l'upgrade dei nodi alla seguente versione di GKE su Azure:

• 1.15.2

Quali vulnerabilità vengono affrontate?

Con la vulnerabilità CVE-2023-2727, gli utenti potrebbero essere in grado di avviare container utilizzando immagini limitate da ImagePolicyWebhook quando utilizzano container temporanei. I cluster Kubernetes sono interessati solo se il plug-in di ammissione ImagePolicyWebhook viene utilizzato insieme a container effimeri. Questa CVE può essere mitigata anche utilizzando webhook di convalida, come Gatekeeper e Kyverno, per applicare le stesse limitazioni.

Nella vulnerabilità CVE-2023-2728, gli utenti potrebbero essere in grado di avviare contenitori che aggirano il criterio dei secret montabili applicato dal plug-in di ammissione del servizio account quando vengono utilizzati contenitori effimeri. Il criterio garantisce che i pod in esecuzione con un account di servizio possano fare riferimento solo ai secret specificati nel campo dei secret dell'account di servizio. I cluster sono interessati da questa vulnerabilità se:

• Viene utilizzato il plug-in di ammissione ServiceAccount.
• L'annotazione kubernetes.io/enforce-mountable-secrets viene utilizzata da un account di servizio. Questa annotazione non viene aggiunta per impostazione predefinita.
• I pod utilizzano container temporanei.

In Kubernetes sono stati scoperti due nuovi problemi di sicurezza che potrebbero consentire agli utenti di lanciare container che aggirino le restrizioni dei criteri quando utilizzano container temporanei e ImagePolicyWebhook (CVE-2023-2727) o il plug-in di ammissione dell'account di servizio (CVE-2023-2728)
Anthos on Bare Metal non utilizza ImagePolicyWebhook e non è interessato da CVE-2023-2727.
Tutte le versioni di Anthos on Bare Metal sono potenzialmente vulnerabili a CVE-2023-2728.

Che cosa devo fare?

Aggiornamento del 11/08/2023: le seguenti versioni di Google Distributed Cloud Virtual for Bare Metal sono state aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade dei nodi a una delle seguenti versioni di Google Distributed Cloud Virtual for Bare Metal:

• 1.13.9
• 1.14.7
• 1.15.3

Quali vulnerabilità vengono affrontate?

Con la vulnerabilità CVE-2023-2727, gli utenti potrebbero essere in grado di avviare container utilizzando immagini limitate da ImagePolicyWebhook quando utilizzano container temporanei. I cluster Kubernetes sono interessati solo se il plug-in di ammissione ImagePolicyWebhook viene utilizzato insieme a container effimeri. Questa CVE può essere mitigata anche utilizzando webhook di convalida, come Gatekeeper e Kyverno, per applicare le stesse limitazioni.

Nella vulnerabilità CVE-2023-2728, gli utenti potrebbero essere in grado di avviare contenitori che aggirano il criterio dei secret montabili applicato dal plug-in di ammissione del servizio account quando vengono utilizzati contenitori effimeri. Il criterio garantisce che i pod in esecuzione con un account di servizio possano fare riferimento solo ai secret specificati nel campo dei secret dell'account di servizio. I cluster sono interessati da questa vulnerabilità se:

• Viene utilizzato il plug-in di ammissione ServiceAccount.
• L'annotazione kubernetes.io/enforce-mountable-secrets viene utilizzata da un account di servizio. Questa annotazione non viene aggiunta per impostazione predefinita.
• I pod utilizzano container temporanei.

È stata scoperta una nuova vulnerabilità (CVE-2023-2878) nel driver secrets-store-csi, in cui un attore con accesso ai log del driver potrebbe osservare i token dell'account di servizio. Questi token potrebbero quindi essere scambiati con fornitori di cloud esterni per accedere ai secret archiviati nelle soluzioni di vault cloud.

GKE non è interessato da questa CVE.

Che cosa devo fare?

Anche se GKE non è interessato, se hai installato il componente secrets-store-csi-driver, devi aggiornare l'installazione con una versione con patch.

Quali vulnerabilità vengono affrontate da questa patch?

La vulnerabilità CVE-2023-2878 è stata scoperta in secrets-store-csi-driver, dove un attore con accesso ai log del driver poteva osservare i token degli account di servizio. Questi token potrebbero quindi essere scambiati con fornitori di cloud esterni per accedere ai secret archiviati nelle soluzioni di vault cloud. I token vengono registrati solo quando TokenRequests è configurato nell'oggetto CSIDriver e il driver è impostato per l'esecuzione a livello di log 2 o superiore tramite il flag -v.

È stata scoperta una nuova vulnerabilità (CVE-2023-2878) nel driver secrets-store-csi, in cui un attore con accesso ai log del driver potrebbe osservare i token dell'account di servizio. Questi token potrebbero quindi essere scambiati con fornitori di cloud esterni per accedere ai secret archiviati nelle soluzioni di vault cloud.

GKE on VMware non è interessato da questa CVE.

Che cosa devo fare?