Todos os boletins de segurança dos seguintes produtos estão descritos nesta página:
- Google Kubernetes Engine (GKE)
- Google Distributed Cloud (somente software) no VMware
- GKE na AWS
- GKE no Azure
- Google Distributed Cloud (somente software) em bare metal
Geralmente, as vulnerabilidades são mantidas sob sigilo e não podem ser divulgadas até que as partes afetadas tenham a oportunidade de solucioná-las. Nesses casos, as notas de lançamento do produto mencionarão "atualizações de segurança" até que a divulgação seja liberada. No momento da liberação, as notas serão atualizadas para indicar a vulnerabilidade solucionada pelo patch.
Quando o GKE emite um boletim de segurança que se relaciona diretamente com
a configuração ou versão do cluster, podemos enviar uma notificação de cluster
SecurityBulletinEvent
com informações sobre a vulnerabilidade e as ações
que você pode realizar, se aplicável. Consulte Notificações de cluster
para mais informações sobre esse assunto.
Para mais informações sobre como o Google gerencia vulnerabilidades de segurança e para o GKE e o GKE Enterprise, consulte Patch de segurança:
As plataformas GKE e GKE Enterprise não usam componentes como ingress-nginx
e o ambiente de execução de contêiner CRI-O e não são afetadas por nenhuma vulnerabilidades nesses componentes. Se você instalar componentes de
outras fontes, consulte as atualizações de segurança e os dispositivos de patch desses
componentes.
Use este feed XML para se inscrever nos boletins de segurança desta página.
GCP-2024-062
Data de publicação: 02/12/2024
Referência:CVE-2024-46800
GKE;
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
Os clusters do GKE Standard foram afetados. Os clusters do Autopilot do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você definir explicitamente o perfil Os clusters que usam o GKE Sandbox não são afetados. O que fazer?As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões de patch a seguir ou mais recente:
É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão com patch se torne o padrão no canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente. |
Alto |
GDC (VMware)
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que devo fazer? |
Pendente |
GKE na AWS
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que devo fazer? |
Pendente |
GKE no Azure
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que devo fazer? |
Pendente |
GDC (bare metal)
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que devo fazer?Nenhuma ação é necessária. O software do GDC para bare metal não é afetado porque não agrupa um sistema operacional na distribuição. |
Nenhum |
GCP-2024-061
Data de publicação: 25/11/2024
Referência: CVE-2024-10220
GKE;
Descrição | Gravidade |
---|---|
Um problema de segurança descoberto em clusters do Kubernetes pode resultar na execução remota de código
usando um volume O que devo fazer?Faça upgrade do cluster do GKE e dos pools de nós para uma versão com patch. As seguintes versões do GKE foram atualizadas para corrigir essa vulnerabilidade:
Por motivos de segurança, mesmo com o upgrade automático de nós ativado, recomendamos fazer upgrade manualmente dos seus clusters e pools de nós para uma versão corrigida do GKE. Os canais de lançamento do GKE permitem que você aplique patches sem precisar cancelar a inscrição ou mudar de canal de lançamento. Isso permite proteger o cluster e os nós antes que a nova versão se torne o padrão no canal de lançamento selecionado. Quais vulnerabilidades são corrigidas por esse patch?O CVE-2024-10220 permite que um invasor crie um pod e associe um volume |
Alta |
GDC (VMware)
Descrição | Gravidade |
---|---|
Um problema de segurança descoberto em clusters do Kubernetes pode resultar na execução remota de código
usando um volume O que devo fazer? |
Alta |
GKE na AWS
Descrição | Gravidade |
---|---|
Um problema de segurança descoberto em clusters do Kubernetes pode resultar na execução remota de código
usando um volume O que devo fazer? |
Alta |
GKE no Azure
Descrição | Gravidade |
---|---|
Um problema de segurança descoberto em clusters do Kubernetes pode resultar na execução remota de código
usando um volume O que devo fazer? |
Alta |
GDC (bare metal)
Descrição | Gravidade |
---|---|
Um problema de segurança descoberto em clusters do Kubernetes pode resultar na execução remota de código
usando um volume O que devo fazer? |
Alta |
GCP-2024-057
Data de publicação: 03/10/2024
Data de atualização: 19/11/2024
Referência:CVE-2024-45016
Atualização de 19/11/2024 : adicionamos versões de patch para pools de nós do Ubuntu no GKE.
Atualização de 15/10/2024 : foram adicionadas versões de patch para o GDC (VMware). A gravidade do GDC (VMware) foi atualizada de "Pendente" para "Médio". A gravidade do GKE foi atualizada de alta para média.
GKE;
Atualização : 19/11/2024
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
Os clusters do GKE Standard foram afetados. Os clusters do Autopilot do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você definir explicitamente o perfil Os clusters que usam o GKE Sandbox não são afetados. O que devo fazer?Atualização de 19/11/2024:as seguintes versões do GKE foram atualizadas com código para corrigir essa vulnerabilidade no Ubuntu. Faça upgrade dos pools de nós do Ubuntu para as seguintes versões ou mais recentes:
As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões de patch a seguir ou mais recente:
É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão com patch se torne o padrão no canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente. |
Médio |
GDC (VMware)
Atualização : 15/10/2024
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que devo fazer?Atualização de 15/10/2024:as seguintes versões do GDC (VMware) foram atualizadas com código para corrigir essa vulnerabilidade. Faça upgrade dos clusters do GDC (VMware) para as seguintes versões ou mais recentes:
|
Médio |
GKE na AWS
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que devo fazer? |
Pendente |
GKE no Azure
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que devo fazer? |
Pendente |
GDC (bare metal)
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que devo fazer?Nenhuma ação é necessária. O software do GDC para bare metal não é afetado porque não agrupa um sistema operacional na distribuição. |
Nenhum |
GCP-2024-056
Publicado em: 27/09/2024
Referência: CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177
GKE
Descrição | Gravidade |
---|---|
Uma cadeia de vulnerabilidades (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177) que poderia resultar na execução remota de código foi descoberta no sistema de impressão CUPS usado por algumas distribuições do Linux. Um invasor pode explorar essa vulnerabilidade se os serviços do CUPS estiverem escutando na porta UDP 631 e puderem se conectar a ela. O GKE não usa o sistema de impressão CUPS e não é afetado. O que fazer?Nenhuma ação necessária |
Nenhum |
GDC (VMware)
Descrição | Gravidade |
---|---|
Uma cadeia de vulnerabilidades (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177) que poderia resultar na execução remota de código foi descoberta no sistema de impressão CUPS usado por algumas distribuições do Linux. Um invasor pode explorar essa vulnerabilidade se os serviços do CUPS estiverem escutando na porta UDP 631 e puderem se conectar a ela. O software GDC para VMware não usa o sistema de impressão CUPS e não é afetado. O que fazer?Nenhuma ação necessária |
Nenhum |
GKE na AWS
Descrição | Gravidade |
---|---|
Uma cadeia de vulnerabilidades (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177) que poderia resultar na execução remota de código foi descoberta no sistema de impressão CUPS usado por algumas distribuições do Linux. Um invasor pode explorar essa vulnerabilidade se os serviços do CUPS estiverem escutando na porta UDP 631 e puderem se conectar a ela. O GKE na AWS não usa o sistema de impressão CUPS e não é afetado. O que fazer?Nenhuma ação necessária |
Nenhum |
GKE no Azure
Descrição | Gravidade |
---|---|
Uma cadeia de vulnerabilidades (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177) que poderia resultar na execução remota de código foi descoberta no sistema de impressão CUPS usado por algumas distribuições do Linux. Um invasor pode explorar essa vulnerabilidade se os serviços do CUPS estiverem escutando na porta UDP 631 e puderem se conectar a ela. O GKE no Azure não usa o sistema de impressão CUPS e não é afetado. O que fazer?Nenhuma ação necessária |
Nenhum |
GDC (bare metal)
Descrição | Gravidade |
---|---|
Uma cadeia de vulnerabilidades (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177) que poderia resultar na execução remota de código foi descoberta no sistema de impressão CUPS usado por algumas distribuições do Linux. Um invasor pode explorar essa vulnerabilidade se os serviços do CUPS estiverem escutando na porta UDP 631 e puderem se conectar a ela. O software do GDC para bare metal não é afetado porque não agrupa um sistema operacional na distribuição. O que fazer?Nenhuma ação necessária |
Nenhum |
GCP-2024-054
Data de publicação: 23/09/2024
Referência: CVE-2024-5321
GKE
Descrição | Gravidade |
---|---|
Foi descoberto um problema de segurança em clusters do Kubernetes com nós do Windows em que
Qualquer ambiente do Kubernetes com nós do Windows é afetado. Execute
Versões afetadas do GKE
O que fazer?O código das seguintes versões do GKE foi atualizado para corrigir essa vulnerabilidade. Por motivos de segurança, mesmo que você tenha ativado o upgrade automático de nós, recomendamos que faça upgrade manualmente dos clusters e pools de nós para uma das seguintes versões do GKE:
É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão com patch se torne o padrão no canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente. Quais vulnerabilidades estão sendo resolvidas?CVE-2024-5321 |
Média |
GDC (VMware)
Descrição | Gravidade |
---|---|
Foi descoberto um problema de segurança em clusters do Kubernetes com nós do Windows em que
Qualquer ambiente do Kubernetes com nós do Windows é afetado. Execute
O que fazer?As versões de patch do software do GDC para VMware estão em andamento. Atualizaremos este boletim com essas informações quando elas estiverem disponíveis. Quais vulnerabilidades estão sendo resolvidas?CVE-2024-5321 |
Média |
GKE na AWS
Descrição | Gravidade |
---|---|
Foi descoberto um problema de segurança em clusters do Kubernetes com nós do Windows em que
Os clusters do GKE na AWS não são compatíveis com nós do Windows e não são afetados. O que fazer?Nenhuma ação necessária
|
Nenhum |
GKE no Azure
Descrição | Gravidade |
---|---|
Foi descoberto um problema de segurança em clusters do Kubernetes com nós do Windows em que
O GKE em clusters do Azure não oferece suporte a nós do Windows e não é afetado. O que fazer?Nenhuma ação necessária |
Nenhum |
GDC (bare metal)
Descrição | Gravidade |
---|---|
Foi descoberto um problema de segurança em clusters do Kubernetes com nós do Windows em que
O software do GDC para clusters bare metal não oferece suporte a nós do Windows e não é afetado. O que fazer?Nenhuma ação necessária |
Nenhum |
GCP-2024-050
Data de publicação: 2024-09-04
Referência: CVE-2024-38063
GKE
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade de execução remota de código (CVE-2024-38063) foi descoberta no Windows. Um invasor pode explorar essa vulnerabilidade remotamente enviando pacotes IPv6 especialmente criados para um host. O que fazer?O GKE não oferece suporte a IPv6 no Windows e não é afetado por essa CVE. Você não precisa fazer nada. |
Nenhum |
GDC (VMware)
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade de execução remota de código (CVE-2024-38063) foi descoberta no Windows. Um invasor pode explorar essa vulnerabilidade remotamente enviando pacotes IPv6 especialmente criados para um host. O que fazer?O software GDC para VMware não oferece suporte a IPv6 no Windows e não é afetado por essa CVE. Você não precisa fazer nada. |
Nenhum |
GKE na AWS
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade de execução remota de código (CVE-2024-38063) foi descoberta no Windows. Um invasor pode explorar essa vulnerabilidade remotamente enviando pacotes IPv6 especialmente criados para um host. O que fazer?O GKE na AWS não é afetado por essa CVE. Você não precisa fazer nada. |
Nenhum |
GKE no Azure
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade de execução remota de código (CVE-2024-38063) foi descoberta no Windows. Um invasor pode explorar essa vulnerabilidade remotamente enviando pacotes IPv6 especialmente criados para um host. O que fazer?O GKE no Azure não é afetado por essa CVE Você não precisa fazer nada. |
Nenhum |
GDC (bare metal)
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade de execução remota de código (CVE-2024-38063) foi descoberta no Windows. Um invasor pode explorar essa vulnerabilidade remotamente enviando pacotes IPv6 especialmente criados para um host. O que fazer?O GDC (bare metal) não é afetado por essa CVE. Você não precisa fazer nada. |
Nenhum |
GCP-2024-049
Data de publicação: 21/08/2024
Data de atualização: 01/11/2024
Referência:CVE-2024-36978
Atualização de 01/11/2024 : adicionamos versões de patch para pools de nós do Ubuntu no GKE.
Atualização de 21/10/2024 : foram adicionadas versões de patch e atualizada a gravidade para o GDC (VMware).
GKE;
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
Os clusters do GKE Standard foram afetados. Os clusters do Autopilot do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você definir explicitamente o perfil Os clusters que usam o GKE Sandbox não são afetados. O que devo fazer?Atualização de 01/11/2024:as seguintes versões do GKE foram atualizadas com código para corrigir essa vulnerabilidade no Ubuntu. Faça upgrade dos pools de nós do Ubuntu para as seguintes versões ou mais recentes:
As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões de patch a seguir ou mais recente:
É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão com patch se torne o padrão no canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente. |
Alto |
GDC (VMware)
Atualização : 21/10/2024
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que devo fazer?Atualização de 21/10/2024:as seguintes versões do software GDC para VMware foram atualizadas com código para corrigir essa vulnerabilidade. Faça upgrade do software do GDC para clusters do VMware para as versões a seguir ou mais recentes:
|
Alta |
GKE na AWS
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que fazer? |
Pendente |
GKE no Azure
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que fazer? |
Pendente |
GDC (bare metal)
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que fazer?Nenhuma ação é necessária. O software do GDC para bare metal não é afetado porque não agrupa um sistema operacional na distribuição. |
Nenhum |
GCP-2024-048
Data de publicação: 20/08/2024
Data de atualização: 30/10/2024
Referência:CVE-2024-41009
Atualização de 30/10/2024 : adicionamos versões de patch para pools de nós do Ubuntu no GKE.
Atualização de 25/10/2024 : foram adicionadas versões de patch e atualizada a gravidade para o GDC (VMware).
GKE;
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
Os clusters do GKE Standard e do Autopilot são afetados. Os clusters que usam o GKE Sandbox não são afetados. O que devo fazer?Atualização de 30/10/2024:as seguintes versões do GKE foram atualizadas com código para corrigir essa vulnerabilidade no Ubuntu. Faça upgrade dos pools de nós do Ubuntu para as seguintes versões ou mais recentes:
As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões de patch a seguir ou mais recente:
É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão com patch se torne o padrão no canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente. |
Alto |
GDC (VMware)
Atualização : 25/10/2024
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que devo fazer?Atualização de 25/10/2024:as seguintes versões do software GDC para VMware foram atualizadas com código para corrigir essa vulnerabilidade. Faça upgrade do software do GDC para clusters do VMware para as versões a seguir ou mais recentes:
|
Alta |
GKE na AWS
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que fazer? |
Pendente |
GKE no Azure
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que fazer? |
Pendente |
GDC (bare metal)
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que fazer?Nenhuma ação é necessária. O software do GDC para bare metal não é afetado porque não agrupa um sistema operacional na distribuição. |
Nenhum |
GCP-2024-047
Data de publicação: 19/08/2024
Data de atualização: 30/10/2024
Referência:CVE-2024-39503
Atualização de 30/10/2024 : adicionamos versões de patch para pools de nós do Ubuntu no GKE.
Atualização de 21/10/2024 : foram adicionadas versões de patch e atualizada a gravidade para o GDC (VMware).
GKE;
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
Os clusters do GKE Standard foram afetados. Os clusters do Autopilot do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você definir explicitamente o perfil Os clusters que usam o GKE Sandbox não são afetados. O que devo fazer?Atualização de 30/10/2024:as seguintes versões do GKE foram atualizadas com código para corrigir essa vulnerabilidade no Ubuntu. Faça upgrade dos pools de nós do Ubuntu para as seguintes versões ou mais recentes:
As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões de patch a seguir ou mais recente:
É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão com patch se torne o padrão no canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente. |
Alto |
GDC (VMware)
Atualização : 21/10/2024
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que devo fazer?Atualização de 21/10/2024:as seguintes versões do software GDC para VMware foram atualizadas com código para corrigir essa vulnerabilidade. Faça upgrade do software do GDC para clusters do VMware para as versões a seguir ou mais recentes:
|
Alta |
GKE na AWS
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que fazer? |
Pendente |
GKE no Azure
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que fazer? |
Pendente |
GDC (bare metal)
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que fazer?Nenhuma ação é necessária. O software do GDC para bare metal não é afetado porque não agrupa um sistema operacional na distribuição. |
Nenhum |
GCP-2024-045
Data de publicação: 17/07/2024
Data de atualização: 19/09/2024
Referência: CVE-2024-26925
Atualização de 19/09/2024: foram adicionadas versões de patch para o GDC (VMware).
Atualização de 21/08/2024: adicionamos versões de patch para pools de nós do Ubuntu no GKE.
GKE
Atualização: 2024-08-21
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
Os clusters do GKE Standard foram afetados. Os clusters do Autopilot do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você definir explicitamente o perfil Os clusters que usam o GKE Sandbox não são afetados. O que fazer?Atualização de 21/08/2024: as seguintes versões do GKE foram atualizadas com código para corrigir essa vulnerabilidade no Ubuntu. Faça upgrade dos pools de nós do Ubuntu para as seguintes versões ou mais recentes:
As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões de patch a seguir ou mais recente:
É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão com patch se torne o padrão no canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente. |
Alto |
GDC (VMware)
Atualização: 2024-09-19
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que fazer?Atualização de 19/09/2024: as seguintes versões do software GDC para VMware foram atualizadas com código para corrigir essa vulnerabilidade. Faça upgrade do software do GDC para clusters do VMware para as versões a seguir ou mais recentes:
|
Pendente |
GKE na AWS
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que fazer? |
Pendente |
GKE no Azure
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que fazer? |
Pendente |
GDC (bare metal)
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que fazer?Nenhuma ação é necessária. O software do GDC para bare metal não é afetado porque não agrupa um sistema operacional na distribuição. |
Nenhum |
GCP-2024-044
Data de publicação: 16/07/2024
Data de atualização: 30/10/2024
Referência:CVE-2024-36972
Atualização de 30/10/2024 : adicionamos versões de patch para pools de nós do Ubuntu no GKE.
Atualização de 21/10/2024 : foram adicionadas versões de patch e atualizada a gravidade para o GDC (VMware).
GKE;
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
Os clusters do GKE Standard e do Autopilot são afetados. Os clusters que usam o GKE Sandbox não são afetados. O que devo fazer?Atualização de 30/10/2024:as seguintes versões do GKE foram atualizadas com código para corrigir essa vulnerabilidade no Ubuntu. Faça upgrade dos pools de nós do Ubuntu para as seguintes versões ou mais recentes:
As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões de patch a seguir ou mais recente:
É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão com patch se torne o padrão no canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente. |
Alto |
GDC (VMware)
Atualização : 21/10/2024
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que devo fazer?Atualização de 21/10/2024:as seguintes versões do software GDC para VMware foram atualizadas com código para corrigir essa vulnerabilidade. Faça upgrade do software do GDC para clusters do VMware para as versões a seguir ou mais recentes:
|
Alta |
GKE na AWS
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que fazer? |
Pendente |
GKE no Azure
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que fazer? |
Pendente |
GDC (bare metal)
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que fazer?Nenhuma ação é necessária. O software do GDC para bare metal não é afetado porque não agrupa um sistema operacional na distribuição. |
Nenhum |
GCP-2024-043
Data de publicação: 16/07/2024
Data de atualização: 02/10/2024
Referência:CVE-2024-26921
Atualização de 02/10/2024 : adicionamos versões de patch para pools de nós do Ubuntu no GKE.
Atualização de 20/09/2024: foram adicionadas versões de patch para o GDC (VMware).
GKE;
Atualização : 02/10/2024
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
Os clusters do GKE Standard foram afetados. Os clusters do Autopilot do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você definir explicitamente o perfil Os clusters que usam o GKE Sandbox não são afetados. O que devo fazer?Atualização de 02/10/2024:as seguintes versões do GKE foram atualizadas com código para corrigir essa vulnerabilidade no Ubuntu. Faça upgrade dos pools de nós do Ubuntu para as seguintes versões ou mais recentes:
As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões de patch a seguir ou mais recente:
É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão com patch se torne o padrão no canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente. |
Alto |
GDC (VMware)
Atualização: 20/09/2024
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que fazer?Atualização de 20/09/2024: as seguintes versões do software GDC para VMware foram atualizadas com código para corrigir essa vulnerabilidade. Faça upgrade do software do GDC para clusters do VMware para as versões a seguir ou mais recentes:
|
Pendente |
GKE na AWS
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que fazer? |
Pendente |
GKE no Azure
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que fazer? |
Pendente |
GDC (bare metal)
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que fazer?Nenhuma ação é necessária. O software do GDC para bare metal não é afetado porque não agrupa um sistema operacional na distribuição. |
Nenhum |
GCP-2024-042
Data de publicação: 15/07/2024
Data de atualização: 18/07/2024
Referência: CVE-2024-26809
Atualização de 18 de julho de 2024 : esclarecemos que os clusters do Autopilot na configuração padrão não são afetados.
GKE
Atualização: 2024-07-18
Descrição | Gravidade |
---|---|
Atualização de 18 de julho de 2024: a versão original deste boletim afirmou incorretamente que os clusters do Autopilot foram afetados. Os clusters do Autopilot na
configuração padrão não são afetados, mas podem ficar vulneráveis se você definir explicitamente
o perfil seccomp Unconfined ou permitir o recurso As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
Os clusters do GKE Standard e do Autopilot são afetados. Os clusters que usam o GKE Sandbox não são afetados. O que fazer?As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões de patch a seguir ou mais recente:
As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:
É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão com patch se torne o padrão no canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente. |
Alto |
GDC (VMware)
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que fazer? |
Pendente |
GKE na AWS
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que fazer? |
Pendente |
GKE no Azure
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que fazer? |
Pendente |
GDC (bare metal)
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que fazer?Nenhuma ação é necessária. O software do GDC para bare metal não é afetado porque não agrupa um sistema operacional na distribuição. |
Nenhum |
GCP-2024-041
Data de publicação: 08/07/2024
Data de atualização: 16/09/2024
Referência:
CVE-2023-52654, CVE-2023-52656
Atualização de 16/09/2024: foram adicionadas versões de patch para o GDC (VMware).
Atualização de 19/07/2024: adicionamos versões de patch para pools de nós do Ubuntu no GKE.
GKE
Atualização: 2024-07-19
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
Os clusters do GKE Standard e do Autopilot são afetados. Os clusters que usam o GKE Sandbox não são afetados. O que fazer?Atualização de 19/07/2024 : as seguintes versões do GKE contêm código para corrigir essa vulnerabilidade no Ubuntu. Faça upgrade dos seus pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:
As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões de patch a seguir ou mais recente:
É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão com patch se torne o padrão no canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente. |
Alto |
GDC (VMware)
Atualização: 2024-09-16
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que fazer?Atualização de 16/09/2024: as seguintes versões do software GDC para VMware foram atualizadas com código para corrigir essa vulnerabilidade. Faça upgrade do software do GDC para clusters do VMware para as versões a seguir ou mais recentes:
|
Pendente |
GKE na AWS
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que fazer? |
Pendente |
GKE no Azure
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que fazer? |
Pendente |
GDC (bare metal)
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que fazer?Nenhuma ação é necessária. O software do GDC para bare metal não é afetado porque não agrupa um sistema operacional na distribuição. |
Nenhum |
GCP-2024-040
Data de publicação: 01/07/2024
Data de atualização: 11/07/2024
Referência: CVE-2024-6387
Atualização de 11/07/2024: adição de versões de patch para o software da GDC para VMware, GKE na AWS e GKE no Azure.
Atualização de 03/07/2024: adição de versões de patch para o GKE.
Atualizações de 02/07/2024:
- Foi esclarecido que os clusters do Autopilot são afetados e vão exigir ação do usuário.
- Adição de avaliações de impacto e etapas de mitigação para GDC (VMware), GKE na AWS e GKE no Azure.
- Correção do boletim de segurança do GDC (bare metal) para esclarecer que o GDC (bare metal) não é diretamente afetado e que os clientes precisam verificar com os fornecedores do SO se há patches.
GKE
Atualização: 03/07/2024
Descrição | Gravidade |
---|---|
Atualização de 3 de julho de 2024: o lançamento está em andamento e as novas versões do patch vão ser disponibilizadas em todas as zonas até o dia 3 de julho de 2024, às 17h no Horário de Verão do Pacífico dos EUA e do Canadá (UTC-7). Para receber uma notificação assim que um patch estiver disponível para seu cluster específico, use notificações de cluster. Atualização de 2024-07-02: essa vulnerabilidade afeta clusters do modo Autopilot e do modo padrão. Cada seção a seguir informa os modos a que ela se aplica. Recentemente, uma vulnerabilidade de execução remota de código, a CVE-2024-6387, foi descoberta no OpenSSH. Ela explora uma disputa que pode ser usada para acessar um shell remoto, o que dá aos invasores acesso raiz aos nós do GKE. No momento da publicação, acreditamos que a exploração da vulnerabilidade seja difícil e leve várias horas por máquina a ser invadida. Não estamos cientes de tentativas de invasão. Todas as versões com suporte do Container-Optimized OS e imagens do Ubuntu no GKE executam versões do OpenSSH que estão vulneráveis a esse problema. Clusters do GKE com endereços IP de nó público e SSH expostos à Internet precisam ser tratados com a maior prioridade de mitigação. O plano de controle do GKE não é vulnerável a esse problema. O que fazer?Atualização de 03/07/2024: versões de patch do GKEUm lançamento está em andamento e as novas versões do patch vão ser disponibilizadas em todas as zonas até o dia 3 de julho de 2024, às 17h no Horário de Verão do Pacífico dos EUA e do Canadá (UTC-7). Os clusters e nós com upgrade automático ativado vão começar a fazer upgrade à medida que a semana avança, mas, devido à gravidade da vulnerabilidade, recomendamos fazer o upgrade manualmente conforme abaixo para receber os patches o mais rápido possível. Nos clusters do Autopilot e do Standard, faça upgrade do plano de controle para uma versão corrigida. Além disso, para clusters no modo padrão, faça upgrade dos pools de nós para uma versão com patch. Os clusters do Autopilot vão começar a atualizar os nós para corresponder à versão do plano de controle o mais rápido possível. As versões corrigidas do GKE estão disponíveis para todas as versões com suporte para minimizar as mudanças necessárias para aplicar o patch. O número de versão de cada nova versão é um incremento no dígito final do número de versão de uma versão correspondente. Por exemplo, se você estiver na versão 1.27.14-gke.1100000, faça upgrade para 1.27.14-gke.1100002 para receber a correção com a menor mudança possível. As seguintes versões do GKE com patch estão disponíveis:
Para verificar se um patch está disponível na zona ou região do cluster, execute o seguinte comando: gcloud container get-server-config --location= Substitua Atualização de 02/07/2024: os clusters do modo Autopilot e do modo padrão precisam ser atualizados assim que as versões de patch estiverem disponíveis. Uma versão do GKE com patch que inclui o OpenSSH atualizado será disponibilizada o mais rápido possível. Este boletim será atualizado quando os patches estiverem disponíveis. Para receber uma notificação do Pub/Sub quando houver um patch para seu canal, ative as notificações do cluster. Recomendamos seguir estas etapas para verificar a exposição do cluster e aplicar as mitigações descritas, conforme necessário. Determinar se os nós têm endereços IP públicosAtualização de 2 de julho de 2024: esta seção se aplica aos clusters do Autopilot e do Standard. Se um cluster for criado com
gcloud container clusters describe $CLUSTER_NAME \ --format="value(privateClusterConfig.enablePrivateNodes)" Se o valor de retorno for "True", todos os nós serão particulares para esse cluster, e a vulnerabilidade será mitigada. Se o valor estiver vazio ou for falso, continue aplicando uma das mitigações nas seções a seguir. Para encontrar todos os clusters criados originalmente com nós públicos, use esta consulta do Inventário de recursos do Cloud no projeto ou na organização: SELECT resource.data.name AS cluster_name, resource.parent AS project_name, resource.data.privateClusterConfig.enablePrivateNodes FROM `container_googleapis_com_Cluster` WHERE resource.data.privateClusterConfig.enablePrivateNodes is null OR resource.data.privateClusterConfig.enablePrivateNodes = false Não permitir SSH para os nós do clusterAtualização de 2 de julho de 2024: esta seção se aplica aos clusters do Autopilot e do Standard. A rede padrão é preenchida previamente com uma regra de firewall
Se você criou outras regras de firewall que permitem o SSH pelo TCP na porta 22, desative-as ou limite os IPs de origem a redes confiáveis. Verifique se não é mais possível acessar os nós do cluster usando SSH pela Internet. Essa configuração de firewall mitiga a vulnerabilidade. Converter pools de nós públicos em particularesAtualização de 2 de julho de 2024: para clusters do Autopilot criados originalmente como clusters públicos, é possível colocar suas cargas de trabalho em nós particulares usando nodeSelectors. No entanto, os nós do Autopilot que executam cargas de trabalho do sistema em clusters originalmente criados como públicos ainda serão nós públicos e precisarão ser protegidos usando as mudanças de firewall descritas na seção anterior. Para proteger melhor os clusters criados originalmente com nós públicos, recomendamos primeiro desativar o SSH pelo firewall, conforme descrito. Se não for possível proibir o SSH pelas regras de firewall, converta os pools de nós públicos em clusters padrão do GKE em privados seguindo estas orientações para isolar os pools de nós. Mudar a configuração do SSHDAtualização de 2024-07-02: esta seção se aplica apenas a clusters padrão. As cargas de trabalho do Autopilot não podem modificar a configuração do nó. Se nenhuma dessas mitigações puder ser aplicada, também publicamos um daemonset
que define o SSHD |
Crítico |
GDC (VMware)
Atualização: 11/07/2024
Descrição | Gravidade |
---|---|
Atualização de 11/07/2024: as seguintes versões do software GDC para VMware foram atualizadas com código para corrigir essa vulnerabilidade. Faça upgrade da estação de trabalho do administrador, dos clusters de administrador e de usuário (incluindo o pool de nós) para uma dessas versões ou outra mais recente. Para instruções, consulte Fazer upgrade de um cluster ou pool de nós.
A atualização de 02/07/2024 deste boletim afirmou incorretamente que todas as versões com suporte de imagens do Ubuntu no software GDC para VMware executam versões do OpenSSH que estão vulneráveis a esse problema. As imagens do Ubuntu na versão 1.16 do software GDC voltado para clusters da VMware executam versões do OpenSSH que não são vulneráveis ao problema. As imagens nas versões 1.28 e 1.29 podem apresentar vulnerabilidades. As imagens do Container-Optimized OS em todas as versões com suporte do GDC para VMware estão vulneráveis ao problema. Atualização de 02/07/2024 : todas as versões com suporte do Container-Optimized OS e imagens do Ubuntu no software GDC para VMware executam versões do OpenSSH que estão vulneráveis a esse problema. O software GDC para clusters do VMware com endereços IP de nó públicos e SSH expostos à Internet precisa ser tratado com a maior prioridade de mitigação. Recentemente, uma vulnerabilidade de execução remota de código, a CVE-2024-6387, foi descoberta no OpenSSH. Ela explora uma disputa que pode ser usada para acessar um shell remoto, o que dá aos invasores acesso raiz aos nós do GKE. No momento da publicação, acreditamos que a exploração da vulnerabilidade seja difícil e leve várias horas por máquina a ser invadida. Não estamos cientes de tentativas de invasão. O que fazer?Atualização de 02/07/2024: um software GDC corrigido para a versão do VMware que inclui o OpenSSH atualizado será disponibilizado o mais rápido possível. Este boletim será atualizado quando eles estiverem disponíveis. Recomendamos que você aplique as mitigações abaixo conforme necessário. Não permitir SSH para os nós do clusterÉ possível mudar a configuração da rede de infraestrutura para impedir a conectividade SSH de fontes não confiáveis, como a Internet pública. Mudar a configuração do sshdSe não for possível aplicar a mitigação anterior, publicamos um DaemonSet
que define o |
Crítico |
GKE na AWS
Atualização: 11/07/2024
Descrição | Gravidade |
---|---|
Atualização de 11/07/2024: as seguintes versões do GKE na AWS foram atualizadas com código para corrigir essa vulnerabilidade:
Faça upgrade do GKE no plano de controle da AWS e dos pools de nós para uma destas versões com patch ou mais recentes. Para instruções, consulte Fazer upgrade da versão do cluster da AWS e Atualizar um pool de nós. Atualização de 02/07/2024: todas as versões com suporte de imagens do Ubuntu no GKE na AWS executam versões do OpenSSH que estão vulneráveis a esse problema. O GKE em clusters da AWS com endereços IP de nó público e SSH expostos à Internet precisa ser tratado com a maior prioridade de mitigação. Recentemente, uma vulnerabilidade de execução remota de código, a CVE-2024-6387, foi descoberta no OpenSSH. Ela explora uma disputa que pode ser usada para acessar um shell remoto, o que dá aos invasores acesso raiz aos nós do GKE. No momento da publicação, acreditamos que a exploração da vulnerabilidade seja difícil e leve várias horas por máquina a ser invadida. Não estamos cientes de tentativas de invasão. O que fazer?Atualização de 02/07/2024: uma versão corrigida do GKE na AWS que inclui o OpenSSH atualizado será disponibilizada o mais rápido possível. Este boletim será atualizado quando os patches estiverem disponíveis. Recomendamos seguir as etapas a seguir para verificar a exposição do cluster e aplicar as mitigações descritas, conforme necessário. Determinar se os nós têm endereços IP públicosO GKE na AWS não provisiona nenhuma máquina com endereços IP públicos ou com regras de firewall que permitam o tráfego para a porta 22 por padrão. No entanto, dependendo da configuração da sub-rede, as máquinas podem receber automaticamente um endereço IP público durante o provisionamento. Para verificar se os nós estão provisionados com endereços IP públicos, confira a configuração da sub-rede associada ao recurso do conjunto de nós da AWS. Não permitir SSH para os nós do clusterEmbora o GKE na AWS não permita o tráfego na porta 22 em nenhum nó por padrão, os clientes podem anexar outros grupos de segurança aos pools de nós, ativando o tráfego SSH de entrada. Recomendamos que você remova ou reduza o escopo das regras correspondentes dos grupos de segurança fornecidos. Converter pools de nós públicos em particularesPara proteger melhor os clusters com nós públicos, recomendamos primeiro desativar o SSH pelo seu grupo de segurança, conforme descrito na seção anterior. Se não for possível desativar o SSH nas regras do grupo de segurança, converta os pools de nós públicos em privados desativando a opção de atribuir automaticamente IPs públicos a máquinas em uma sub-rede e provisionando o pool de nós novamente. |
Crítico |
GKE no Azure
Atualização: 11/07/2024
Descrição | Gravidade |
---|---|
Atualização de 11/07/2024: as seguintes versões do GKE no Azure foram atualizadas com código para corrigir essa vulnerabilidade:
Faça upgrade do GKE no plano de controle do Azure e dos pools de nós para uma destas versões com patch ou mais recentes. Para instruções, consulte Fazer upgrade da versão do cluster do Azure e Atualizar um pool de nós. Atualização de 02/07/2024: todas as versões com suporte de imagens do Ubuntu no GKE no Azure executam versões do OpenSSH que estão vulneráveis a esse problema. O GKE em clusters do Azure com endereços IP de nó público e SSH expostos à Internet precisa ser tratado com a maior prioridade de mitigação. Recentemente, uma vulnerabilidade de execução remota de código, a CVE-2024-6387, foi descoberta no OpenSSH. Ela explora uma disputa que pode ser usada para acessar um shell remoto, o que dá aos invasores acesso raiz aos nós do GKE. No momento da publicação, acreditamos que a exploração da vulnerabilidade seja difícil e leve várias horas por máquina a ser invadida. Não estamos cientes de tentativas de invasão. O que fazer?Atualização de 02/07/202: uma versão corrigida do GKE no Azure que inclui um OpenSSH atualizado será disponibilizada o mais rápido possível. Este boletim será atualizado quando os patches estiverem disponíveis. Recomendamos seguir as etapas a seguir para verificar a exposição do cluster e aplicar as mitigações descritas, conforme necessário. Determinar se os nós têm endereços IP públicosO GKE no Azure não provisiona nenhuma máquina com endereços IP públicos ou com regras de firewall que permitam o tráfego para a porta 22 por padrão. Para revisar a configuração do Azure e verificar se há endereços IP públicos configurados no cluster do GKE no Azure, execute o seguinte comando: az network public-ip list -g Não permitir SSH para os nós do clusterEmbora o GKE no Azure não permita o tráfego na porta 22 em nenhum nó por padrão, os clientes podem atualizar as regras do NetworkSecurityGroup para pools de nós, ativando o tráfego SSH de entrada da Internet pública. Recomendamos que você analise os grupos de segurança de rede (NSGs) associados aos seus clusters do Kubernetes. Se houver uma regra de NSG que permita o tráfego de entrada irrestrito na porta 22 (SSH), faça uma das seguintes ações:
Converter pools de nós públicos em particularesPara proteger melhor os clusters com nós públicos, recomendamos primeiro desativar o SSH pelo seu grupo de segurança, conforme descrito na seção anterior. Se não for possível desativar o SSH usando as regras do grupo de segurança, converta os pools de nós públicos em particulares removendo os endereços IP públicos associados às VMs. Para remover um endereço IP público de uma VM e substituí-lo por uma configuração de endereço IP particular, consulte Desassociar um endereço IP público de uma VM do Azure. Impacto: todas as conexões atuais que usam o endereço IP público serão interrompidas. Verifique se você tem métodos de acesso alternativos, como uma VPN ou o Azure Bastion. |
Crítico |
GDC (bare metal)
Atualização: 2024-07-02
Descrição | Gravidade |
---|---|
Atualização de 02/07/2024: a versão original deste boletim do software do GDC para bare metal afirmava incorretamente que as versões de patch estavam em andamento. O software GDC para bare metal não é afetado diretamente porque não gerencia o daemon ou a configuração SSH do sistema operacional. Portanto, as versões de patch são de inteira responsabilidade do provedor do sistema operacional, conforme descrito na seção O que devo fazer?. Recentemente, uma vulnerabilidade de execução remota de código, a CVE-2024-6387, foi descoberta no OpenSSH. Ela explora uma disputa que pode ser usada para acessar um shell remoto, o que dá aos invasores acesso raiz aos nós do GKE. No momento da publicação, acreditamos que a exploração da vulnerabilidade seja difícil e leve várias horas por máquina a ser invadida. Não estamos cientes de tentativas de invasão. O que fazer?Atualização de 2024-07-02: entre em contato com seu provedor de SO para receber um patch para os sistemas operacionais em uso com o software do GDC para bare metal. Até que você aplique o patch do fornecedor do SO, verifique se as máquinas acessíveis publicamente não
permitem conexões SSH da Internet. Se isso não for possível, uma alternativa é
definir o grep "^LoginGraceTime" /etc/ssh/sshd_config LoginGraceTime 0 Essa mudança de configuração pode aumentar o risco de ataques de negação de serviço e causar problemas com o acesso SSH legítimo. Texto original de 2024-07-01 (consulte a correção na atualização anterior de 2024-07-02): |
Crítico |
GCP-2024-039
Data de publicação: 2024-06-28
Data de atualização: 2024-09-25
Referência:
CVE-2024-26923
Atualização de 25/09/2024: foram adicionadas versões de patch para o GDC (VMware).
Atualização de 20/08/2024: adicionamos versões de patch para pools de nós do Ubuntu no GKE.
GKE
Atualização: 2024-08-20
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
Os clusters do GKE Standard e do Autopilot são afetados. Os clusters que usam o GKE Sandbox não são afetados. O que fazer?Atualização de 20/08/2024: as seguintes versões do GKE foram atualizadas com código para corrigir essa vulnerabilidade no Ubuntu. Faça upgrade dos pools de nós do Ubuntu para as seguintes versões ou mais recentes:
As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões de patch a seguir ou mais recente:
É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão com patch se torne o padrão no canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente. |
Alto |
GDC (VMware)
Atualização: 2024-09-25
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que fazer?Atualização de 25/09/2024: as seguintes versões do software GDC para VMware foram atualizadas com código para corrigir essa vulnerabilidade. Faça upgrade do software do GDC para clusters do VMware para as versões a seguir ou mais recentes:
|
Pendente |
GKE na AWS
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que fazer? |
Pendente |
GKE no Azure
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que fazer? |
Pendente |
GDC (bare metal)
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que fazer?Nenhuma ação é necessária. O software do GDC para bare metal não é afetado porque não agrupa um sistema operacional na distribuição. |
Nenhum |
GCP-2024-038
Data de publicação: 26/06/2024
Data de atualização: 17/09/2024
Referência: CVE-2024-26924
Atualização de 17/09/2024: foram adicionadas versões de patch para o GDC (VMware).
Atualização de 06/08/2024: adicionamos versões de patch para pools de nós do Ubuntu no GKE.
GKE
Atualização: 2024-08-06
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
Os clusters do GKE Standard foram afetados. Os clusters do Autopilot do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você definir explicitamente o perfil Os clusters que usam o GKE Sandbox não são afetados. O que fazer?Atualização de 06/08/2024: adicionamos versões de patch para pools de nós do Ubuntu no GKE. O código das seguintes versões do GKE foi atualizado para corrigir essa vulnerabilidade no Ubuntu. Faça upgrade dos pools de nós do Ubuntu para as seguintes versões ou mais recentes:
As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões de patch a seguir ou mais recente:
É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão com patch se torne o padrão no canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente. |
Alto |
GDC (VMware)
Atualização: 2024-09-17
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que fazer?Atualização de 17/09/2024: as seguintes versões do software GDC para VMware foram atualizadas com código para corrigir essa vulnerabilidade. Faça upgrade do software do GDC para clusters do VMware para as versões a seguir ou mais recentes:
|
Pendente |
GKE na AWS
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que fazer? |
Pendente |
GKE no Azure
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que fazer? |
Pendente |
GDC (bare metal)
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que fazer?Nenhuma ação é necessária. O software do GDC para bare metal não é afetado porque não agrupa um sistema operacional na distribuição. |
Nenhum |
GCP-2024-036
Data de publicação: 2024-06-18
Referência:
CVE-2024-26584
GKE
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS:
Os clusters do GKE Standard e do Autopilot são afetados. Os clusters que usam o GKE Sandbox não são afetados. O que fazer?As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões de patch a seguir ou mais recente:
É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão com patch se torne o padrão no canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente. |
Alto |
GKE no VMware
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS:
O que fazer? |
Pendente |
GKE na AWS
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS:
O que fazer? |
Pendente |
GKE no Azure
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS:
O que fazer? |
Pendente |
GKE em bare metal
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS:
O que fazer?Nenhuma ação é necessária. O GKE em bare metal não é afetado porque não agrupa um sistema operacional na distribuição. |
Nenhum |
GCP-2024-035
Data de publicação: 12/06/2024
Data de atualização: 18/07/2024
Referência: CVE-2024-26584
Atualização de 18/07/2024: adicionamos versões de patch para pools de nós do Ubuntu no GKE e adicionamos uma versão de patch para a versão 1.27 em pools de nós do Container-Optimized OS.
GKE
Atualização: 2024-07-18
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
Os clusters do GKE Standard e do Autopilot são afetados. Os clusters que usam o GKE Sandbox não são afetados. O que fazer?Atualização de 18/07/2024: as seguintes versões do GKE foram atualizadas com código para corrigir essa vulnerabilidade no Ubuntu. Faça upgrade dos seus pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:
A versão a seguir do GKE foi atualizada com o código para corrigir essa vulnerabilidade no Container-Optimized OS. Faça upgrade dos seus pools de nós do Container-Optimized OS para a versão de patch a seguir ou mais recente:
As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões de patch a seguir ou mais recente:
As versões secundárias a seguir são afetadas, mas não têm uma versão de patch disponível. Este boletim será atualizado quando as versões de patch estiverem disponíveis:
É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão com patch se torne o padrão no canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente. |
Alto |
GKE no VMware
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que fazer? |
Pendente |
GKE na AWS
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que fazer? |
Pendente |
GKE no Azure
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que fazer? |
Pendente |
GKE em bare metal
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que fazer?Nenhuma ação é necessária. O GKE em bare metal não é afetado porque não agrupa um sistema operacional na distribuição. |
Nenhum |
GCP-2024-034
Data de publicação: 11/06/2024
Data de atualização: 10/07/2024
Referência: CVE-2024-26583
Atualização de 10/07/2024: foram adicionadas versões de patch para nós do Container-Optimized OS executando a versão secundária 1.26 e 1.27 e versões de patch para nós do Ubuntu.
GKE
Atualização: 2024-07-10
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS:
Os clusters do GKE Standard e do Autopilot são afetados. Os clusters que usam o GKE Sandbox não são afetados. O que fazer?Atualização de 10/07/2024: as seguintes versões do GKE foram atualizadas com código para corrigir essa vulnerabilidade no Ubuntu. Faça upgrade dos pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:
Para as versões secundárias 1.26 e 1.27, faça upgrade dos pools de nós do Container-Optimized OS para uma das versões de patch a seguir ou mais recentes:
As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões de patch a seguir ou mais recente:
É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão com patch se torne o padrão no canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente. |
Alto |
GKE no VMware
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS:
O que fazer? |
Pendente |
GKE na AWS
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS:
O que fazer? |
Pendente |
GKE no Azure
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS:
O que fazer? |
Pendente |
GKE em bare metal
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS:
O que fazer?Nenhuma ação é necessária. O GKE em bare metal não é afetado porque não agrupa um sistema operacional na distribuição. |
Nenhum |
GCP-2024-033
Data de publicação: 10/06/2024
Data de atualização: 26/09/2024
Referência: CVE-2022-23222
Atualização de 26/09/2024: foram adicionadas versões de patch para o GDC (VMware).
GKE
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS:
Os clusters do GKE Standard e do Autopilot são afetados. Os clusters que usam o GKE Sandbox não são afetados. O que fazer?As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões de patch a seguir ou mais recente:
É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão com patch se torne o padrão no canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente. |
Alto |
GKE no VMware
Atualização: 2024-09-26
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS:
O que fazer?Atualização de 26/09/2024: as seguintes versões do software GDC para VMware foram atualizadas com código para corrigir essa vulnerabilidade. Faça upgrade do software do GDC para clusters do VMware para as versões a seguir ou mais recentes:
|
Pendente |
GKE na AWS
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS:
O que fazer? |
Pendente |
GKE no Azure
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS:
O que fazer? |
Pendente |
GKE em bare metal
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS:
O que fazer?Nenhuma ação é necessária. O GKE em bare metal não é afetado porque não agrupa um sistema operacional na distribuição. |
Nenhum |
GCP-2024-031
Data de publicação: 24/05/2024
Referência: CVE-2024-4323
GKE
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2024-4323) foi descoberta no Fluent Bit que pode resultar na execução remota de código. As versões 2.0.7 a 3.0.3 do Fluent Bit foram afetadas. O GKE não usa uma versão vulnerável do Fluent Bit e não é afetado. O que fazer?O GKE não é afetado por essa vulnerabilidade. Nenhuma ação é necessária. |
Nenhum |
GKE no VMware
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2024-4323) foi descoberta no Fluent Bit que pode resultar na execução remota de código. As versões 2.0.7 a 3.0.3 do Fluent Bit foram afetadas. O GKE no VMware não usa uma versão vulnerável do Fluent Bit e não é afetado. O que fazer?O GKE no VMware não é afetado por essa vulnerabilidade. Nenhuma ação é necessária. |
Nenhum |
GKE na AWS
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2024-4323) foi descoberta no Fluent Bit que pode resultar na execução remota de código. As versões 2.0.7 a 3.0.3 do Fluent Bit foram afetadas. O GKE na AWS não usa uma versão vulnerável do Fluent Bit e não é afetado. O que fazer?O GKE na AWS não é afetado por essa vulnerabilidade. Nenhuma ação é necessária. |
Nenhum |
GKE no Azure
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2024-4323) foi descoberta no Fluent Bit que pode resultar na execução remota de código. As versões 2.0.7 a 3.0.3 do Fluent Bit foram afetadas. O GKE no Azure não usa uma versão vulnerável do Fluent Bit e não é afetado. O que fazer?O GKE no Azure não é afetado por essa vulnerabilidade. Nenhuma ação é necessária. |
Nenhum |
GKE em bare metal
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2024-4323) foi descoberta no Fluent Bit que pode resultar na execução remota de código. As versões 2.0.7 a 3.0.3 do Fluent Bit foram afetadas. O GKE em Bare Metal não usa uma versão vulnerável do Fluent Bit e não é afetado. O que fazer?O GKE em bare metal não é afetado por essa vulnerabilidade. Nenhuma ação é necessária. |
Nenhum |
GCP-2024-030
Data de publicação: 15/05/2024
Data de atualização: 18/07/2024
Referência: CVE-2023-52620
Atualização de 18/07/2024: adicionamos versões de patch para pools de nós do Ubuntu no GKE.
GKE
Atualização: 2024-07-18
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
Os clusters do GKE Standard foram afetados. Os clusters do Autopilot do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você definir explicitamente o perfil Os clusters que usam o GKE Sandbox não são afetados. O que fazer?Atualização de 18/07/2024: as seguintes versões do GKE foram atualizadas com código para corrigir essa vulnerabilidade no Ubuntu. Faça upgrade dos seus pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:
As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões de patch a seguir ou mais recente:
É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão com patch se torne o padrão no canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente. |
Alto |
GKE no VMware
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que fazer? |
Pendente |
GKE na AWS
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que fazer? |
Pendente |
GKE no Azure
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que fazer? |
Pendente |
GKE em bare metal
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que fazer?Nenhuma ação é necessária. O GKE em bare metal não é afetado porque não agrupa um sistema operacional na distribuição. |
Nenhum |
GCP-2024-029
Data de publicação: 14/05/2024
Data de atualização: 19/08/2024
Referência: CVE-2024-26642
Atualização de 19/08/2024: adição de versões de patch para nós do Ubuntu.
GKE
Atualização: 2024-08-19
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
Os clusters do GKE Standard foram afetados. Os clusters do Autopilot do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você definir explicitamente o perfil Os clusters que usam o GKE Sandbox não são afetados. O que fazer?Atualização de 19/08/2024: as seguintes versões do GKE foram atualizadas com código para corrigir essa vulnerabilidade no Ubuntu. Faça upgrade dos pools de nós do Ubuntu para as seguintes versões ou mais recentes:
As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões de patch a seguir ou mais recente:
É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão com patch se torne o padrão no canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente. |
Alto |
GKE no VMware
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que fazer? |
Pendente |
GKE na AWS
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que fazer? |
Pendente |
GKE no Azure
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que fazer? |
Pendente |
GKE em bare metal
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que fazer?Nenhuma ação é necessária. O GKE em bare metal não é afetado porque não agrupa um sistema operacional na distribuição. |
Nenhum |
GCP-2024-028
Data de publicação: 13/05/2024
Data de atualização: 22/05/2024
Referência: CVE-2024-26581
Atualização de 22/05/2024: adição de versões de patch para nós do Ubuntu.
GKE
Atualização: 2024-05-22
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
Os clusters do GKE Standard foram afetados. Os clusters do Autopilot do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você definir explicitamente o perfil Os clusters que usam o GKE Sandbox não são afetados. O que fazer?Atualização de 22/05/2024: as seguintes versões do GKE foram atualizadas com código para corrigir essa vulnerabilidade no Ubuntu. Faça upgrade dos pools de nós do Ubuntu para as seguintes versões ou mais recentes:
As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões de patch a seguir ou mais recente:
As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:
É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão com patch se torne o padrão no canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente. |
Alto |
GKE no VMware
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que fazer? |
Pendente |
GKE na AWS
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que fazer? |
Pendente |
GKE no Azure
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que fazer? |
Pendente |
GKE em bare metal
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que fazer?Nenhuma ação é necessária. O GKE em bare metal não é afetado porque não agrupa um sistema operacional na distribuição. |
Nenhum |
GCP-2024-027
Data de publicação: 08/05/2024
Data de atualização: 25/09/2024
Referência: CVE-2024-26808
Atualização de 25/09/2024: foram adicionadas versões de patch para o GDC (VMware).
Atualização de 15/05/2024: adicionamos versões de patch para os pools de nós do GKE Ubuntu.
Atualização de 09/05/2024: corrigimos a gravidade de Média para Alta e esclarecemos que os clusters do GKE Autopilot na configuração padrão não são afetados.
GKE
Atualização: 2024-05-09, 2024-05-15
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
Atualização de 09/05/2024: a gravidade foi corrigida de média para alta.
O boletim original afirmava que os clusters do Autopilot
foram afetados, mas isso estava incorreto. Os clusters do Autopilot do GKE
na configuração padrão não são afetados, mas podem ficar vulneráveis se você
definir explicitamente o perfil Unconfined do seccomp ou
permitir Os clusters do GKE Standard e do Autopilot são afetados. Os clusters que usam o GKE Sandbox não são afetados. O que fazer?Atualização de 15/05/2024: as seguintes versões do GKE foram atualizadas com código para corrigir essa vulnerabilidade no Ubuntu. Faça upgrade dos pools de nós do Ubuntu para as seguintes versões ou mais recentes:
As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões de patch a seguir ou mais recente:
É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão com patch se torne o padrão no canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente. |
Alta |
GKE no VMware
Atualização: 2024-09-25
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que fazer?Atualização de 25/09/2024: as seguintes versões do software GDC para VMware foram atualizadas com código para corrigir essa vulnerabilidade. Faça upgrade do software do GDC para clusters do VMware para as versões a seguir ou mais recentes:
|
Pendente |
GKE na AWS
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que fazer? |
Pendente |
GKE no Azure
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que fazer? |
Pendente |
GKE em bare metal
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que fazer?Nenhuma ação é necessária. O GKE em bare metal não é afetado porque não agrupa um sistema operacional na distribuição. |
Nenhum |
GCP-2024-026
Data de publicação: 07/05/2024
Data de atualização: 06/08/2024
Referência: CVE-2024-26643
Atualização de 06/08/2024: adicionamos versões de patch para pools de nós do Ubuntu no GKE.
Atualização de 09/05/2024: a gravidade foi corrigida de média para alta.
GKE
Atualização: 2024-08-06
Descrição | Gravidade |
---|---|
Atualização de 09/05/2024: a gravidade foi corrigida de média para alta. As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
Os clusters do GKE Standard foram afetados. Os clusters do Autopilot do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você definir explicitamente o perfil Os clusters que usam o GKE Sandbox não são afetados. O que fazer?Atualização de 06/08/2024: adicionamos versões de patch para pools de nós do Ubuntu no GKE. O código das seguintes versões do GKE foi atualizado para corrigir essa vulnerabilidade no Ubuntu. Faça upgrade dos pools de nós do Ubuntu para as seguintes versões ou mais recentes:
As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões de patch a seguir ou mais recente:
É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão com patch se torne o padrão no canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente. |
Alta |
GKE no VMware
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que fazer? |
Pendente |
GKE na AWS
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que fazer? |
Pendente |
GKE no Azure
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que fazer? |
Pendente |
GKE em bare metal
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que fazer?Nenhuma ação é necessária. O GKE em bare metal não é afetado porque não agrupa um sistema operacional na distribuição. |
Nenhum |
GCP-2024-024
Data de publicação: 25/04/2024
Data de atualização: 18/07/2024
Referência: CVE-2024-26585
Atualização de 18/07/2024: adicionamos versões de patch para pools de nós do Ubuntu no GKE.
GKE
Atualização: 2024-07-18
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
Os clusters do GKE Standard e do Autopilot são afetados. Os clusters que usam o GKE Sandbox não são afetados. O que fazer?Atualização de 18/07/2024: as seguintes versões do GKE foram atualizadas com código para corrigir essa vulnerabilidade no Ubuntu. Faça upgrade dos seus pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:
As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões de patch a seguir ou mais recente:
É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão com patch se torne o padrão no canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente. |
Alto |
GKE no VMware
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que fazer? |
Pendente |
GKE na AWS
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que fazer? |
Pendente |
GKE no Azure
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que fazer? |
Pendente |
GKE em bare metal
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que fazer?Nenhuma ação é necessária. O GKE em bare metal não é afetado porque não agrupa um sistema operacional na distribuição. |
Nenhum |
GCP-2024-022
Data de publicação: 03/04/2024
Data de atualização: 17/07/2024
Referência: CVE-2023-45288
Atualização de 17/07/2024: adicionamos versões de patch para o GKE no VMware.
Atualização de 09/07/2024: adição de versões de patch para o GKE em Bare Metal.
Atualização de 24/04/2024: adição de versões de patch para o GKE.
GKE
Atualização: 2024-04-24
Descrição | Gravidade |
---|---|
Uma vulnerabilidade de negação de serviço (DoS) (CVE-2023-45288) foi descoberta recentemente em várias implementações do protocolo HTTP/2, incluindo o servidor HTTP golang usado pelo Kubernetes. A vulnerabilidade pode levar a um DoS do plano de controle do Google Kubernetes Engine (GKE). Os clusters do GKE com redes autorizadas configuradas são protegidos pela limitação do acesso à rede, mas todos os outros clusters são afetados. Os clusters do GKE Autopilot e Standard foram afetados. O que fazer?Atualização de 24/04/2024: adicionamos versões de patch para o GKE. As seguintes versões do GKE incluem os patches de segurança do Golang para corrigir essa vulnerabilidade. Faça upgrade dos clusters do GKE para as seguintes versões ou mais recentes:
O projeto Golang lançou patches em 3 de abril de 2024. Este boletim será atualizado quando as versões do GKE que incorporam esses patches estiverem disponíveis. Para solicitar um patch em um cronograma acelerado, entre em contato com o suporte. Para mitigar, configure as redes autorizadas para acesso ao plano de controle:É possível mitigar os clusters contra esse tipo de ataque configurando as redes autorizadas. Siga as instruções para ativar as redes autorizadas em um cluster. Para saber mais sobre como as redes autorizadas controlam o acesso ao plano de controle, consulte Como as redes autorizadas funcionam. Para conferir o acesso à rede autorizado padrão, consulte a tabela na seção Acesso aos endpoints do plano de controle. Quais vulnerabilidades são corrigidas por esse patch?A vulnerabilidade (CVE-2023-45288) permite que um invasor execute um ataque DoS no plano de controle do Kubernetes. |
Alto |
GKE no VMware
Atualização: 2024-07-17
Descrição | Gravidade |
---|---|
Uma vulnerabilidade de negação de serviço (DoS) (CVE-2023-45288) foi descoberta recentemente em várias implementações do protocolo HTTP/2, incluindo o servidor HTTP golang usado pelo Kubernetes. A vulnerabilidade pode levar a um DoS do plano de controle do Google Kubernetes Engine (GKE). O que fazer?Atualização de 17/07/2024: adicionamos versões de patch para o GKE no VMware. As seguintes versões do GKE no VMware incluem um código para corrigir essa vulnerabilidade. Faça upgrade do GKE em clusters do VMware para as seguintes versões ou mais recentes:
O projeto Golang lançou patches em 3 de abril de 2024. Este boletim será atualizado quando o GKE nas versões do VMware que incorporam esses patches estiverem disponíveis. Para solicitar um patch em um cronograma acelerado, entre em contato com o suporte. Quais vulnerabilidades são corrigidas por esse patch?A vulnerabilidade (CVE-2023-45288) permite que um invasor execute um ataque DoS no plano de controle do Kubernetes. |
Alto |
GKE na AWS
Descrição | Gravidade |
---|---|
Uma vulnerabilidade de negação de serviço (DoS) (CVE-2023-45288) foi descoberta recentemente em várias implementações do protocolo HTTP/2, incluindo o servidor HTTP golang usado pelo Kubernetes. A vulnerabilidade pode levar a um DoS do plano de controle do Google Kubernetes Engine (GKE). O que fazer?O projeto Golang lançou patches em 3 de abril de 2024. Este boletim será atualizado quando as versões do GKE na AWS que incorporam esses patches estiverem disponíveis. Para solicitar um patch em um cronograma acelerado, entre em contato com o suporte. Quais vulnerabilidades são corrigidas por esse patch?A vulnerabilidade (CVE-2023-45288) permite que um invasor execute um ataque DoS no plano de controle do Kubernetes. |
Alto |
GKE no Azure
Descrição | Gravidade |
---|---|
Uma vulnerabilidade de negação de serviço (DoS) (CVE-2023-45288) foi descoberta recentemente em várias implementações do protocolo HTTP/2, incluindo o servidor HTTP golang usado pelo Kubernetes. A vulnerabilidade pode levar a um DoS do plano de controle do Google Kubernetes Engine (GKE). O que fazer?O projeto Golang lançou patches em 3 de abril de 2024. Este boletim será atualizado quando as versões do GKE no Azure que incorporam esses patches estiverem disponíveis. Para solicitar um patch em um cronograma acelerado, entre em contato com o suporte. Quais vulnerabilidades são corrigidas por esse patch?A vulnerabilidade (CVE-2023-45288) permite que um invasor execute um ataque DoS no plano de controle do Kubernetes. |
Alto |
GKE em bare metal
Atualização: 2024-07-09
Descrição | Gravidade |
---|---|
Uma vulnerabilidade de negação de serviço (DoS) (CVE-2023-45288) foi descoberta recentemente em várias implementações do protocolo HTTP/2, incluindo o servidor HTTP golang usado pelo Kubernetes. A vulnerabilidade pode levar a um DoS do plano de controle do Google Kubernetes Engine (GKE). O que fazer?Atualização de 09/07/2024: adicionamos versões de patch para o GKE em Bare Metal. As seguintes versões do GKE em bare metal incluem código para corrigir essa vulnerabilidade. Faça upgrade dos clusters do GKE em Bare Metal para as seguintes versões ou mais recentes:
O projeto Golang lançou patches em 3 de abril de 2024. Este boletim será atualizado quando as versões do GKE em Bare Metal que incorporam esses patches estiverem disponíveis. Para solicitar um patch em um cronograma acelerado, entre em contato com o suporte. Quais vulnerabilidades são corrigidas por esse patch?A vulnerabilidade (CVE-2023-45288) permite que um invasor execute um ataque DoS no plano de controle do Kubernetes. |
Alto |
GCP-2024-018
Data de publicação: 12/03/2024
Data de atualização: 06/05/2024
Referência: CVE-2024-1085
Atualização de 06/05/2024: adicionamos versões de patch para os pools de nós do GKE Ubuntu e removemos um elemento de linha horizontal extra da atualização de 04/04/2024.
Atualização de 4 de abril de 2024: corrigimos as versões mínimas para os pools de nós do Container-Optimized OS do GKE.
GKE
Atualização: 2024-05-06
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
Os clusters do GKE Standard foram afetados. Os clusters do Autopilot do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você definir explicitamente o perfil Os clusters que usam o GKE Sandbox não são afetados. O que fazer?Atualização de 06/05/2024: as seguintes versões do GKE foram atualizadas com código para corrigir essa vulnerabilidade no Ubuntu. Faça upgrade dos pools de nós do Ubuntu para as seguintes versões ou mais recentes:
Atualização de 4 de abril de 2024: corrigimos as versões mínimas para os pools de nós do Container-Optimized OS do GKE. As versões mínimas do GKE que contêm as correções do Container-Optimized OS listadas anteriormente estavam incorretas. O código das seguintes versões do GKE foi atualizado para corrigir essa vulnerabilidade no Container-Optimized OS. Faça upgrade dos seus pools de nós do Container-Optimized OS para as versões a seguir ou mais recentes:
As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões de patch a seguir ou mais recente:
É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão com patch se torne o padrão no canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente. |
Alto |
GKE no VMware
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que fazer? |
Pendente |
GKE na AWS
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que fazer? |
Pendente |
GKE no Azure
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que fazer? |
Pendente |
GKE em bare metal
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que fazer?Nenhuma ação é necessária. O GKE em bare metal não é afetado porque não agrupa um sistema operacional na distribuição. |
Nenhum |
GCP-2024-017
Data de publicação: 06/03/2024
Referência: CVE-2023-3611
GKE
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
Os clusters do GKE Standard foram afetados. Os clusters do Autopilot do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você definir explicitamente o perfil Os clusters que usam o GKE Sandbox não são afetados. O que fazer?As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões de patch a seguir ou mais recente:
As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:
É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão com patch se torne o padrão no canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente. |
Alto |
GKE no VMware
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que fazer? |
Pendente |
GKE na AWS
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que fazer? |
Pendente |
GKE no Azure
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que fazer? |
Pendente |
GKE em bare metal
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que fazer?Nenhuma ação é necessária. O GKE em bare metal não é afetado porque não agrupa um sistema operacional na distribuição. |
Nenhum |
GCP-2024-014
Data de publicação: 26/02/2024
Referência: CVE-2023-3776
GKE
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
Os clusters do GKE Standard foram afetados. Os clusters do Autopilot do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você definir explicitamente o perfil Os clusters que usam o GKE Sandbox não são afetados. O que fazer?As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões de patch a seguir ou mais recente:
As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:
É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão com patch se torne o padrão no canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente. |
Alto |
GKE no VMware
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que fazer? |
Pendente |
GKE na AWS
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que fazer? |
Pendente |
GKE no Azure
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que fazer? |
Pendente |
GKE em bare metal
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que fazer?Nenhuma ação é necessária. O GKE em bare metal não é afetado porque não agrupa um sistema operacional na distribuição. |
Nenhum |
GCP-2024-013
Data de publicação: 23/02/2024
Referência: CVE-2023-3610
GKE
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
Os clusters do GKE Standard foram afetados. Os clusters do Autopilot do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você definir explicitamente o perfil Os clusters que usam o GKE Sandbox não são afetados. O que fazer?As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões de patch a seguir ou mais recente:
As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:
É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão com patch se torne o padrão no canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente. |
Alto |
GKE no VMware
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que fazer? |
Pendente |
GKE na AWS
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que fazer? |
Pendente |
GKE no Azure
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que fazer? |
Pendente |
GKE em bare metal
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que fazer?Nenhuma ação é necessária. O GKE em bare metal não é afetado porque não agrupa um sistema operacional na distribuição. |
Nenhum |
GCP-2024-012
Data de publicação: 20/02/2024
Referência: CVE-2024-0193
GKE
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
Os clusters do GKE Standard foram afetados. Os clusters do Autopilot do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você definir explicitamente o perfil Os clusters que usam o GKE Sandbox não são afetados. O que fazer?As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões de patch a seguir ou mais recente:
As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:
É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão com patch se torne o padrão no canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente. |
Alto |
GKE no VMware
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que fazer? |
Pendente |
GKE na AWS
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que fazer? |
Pendente |
GKE no Azure
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que fazer? |
Pendente |
GKE em bare metal
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que fazer?Nenhuma ação é necessária. O GKE em bare metal não é afetado porque não agrupa um sistema operacional na distribuição. |
Nenhum |
GCP-2024-011
Data de publicação: 15/02/2024
Referência: CVE-2023-6932
GKE
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
Os clusters do GKE Standard foram afetados. Os clusters do Autopilot do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você definir explicitamente o perfil Os clusters que usam o GKE Sandbox não são afetados. O que fazer?As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões de patch a seguir ou mais recente:
As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:
É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão com patch se torne o padrão no canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente. |
Alto |
GKE no VMware
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que fazer? |
Pendente |
GKE na AWS
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que fazer? |
Pendente |
GKE no Azure
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que fazer? |
Pendente |
GKE em bare metal
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
O que fazer?Nenhuma ação é necessária. O GKE em bare metal não é afetado porque não agrupa um sistema operacional na distribuição. |
Nenhum |
GCP-2024-010
Data de publicação: 14/02/2024
Data de atualização: 17/04/2024
Referência: CVE-2023-6931
Atualização de 17/04/2024: adicionamos versões de patch para o GKE no VMware.
GKE
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.
Os clusters do GKE Standard foram afetados. Os clusters do Autopilot do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você definir explicitamente o perfil Os clusters que usam o GKE Sandbox não são afetados. O que fazer?As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões de patch a seguir ou mais recente:
As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:
É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão com patch se torne o padrão no canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente. |
Alto |
GKE no VMware
Atuaalização: 2024-04-17
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.
O que fazer?Atualização de 17/04/2024: adicionamos versões de patch para o GKE no VMware. O código das seguintes versões do GKE na VMware foi atualizado para corrigir essa vulnerabilidade. Faça upgrade dos clusters para as seguintes versões ou mais recentes:
|
Pendente |
GKE na AWS
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.
O que fazer? |
Pendente |
GKE no Azure
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.
O que fazer? |
Pendente |
GKE em bare metal
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.
O que fazer?Nenhuma ação é necessária. O GKE em bare metal não é afetado porque não agrupa um sistema operacional na distribuição. |
Nenhum |
GCP-2024-008
Data de publicação: 12/02/2024
Referência: CVE-2023-5528
GKE
Descrição | Gravidade |
---|---|
O CVE-2023-5528 permite que um invasor crie pods e volumes persistentes em nós do Windows de uma maneira que permita a elevação de privilégios de administrador nesses nós. Os clusters do GKE Standard que executam nós do Windows Server e usam um plug-in de armazenamento na árvore podem ser afetados. Os clusters do GKE Autopilot e os pools de nós do GKE que usam o GKE Sandbox não são afetados, porque não oferecem suporte a nós do Windows Server. O que fazer?Determine se há nós do Windows Server em uso nos clusters: kubectl get nodes -l kubernetes.io/os=windows Verifique os registros de auditoria para encontrar evidências de exploração. Os registros de auditoria do Kubernetes podem ser auditados para determinar se essa vulnerabilidade está sendo explorada. Eventos de criação de volume persistente com campos de caminho local contendo caracteres especiais são uma forte indicação de exploração. Atualize o cluster do GKE e os pools de nós para uma versão com patch. As seguintes versões do GKE foram atualizadas para corrigir essa vulnerabilidade. Mesmo que você tenha ativado o upgrade automático de nós, recomendamos que você faça upgrade manualmente dos clusters e dos pools de nós do Windows Server para uma das seguintes versões do GKE ou mais recentes:
É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão com patch se torne o padrão no canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente. Quais vulnerabilidades são corrigidas por esse patch?O CVE-2023-5528 permite que um invasor crie pods e volumes persistentes em nós do Windows de uma maneira que permita a elevação de privilégios de administrador nesses nós. |
Alto |
GKE no VMware
Descrição | Gravidade |
---|---|
O CVE-2023-5528 permite que um invasor crie pods e volumes persistentes em nós do Windows de uma maneira que permita a elevação de privilégios de administrador nesses nós. O GKE em clusters do VMware que executam nós do Windows Server e usam um plug-in de armazenamento na árvore podem ser afetados. O que fazer?Determine se há nós do Windows Server em uso nos clusters: kubectl get nodes -l kubernetes.io/os=windows Verifique os registros de auditoria para encontrar evidências de exploração. Os registros de auditoria do Kubernetes podem ser auditados para determinar se essa vulnerabilidade está sendo explorada. Eventos de criação de volume persistente com campos de caminho local contendo caracteres especiais são uma forte indicação de exploração. Atualize o cluster do GKE no VMware e os pools de nós para uma versão com patch. As seguintes versões do GKE na VMware foram atualizadas para corrigir essa vulnerabilidade. Mesmo que você tenha ativado o upgrade automático de nós, recomendamos que você faça upgrade manualmente dos clusters e dos pools de nós do Windows Server para uma das seguintes versões do GKE no VMware ou mais recentes:
Quais vulnerabilidades são corrigidas por esse patch?O CVE-2023-5528 permite que um invasor crie pods e volumes persistentes em nós do Windows de uma maneira que permita a elevação de privilégios de administrador nesses nós. |
Alto |
GKE na AWS
Descrição | Gravidade |
---|---|
O CVE-2023-5528 permite que um invasor crie pods e volumes persistentes em nós do Windows de uma maneira que permita a elevação de privilégios de administrador nesses nós. Os clusters do GKE na AWS não são afetados. O que fazer?Nenhuma ação necessária |
Nenhum |
GKE no Azure
Descrição | Gravidade |
---|---|
O CVE-2023-5528 permite que um invasor crie pods e volumes persistentes em nós do Windows de uma maneira que permita a elevação de privilégios de administrador nesses nós. O GKE nos clusters do Azure não é afetado. O que fazer?Nenhuma ação necessária |
Nenhum |
GKE em bare metal
Descrição | Gravidade |
---|---|
O CVE-2023-5528 permite que um invasor crie pods e volumes persistentes em nós do Windows de uma maneira que permita a elevação de privilégios de administrador nesses nós. Os clusters do GKE em bare metal não são afetados. O que fazer?Nenhuma ação necessária |
Nenhum |
GCP-2024-005
Data de publicação: 31/01/2024
Data de atualização: 06/05/2024
Referência: CVE-2024-21626
Atualização de 06/05/2024: adição de versões de patch para o GKE na AWS e no Azure.
Atualização de 02/04/2024: adição de versões de patch para o GKE em Bare Metal
Atualização de 06/03/2024: adição de versões de patch para o GKE no VMware
Atualização de 28/02/2024: adição de versões de patch para o Ubuntu
Atualização de 15/02/2024: esclarecimento de que as versões de patch 1.25 e 1.26 do Ubuntu na
atualização de 14/02/2024 podem causar nós inativos.
Atualização de 14/02/2024: adição de versões de patch para o Ubuntu
Atualização de 06/02/2024: adição de versões de patch para o Container-Optimized OS.
GKE
Atualização: 2024-03-06
Descrição | Gravidade |
---|---|
Uma vulnerabilidade de segurança, CVE-2024-21626, foi descoberta no Os clusters do GKE Standard e do Autopilot são afetados. Os clusters que usam o GKE Sandbox não são afetados. O que fazer?Atualização de 28/02/2024: as seguintes versões do GKE foram atualizadas com código para corrigir essa vulnerabilidade no Ubuntu. Faça upgrade dos pools de nós do Ubuntu para uma das versões de patch a seguir ou mais recente:
Atualização de 15/02/2024: devido a um problema, as seguintes versões de patch do Ubuntu da atualização de 14/02/2024 podem fazer com que seus nós entrem em um estado inadequado. Não faça upgrade para as versões de patch a seguir. Este boletim será atualizado quando versões de patch mais recentes do Ubuntu estiverem disponíveis para 1.25 e 1.26.
Se você já fez upgrade para uma dessas versões de patch, faça downgrade manual do pool de nós para uma versão anterior no canal de lançamento. Atualização de 14/02/2024: as seguintes versões do GKE foram atualizadas com código para corrigir essa vulnerabilidade no Ubuntu. Faça upgrade dos pools de nós do Ubuntu para uma das versões de patch a seguir ou mais recente:
Atualização de 06/02/2024: as versões do GKE a seguir foram atualizadas com o código para corrigir essa vulnerabilidade no Container-Optimized OS. Por motivos de segurança, mesmo que você tenha ativado o upgrade automático de nós, recomendamos que faça upgrade manualmente do cluster e dos pools de nós do Container-Optimized OS para uma das seguintes versões do GKE ou mais recentes:
É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão com patch se torne o padrão no canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente. Estamos atualizando o GKE com código para corrigir essa vulnerabilidade. Este boletim será atualizado quando as versões de patch estiverem disponíveis. Quais vulnerabilidades são corrigidas por esse patch?
|
Alto |
GKE no VMware
Atualização: 2024-03-06
Descrição | Gravidade |
---|---|
Uma vulnerabilidade de segurança, CVE-2024-21626, foi descoberta no O que fazer?Atualização de 06/03/2024: as seguintes versões do GKE no VMware foram atualizadas com código para corrigir essa vulnerabilidade. Faça upgrade dos clusters para as seguintes versões ou mais recentes:
As versões de patch e uma avaliação de gravidade para o GKE no VMware estão em andamento. Vamos atualizar este boletim com essas informações quando elas estiverem disponíveis. Quais vulnerabilidades são corrigidas por esse patch?
|
Alto |
GKE na AWS
Atualização: 2024-05-06
Descrição | Gravidade |
---|---|
Uma vulnerabilidade de segurança, CVE-2024-21626, foi descoberta no O que fazer?Atualização de 06/05/2024: as versões do GKE na AWS a seguir foram atualizadas com patches para CVE-2024-21626:
As versões de patch e uma avaliação de gravidade para o GKE na AWS estão em andamento. Vamos atualizar este boletim com essas informações quando elas estiverem disponíveis. Quais vulnerabilidades são corrigidas por esse patch?
|
Alto |
GKE no Azure
Atualização: 2024-05-06
Descrição | Gravidade |
---|---|
Uma vulnerabilidade de segurança, CVE-2024-21626, foi descoberta no O que fazer?Atualização de 06/05/2024: as versões do GKE no Azure a seguir foram atualizadas com patches para CVE-2024-21626:
As versões de patch e uma avaliação de gravidade para o GKE no Azure estão em andamento. Vamos atualizar este boletim com essas informações quando elas estiverem disponíveis. Quais vulnerabilidades são corrigidas por esse patch?
|
Alto |
GKE em bare metal
Atualização: 2024-04-02
Descrição | Gravidade |
---|---|
Uma vulnerabilidade de segurança, CVE-2024-21626, foi descoberta no O que fazer?Atualização de 02/04/2024: as seguintes versões do GKE em bare metal foram atualizadas com código para corrigir essa vulnerabilidade. Faça upgrade dos clusters para as seguintes versões ou mais recentes:
As versões de patch e uma avaliação de gravidade para o GKE em Bare Metal estão em andamento. Vamos atualizar este boletim com essas informações quando elas estiverem disponíveis. Quais vulnerabilidades são corrigidas por esse patch?
|
Alto |
GCP-2024-004
Data de publicação: 24/01/2024
Data de atualização: 07/02/2024
Referência: CVE-2023-6817
Atualização de 07/02/2024: adição de versões de patch para o Ubuntu.
GKE
Atualização: 2024-02-07
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.
Os clusters do GKE Standard foram afetados. Os clusters do Autopilot do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você definir explicitamente o perfil Os clusters que usam o GKE Sandbox não são afetados. O que fazer?Atualização de 7 de fevereiro de 2024: as versões secundárias a seguir foram afetadas. Faça upgrade dos seus pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:
As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões de patch a seguir ou mais recente:
É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão com patch se torne o padrão no canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente. |
Alto |
GKE no VMware
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.
O que fazer? |
Pendente |
GKE na AWS
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.
O que fazer? |
Pendente |
GKE no Azure
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.
O que fazer? |
Pendente |
GKE em bare metal
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.
O que fazer?Nenhuma ação é necessária. O GKE em bare metal não é afetado porque não agrupa um sistema operacional na distribuição. |
Nenhum |
GCP-2024-003
Publicado: 19/01/2024
Atualizado: 26/01/2024
Atualização de 26/01/2024: esclarecimento sobre o número de clusters afetados e as ações que
tomamos para ajudar a reduzir o impacto.
GKE
Atualização: 2024-01-26
Descrição | Gravidade |
---|---|
Atualização de 26 de janeiro de 2024: foi publicada uma pesquisa de segurança que encontrou um pequeno número de clusters do GKE com uma configuração incorreta criada pelo cliente envolvendo o grupo Identificamos vários clusters em que os usuários concederam privilégios do Kubernetes
ao grupo Recentemente, um pesquisador de segurança relatou descobertas de clusters com configurações incorretas de RBAC pelo nosso programa de denúncia de vulnerabilidades. O Google busca tornar a autenticação no Google Cloud e no GKE o mais simples e seguro possível, sem adicionar etapas de configuração complexas.
A autenticação apenas nos informa quem é o usuário, já a autorização é a etapa em que o acesso é determinado. Portanto, o grupo Considerando isso, seguimos várias etapas para reduzir o risco de erros de autorização com os usuários e grupos integrados do Kubernetes, incluindo Para proteger os usuários contra erros de autorização acidentais com esses usuários/grupos do sistema, tomamos as seguintes medidas:
Os clusters que aplicam restrições de redes
autorizadas têm uma primeira camada de defesa: eles não podem ser atacados
diretamente pela Internet. No entanto, ainda recomendamos remover essas vinculações para
defesa em profundidade e evitar erros nos controles de rede. Estamos investigando maneiras de proteger ainda mais contra a configuração incorreta da RBAC do usuário com esses usuários/grupos do sistema por meio de prevenção e detecção. O que fazer?Para evitar vinculações novas de As vinculações atuais precisam ser analisadas de acordo com esta orientação. |
Média |
GKE no VMware
Não há atualizações no momento.
GKE na AWS
Não há atualizações no momento.
GKE no Azure
Não há atualizações no momento.
GKE em bare metal
Não há atualizações no momento.
GCP-2024-002
Data de publicação: 17/01/2024
Data de atualização: 20/02/2024
Referência: CVE-2023-6111
Atualização de 20/02/2024: adicionamos versões de patch para o GKE no VMware.
GKE
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS.
Os clusters do GKE Standard foram afetados. Os clusters do Autopilot do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você definir explicitamente o perfil Os clusters que usam o GKE Sandbox não são afetados. O que fazer?As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões de patch a seguir ou mais recente:
É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão com patch se torne o padrão no canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente. |
Alto |
GKE no VMware
Atualização: 2024-02-20
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS.
O que fazer?Atualização de 20/02/2024: as versões do GKE no VMware a seguir foram atualizadas com código para corrigir essa vulnerabilidade. Faça upgrade dos clusters para as seguintes versões ou mais recentes: 1.28.100 |
Pendente |
GKE na AWS
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS.
O que fazer? |
Pendente |
GKE no Azure
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS.
O que fazer? |
Pendente |
GKE em bare metal
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS.
O que fazer?Nenhuma ação é necessária. O GKE em bare metal não é afetado porque não agrupa um sistema operacional na distribuição. |
Nenhum |
GCP-2023-051
Data de publicação: 2023-12-28
Referência:
CVE-2023-3609
GKE
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.
Os clusters do GKE Standard foram afetados. Os clusters do Autopilot do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você definir explicitamente o perfil Os clusters que usam o GKE Sandbox não são afetados. O que fazer?As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões de patch a seguir ou mais recente:
As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:
É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão com patch se torne o padrão no canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente. |
Alto |
GKE no VMware
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.
O que fazer? |
Pendente |
GKE na AWS
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.
O que fazer? |
Pendente |
GKE no Azure
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.
O que fazer? |
Pendente |
GKE em bare metal
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.
O que fazer?Nenhuma ação é necessária. O GKE em bare metal não é afetado porque não agrupa um sistema operacional na distribuição. |
Nenhum |
GCP-2023-050
Data de publicação: 27/12/2023
Referência: CVE-2023-3389
GKE
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.
Os clusters do GKE Standard e do Autopilot são afetados. Os clusters que usam o GKE Sandbox não são afetados. O que fazer?As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões de patch a seguir ou mais recente:
As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:
É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão com patch se torne o padrão no canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente. |
Alto |
GKE no VMware
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.
O que fazer? |
Pendente |
GKE na AWS
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.
O que fazer? |
Pendente |
GKE no Azure
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.
O que fazer? |
Pendente |
GKE em bare metal
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.
O que fazer?Nenhuma ação é necessária. O GKE em bare metal não é afetado porque não agrupa um sistema operacional na distribuição. |
Nenhum |
GCP-2023-049
Data de publicação: 20/12/2023
Referência: CVE-2023-3090
GKE
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.
Os clusters do GKE Standard foram afetados. Os clusters do Autopilot
do GKE na configuração padrão não são afetados, mas podem ficar
vulneráveis se você definir explicitamente o perfil Os clusters que usam o GKE Sandbox não são afetados. O que fazer?As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões de patch a seguir ou mais recente:
As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:
É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão com patch se torne o padrão no canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente. |
Alto |
GKE no VMware
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.
O que fazer? |
Pendente |
GKE na AWS
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.
O que fazer? |
Pendente |
GKE no Azure
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.
O que fazer? |
Pendente |
GKE em bare metal
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.
O que fazer?Nenhuma ação é necessária. O GKE em bare metal não é afetado porque não agrupa um sistema operacional na distribuição. |
Nenhum |
GCP-2023-048
Data de publicação: 15/12/2023
Data de atualização: 21/12/2023
Referência: CVE-2023-3390
Atualização de 21/12/2023 : esclarecemos que os clusters do GKE Autopilot na configuração padrão não são afetados.
GKE
Atualização: 21/12/2023
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.
Atualização de 21/12/2023: o boletim original afirmava que os clusters do Autopilot
foram afetados, mas isso estava incorreto. Os clusters do Autopilot do GKE
na configuração padrão não são afetados, mas podem ficar vulneráveis se você
definir explicitamente o perfil Unconfined do seccomp ou
permitir Os clusters do GKE Standard e do Autopilot são afetados. Os clusters que usam o GKE Sandbox não são afetados. O que fazer?As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões de patch a seguir ou mais recente:
As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:
É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão com patch se torne o padrão no canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente. |
Alto |
GKE no VMware
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.
O que fazer? |
Pendente |
GKE na AWS
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.
O que fazer? |
Pendente |
GKE no Azure
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.
O que fazer? |
Pendente |
GKE em bare metal
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.
O que fazer?Nenhuma ação é necessária. O GKE em bare metal não é afetado porque não agrupa um sistema operacional na distribuição. |
Nenhum |
GCP-2023-047
Data da publicação: 2023-12-14
GKE
Descrição | Gravidade |
---|---|
Um invasor que comprometeu o contêiner de registro do Fluent Bit pode combinar esse acesso com os privilégios elevados exigidos pelo Cloud Service Mesh (em clusters que o ativaram) para aumentar os privilégios no cluster. Os problemas com o Fluent Bit e o Cloud Service Mesh foram mitigados, e as correções já estão disponíveis. Essas vulnerabilidades não podem ser exploradas por conta própria no GKE e exigem um comprometimento inicial. Não temos conhecimento de casos de exploração dessas vulnerabilidades. Esses problemas foram informados pelo nosso Programa de recompensa para descobertas de vulnerabilidades. O que fazer?O código das seguintes versões do GKE foi atualizado para corrigir essas vulnerabilidades no Fluent Bit e para usuários do Cloud Service Mesh gerenciado. Por motivos de segurança, mesmo que você tenha ativado o upgrade automático de nós, recomendamos que faça upgrade manualmente dos clusters e pools de nós para uma das seguintes versões do GKE ou mais recentes:
Um recurso recente dos canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição. Isso permite proteger os nós até que a nova versão se torne o padrão para o canal de lançamento específico Se o cluster usar o Cloud Service Mesh no cluster, será necessário fazer upgrade manualmente para uma das seguintes versões (notas da versão):
Quais vulnerabilidades são corrigidas por esse patch? As vulnerabilidades abordadas neste boletim exigem que um invasor comprometa o contêiner de registro do Fluent Bit. Não temos conhecimento de nenhuma vulnerabilidade no Fluent Bit que leve a essa condição de pré-requisito para escalonamento de privilégios. Aplicamos patches a essas vulnerabilidades como medidas de proteção para evitar uma possível cadeia de ataques completa no futuro. O GKE usa o Fluent Bit para processar registros de cargas de trabalho executadas em clusters. O Fluent Bit no GKE também foi configurado para coletar registros de cargas de trabalho do Cloud Run. O mount de volume configurado para coletar esses registros deu ao Fluent Bit acesso a tokens da conta de serviço do Kubernetes para outros pods em execução no nó. O pesquisador usou esse acesso para descobrir um token de conta de serviço com privilégios altos para clusters com o Cloud Service Mesh ativado. O Cloud Service Mesh exigia privilégios altos para fazer as modificações necessárias na configuração de um cluster, incluindo a capacidade de criar e excluir pods. O pesquisador usou o token da conta de serviço do Kubernetes privilegiado do Cloud Service Mesh para aumentar os privilégios comprometidos iniciais criando um novo pod com privilégios de administrador do cluster. Removemos o acesso do Fluent Bit aos tokens da conta de serviço e reformulamos a funcionalidade do Cloud Service Mesh para remover privilégios em excesso. |
Média |
GKE no VMware
Descrição | Gravidade |
---|---|
Apenas o GKE em clusters do VMware que usam o Cloud Service Mesh são afetados. O que fazer?Se o cluster usar o Cloud Service Mesh no cluster, será necessário fazer upgrade manualmente para uma das seguintes versões (notas da versão):
Quais vulnerabilidades são corrigidas por esse patch?As vulnerabilidades abordadas neste boletim exigem que um invasor primeiro se comprometa ou sai de um contêiner ou tenha acesso raiz a um nó de cluster. Não sabemos de nenhuma vulnerabilidade que leve a essa condição de pré-requisito para escalonamento de privilégios. Aplicamos patches a essas vulnerabilidades como medidas de proteção para evitar uma possível cadeia de ataques completa no futuro. O Cloud Service Mesh exigia privilégios altos para fazer as modificações necessárias na configuração de um cluster, incluindo a capacidade de criar e excluir pods. O pesquisador usou o token da conta de serviço do Kubernetes privilegiado do Cloud Service Mesh para aumentar os privilégios comprometidos iniciais criando um novo pod com privilégios de administrador do cluster. Reformulamos a funcionalidade do Cloud Service Mesh para remover privilégios excessivos. |
Média |
GKE na AWS
Descrição | Gravidade |
---|---|
Somente os clusters do GKE na AWS que usam o Cloud Service Mesh são afetados. O que fazer?Se o cluster usar o Cloud Service Mesh no cluster, será necessário fazer upgrade manualmente para uma das seguintes versões (notas da versão):
Quais vulnerabilidades são corrigidas por esse patch?As vulnerabilidades abordadas neste boletim exigem que um invasor primeiro se comprometa ou sai de um contêiner ou tenha acesso raiz a um nó de cluster. Não sabemos de nenhuma vulnerabilidade que leve a essa condição de pré-requisito para escalonamento de privilégios. Aplicamos patches a essas vulnerabilidades como medidas de proteção para evitar uma possível cadeia de ataques completa no futuro. O Cloud Service Mesh exigia privilégios altos para fazer as modificações necessárias na configuração de um cluster, incluindo a capacidade de criar e excluir pods. O pesquisador usou o token da conta de serviço do Kubernetes privilegiado do Cloud Service Mesh para aumentar os privilégios comprometidos iniciais criando um novo pod com privilégios de administrador do cluster. Reformulamos a funcionalidade do Cloud Service Mesh para remover privilégios excessivos. |
Média |
GKE no Azure
Descrição | Gravidade |
---|---|
Apenas o GKE em clusters do Azure que usam o Cloud Service Mesh são afetados. O que fazer?Se o cluster usar o Cloud Service Mesh no cluster, será necessário fazer upgrade manualmente para uma das seguintes versões (notas da versão):
Quais vulnerabilidades são corrigidas por esse patch?As vulnerabilidades abordadas neste boletim exigem que um invasor primeiro se comprometa ou sai de um contêiner ou tenha acesso raiz a um nó de cluster. Não sabemos de nenhuma vulnerabilidade que leve a essa condição de pré-requisito para escalonamento de privilégios. Aplicamos patches a essas vulnerabilidades como medidas de proteção para evitar uma possível cadeia de ataques completa no futuro. O Cloud Service Mesh exigia privilégios altos para fazer as modificações necessárias na configuração de um cluster, incluindo a capacidade de criar e excluir pods. O pesquisador usou o token da conta de serviço do Kubernetes privilegiado do Cloud Service Mesh para aumentar os privilégios comprometidos iniciais criando um novo pod com privilégios de administrador do cluster. Reformulamos a funcionalidade do Cloud Service Mesh para remover privilégios excessivos. |
Média |
GKE em bare metal
Descrição | Gravidade |
---|---|
Apenas os clusters do GKE em Bare Metal que usam o Cloud Service Mesh são afetados. O que fazer?Se o cluster usar o Cloud Service Mesh no cluster, será necessário fazer upgrade manualmente para uma das seguintes versões (notas da versão):
Quais vulnerabilidades são corrigidas por esse patch?As vulnerabilidades abordadas neste boletim exigem que um invasor primeiro se comprometa ou sai de um contêiner ou tenha acesso raiz a um nó de cluster. Não sabemos de nenhuma vulnerabilidade que leve a essa condição de pré-requisito para escalonamento de privilégios. Aplicamos patches a essas vulnerabilidades como medidas de proteção para evitar uma possível cadeia de ataques completa no futuro. O Anthos Service Mesh exigia privilégios altos para fazer as modificações necessárias na configuração de um cluster, incluindo a capacidade de criar e excluir pods. O pesquisador usou o token da conta de serviço do Kubernetes privilegiado do Cloud Service Mesh para aumentar os privilégios comprometidos iniciais criando um novo pod com privilégios de administrador do cluster. Reformulamos a funcionalidade do Cloud Service Mesh para remover privilégios excessivos. |
Média |
GCP-2023-046
Data de publicação: 22/11/2023
Data de atualização: 04/03/2024
Referência: CVE-2023-5717
Atualização de 04/03/2024: adicionamos versões do GKE para o GKE no VMware.
Atualização de 22/01/2024: adicionamos versões de patch do Ubuntu.
GKE
Atualização: 2024-01-22
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.
Os clusters do GKE Standard e do Autopilot são afetados. Os clusters que usam o GKE Sandbox não são afetados. O que fazer?Atualização de 22/01/2024: as versões secundárias a seguir foram afetadas. Faça upgrade dos seus pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:
As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões de patch a seguir ou mais recente:
É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão com patch se torne o padrão no canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente. |
Alto |
GKE no VMware
Atualização: 2024-02-29
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.
O que fazer?Atualização de 4 de março de 2024: as seguintes versões do GKE no VMware foram atualizadas com código para corrigir essa vulnerabilidade. Faça upgrade dos clusters para uma das seguintes versões ou mais recentes:
|
Alto |
GKE na AWS
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.
O que fazer? |
Pendente |
GKE no Azure
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.
O que fazer? |
Pendente |
GKE em bare metal
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.
O que fazer?Nenhuma ação é necessária. O GKE em bare metal não é afetado porque não agrupa um sistema operacional na distribuição. |
Nenhum |
GCP-2023-045
Data de publicação: 20/11/2023
Data de atualização: 21/12/2023
Referência: CVE-2023-5197
Atualização de 21/12/2023 : esclarecemos que os clusters do GKE Autopilot na configuração padrão não são afetados.
GKE
Atualização: 21/12/2023
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.
Atualização de 21/12/2023: o boletim original afirmava que os clusters do Autopilot
foram afetados, mas isso estava incorreto. Os clusters do Autopilot do GKE
na configuração padrão não são afetados, mas podem ficar vulneráveis se você
definir explicitamente o perfil Unconfined do seccomp ou
permitir Os clusters do GKE Standard e do Autopilot são afetados. Os clusters que usam o GKE Sandbox não são afetados. O que fazer?As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões de patch a seguir ou mais recente:
As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:
É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão com patch se torne o padrão no canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente. |
Alto |
GKE no VMware
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.
O que fazer? |
Pendente |
GKE na AWS
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.
O que fazer? |
Pendente |
GKE no Azure
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.
O que fazer? |
Pendente |
GKE em bare metal
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.
O que fazer?Nenhuma ação é necessária. O GKE em bare metal não é afetado porque não agrupa um sistema operacional na distribuição. |
Nenhum |
GCP-2023-042
Data de publicação: 13/11/2023
Data de atualização: 15/11/2023
Referência: CVE-2023-4147
Atualização de 15/11/2023: esclarecemos que apenas as versões secundárias listadas precisam ser atualizadas para uma versão corrigida correspondente do GKE.
GKE
Atualização: 2023-11-15
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.
Os clusters do GKE Standard foram afetados. Os clusters do GKE Autopilot não foram afetados. Os clusters que usam o GKE Sandbox não são afetados. O que fazer?Atualização de 15/11/2023: você só precisa fazer upgrade para uma das versões com patch listadas neste boletim se usar essa versão secundária nos seus nós. Por exemplo, se você usa a versão 1.27 do GKE, faça upgrade para a versão corrigida correspondente. No entanto, se você usar a versão 1.24 do GKE, não será necessário fazer upgrade para uma versão corrigida. Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões a seguir ou mais recentes:
Faça upgrade dos seus pools de nós do Ubuntu para uma das versões a seguir ou mais recente:
É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão com patch se torne o padrão no canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente. |
Alto |
GKE no VMware
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.
O que fazer? |
Pendente |
GKE na AWS
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.
O que fazer? |
Pendente |
GKE no Azure
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.
O que fazer? |
Pendente |
GKE em bare metal
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.
O que fazer?Nenhuma ação é necessária. O GKE em bare metal não é afetado porque não agrupa um sistema operacional na distribuição. |
Nenhum |
GCP-2023-041
Data de publicação: 2023-11-08
Data de atualização: 2023-11-21, 2023-12-05, 2023-12-21
Referência:
CVE-2023-4004
Atualização de 21/12/2023 : esclarecemos que os clusters do GKE Autopilot na configuração padrão não são afetados.
Atualização de 05/12/2023: foram adicionadas outras versões do GKE para pools de nós do Container-Optimized OS.
Atualização de 21/11/2023: esclarecemos que apenas as versões secundárias listadas precisam fazer upgrade para uma versão de patch correspondente do GKE.
GKE
Atualização: 2023-11-21, 2023-12-05, 2023-12-21
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.
Atualização de 21/12/2023: o boletim original afirmava que os clusters do Autopilot
foram afetados, mas isso estava incorreto. Os clusters do Autopilot do GKE
na configuração padrão não são afetados, mas podem ficar vulneráveis se você
definir explicitamente o perfil Unconfined do seccomp ou
permitir Os clusters do Autopilot foram afetados. Os clusters que usam o GKE Sandbox não são afetados. O que fazer?Atualização de 05/12/2023: algumas versões do GKE estavam ausentes. Confira a seguir uma lista atualizada das versões do GKE para as quais é possível atualizar o Container-Optimized OS:
Atualização de 21/11/2023: você só vai precisar fazer upgrade para uma das versões de patch listadas neste boletim se usar essa versão secundária nos seus nós. As versões secundárias não listadas não são afetadas. Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões a seguir ou mais recentes:
Faça upgrade dos seus pools de nós do Ubuntu para uma das versões a seguir ou mais recente:
|
Alto |
GKE no VMware
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.
O que fazer? |
Pendente |
GKE na AWS
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.
O que fazer? |
Pendente |
GKE no Azure
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.
O que fazer? |
Pendente |
GKE em bare metal
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.
O que fazer?Nenhuma ação é necessária. O GKE em bare metal não é afetado porque não agrupa um sistema operacional na distribuição. |
Nenhum |
GCP-2023-040
Data de publicação: 06/11/2023
Data de atualização: 21/11/2023, 21/12/2023
Referência: CVE-2023-4921
Atualização de 21/12/2023 : esclarecemos que os clusters do GKE Autopilot na configuração padrão não são afetados.
Atualização de 21/11/2023: esclarecemos que apenas as versões secundárias listadas precisam fazer upgrade para uma versão de patch correspondente do GKE.
GKE
Atualização: 2023-11-21, 2023-12-21
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.
Atualização de 21/12/2023: o boletim original afirmava que os clusters do Autopilot
foram afetados, mas isso estava incorreto. Os clusters do Autopilot do GKE
na configuração padrão não são afetados, mas podem ficar vulneráveis se você
definir explicitamente o perfil Unconfined do seccomp ou
permitir Os clusters do Autopilot foram afetados. Os clusters que usam o GKE Sandbox não são afetados. O que fazer?Atualização de 21/11/2023: você só vai precisar fazer upgrade para uma das versões de patch listadas neste boletim se usar essa versão secundária nos seus nós. As versões secundárias não listadas não são afetadas. Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões a seguir ou mais recentes:
Faça upgrade dos seus pools de nós do Ubuntu para uma das versões a seguir ou mais recente:
|
Alto |
GKE no VMware
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.
O que fazer? |
Pendente |
GKE na AWS
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.
O que fazer? |
Pendente |
GKE no Azure
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.
O que fazer? |
Pendente |
GKE em bare metal
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.
O que fazer?Nenhuma ação é necessária. O GKE em bare metal não é afetado porque não agrupa um sistema operacional na distribuição. |
Nenhum |
GCP-2023-039
Data de publicação: 06/11/2023
Data de atualização: 21/11/2023, 16/11/2023
Referência: CVE-2023-4622
Atualização de 21/11/2023: esclarecemos que apenas as versões secundárias listadas precisam fazer upgrade para uma versão de patch correspondente do GKE.
Atualização de 16/11/2023: a vulnerabilidade associada a este boletim de segurança é a CVE-2023-4622. A CVE-2023-4623 foi listada incorretamente como a vulnerabilidade em uma versão anterior do boletim de segurança.
GKE
Atualização: 2023-11-21, 2023-11-16
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.
Os clusters do Autopilot foram afetados. Os clusters que usam o GKE Sandbox não são afetados. O que fazer?Atualização de 21/11/2023: você só vai precisar fazer upgrade para uma das versões de patch listadas neste boletim se usar essa versão secundária nos seus nós. As versões secundárias não listadas não são afetadas. Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões a seguir ou mais recentes:
Faça upgrade dos seus pools de nós do Ubuntu para uma das versões a seguir ou mais recente:
|
Alto |
GKE no VMware
Atualização: 2023-11-16
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.
O que fazer? |
Pendente |
GKE na AWS
Atualização: 2023-11-16
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.
O que fazer? |
Pendente |
GKE no Azure
Atualização: 2023-11-16
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.
O que fazer? |
Pendente |
GKE em bare metal
Atualização: 2023-11-16
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.
O que fazer?Nenhuma ação é necessária. O GKE em bare metal não é afetado porque não agrupa um sistema operacional na distribuição. |
Nenhum |
GCP-2023-038
Data de publicação: 06/11/2023
Data de atualização: 21/11/2023, 21/12/2023
Referência: CVE-2023-4623
Atualização de 21/12/2023 : esclarecemos que os clusters do GKE Autopilot na configuração padrão não são afetados.
Atualização de 21/11/2023: esclarecemos que apenas as versões secundárias listadas precisam fazer upgrade para uma versão de patch correspondente do GKE.
GKE
Atualização: 2023-11-21, 2023-12-21
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.
Atualização de 21/12/2023: o boletim original afirmava que os clusters do Autopilot
foram afetados, mas isso estava incorreto. Os clusters do Autopilot do GKE
na configuração padrão não são afetados, mas podem ficar vulneráveis se você
definir explicitamente o perfil Unconfined do seccomp ou
permitir Os clusters do Autopilot foram afetados. Os clusters que usam o GKE Sandbox não são afetados. O que fazer?Atualização de 21/11/2023: você só vai precisar fazer upgrade para uma das versões de patch listadas neste boletim se usar essa versão secundária nos seus nós. As versões secundárias não listadas não são afetadas. Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões a seguir ou mais recentes:
Faça upgrade dos seus pools de nós do Ubuntu para uma das versões a seguir ou mais recente:
|
Alto |
GKE no VMware
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.
O que fazer? |
Pendente |
GKE na AWS
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.
O que fazer? |
Pendente |
GKE no Azure
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.
O que fazer? |
Pendente |
GKE em bare metal
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.
O que fazer?Nenhuma ação é necessária. O GKE em bare metal não é afetado porque não agrupa um sistema operacional na distribuição. |
Nenhum |
GCP-2023-037
Data de publicação: 06/11/2023
Data de atualização: 21/11/2023, 21/12/2023
Referência: CVE-2023-4015
Atualização de 21/12/2023 : esclarecemos que os clusters do GKE Autopilot na configuração padrão não são afetados.
Atualização de 21/11/2023: esclarecemos que apenas as versões secundárias listadas precisam fazer upgrade para uma versão de patch correspondente do GKE.
GKE
Atualização: 2023-11-21, 2023-12-21
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.
Atualização de 21/12/2023: o boletim original afirmava que os clusters do Autopilot
foram afetados, mas isso estava incorreto. Os clusters do Autopilot do GKE
na configuração padrão não são afetados, mas podem ficar vulneráveis se você
definir explicitamente o perfil Unconfined do seccomp ou
permitir Os clusters do Autopilot foram afetados. Os clusters que usam o GKE Sandbox não são afetados. O que fazer?Atualização de 21/11/2023: você só vai precisar fazer upgrade para uma das versões de patch listadas neste boletim se usar essa versão secundária nos seus nós. As versões secundárias não listadas não são afetadas. Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões a seguir ou mais recentes:
Faça upgrade dos seus pools de nós do Ubuntu para uma das versões a seguir ou mais recente:
|
Alto |
GKE no VMware
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.
O que fazer? |
Pendente |
GKE na AWS
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.
O que fazer? |
Pendente |
GKE no Azure
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.
O que fazer? |
Pendente |
GKE em bare metal
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.
O que fazer?Nenhuma ação é necessária. O GKE em bare metal não é afetado porque não agrupa um sistema operacional na distribuição. |
Nenhum |
GCP-2023-035
Publicação: 26/10/2023
Atualização: 21/11/2023, 21/12/2023
Referência: CVE-2023-4206, CVE-2023-4207, CVE-2023-4208, CVE-2023-4128
Atualização de 21/12/2023 : esclarecemos que os clusters do GKE Autopilot na configuração padrão não são afetados.
Atualização de 21/11/2023: esclarecemos que apenas as versões secundárias listadas precisam fazer upgrade para uma versão de patch correspondente do GKE.
GKE
Atualização: 2023-11-21, 2023-12-21
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.
Atualização de 21/12/2023: o boletim original afirmava que os clusters do Autopilot
foram afetados, mas isso estava incorreto. Os clusters do Autopilot do GKE
na configuração padrão não são afetados, mas podem ficar vulneráveis se você
definir explicitamente o perfil Unconfined do seccomp ou
permitir Os clusters do Autopilot foram afetados. Os clusters que usam o GKE Sandbox não são afetados. O que fazer?Atualização de 21/11/2023: você só vai precisar fazer upgrade para uma das versões de patch listadas neste boletim se usar essa versão secundária nos seus nós. As versões secundárias não listadas não são afetadas. Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões a seguir ou mais recentes:
Faça upgrade dos seus pools de nós do Ubuntu para uma das versões a seguir ou mais recente:
|
Alto |
GKE no VMware
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.
O que fazer? |
Alto |
GKE na AWS
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.
O que fazer? |
Alto |
GKE no Azure
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.
O que fazer? |
Alto |
GKE em bare metal
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.
O que fazer?Nenhuma ação é necessária. O GKE em bare metal não é afetado porque não agrupa um sistema operacional na distribuição. |
Alto |
GCP-2023-033
Data de publicação: 24/10/2023
Data de atualização: 21/11/2023, 21/12/2023
Referência: CVE-2023-3777
Atualização de 21/12/2023: esclarecemos que os clusters do GKE Autopilot na configuração padrão não são afetados e as cargas de trabalho do GKE Sandbox não são afetadas.
Atualização de 21/11/2023: esclarecemos que apenas as versões secundárias listadas precisam fazer upgrade para uma versão de patch correspondente do GKE.
GKE
Atualização: 2023-11-21, 2023-12-21
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.
Atualização de 21/12/2023: o boletim original afirmava que os clusters do Autopilot
foram afetados, mas isso estava incorreto. Os clusters do Autopilot do GKE
na configuração padrão não são afetados, mas podem ficar vulneráveis se você
definir explicitamente o perfil Unconfined do seccomp ou
permitir Os clusters do Autopilot foram afetados. Os clusters que usam o GKE Sandbox são afetados. O que fazer?Atualização de 21/11/2023: você só vai precisar fazer upgrade para uma das versões de patch listadas neste boletim se usar essa versão secundária nos seus nós. As versões secundárias não listadas não são afetadas. Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões a seguir ou mais recentes:
Faça upgrade dos seus pools de nós do Ubuntu para uma das versões a seguir ou mais recente:
|
Alto |
GKE no VMware
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.
O que fazer? |
GKE na AWS
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.
O que fazer? |
GKE no Azure
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.
O que fazer? |
GKE em bare metal
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.
O que fazer?Nenhuma ação é necessária. O GKE em bare metal não é afetado porque não agrupa um sistema operacional na distribuição. |
GCP-2023-030
Data de publicação: 10/10/2023
Data de atualização: 20/03/2024
Referência: CVE-2023-44487, CVE-2023-39325
Atualização de 20/03/2024: adição de versões de patch para o GKE na AWS e no Azure.
Atualização de 14/02/2024: adição de versões de patch para o GKE no VMware.
Atualização de 09/11/2023: adição de CVE-2023-39325. As versões do GKE foram atualizadas
com os patches mais recentes para CVE-2023-44487 e CVE-2023-39325.
GKE
Atualização: 2023-11-09
Descrição | Gravidade |
---|---|
Uma vulnerabilidade de negação de serviço (DoS) foi descoberta recentemente em várias implementações do protocolo HTTP/2 (CVE-2023-44487), incluindo o servidor HTTP golang usado pelo Kubernetes. A vulnerabilidade pode levar a um DoS do plano de controle do Google Kubernetes Engine (GKE). Os clusters do GKE com redes autorizadas configuradas são protegidos pela limitação do acesso à rede, mas todos os outros clusters são afetados. O que fazer?Atualização de 09/11/2023: lançamos novas versões do GKE que incluem os patches de segurança do Go e do Kubernetes, para que você possa atualizar seus clusters. Nas próximas semanas, vamos lançar outras mudanças no plano de controle do GKE para atenuar ainda mais esse problema. As seguintes versões do GKE foram atualizadas com patches para CVE-2023-44487 e CVE-2023-39325:
Recomendamos que você aplique a mitigação abaixo o mais rápido possível e faça upgrade para a versão mais recente do patch quando ela estiver disponível. Os patches do Golang serão lançados em 10 de outubro. Quando disponível, vamos criar e qualificar um novo servidor da API Kubernetes com esses patches e fazer uma versão corrigida do GKE. Quando o lançamento do GKE estiver disponível, vamos atualizar este boletim com orientações sobre qual versão atualizar o plano de controle e também tornar os patches visíveis na postura de segurança do GKE quando estiverem disponíveis para seu cluster. Para receber uma notificação do Pub/Sub quando houver um patch para seu canal, ative as notificações do cluster. Um recurso recente dos canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição. Isso permite proteger os nós até que a nova versão se torne o padrão para o canal específico da versão. Para mitigar, configure as redes autorizadas para acesso ao plano de controle: É possível adicionar redes autorizadas para clusters atuais. Para saber mais, consulte Rede autorizada para clusters atuais. Além das redes autorizadas que você adiciona, há endereços IP predefinidos que podem acessar o plano de controle do GKE. Para saber mais sobre esses endereços, consulte Acesso aos endpoints do plano de controle. Os itens a seguir resumem o isolamento de cluster:
Quais vulnerabilidades são corrigidas por esse patch?A vulnerabilidade CVE-2023-44487 permite que um invasor execute um ataque de negação de serviço em nós do plano de controle do GKE. |
Alto |
GKE no VMware
Atualização: 2024-02-14
Descrição | Gravidade |
---|---|
Uma vulnerabilidade de negação de serviço (DoS) foi descoberta recentemente em várias implementações do protocolo HTTP/2 (CVE-2023-44487), incluindo o servidor HTTP golang usado pelo Kubernetes. A vulnerabilidade pode levar a um DoS do plano de controle do Kubernetes. O GKE no VMware cria clusters do Kubernetes que não são acessíveis diretamente pela Internet por padrão e são protegidos contra essa vulnerabilidade. O que fazer?Atualização de 14/02/2024: as seguintes versões do GKE no VMware foram atualizadas com código para corrigir essa vulnerabilidade. Faça upgrade dos clusters para as seguintes versões de patch ou mais recentes:
Se você configurou o GKE em clusters do Kubernetes do VMware para ter acesso direto à Internet ou a outras redes não confiáveis, recomendamos que você trabalhe com o administrador do firewall para bloquear ou limitar esse acesso. Recomendamos que você faça upgrade para a versão mais recente do patch assim que ela estiver disponível. Os patches do Golang serão lançados em 10 de outubro. Quando disponível, vamos criar e qualificar um novo servidor da API Kubernetes com esses patches e fazer uma versão corrigida do GKE. Quando a versão do GKE estiver disponível, vamos atualizar este boletim com orientações sobre a versão para atualizar o plano de controle. Quais vulnerabilidades são corrigidas por esse patch?A vulnerabilidade CVE-2023-44487 permite que um invasor execute um ataque de negação de serviço em nós do plano de controle do Kubernetes. |
Alto |
GKE na AWS
Descrição | Gravidade |
---|---|
Uma vulnerabilidade de negação de serviço (DoS) foi descoberta recentemente em várias implementações do protocolo HTTP/2 (CVE-2023-44487), incluindo o servidor HTTP golang usado pelo Kubernetes. A vulnerabilidade pode levar a um DoS do plano de controle do Kubernetes. O GKE na AWS cria clusters particulares do Kubernetes que não são acessíveis diretamente pela Internet por padrão e são protegidos contra essa vulnerabilidade. O que fazer?Atualização de 20/03/2024: as seguintes versões do GKE na AWS foram atualizadas com patches para CVE-2023-44487:
Se você configurou o GKE na AWS para ter acesso direto à Internet ou a outras redes não confiáveis, recomendamos que você trabalhe com o administrador do firewall para bloquear ou limitar esse acesso. Recomendamos que você faça upgrade para a versão mais recente do patch assim que ela estiver disponível. Os patches do Golang serão lançados em 10 de outubro. Quando disponível, vamos criar e qualificar um novo servidor da API Kubernetes com esses patches e fazer uma versão corrigida do GKE. Quando a versão do GKE estiver disponível, vamos atualizar este boletim com orientações sobre a versão para atualizar o plano de controle. Quais vulnerabilidades são corrigidas por esse patch?A vulnerabilidade CVE-2023-44487 permite que um invasor execute um ataque de negação de serviço em nós do plano de controle do Kubernetes. |
Alto |
GKE no Azure
Descrição | Gravidade |
---|---|
Uma vulnerabilidade de negação de serviço (DoS) foi descoberta recentemente em várias implementações do protocolo HTTP/2 (CVE-2023-44487), incluindo o servidor HTTP golang usado pelo Kubernetes. A vulnerabilidade pode levar a um DoS do plano de controle do Kubernetes. O GKE no Azure cria clusters particulares do Kubernetes que não são acessíveis diretamente pela Internet por padrão e são protegidos contra essa vulnerabilidade. O que fazer?Atualização de 20/03/2024: as seguintes versões do GKE no Azure foram atualizadas com patches para a CVE-2023-44487:
Se você configurou o GKE em clusters do Azure para ter acesso direto à Internet ou a outras redes não confiáveis, recomendamos que você trabalhe com o administrador do firewall para bloquear ou limitar esse acesso. Recomendamos que você faça upgrade para a versão mais recente do patch assim que ela estiver disponível. Os patches do Golang serão lançados em 10 de outubro. Quando disponível, vamos criar e qualificar um novo servidor da API Kubernetes com esses patches e fazer uma versão corrigida do GKE. Quando a versão do GKE estiver disponível, vamos atualizar este boletim com orientações sobre a versão para atualizar o plano de controle.Quais vulnerabilidades são corrigidas por esse patch?A vulnerabilidade CVE-2023-44487 permite que um invasor execute um ataque de negação de serviço em nós do plano de controle do Kubernetes. |
Alto |
GKE em bare metal
Descrição | Gravidade |
---|---|
Uma vulnerabilidade de negação de serviço (DoS) foi descoberta recentemente em várias implementações do protocolo HTTP/2 (CVE-2023-44487), incluindo o servidor HTTP golang usado pelo Kubernetes. A vulnerabilidade pode levar a um DoS do plano de controle do Kubernetes. O Anthos em bare metal cria clusters do Kubernetes que não são acessíveis diretamente pela Internet por padrão e são protegidos contra essa vulnerabilidade. O que fazer?Se você configurou o Anthos em clusters do Kubernetes para bare metal com acesso direto à Internet ou a outras redes não confiáveis, recomendamos que você trabalhe com o administrador do firewall para bloquear ou limitar esse acesso. Para saber mais, consulte a Visão geral de segurança do GKE em Bare Metal. Recomendamos que você faça upgrade para a versão mais recente do patch assim que ela estiver disponível. Os patches do Golang serão lançados em 10 de outubro. Quando disponível, vamos criar e qualificar um novo servidor da API Kubernetes com esses patches e fazer uma versão corrigida do GKE. Quando a versão do GKE estiver disponível, vamos atualizar este boletim com orientações sobre a versão para atualizar o plano de controle. Quais vulnerabilidades são corrigidas por esse patch?A vulnerabilidade CVE-2023-44487 permite que um invasor execute um ataque de negação de serviço em nós do plano de controle do Kubernetes. |
Alto |
GCP-2023-026
Data da publicação: 2023-09-06
Referência: CVE-2023-3676,
CVE-2023-3955,
CVE-2023-3893
GKE
Descrição | Gravidade |
---|---|
Três vulnerabilidades (CVE-2023-3676, CVE-2023-3955 e CVE-2023-3893) foram descobertas no Kubernetes, em que um usuário que pode criar pods em nós do Windows pode ter acesso a privilégios de administrador nesses nós. Essas vulnerabilidades afetam as versões do Kubelet para Windows e o proxy CSI do Kubernetes. Os clusters do GKE só são afetados se incluírem nós do Windows. O que fazer?O código das seguintes versões do GKE foi atualizado para corrigir essa vulnerabilidade. Por motivos de segurança, mesmo que você tenha ativado o upgrade automático de nós, recomendamos que faça upgrade manualmente dos seus clusters e pools de nós para uma das seguintes versões do GKE:
O plano de controle do GKE será atualizado na semana de 04/09/2023 para atualizar o
csi-proxy para a versão 1.1.3. Se você atualizar os nós antes da atualização do plano de controle,
será necessário atualizar os nós novamente após a atualização para aproveitar o novo
proxy. É possível atualizar os nós novamente, mesmo sem mudar a versão do nó, executando
o comando Um recurso recente dos canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição. Isso permite proteger os nós até que a nova versão se torne o padrão para o canal de lançamento específico. Quais vulnerabilidades são corrigidas por esse patch?Com o CVE-2023-3676, um usuário malicioso pode criar uma especificação de pod com strings de caminho do host que contêm comandos do PowerShell. O Kubelet não tem limpeza de entrada e transmite essa string de caminho criada para o executor de comandos como um argumento em que ele executaria partes da string como comandos separados. Esses comandos seriam executados com os mesmos privilégios administrativos do Kubelet. Com a CVE-2023-3955, o Kubelet concede aos usuários que podem criar pods a capacidade de executar código no mesmo nível de permissão do agente do Kubelet, permissões privilegiadas. Com a CVE-2023-3893, uma falta semelhante de limpeza de entrada permite que um usuário que possa criar pods em nós do Windows que executam o kubernetes-csi-proxy aumente os privilégios de administrador nesses nós. Os registros de auditoria do Kubernetes podem ser usados para detectar se essa vulnerabilidade está sendo explorada. Eventos de criação de pods com comandos do PowerShell incorporados são uma forte indicação de exploração. ConfigMaps e secrets que contêm comandos do PowerShell incorporados e são montados em pods também são uma forte indicação de exploração. |
Alto |
GKE no VMware
Descrição | Gravidade |
---|---|
Três vulnerabilidades (CVE-2023-3676, CVE-2023-3955 e CVE-2023-3893) foram descobertas no Kubernetes, em que um usuário que pode criar pods em nós do Windows pode ter acesso a privilégios de administrador nesses nós. Essas vulnerabilidades afetam as versões do Kubelet para Windows e o proxy CSI do Kubernetes. Os clusters só são afetados se incluírem nós do Windows. O que fazer?Quais vulnerabilidades são corrigidas por esse patch?Com o CVE-2023-3676, um usuário malicioso pode criar uma especificação de pod com strings de caminho do host que contêm comandos do PowerShell. O Kubelet não tem limpeza de entrada e transmite essa string de caminho criada para o executor de comandos como um argumento em que ele executaria partes da string como comandos separados. Esses comandos seriam executados com os mesmos privilégios administrativos do Kubelet. Com a CVE-2023-3955, o Kubelet concede aos usuários que podem criar pods a capacidade de executar código no mesmo nível de permissão do agente do Kubelet, permissões privilegiadas. Com a CVE-2023-3893, uma falta semelhante de limpeza de entrada permite que um usuário que possa criar pods em nós do Windows que executam o kubernetes-csi-proxy aumente os privilégios de administrador nesses nós. Os registros de auditoria do Kubernetes podem ser usados para detectar se essa vulnerabilidade está sendo explorada. Eventos de criação de pods com comandos do PowerShell incorporados são uma forte indicação de exploração. ConfigMaps e secrets que contêm comandos do PowerShell incorporados e são montados em pods também são uma forte indicação de exploração. |
Alto |
GKE na AWS
Descrição | Gravidade |
---|---|
Três vulnerabilidades (CVE-2023-3676, CVE-2023-3955 e CVE-2023-3893) foram descobertas no Kubernetes, em que um usuário que pode criar pods em nós do Windows pode ter acesso a privilégios de administrador nesses nós. Essas vulnerabilidades afetam as versões do Kubelet para Windows e o proxy CSI do Kubernetes. O que fazer?O GKE na AWS não é afetado por essas CVEs. Você não precisa fazer nada. |
Nenhum |
GKE no Azure
Descrição | Gravidade |
---|---|
Três vulnerabilidades (CVE-2023-3676, CVE-2023-3955 e CVE-2023-3893) foram descobertas no Kubernetes, em que um usuário que pode criar pods em nós do Windows pode ter acesso a privilégios de administrador nesses nós. Essas vulnerabilidades afetam as versões do Kubelet para Windows e o proxy CSI do Kubernetes. O que fazer?O GKE on Azure não é afetado por essas CVEs Você não precisa fazer nada. |
Nenhum |
GKE em bare metal
Descrição | Gravidade |
---|---|
Três vulnerabilidades (CVE-2023-3676, CVE-2023-3955 e CVE-2023-3893) foram descobertas no Kubernetes, em que um usuário que pode criar pods em nós do Windows pode ter acesso a privilégios de administrador nesses nós. Essas vulnerabilidades afetam as versões do Kubelet para Windows e o proxy CSI do Kubernetes. O que fazer?O GKE em bare metal não é afetado por essas CVEs. Você não precisa fazer nada. |
Nenhum |
GCP-2023-018
Data de publicação: 27/06/2023
Referência: CVE-2023-2235
GKE
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2023-2235) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó. Os clusters do GKE Autopilot são afetados porque os nós do GKE Autopilot sempre usam imagens de nó do Container-Optimized OS. Os clusters do GKE Standard com versões 1.25 ou posteriores que executam imagens de nó do Container-Optimized OS são afetados. Os clusters do GKE não serão afetados se estiverem executando apenas imagens de nós do Ubuntu ou versões anteriores à 1.25 ou usarem o GKE Sandbox. O que fazer?O código das seguintes versões do GKE foi atualizado para corrigir essa vulnerabilidade. Por motivos de segurança, mesmo que você tenha ativado o upgrade automático de nós, recomendamos que faça upgrade manualmente dos clusters e pools de nós para uma das seguintes versões do GKE:
Um recurso recente dos canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição. Isso permite proteger os nós até que a nova versão se torne o padrão para o canal específico da versão. Quais vulnerabilidades estão sendo resolvidas?Com a CVE-2023-2235, a função perf_group_detach não verificava o "attach_state" dos irmãos do evento antes de chamar add_event_to_groups(). No entanto, "remove_on_exec" tornou possível chamar "list_del_event()" antes de desanexar do grupo, o que permitiu usar um ponteiro suspenso, causando uma vulnerabilidade de uso após a liberação. |
Alto |
GKE no VMware
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2023-2235) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó. O GKE em clusters do VMware é afetado. O que fazer?Quais vulnerabilidades estão sendo resolvidas?Com a CVE-2023-2235, a função perf_group_detach não verificava o "attach_state" dos irmãos do evento antes de chamar add_event_to_groups(). No entanto, "remove_on_exec" tornou possível chamar "list_del_event()" antes de desanexar do grupo, o que permitiu usar um ponteiro suspenso, causando uma vulnerabilidade de uso após a liberação. |
Alto |
GKE na AWS
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2023-2235) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó. Os clusters do GKE na AWS são afetados. O que fazer?Quais vulnerabilidades são corrigidas por esse patch?Com a CVE-2023-2235, a função perf_group_detach não verificava o "attach_state" dos irmãos do evento antes de chamar add_event_to_groups(). No entanto, "remove_on_exec" tornou possível chamar "list_del_event()" antes de desanexar do grupo, o que permitiu usar um ponteiro suspenso, causando uma vulnerabilidade de uso após a liberação. |
Alto |
GKE no Azure
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2023-2235) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó. O GKE nos clusters do Azure é afetado. O que fazer?Quais vulnerabilidades são corrigidas por esse patch?Com a CVE-2023-2235, a função perf_group_detach não verificava o "attach_state" dos irmãos do evento antes de chamar add_event_to_groups(). No entanto, "remove_on_exec" tornou possível chamar "list_del_event()" antes de desanexar do grupo, o que permitiu usar um ponteiro suspenso, causando uma vulnerabilidade de uso após a liberação. |
Alto |
GKE em bare metal
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2023-2235) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó. O Google Distributed Cloud Virtual para Bare Metal não é afetado por essa CVE. O que fazer?Você não precisa fazer nada. |
Nenhum |
GCP-2023-017
Data de publicação: 26/06/2023
Data de atualização: 11/07/2023
Referência: CVE-2023-31436
Atualização de 11/07/2023: novas versões do GKE foram atualizadas para incluir as versões mais recentes do Ubuntu que corrigem a vulnerabilidade CVE-2023-31436.
GKE
Data de atualização: 11/07/2023
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2023-31436) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó. Os clusters do GKE, incluindo os clusters do Autopilot, foram afetados. Os clusters do GKE que usam o GKE Sandbox não são afetados. O que fazer?Atualização de 11/07/2023: versões de patch do Ubuntu estão disponíveis. As seguintes versões do GKE foram atualizadas para incluir as versões mais recentes do Ubuntu que corrigem a vulnerabilidade CVE-2023-31436:
O código das seguintes versões do GKE foi atualizado para corrigir essa vulnerabilidade. Por motivos de segurança, mesmo que você tenha ativado o upgrade automático de nós, recomendamos que faça upgrade manualmente dos clusters e pools de nós para uma das seguintes versões do GKE:
Um recurso recente dos canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição. Isso permite proteger os nós até que a nova versão se torne o padrão para o canal específico da versão. Quais vulnerabilidades estão sendo resolvidas?Com a CVE-2023-31436, foi encontrada uma falha de acesso à memória fora do limite no subsistema de controle de tráfego (QoS) do kernel do Linux em como um usuário aciona a função qfq_change_class com um valor de MTU incorreto do dispositivo de rede usado como lmax. Essa falha permite que um usuário local falhe ou possivelmente encaminhe seus privilégios no sistema. |
Alto |
GKE no VMware
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2023-31436) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó. O GKE em clusters do VMware é afetado. O que fazer?Quais vulnerabilidades estão sendo resolvidas?Com a CVE-2023-31436, foi encontrada uma falha de acesso à memória fora do limite no subsistema de controle de tráfego (QoS) do kernel do Linux em como um usuário aciona a função qfq_change_class com um valor de MTU incorreto do dispositivo de rede usado como lmax. Essa falha permite que um usuário local falhe ou possivelmente encaminhe seus privilégios no sistema. |
Alto |
GKE na AWS
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2023-31436) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó. Os clusters do GKE na AWS são afetados. O que fazer?Quais vulnerabilidades são corrigidas por esse patch?Com a CVE-2023-31436, foi encontrada uma falha de acesso à memória fora do limite no subsistema de controle de tráfego (QoS) do kernel do Linux em como um usuário aciona a função qfq_change_class com um valor de MTU incorreto do dispositivo de rede usado como lmax. Essa falha permite que um usuário local falhe ou possivelmente encaminhe seus privilégios no sistema. |
Alto |
GKE no Azure
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2023-31436) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó. O GKE nos clusters do Azure é afetado. O que fazer?Quais vulnerabilidades são corrigidas por esse patch?Com a CVE-2023-31436, foi encontrada uma falha de acesso à memória fora do limite no subsistema de controle de tráfego (QoS) do kernel do Linux em como um usuário aciona a função qfq_change_class com um valor de MTU incorreto do dispositivo de rede usado como lmax. Essa falha permite que um usuário local falhe ou possivelmente encaminhe seus privilégios no sistema. |
Alto |
GKE em bare metal
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2023-31436) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó. O Google Distributed Cloud Virtual para Bare Metal não é afetado por essa CVE. O que fazer?Você não precisa fazer nada. |
Nenhum |
GCP-2023-016
Data de publicação: 26/06/2023
Referência:
CVE-2023-27496,
CVE-2023-27488,
CVE-2023-27493,
CVE-2023-27492,
CVE-2023-27491,
CVE-2023-27487
GKE
Descrição | Gravidade |
---|---|
Diversas vulnerabilidades foram descobertas no Envoy, que é usado no Cloud Service Mesh (ASM). Elas foram relatadas separadamente como GCP-2023-002. O GKE não é enviado com o ASM e não é afetado por essas vulnerabilidades. O que fazer?Se você instalou o ASM separadamente para os clusters do GKE, consulte GCP-2023-002. |
Nenhum |
GKE no VMware
Descrição | Gravidade |
---|---|
Foram descobertas várias vulnerabilidades (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487) no Envoy, que é usado no Cloud Service Mesh no GKE no VMware, que permite que um invasor causa uma negação de serviço ou uma falha no Envoy. Elas foram relatadas separadamente como GCP-2023-002, mas queremos garantir que os clientes do GKE Enterprise atualizem as versões que incluem ASM. O que fazer?O código das seguintes versões do GKE no VMware foi atualizado para corrigir essa vulnerabilidade. Recomendamos que você faça upgrade dos clusters de administrador e de usuário para um das versões do GKE no VMware a seguir:
Quais vulnerabilidades são corrigidas por esse patch?CVE-2023-27496: se o Envoy estiver em execução com o filtro OAuth ativado exposto, um ator malicioso poderá criar uma solicitação que causaria a negação do serviço por meio de uma falha do Envoy. CVE-2023-27488: os invasores podem usar essa vulnerabilidade para ignorar as verificações de autenticação quando ext_authz é usado. CVE-2023-27493: a configuração do Envoy também precisa incluir uma opção para adicionar cabeçalhos de solicitação que foram gerados usando entradas da solicitação, como o certificado de peering SAN. CVE-2023-27492: invasores podem enviar corpos de solicitação grandes para rotas com o filtro Lua ativado e acionar falhas. CVE-2023-27491: os invasores podem enviar solicitações HTTP/2 ou HTTP/3 criadas especificamente para acionar erros de análise no serviço HTTP/1 upstream.
CVE-2023-27487: o cabeçalho |
Alto |
GKE na AWS
Descrição | Gravidade |
---|---|
Foram descobertas várias vulnerabilidades (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487) no Envoy, que é usado no Cloud Service Mesh. Elas foram relatadas separadamente como GCP-2023-002. O GKE na AWS não é enviado com o ASM e não é afetado. O que fazer?Você não precisa fazer nada. |
Nenhum |
GKE no Azure
Descrição | Gravidade |
---|---|
Foram descobertas várias vulnerabilidades (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487) no Envoy, que é usado no Cloud Service Mesh. Elas foram relatadas separadamente como GCP-2023-002. O GKE on Azure não é enviado com o ASM e não é afetado. O que fazer?Você não precisa fazer nada. |
Nenhum |
GKE em bare metal
Descrição | Gravidade |
---|---|
Foram descobertas várias vulnerabilidades (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487) no Envoy, que é usado no Cloud Service Mesh no GKE em Bare Metal, que permite que um invasor causa uma negação de serviço ou uma falha no Envoy. Elas foram relatadas separadamente como GCP-2023-002, mas queremos garantir que os clientes do GKE Enterprise atualizem as versões que incluem ASM. O que fazer?O código das versões a seguir do GKE em bare metal foi atualizado para corrigir essa vulnerabilidade. Recomendamos que você faça upgrade dos clusters de administrador e de usuário para uma das versões do GKE em Bare Metal a seguir:
Quais vulnerabilidades são corrigidas por esse patch?CVE-2023-27496: se o Envoy estiver em execução com o filtro OAuth ativado exposto, um ator malicioso poderá criar uma solicitação que causaria a negação do serviço por meio de uma falha do Envoy. CVE-2023-27488: os invasores podem usar essa vulnerabilidade para ignorar as verificações de autenticação quando ext_authz é usado. CVE-2023-27493: a configuração do Envoy também precisa incluir uma opção para adicionar cabeçalhos de solicitação que foram gerados usando entradas da solicitação, como o certificado de peering SAN. CVE-2023-27492: invasores podem enviar corpos de solicitação grandes para rotas com o filtro Lua ativado e acionar falhas. CVE-2023-27491: os invasores podem enviar solicitações HTTP/2 ou HTTP/3 criadas especificamente para acionar erros de análise no serviço HTTP/1 upstream.
CVE-2023-27487: o cabeçalho |
Alto |
GCP-2023-015
Data de publicação: 20/06/2023
Referência: CVE-2023-0468
GKE
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2023-0468) foi descoberta na versão 5.15 do kernel do Linux que pode levar a uma negação de serviço no nó. Os clusters do GKE, incluindo os clusters do Autopilot, foram afetados. Os clusters do GKE que usam o GKE Sandbox não são afetados. O que fazer?O código das seguintes versões do GKE foi atualizado para corrigir essa vulnerabilidade. Por motivos de segurança, mesmo que você tenha ativado o upgrade automático de nós, recomendamos que faça upgrade manualmente dos clusters e pools de nós para uma das seguintes versões do GKE:
Um recurso recente dos canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição. Isso permite proteger os nós até que a nova versão se torne o padrão para o canal específico da versão. Quais vulnerabilidades estão sendo resolvidas?Na CVE-2023-0468, foi encontrada uma falha de uso após a liberação em io_uring/poll.c, em io_poll_check_events, no subcomponente de io_uring do Kernel do Linux. Essa falha pode causar uma desreferência de ponteiro NULL e, possivelmente, uma falha do sistema que leva à negação de serviço. |
Média |
GKE no VMware
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2023-0468) foi descoberta na versão 5.15 do kernel do Linux que pode levar a uma negação de serviço no nó. O GKE no VMware usa a versão 5.4 do kernel do Linux e não é afetado por essa CVE. O que fazer?
|
Nenhum |
GKE na AWS
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2023-0468) foi descoberta na versão 5.15 do kernel do Linux que pode levar a uma negação de serviço no nó. O GKE na AWS não é afetado por essa CVE. O que fazer?
|
Nenhum |
GKE no Azure
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2023-0468) foi descoberta na versão 5.15 do kernel do Linux que pode levar a uma negação de serviço no nó. O GKE no Azure não é afetado por essa CVE O que fazer?
|
Nenhum |
GKE em bare metal
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2023-0468) foi descoberta na versão 5.15 do kernel do Linux que pode levar a uma negação de serviço no nó. O Google Distributed Cloud Virtual para Bare Metal não é afetado por essa CVE. O que fazer?
|
Nenhum |
GCP-2023-014
Data de publicação: 15/06/2023
Data de atualização: 11/08/2023
Referência: CVE-2023-2727, CVE-2023-2728
Atualização de 11/08/2023: adição de versões de patch para o GKE no VMware, GKE na AWS, GKE no Azure e GKE em Bare Metal
GKE
Descrição | Gravidade |
---|---|
Foram descobertos dois novos problemas de segurança no Kubernetes em que os usuários podem iniciar contêineres que ignoram as restrições da política ao usar contêineres efêmeros e o ImagePolicyWebhook (CVE-2023-2727) ou o plug-in de admissão ServiceAccount (CVE-2023-2728). O GKE não usa o ImagePolicyWebhook e não é afetado pela CVE-2023-2727. Todas as versões do GKE são vulneráveis a CVE-2023-2728.O que fazer?O código das seguintes versões do GKE foi atualizado para corrigir essa vulnerabilidade. Por motivos de segurança, mesmo que você tenha ativado o upgrade automático de nós, recomendamos que faça upgrade manualmente dos clusters e pools de nós para uma das seguintes versões do GKE:
Um recurso recente dos canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição. Isso permite proteger os nós até que a nova versão se torne o padrão para o canal de lançamento específico. Quais vulnerabilidades estão sendo resolvidas?Com a CVE-2023-2727, os usuários podem iniciar contêineres usando imagens restritas pelo ImagePolicyWebhook durante o uso de contêineres temporários. Os clusters do Kubernetes só serão afetados se o plug-in de admissão ImagePolicyWebhook for usado com contêineres efêmeros. Essa CVE também pode ser atenuada com o uso de webhooks de validação, como Gatekeeper e Kyverno, para aplicar as mesmas restrições. Na CVE-2023-2728, os usuários podem iniciar contêineres que ignoram a política de chaves secretas montadas aplicadas pelo plug-in de admissão do ServiceAccount ao usar contêineres efêmeros. A política garante que os pods em execução com uma conta de serviço só possam fazer referência a chaves secretas especificadas no campo de chave secreta da conta de serviço. Os clusters serão afetados por essa vulnerabilidade se:
|
Média |
GKE no VMware
Atualização: 2023-08-11
Descrição | Gravidade |
---|---|
Dois novos problemas de segurança foram descobertos no Kubernetes, em que os usuários podem iniciar contêineres que ignoram as restrições de política ao usar contêineres efêmeros e o ImagePolicyWebhook (CVE-2023-2727) ou o plug-in de admissão ServiceAccount (CVE-2023-2728) O Anthos no VMware não usa ImagePolicyWebhook e não é afetado pelo CVE-2023-2727. Todas as versões do Anthos no VMware são vulneráveis a CVE-2023-2728. O que fazer?Atualização de 11/08/2023: as seguintes versões do GKE no VMware foram atualizadas com código para corrigir essa vulnerabilidade. Faça upgrade dos clusters de administrador e de usuário para uma das seguintes versões do GKE no VMware:
Quais vulnerabilidades estão sendo resolvidas?Com a CVE-2023-2727, os usuários podem iniciar contêineres usando imagens restritas pelo ImagePolicyWebhook durante o uso de contêineres temporários. Os clusters do Kubernetes só serão afetados se o plug-in de admissão ImagePolicyWebhook for usado com contêineres efêmeros. Essa CVE também pode ser atenuada com o uso de webhooks de validação, como Gatekeeper e Kyverno, para aplicar as mesmas restrições. Na CVE-2023-2728, os usuários podem iniciar contêineres que ignoram a política de chaves secretas montadas aplicadas pelo plug-in de admissão do ServiceAccount ao usar contêineres efêmeros. A política garante que os pods em execução com uma conta de serviço só possam fazer referência a chaves secretas especificadas no campo de chave secreta da conta de serviço. Os clusters serão afetados por essa vulnerabilidade se:
|
Média |
GKE na AWS
Atualização: 2023-08-11
Descrição | Gravidade |
---|---|
Foram descobertos dois novos problemas de segurança no Kubernetes em que os usuários podem iniciar contêineres que ignoram as restrições de política ao usar contêineres efêmeros e o ImagePolicyWebhook (CVE-2023-2727) ou o plug-in de admissão ServiceAccount (CVE-2023-2728) O que fazer?Atualização de 11/08/2023: a versão do GKE na AWS a seguir foi atualizada com código para corrigir essa vulnerabilidade. Faça upgrade dos nós para a seguinte versão do GKE na AWS:
Quais vulnerabilidades estão sendo resolvidas?Com a CVE-2023-2727, os usuários podem iniciar contêineres usando imagens restritas pelo ImagePolicyWebhook durante o uso de contêineres temporários. Os clusters do Kubernetes só serão afetados se o plug-in de admissão ImagePolicyWebhook for usado com contêineres efêmeros. Essa CVE também pode ser atenuada com o uso de webhooks de validação, como Gatekeeper e Kyverno, para aplicar as mesmas restrições. Na CVE-2023-2728, os usuários podem iniciar contêineres que ignoram a política de chaves secretas montadas aplicadas pelo plug-in de admissão do ServiceAccount ao usar contêineres efêmeros. A política garante que os pods em execução com uma conta de serviço só possam fazer referência a chaves secretas especificadas no campo de chave secreta da conta de serviço. Os clusters serão afetados por essa vulnerabilidade se:
|
Média |
GKE no Azure
Atualização: 2023-08-11
Descrição | Gravidade |
---|---|
Foram descobertos dois novos problemas de segurança no Kubernetes em que os usuários podem iniciar contêineres que ignoram as restrições de política ao usar contêineres efêmeros e o ImagePolicyWebhook (CVE-2023-2727) ou o plug-in de admissão ServiceAccount (CVE-2023-2728) O que fazer?Atualização de 11/08/2023: a versão do GKE no Azure a seguir foi atualizada com código para corrigir essa vulnerabilidade. Faça upgrade dos nós para a seguinte versão do GKE no Azure:
Quais vulnerabilidades estão sendo resolvidas?Com a CVE-2023-2727, os usuários podem iniciar contêineres usando imagens restritas pelo ImagePolicyWebhook durante o uso de contêineres temporários. Os clusters do Kubernetes só serão afetados se o plug-in de admissão ImagePolicyWebhook for usado com contêineres efêmeros. Essa CVE também pode ser atenuada com o uso de webhooks de validação, como Gatekeeper e Kyverno, para aplicar as mesmas restrições. Na CVE-2023-2728, os usuários podem iniciar contêineres que ignoram a política de chaves secretas montadas aplicadas pelo plug-in de admissão do ServiceAccount ao usar contêineres efêmeros. A política garante que os pods em execução com uma conta de serviço só possam fazer referência a chaves secretas especificadas no campo de chave secreta da conta de serviço. Os clusters serão afetados por essa vulnerabilidade se:
|
Média |
GKE em bare metal
Atualização: 2023-08-11
Descrição | Gravidade |
---|---|
Foram descobertos dois novos problemas de segurança no Kubernetes em que os usuários podem iniciar contêineres que ignoram as restrições de política ao usar contêineres efêmeros e o ImagePolicyWebhook (CVE-2023-2727) ou o plug-in de admissão ServiceAccount (CVE-2023-2728) O que fazer?Atualização de 11/08/2023: as seguintes versões do Google Distributed Cloud Virtual para Bare Metal foram atualizadas com código para corrigir essa vulnerabilidade. Faça upgrade dos nós para uma das seguintes versões do Google Distributed Cloud Virtual para Bare Metal:
Quais vulnerabilidades estão sendo resolvidas?Com a CVE-2023-2727, os usuários podem iniciar contêineres usando imagens restritas pelo ImagePolicyWebhook durante o uso de contêineres temporários. Os clusters do Kubernetes só serão afetados se o plug-in de admissão ImagePolicyWebhook for usado com contêineres efêmeros. Essa CVE também pode ser atenuada com o uso de webhooks de validação, como Gatekeeper e Kyverno, para aplicar as mesmas restrições. Na CVE-2023-2728, os usuários podem iniciar contêineres que ignoram a política de chaves secretas montadas aplicadas pelo plug-in de admissão do ServiceAccount ao usar contêineres efêmeros. A política garante que os pods em execução com uma conta de serviço só possam fazer referência a chaves secretas especificadas no campo de chave secreta da conta de serviço. Os clusters serão afetados por essa vulnerabilidade se:
|
Média |
GCP-2023-009
Data de publicação: 06/06/2023
Referência: CVE-2023-2878
GKE
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2023-2878) foi encontrada no secret-store-csi-driver, em que um ator com acesso aos registros do driver podia observar tokens de conta de serviço. Esses tokens podem ser trocados com provedores de nuvem externos para acessar chaves secretas armazenadas em soluções de nuvem. O GKE não é afetado por essa CVE. O que fazer?Embora o GKE não seja afetado, se você tiver instalado o componente secret-store-csi-driver, atualize a instalação com uma versão com patch. Quais vulnerabilidades são corrigidas por esse patch?A vulnerabilidade, CVE-2023-2878, foi descoberta no secret-store-csi-driver, em que um ator com acesso aos registros do driver podia observar tokens de conta de serviço. Esses tokens podem ser trocados com provedores de nuvem externos para acessar chaves secretas armazenadas em soluções de nuvem. Os tokens só são registrados quando TokenRequests está configurado no objeto CSIDriver e o driver está configurado para ser executado em nível de registro 2 ou superior por meio da sinalização -v. |
Nenhum |
GKE no VMware
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2023-2878) foi encontrada no secret-store-csi-driver, em que um ator com acesso aos registros do driver podia observar tokens de conta de serviço. Esses tokens podem ser trocados com provedores de nuvem externos para acessar chaves secretas armazenadas em soluções de nuvem. O GKE no VMware não é afetado por essa CVE. O que fazer?Embora o GKE on VMware não seja afetado, se você tiver instalado o componente secret-store-csi-driver, atualize a instalação com uma versão com patch. Quais vulnerabilidades são corrigidas por esse patch?A vulnerabilidade, CVE-2023-2878, foi descoberta no secret-store-csi-driver, em que um ator com acesso aos registros do driver podia observar tokens de conta de serviço. Esses tokens podem ser trocados com provedores de nuvem externos para acessar chaves secretas armazenadas em soluções de nuvem. Os tokens só são registrados quando TokenRequests está configurado no objeto CSIDriver e o driver está configurado para ser executado em nível de registro 2 ou superior por meio da sinalização -v. |
Nenhum |
GKE na AWS
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2023-2878) foi encontrada no secret-store-csi-driver, em que um ator com acesso aos registros do driver podia observar tokens de conta de serviço. Esses tokens podem ser trocados com provedores de nuvem externos para acessar chaves secretas armazenadas em soluções de nuvem. O GKE na AWS não é afetado por essa CVE. O que fazer?Embora o GKE na AWS não seja afetado, se você tiver instalado o componente secret-store-csi-driver, atualize a instalação com uma versão com patch. Quais vulnerabilidades são corrigidas por esse patch?A vulnerabilidade, CVE-2023-2878, foi descoberta no secret-store-csi-driver, em que um ator com acesso aos registros do driver podia observar tokens de conta de serviço. Esses tokens podem ser trocados com provedores de nuvem externos para acessar chaves secretas armazenadas em soluções de nuvem. Os tokens só são registrados quando TokenRequests está configurado no objeto CSIDriver e o driver está configurado para ser executado em nível de registro 2 ou superior por meio da sinalização -v. |
Nenhum |
GKE no Azure
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2023-2878) foi encontrada no secret-store-csi-driver, em que um ator com acesso aos registros do driver podia observar tokens de conta de serviço. Esses tokens podem ser trocados com provedores de nuvem externos para acessar chaves secretas armazenadas em soluções de nuvem. O GKE on Azure não é afetado por essa CVE O que fazer?Embora o GKE on Azure não seja afetado, se você tiver instalado o componente secret-store-csi-driver, atualize a instalação com uma versão com patch. Quais vulnerabilidades são corrigidas por esse patch?A vulnerabilidade, CVE-2023-2878, foi descoberta no secret-store-csi-driver, em que um ator com acesso aos registros do driver podia observar tokens de conta de serviço. Esses tokens podem ser trocados com provedores de nuvem externos para acessar chaves secretas armazenadas em soluções de nuvem. Os tokens só são registrados quando TokenRequests está configurado no objeto CSIDriver e o driver está configurado para ser executado em nível de registro 2 ou superior por meio da sinalização -v. |
Nenhum |
GKE em bare metal
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2023-2878) foi encontrada no secret-store-csi-driver, em que um ator com acesso aos registros do driver podia observar tokens de conta de serviço. Esses tokens podem ser trocados com provedores de nuvem externos para acessar chaves secretas armazenadas em soluções de nuvem. O GKE em bare metal não é afetado por essa CVE. O que fazer?Embora o GKE em Bare Metal não seja afetado, se você instalou o componente secret-store-csi-driver, atualize a instalação com uma versão com patch Quais vulnerabilidades são corrigidas por esse patch?A vulnerabilidade, CVE-2023-2878, foi descoberta no secret-store-csi-driver, em que um ator com acesso aos registros do driver podia observar tokens de conta de serviço. Esses tokens podem ser trocados com provedores de nuvem externos para acessar chaves secretas armazenadas em soluções de nuvem. Os tokens só são registrados quando TokenRequests está configurado no objeto CSIDriver e o driver está configurado para ser executado em nível de registro 2 ou superior por meio da sinalização -v. |
Nenhum |
GCP-2023-008
Data de publicação: 05/06/2023
Referência: CVE-2023-1872
GKE
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2023-1872) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios para raiz no nó. Os clusters do GKE Standard e do Autopilot são afetados. Os clusters que usam o GKE Sandbox não são afetados. O que fazer?O código das seguintes versões do GKE foi atualizado para corrigir essa vulnerabilidade. Por motivos de segurança, mesmo que você tenha ativado o upgrade automático de nós, recomendamos que faça upgrade manualmente dos clusters e pools de nós para uma das seguintes versões do GKE:
Um recurso recente dos canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição. Isso permite proteger os nós até que a nova versão se torne o padrão para o canal específico da versão. Quais vulnerabilidades são corrigidas por esse patch?A CVE-2023-1872 é uma vulnerabilidade de uso após a liberação no subsistema io_uring do kernel do Linux que pode ser explorada para alcançar o escalonamento de privilégios locais. A função |
Alto |
GKE no VMware
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2023-1872) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios para raiz no nó. O que fazer?Quais vulnerabilidades são corrigidas por esse patch?A CVE-2023-1872 é uma vulnerabilidade de uso após a liberação no subsistema io_uring do kernel do Linux que pode ser explorada para alcançar o escalonamento de privilégios locais. A função |
Alto |
GKE na AWS
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2023-1872) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios para raiz no nó. O que fazer?O código das seguintes versões do GKE na AWS foi atualizado para corrigir essas vulnerabilidades: Quais vulnerabilidades são corrigidas por esse patch?A CVE-2023-1872 é uma vulnerabilidade de uso após a liberação no subsistema io_uring do kernel do Linux que pode ser explorada para alcançar o escalonamento de privilégios locais. A função |
Alto |
GKE no Azure
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2023-1872) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios para raiz no nó. O que fazer?As seguintes versões do GKE on Azure foram atualizadas com código para corrigir essas vulnerabilidades: Quais vulnerabilidades são corrigidas por esse patch?A CVE-2023-1872 é uma vulnerabilidade de uso após a liberação no subsistema io_uring do kernel do Linux que pode ser explorada para alcançar o escalonamento de privilégios locais. A função |
Alto |
GKE em bare metal
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2023-1872) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios para raiz no nó. O GKE em bare metal não é afetado por essa CVE. O que fazer?Nenhuma ação é necessária. |
Nenhum |
GCP-2023-005
Data de publicação: 18/05/2023
Data de atualização: 06/06/2023
Referência: CVE-2023-1281, CVE-2023-1829
Atualização de 06/06/2023: novas versões do GKE foram atualizadas para incluir as versões mais recentes do Ubuntu que corrigem CVE-2023-1281 e CVE-2023-1829.
GKE
Data de atualização: 06/06/2023
Descrição | Gravidade |
---|---|
Duas novas vulnerabilidades (CVE-2023-1281, CVE-2023-1829) foram descobertas no kernel do Linux, o que pode levar a um escalonamento de privilégios na raiz do nó. Os clusters do GKE Standard são afetados. Os clusters do GKE Autopilot e os clusters que usam o GKE Sandbox não são afetados. O que fazer?Atualização de 06/06/2023: versões de patch do Ubuntu estão disponíveis. As seguintes versões do GKE foram atualizadas para incluir as versões mais recentes do Ubuntu que corrigem CVE-2023-1281 e CVE-2023-1829:
O código das seguintes versões do GKE foi atualizado para corrigir essa vulnerabilidade. Por motivos de segurança, mesmo que você tenha ativado o upgrade automático de nós, recomendamos que faça upgrade manualmente dos clusters e pools de nós para uma das seguintes versões do GKE:
Um recurso recente dos canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição. Isso permite proteger os nós até que a nova versão se torne o padrão para o canal específico da versão. Quais vulnerabilidades são corrigidas por esse patch?Tanto a CVE-2023-1281 quanto a CVE-2023-1829 são vulnerabilidades de uso livre no filtro de índice de controle de tráfego do Linux (tcindex), que podem ser exploradas para alcançar o escalonamento de privilégios locais. Com a CVE-2023-1829, a função tcindex_delete não desativa corretamente os filtros em determinados casos, o que pode levar à liberação dupla de uma estrutura de dados. Na CVE-2023-1281, a área de hash imperfeita pode ser atualizada enquanto os pacotes estão em transferência, o que causa um uso após a liberação quando |
Alto |
GKE no VMware
Descrição | Gravidade |
---|---|
Duas novas vulnerabilidades (CVE-2023-1281, CVE-2023-1829) foram descobertas no kernel do Linux, o que pode levar a um escalonamento de privilégios na raiz do nó. O que fazer?Quais vulnerabilidades são corrigidas por esse patch?Tanto a CVE-2023-1281 quanto a CVE-2023-1829 são vulnerabilidades de uso livre no filtro de índice de tráfego de tráfego (tcindex) do Linux, que podem ser exploradas para alcançar o escalonamento de privilégios locais. Com a CVE-2023-1829, a função tcindex_delete não desativa corretamente os filtros em determinados casos, o que pode levar à liberação dupla de uma estrutura de dados. Na CVE-2023-1281, a área de hash imperfeita pode ser atualizada enquanto os pacotes estão em transferência, o que causa um uso após a liberação quando |
Alto |
GKE na AWS
Descrição | Gravidade |
---|---|
Duas novas vulnerabilidades (CVE-2023-1281, CVE-2023-1829) foram descobertas no kernel do Linux, o que pode levar a um escalonamento de privilégios na raiz do nó. O que fazer?Quais vulnerabilidades são corrigidas por esse patch?Tanto a CVE-2023-1281 quanto a CVE-2023-1829 são vulnerabilidades de uso livre no filtro de índice de tráfego de tráfego (tcindex) do Linux, que podem ser exploradas para alcançar o escalonamento de privilégios locais. Com a CVE-2023-1829, a função tcindex_delete não desativa corretamente os filtros em determinados casos, o que pode levar à liberação dupla de uma estrutura de dados. Na CVE-2023-1281, a área de hash imperfeita pode ser atualizada enquanto os pacotes estão em transferência, o que causa um uso após a liberação quando |
Alto |
GKE no Azure
Descrição | Gravidade |
---|---|
Duas novas vulnerabilidades (CVE-2023-1281, CVE-2023-1829) foram descobertas no kernel do Linux, o que pode levar a um escalonamento de privilégios na raiz do nó. O que fazer?Quais vulnerabilidades são corrigidas por esse patch?Tanto a CVE-2023-1281 quanto a CVE-2023-1829 são vulnerabilidades de uso livre no filtro de índice de tráfego de tráfego (tcindex) do Linux, que podem ser exploradas para alcançar o escalonamento de privilégios locais. Com a CVE-2023-1829, a função tcindex_delete não desativa corretamente os filtros em determinados casos, o que pode levar à liberação dupla de uma estrutura de dados. Na CVE-2023-1281, a área de hash imperfeita pode ser atualizada enquanto os pacotes estão em transferência, o que causa um uso após a liberação quando |
Alto |
GKE em bare metal
Descrição | Gravidade |
---|---|
Duas novas vulnerabilidades (CVE-2023-1281, CVE-2023-1829) foram descobertas no kernel do Linux, o que pode levar a um escalonamento de privilégios na raiz do nó. O GKE em bare metal não é afetado por essa CVE. O que fazer?Nenhuma ação é necessária. |
Nenhum |
GCP-2023-003
Data de publicação: 11/04/2023
Data de atualização: 21/12/2023
Referência: CVE-2023-0240, CVE-2023-23586
Atualização de 21/12/2023 : esclarecemos que os clusters do GKE Autopilot na configuração padrão não são afetados.
GKE
Atualização: 21/12/2023
Descrição | Gravidade |
---|---|
Atualização de 21/12/2023: o boletim original afirmava que os clusters do Autopilot
foram afetados, mas isso estava incorreto. Os clusters do Autopilot do GKE
na configuração padrão não são afetados, mas podem ficar vulneráveis se você
definir explicitamente o perfil Unconfined do seccomp ou
permitir Duas novas vulnerabilidades, CVE-2023-0240 e CVE-2023-23586, foram descobertas no kernel do Linux que poderiam permitir que um usuário sem privilégios aumentasse os privilégios. Os clusters do GKE, incluindo os clusters do Autopilot, com o COS usando o kernel do Linux versão 5.10 até 5.10.162 são afetados. Os clusters do GKE que usam imagens do Ubuntu ou o GKE Sandbox não são afetados. O que fazer?As versões do GKE a seguir foram atualizadas com código para corrigir essas vulnerabilidades. Por motivos de segurança, mesmo que você tenha ativado o upgrade automático de nós, recomendamos que faça upgrade manualmente dos pools de nós para uma das seguintes versões do GKE:
Um recurso recente dos canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição. Isso permite proteger os nós até que a nova versão se torne o padrão para o canal específico da versão. Quais vulnerabilidades são corrigidas por esse patch?Vulnerabilidade 1 (CVE-2023-0240): uma disputa em Vulnerabilidade 2 (CVE-2023-23586): um uso após o uso gratuito (UAF, na sigla em inglês) em |
Alto |
GKE no VMware
Descrição | Gravidade |
---|---|
Duas novas vulnerabilidades, CVE-2023-0240 e CVE-2023-23586, foram descobertas no kernel do Linux que poderiam permitir que um usuário sem privilégios aumentasse os privilégios. Os clusters do GKE no VMware com COS que usam o Linux Kernel versão 5.10 até 5.10.162 são afetados. Os clusters do GKE Enterprise que usam imagens do Ubuntu não são afetados. O que fazer?O código das seguintes versões do GKE no VMware foi atualizado para corrigir estas vulnerabilidades:
Quais vulnerabilidades são corrigidas por esse patch?Vulnerabilidade 1 (CVE-2023-0240): uma disputa em Vulnerabilidade 2 (CVE-2023-23586): um uso após o uso gratuito (UAF, na sigla em inglês) em |
Alto |
GKE na AWS
Descrição | Gravidade |
---|---|
Duas novas vulnerabilidades, CVE-2023-0240 e CVE-2023-23586, foram descobertas no kernel do Linux que poderiam permitir que um usuário sem privilégios aumentasse os privilégios. O GKE na AWS não é afetado por essas CVEs. O que fazer?Nenhuma ação é necessária. |
Nenhum |
GKE no Azure
Descrição | Gravidade |
---|---|
Duas novas vulnerabilidades, CVE-2023-0240 e CVE-2023-23586, foram descobertas no kernel do Linux que poderiam permitir que um usuário sem privilégios aumentasse os privilégios. O GKE on Azure não é afetado por essas CVEs O que fazer?Nenhuma ação é necessária. |
Nenhum |
GKE em bare metal
Descrição | Gravidade |
---|---|
Duas novas vulnerabilidades, CVE-2023-0240 e CVE-2023-23586, foram descobertas no kernel do Linux que poderiam permitir que um usuário sem privilégios aumentasse os privilégios. O GKE em bare metal não é afetado por essas CVEs. O que fazer?Nenhuma ação é necessária. |
Nenhum |
GCP-2023-001
Data de publicação: 01/03/2023
Data de atualização: 21/12/2023
Referência: CVE-2022-4696
Atualização de 21/12/2023 : esclarecemos que os clusters do GKE Autopilot na configuração padrão não são afetados.
GKE
Descrição | Gravidade |
---|---|
Atualização de 21/12/2023: o boletim original afirmava que os clusters do Autopilot
foram afetados, mas isso estava incorreto. Os clusters do Autopilot do GKE
na configuração padrão não são afetados, mas podem ficar vulneráveis se você
definir explicitamente o perfil Unconfined do seccomp ou
permitir Uma nova vulnerabilidade (CVE-2022-4696) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó. Os clusters do GKE, incluindo os clusters do Autopilot, foram afetados. Os clusters do GKE que usam o GKE Sandbox não são afetados. O que fazer?O código das seguintes versões do GKE foi atualizado para corrigir essa vulnerabilidade. Por motivos de segurança, mesmo que você tenha ativado o upgrade automático de nós, recomendamos que faça upgrade manualmente dos seus clusters e pools de nós para uma das seguintes versões do GKE:
Um recurso recente dos canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição. Isso permite proteger os nós até que a nova versão se torne o padrão para o canal específico da versão. Quais vulnerabilidades são corrigidas por esse patch?Com a CVE-2022-4696, foi encontrada uma falha de uso após a liberação em io_uring e ioring_op_splice no kernel do Linux. Essa falha permite que um usuário local crie um escalonamento de privilégios local. |
Alto |
GKE no VMware
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2022-4696) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó. O GKE no VMware que executa a v1.12 e a v1.13 é afetado. O GKE no VMware que executa a v1.14 ou mais recente não é afetado. O que fazer?O código das seguintes versões do GKE no VMware foi atualizado para corrigir essa vulnerabilidade. Recomendamos que você faça upgrade dos clusters de administrador e de usuário para um das versões do GKE no VMware a seguir:
Quais vulnerabilidades são corrigidas por esse patch?Com a CVE-2022-4696, foi encontrada uma falha de uso após a liberação em io_uring e ioring_op_splice no kernel do Linux. Essa falha permite que um usuário local crie um escalonamento de privilégios local. |
Alto |
GKE na AWS
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2022-4696) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó. O GKE na AWS não é afetado por essa vulnerabilidade. O que fazer?Você não precisa fazer nada. |
Nenhum |
GKE no Azure
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2022-4696) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó. O GKE on Azure não é afetado por essa vulnerabilidade. O que fazer?Você não precisa fazer nada. |
Nenhum |
GKE em bare metal
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2022-4696) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó. O GKE em bare metal não é afetado por essa vulnerabilidade. O que fazer?Você não precisa fazer nada. |
Nenhum |
GCP-2022-026
Publicado: 11-01-2023
Referência: CVE-2022-3786, CVE-2022-3602
GKE
Descrição | Gravidade |
---|---|
Duas novas vulnerabilidades (CVE-2022-3786 e CVE-2022-3602) foram descobertas no OpenSSL v3.0.6 que podem causar uma falha. Embora ela tenha sido avaliada como alta no banco de dados do NVD, os endpoints do GKE usam boringSSL ou uma versão mais antiga do OpenSSL que não é afetada. Portanto, a classificação foi reduzida a média para o GKE. O que fazer?O código das seguintes versões do GKE foi atualizado para corrigir essa vulnerabilidade:
Um recurso recente dos canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição. Isso permite proteger os nós até que a nova versão se torne o padrão para o canal específico da versão. Quais vulnerabilidades são corrigidas por esse patch?Com a CVE-2022-3786 e a CVE-2022-3602, uma sobrecarga de buffer pode ser acionada na verificação de certificado X.509, o que pode causar uma falha que resultará em negação de serviço. Para ser explorada, essa vulnerabilidade exige que uma CA assine um certificado malicioso ou que um aplicativo continue a verificação do certificado, mesmo que não seja possível criar um caminho para um emissor confiável. |
Média |
GKE no VMware
Descrição | Gravidade |
---|---|
Duas novas vulnerabilidades (CVE-2022-3786 e CVE-2022-3602) foram descobertas no OpenSSL v3.0.6 que podem causar uma falha. O que fazer?O GKE no VMware não é afetado por essa CVE porque não usa uma versão afetada do OpenSSL. Quais vulnerabilidades são corrigidas por esse patch?Nenhuma ação é necessária. |
Nenhum |
GKE na AWS
Descrição | Gravidade |
---|---|
Duas novas vulnerabilidades (CVE-2022-3786 e CVE-2022-3602) foram descobertas no OpenSSL v3.0.6 que podem causar uma falha. O que fazer?O GKE na AWS não é afetado por essa CVE porque não usa uma versão afetada do OpenSSL. Quais vulnerabilidades são corrigidas por esse patch?Nenhuma ação é necessária. |
Nenhum |
GKE no Azure
Descrição | Gravidade |
---|---|
Duas novas vulnerabilidades (CVE-2022-3786 e CVE-2022-3602) foram descobertas no OpenSSL v3.0.6 que podem causar uma falha. O que fazer?O GKE on Azure não é afetado por essa CVE porque não usa uma versão afetada do OpenSSL. Quais vulnerabilidades são corrigidas por esse patch?Nenhuma ação é necessária. |
Nenhum |
GKE em bare metal
Descrição | Gravidade |
---|---|
Duas novas vulnerabilidades (CVE-2022-3786 e CVE-2022-3602) foram descobertas no OpenSSL v3.0.6 que podem causar uma falha. O que fazer?O GKE em Bare Metal não é afetado por essa CVE porque não usa uma versão afetada do OpenSSL. Quais vulnerabilidades são corrigidas por esse patch?Nenhuma ação é necessária. |
Nenhum |
GCP-2022-025
Data de publicação: 21/12/2022
Data de atualização: 19/01/2023, 21/12/2023
Referência: CVE-2022-2602
Atualização de 21/12/2023 : esclarecemos que os clusters do GKE Autopilot na configuração padrão não são afetados.
Atualização de 19/01/2023: a versão 1.21.14-gke.14100 do GKE está disponível.
GKE
Atualização: 19/01/2023
Descrição | Gravidade |
---|---|
Atualização de 21/12/2023: o boletim original afirmava que os clusters do Autopilot
foram afetados, mas isso estava incorreto. Os clusters do Autopilot do GKE
na configuração padrão não são afetados, mas podem ficar vulneráveis se você
definir explicitamente o perfil Unconfined do seccomp ou
permitir Uma nova vulnerabilidade (CVE-2022-2602) foi descoberta no subsistema io_uring no kernel do Linux e pode permitir que um invasor execute um código arbitrário. Os clusters do GKE, incluindo os clusters do Autopilot, foram afetados. Os clusters do GKE que usam o GKE Sandbox não são afetados. O que fazer?Atualização de 19/01/2023: a versão 1.21.14-gke.14100 está disponível. Faça upgrade dos pools de nós para essa versão ou mais recente. O código das seguintes versões do GKE foi atualizado para corrigir essa vulnerabilidade em uma versão futura. Por motivos de segurança, mesmo que você tenha ativado o upgrade automático de nós, recomendamos que faça upgrade manualmente dos pools de nós para uma das seguintes versões do GKE:
Um recurso recente dos canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição. Isso permite proteger os nós até que a nova versão se torne o padrão para o canal específico da versão. Quais vulnerabilidades são corrigidas por esse patch?Na CVE-2022-2602, uma condição de corrida entre o processamento de solicitações io_uring e a coleta de lixo de soquete Unix pode causar uma vulnerabilidade de uso após a liberação. Um invasor local pode usar isso para acionar uma negação de serviço ou possivelmente executar um código arbitrário. |
Alto |
GKE no VMware
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2022-2602) foi descoberta no subsistema io_uring no kernel do Linux e pode permitir que um invasor execute um código arbitrário. As versões 1.11, 1.12 e 1.13 do GKE no VMware foram afetadas. O que fazer?Faça upgrade do cluster para uma versão com patch. As seguintes versões do GKE no VMware contêm um código que corrige essa vulnerabilidade:
Quais vulnerabilidades são corrigidas por esse patch?Na CVE-2022-2602, uma condição de corrida entre o processamento de solicitações io_uring e a coleta de lixo de soquete Unix pode causar uma vulnerabilidade de uso após a liberação. Um invasor local pode usar isso para acionar uma negação de serviço ou possivelmente executar um código arbitrário. |
Alto |
GKE na AWS
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2022-2602) foi descoberta no subsistema io_uring no kernel do Linux e pode permitir que um invasor execute um código arbitrário. O que fazer?As seguintes versões atuais e anteriores do GKE na AWS foram atualizadas com código para corrigir essa vulnerabilidade. Recomendamos que você faça upgrade dos nós para uma das seguintes versões do GKE na AWS:
Quais vulnerabilidades são corrigidas por esse patch?Na CVE-2022-2602, uma condição de corrida entre o processamento de solicitações io_uring e a coleta de lixo de soquete Unix pode causar uma vulnerabilidade de uso após a liberação. Um invasor local pode usar isso para acionar uma negação de serviço ou possivelmente executar um código arbitrário. |
Alto |
GKE no Azure
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2022-2602) foi descoberta no subsistema io_uring no kernel do Linux e pode permitir que um invasor execute um código arbitrário. O que fazer?O código das seguintes versões do GKE no Azure foi atualizado para corrigir essa vulnerabilidade. Recomendamos que você faça upgrade dos nós para uma das seguintes versões do GKE on Azure:
Quais vulnerabilidades são corrigidas por esse patch?Na CVE-2022-2602, uma condição de corrida entre o processamento de solicitações io_uring e a coleta de lixo de soquete Unix pode causar uma vulnerabilidade de uso após a liberação. Um invasor local pode usar isso para acionar uma negação de serviço ou possivelmente executar um código arbitrário. |
Alto |
GKE em bare metal
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2022-2602) foi descoberta no subsistema io_uring no kernel do Linux e pode permitir que um invasor execute um código arbitrário. O GKE em Bare Metal não é afetado por essa CVE porque não agrupa um sistema operacional na distribuição dele. O que fazer?Nenhuma ação é necessária. |
Nenhum |
GCP-2022-024
Publicado em: 09/11/2022
Atualizado em: 19/01/2023
Referência: CVE-2022-2585, CVE-2022-2588
Atualização de 19/01/2023: a versão 1.21.14-gke.14100 do GKE está disponível.
Atualização de 16/12/2022: adição de versões de patch revisadas para o GKE e
o GKE no VMware.
GKE
Atualização: 19/01/2023
Descrição | Gravidade |
---|---|
Duas novas vulnerabilidades (CVE-2022-2585 e CVE-2022-2588) foram descobertas no kernel do Linux que podem levar a uma divisão completa do contêiner para raiz do nó. Os clusters do GKE, incluindo os clusters do Autopilot, foram afetados. Os clusters do GKE que usam o GKE Sandbox não são afetados. O que fazer?Atualização de 19/01/2023: a versão 1.21.14-gke.14100 está disponível. Faça upgrade dos pools de nós para essa versão ou mais recente. Atualização de 16/12/2022: uma versão anterior do boletim foi revisada devido a uma regressão de lançamento. Faça upgrade manual dos pools de nós para uma das seguintes versões do GKE:
O código das seguintes versões do GKE foi atualizado para corrigir essa vulnerabilidade. Por motivos de segurança, mesmo que você tenha ativado o upgrade automático de nós, recomendamos que faça upgrade manualmente dos pools de nós para uma das seguintes versões do GKE:
As atualizações do GKE v1.22, 1.23 e 1.25 serão disponibilizadas em breve. Este boletim de segurança será atualizado quando estiver disponível. Um recurso recente dos canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição. Isso permite proteger os nós até que a nova versão se torne o padrão para o canal específico da versão. Quais vulnerabilidades são corrigidas por esse patch?
|
Alto |
GKE no VMware
Atualizado: 16/12/2022
Descrição | Gravidade |
---|---|
Duas novas vulnerabilidades (CVE-2022-2585 e CVE-2022-2588) foram descobertas no kernel do Linux que podem levar a uma divisão completa do contêiner para raiz do nó. As versões 1.13, 1.12 e 1.11 do GKE no VMware foram afetadas. O que fazer?Atualização de 16/12/2022: as seguintes versões do GKE no VMware foram atualizadas com código para corrigir essa vulnerabilidade. Recomendamos que você faça upgrade dos clusters de administrador e de usuário para uma das seguintes versões do GKE no VMware:
Quais vulnerabilidades são corrigidas por esse patch?
|
Alto |
GKE na AWS
Descrição | Gravidade |
---|---|
Duas novas vulnerabilidades (CVE-2022-2585 e CVE-2022-2588) foram descobertas no kernel do Linux que podem levar a uma divisão completa do contêiner para raiz do nó. As seguintes versões do Kubernetes na AWS podem ser afetadas:
O Kubernetes V1.24 não foi afetado. O que fazer?Recomendamos que você faça upgrade dos clusters para uma das seguintes versões do Kubernetes da AWS:
Quais vulnerabilidades estão sendo resolvidas?Com a CVE-2022-2585, a limpeza inadequada dos timers no temporizador de CPU posix permite uma exploração de uso após a liberação, dependendo de como os temporizadores são criados e excluídos. Na CVE-2022-2588, encontramos uma falha de uso após a liberação em route4_change no kernel do Linux. Essa falha permite que um usuário local cause uma falha no sistema e possivelmente leve a um escalonamento de privilégios local. |
Alto |
GKE no Azure
Descrição | Gravidade |
---|---|
Duas novas vulnerabilidades (CVE-2022-2585 e CVE-2022-2588) foram descobertas no kernel do Linux que podem levar a uma divisão completa do contêiner para raiz do nó. As seguintes versões do Kubernetes no Azure podem ser afetadas:
O Kubernetes V1.24 não foi afetado. O que fazer?Recomendamos que você faça upgrade dos clusters para uma das seguintes versões do Azure Kubernetes:
Quais vulnerabilidades estão sendo resolvidas?Com a CVE-2022-2585, a limpeza inadequada dos timers no temporizador de CPU posix permite uma exploração de uso após a liberação, dependendo de como os temporizadores são criados e excluídos. Na CVE-2022-2588, encontramos uma falha de uso após a liberação em route4_change no kernel do Linux. Essa falha permite que um usuário local cause uma falha no sistema e possivelmente leve a um escalonamento de privilégios local. |
Alto |
GKE em bare metal
Descrição | Gravidade |
---|---|
Duas novas vulnerabilidades (CVE-2022-2585 e CVE-2022-2588) foram descobertas no kernel do Linux que podem levar a uma divisão completa do contêiner para raiz do nó. O Cloud em bare metal não é afetado por essa CVE porque não agrupa um sistema operacional na distribuição dele. O que fazer?Nenhuma ação é necessária. |
Nenhum |
GCP-2022-023
Data de publicação: 04-11-2022
Referência: CVE-2022-39278
GKE
Descrição | Gravidade |
---|---|
Uma vulnerabilidade de segurança, CVE-2022-39278, foi descoberta no Istio, que é usada no Cloud Service Mesh, o que permite que um invasor ataque o plano de controle. O que fazer?O Google Kubernetes Engine (GKE) não é enviado com o Istio e não é afetado por essa vulnerabilidade. No entanto, se você instalou separadamente o Cloud Service Mesh ou o Istio no cluster do GKE, consulte GCP-2022-020, o boletim de segurança do Cloud Service Mesh nesta CVE. para mais informações. |
Nenhum |
GKE no VMware
Descrição | Gravidade |
---|---|
Foi descoberta uma vulnerabilidade de segurança, CVE-2022-39278, no Istio. Ela é usada no Cloud Service Mesh no GKE no VMware. Isso permite que um invasor ataque o plano de controle do Istio. O que fazer?O código das seguintes versões do GKE no VMware foi atualizado para corrigir essa vulnerabilidade. Recomendamos que você faça upgrade dos clusters de administrador e de usuário para um das versões do GKE no VMware a seguir:
Quais vulnerabilidades são corrigidas por esse patch?
Com a vulnerabilidade CVE-2022-39278, o plano de controle do Istio |
Alto |
GKE na AWS
Descrição | Gravidade |
---|---|
Foi descoberta uma vulnerabilidade de segurança, CVE-2022-39278, no Istio. Ela é usada no Cloud Service Mesh, o que permite que um invasor ataque o plano de controle. O que fazer?O GKE na AWS não é afetado por essa vulnerabilidade, e nenhuma ação é necessária. |
Nenhum |
GKE no Azure
Descrição | Gravidade |
---|---|
Foi descoberta uma vulnerabilidade de segurança, CVE-2022-39278, no Istio. Ela é usada no Cloud Service Mesh, o que permite que um invasor ataque o plano de controle. O que fazer?O Anthos no GKE não é afetado por essa vulnerabilidade, e nenhuma ação é necessária. |
Nenhum |
GKE em bare metal
Descrição | Gravidade |
---|---|
Foi descoberta uma vulnerabilidade de segurança, CVE-2022-39278, no Istio. Ela é usada no Cloud Service Mesh no GKE em Bare Metal, o que permite que um invasor ataque o plano de controle do Istio. O que fazer?O código das versões a seguir do GKE em bare metal foi atualizado para corrigir essa vulnerabilidade. Recomendamos que você faça upgrade dos clusters para uma das seguintes versões do GKE em bare metal:
Quais vulnerabilidades são corrigidas por esse patch?
Com a vulnerabilidade CVE-2022-39278, o plano de controle do Istio |
Alto |
GCP-2022-022-updated
Data de publicação: 18/12/2022
Referência: CVE-2022-20409
GKE
Atualizado: 14/12/2022
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade CVE-2022-20409, foi descoberta no kernel do Linux que pode levar ao escalonamento de privilégios locais. Os clusters do Google Kubernetes Engine (GKE) v1.22, v1.23 e v1.24, incluindo clusters do Autopilot, que usam o Container-Optimized OS versões 93 e 97 são afetados. Outras versões compatíveis do GKE não são afetadas. Os clusters do GKE que usam o GKE Sandbox não são afetados. O que fazer?Atualização de 14/12/2022: uma versão anterior do boletim foi revisada devido a uma regressão de lançamento. Faça upgrade manual dos pools de nós para uma das seguintes versões do GKE:
O código das versões a seguir do GKE que usam o Container-Optimized OS 93 e 97 foi atualizado para corrigir essa vulnerabilidade em uma versão futura. Por motivos de segurança, mesmo que você tenha ativado o upgrade automático de nós, recomendamos que faça upgrade manualmente dos pools de nós para uma das seguintes versões do GKE:
Um recurso recente dos canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição em um canal. Esse recurso permite que você proteja os nós até que a nova versão se torne o padrão para o canal específico da versão. Quais vulnerabilidades são corrigidas por esse patch?Com a CVE-2022-20409, o kernel do Linux tem uma vulnerabilidade em io_identity_cow do subsistema io_urs. Existe um potencial de corrupção de memória devido a uma vulnerabilidade de Use-After-Free (UAF, na sigla em inglês). Um invasor local pode usar essa corrupção de memória para negação de serviço (falha do sistema) ou possivelmente executar código arbitrário. |
Alto |
GKE no VMware
Atualizado: 14/12/2022
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2022-20409) foi descoberta no kernel do Linux que pode levar ao escalonamento de privilégios locais. O que fazer?Atualização de 14/12/2022: as versões a seguir do GKE no VMware para Ubuntu foram atualizadas com código para corrigir essa vulnerabilidade. Recomendamos que você faça upgrade dos nós para uma das seguintes versões do GKE no VMware:
Quais vulnerabilidades são corrigidas por esse patch?Com a CVE-2022-20409, o kernel do Linux tem uma vulnerabilidade em io_identity_cow do subsistema io_urs. Existe um potencial de corrupção de memória devido a uma vulnerabilidade de Use-After-Free (UAF, na sigla em inglês). Um invasor local pode usar essa corrupção de memória para negação de serviço (falha do sistema) ou possivelmente executar código arbitrário. |
Alto |
GKE na AWS
Descrição | Gravidade |
---|---|
Foi descoberta uma nova vulnerabilidade, a CVE-2022-20409, no kernel do Linux que poderia permitir que um usuário sem privilégios encaminhe para o privilégio de execução do sistema. O que fazer?Nenhuma ação é necessária. O GKE na AWS não usa as versões afetadas do kernel do Linux. Quais vulnerabilidades são corrigidas por esse patch?Com a CVE-2022-20409, o kernel do Linux tem uma vulnerabilidade em io_identity_cow do subsistema io_urs. Existe um potencial de corrupção de memória devido a uma vulnerabilidade de Use-After-Free (UAF, na sigla em inglês). Um invasor local pode usar essa corrupção de memória para negação de serviço (falha do sistema) ou possivelmente executar código arbitrário. |
Nenhum |
GKE no Azure
Descrição | Gravidade |
---|---|
Foi descoberta uma nova vulnerabilidade, a CVE-2022-20409, no kernel do Linux que poderia permitir que um usuário sem privilégios encaminhe para o privilégio de execução do sistema. O que fazer?Nenhuma ação é necessária. O GKE on Azure não usa as versões afetadas do kernel do Linux. Quais vulnerabilidades são corrigidas por esse patch?Com a CVE-2022-20409, o kernel do Linux tem uma vulnerabilidade em io_identity_cow do subsistema io_urs. Existe um potencial de corrupção de memória devido a uma vulnerabilidade de Use-After-Free (UAF, na sigla em inglês). Um invasor local pode usar essa corrupção de memória para negação de serviço (falha do sistema) ou possivelmente executar código arbitrário. |
Nenhum |
GKE em bare metal
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2022-20409) foi descoberta no kernel do Linux que pode levar ao escalonamento de privilégios locais. O que fazer?
|
Nenhum |
GCP-2022-021
Data de publicação: 27/10/2022
Data de atualização: 19/01/2023, 21/12/2023
Referência: CVE-2022-3176
Atualização de 21/12/2023 : esclarecemos que os clusters do GKE Autopilot na configuração padrão não são afetados.
Atualização de 19/01/2023: a versão 1.21.14-gke.14100 do GKE está disponível.
Atualização de 15/12/2022: informações atualizadas de que a versão 1.21.14-gke.9400 do Google Kubernetes Engine está com lançamento pendente e pode ser substituída por um número de versão mais recente.
Atualização de 21/11/2022: foram adicionadas versões de patch para
o GKE no VMware, o GKE na AWS e o GKE no Azure.
GKE
Atualização: 2023-01-19, 2023-12-21
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2022-3176) foi descoberta no kernel do Linux que pode levar ao escalonamento de privilégios locais. Com essa vulnerabilidade, um usuário sem privilégios pode realizar uma invasão de contêiner completa com acesso root no nó. Atualização de 21/12/2023: o boletim original afirmava que os clusters do Autopilot
foram afetados, mas isso estava incorreto. Os clusters do Autopilot do GKE
na configuração padrão não são afetados, mas podem ficar vulneráveis se você
definir explicitamente o perfil Unconfined do seccomp ou
permitir Os clusters do Google Kubernetes Engine (GKE) v1.21, incluindo clusters do Autopilot, que usam o Container-Optimized OS versão 89 são afetados. As versões posteriores do GKE não são afetadas. Todos os clusters do Linux com Ubuntu são afetados. Os clusters do GKE que usam o GKE Sandbox não são afetados. O que fazer?Atualização de 19/01/2023: a versão 1.21.14-gke.14100 está disponível. Faça upgrade dos pools de nós para essa versão ou mais recente. Atualização de 15/12/2022:a versão 1.21.14-gke.9400 está com lançamento pendente e pode ser substituída por um número de versão mais recente. Este documento vai ser atualizado quando a nova versão for disponibilizada. O código das seguintes versões do GKE foi atualizado para corrigir essa vulnerabilidade em uma versão futura. Por motivos de segurança, mesmo que você tenha ativado o upgrade automático de nós, recomendamos que faça upgrade manualmente dos pools de nós para uma das seguintes versões do GKE:
Um recurso recente dos canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição em um canal. Esse recurso permite que você proteja os nós até que a nova versão se torne o padrão para o canal específico da versão. Quais vulnerabilidades são corrigidas por esse patch?Com a CVE-2022-3176, o kernel do Linux tem uma vulnerabilidade no subsistema io_uring. O não processamento de POLLFREE pode levar a explorações Use-After-Free (UAF) que podem ser usadas para escalonamento de privilégios. |
Alto |
GKE no VMware
Atualização em: 21/11/2022
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2022-3176) foi descoberta no kernel do Linux que pode levar ao escalonamento de privilégios locais. Com essa vulnerabilidade, um usuário sem privilégios pode realizar uma invasão de contêiner completa com acesso root no nó. O que fazer?
Atualização de 21/11/2022: as seguintes versões do GKE no VMware para Ubuntu foram atualizadas com código para corrigir essa vulnerabilidade. Recomendamos que você faça upgrade dos nós para uma das seguintes versões do GKE no VMware:
As versões do GKE no VMware que contêm patches do Ubuntu serão lançadas em breve. Este boletim de segurança será atualizado quando as versões do GKE no VMware estiverem disponíveis para download. Quais vulnerabilidades são corrigidas por esse patch?Com a CVE-2022-3176, o kernel do Linux tem uma vulnerabilidade no subsistema io_uring. O não processamento de POLLFREE pode levar a explorações Use-After-Free (UAF) que podem ser usadas para escalonamento de privilégios. |
Alto |
GKE na AWS
Atualização em: 21/11/2022
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2022-3176) foi descoberta no kernel do Linux que pode levar ao escalonamento de privilégios locais. Com essa vulnerabilidade, um usuário sem privilégios pode realizar uma invasão de contêiner completa com acesso root no nó. O que fazer?Atualização de 21/11/2022: as seguintes versões das gerações atuais e anteriores do GKE na AWS foram atualizadas com código para corrigir essa vulnerabilidade. Recomendamos que você faça upgrade dos nós para uma das seguintes versões do GKE na AWS: Geração atual
As versões do GKE na AWS que contêm patches do Ubuntu serão lançadas em breve. Este boletim de segurança será atualizado quando as versões do GKE na AWS estiverem disponíveis para download. Quais vulnerabilidades são corrigidas por esse patch?Com a CVE-2022-3176, o kernel do Linux tem uma vulnerabilidade no subsistema io_uring. O não processamento de POLLFREE pode levar a explorações Use-After-Free (UAF) que podem ser usadas para escalonamento de privilégios. |
Alto |
GKE no Azure
Atualização em: 21/11/2022
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2022-3176) foi descoberta no kernel do Linux que pode levar ao escalonamento de privilégios locais. Com essa vulnerabilidade, um usuário sem privilégios pode realizar uma invasão de contêiner completa com acesso root no nó. O que fazer?Atualização de 21/11/2022: as seguintes versões do GKE on Azure foram atualizadas com código para corrigir essa vulnerabilidade. Recomendamos que você faça upgrade dos nós para uma das seguintes versões do GKE on Azure:
As versões do GKE on Azure que contêm patches do Ubuntu serão lançadas em breve. Este boletim de segurança será atualizado quando as versões do GKE on Azure estiverem disponíveis para download. Quais vulnerabilidades são corrigidas por esse patch?Com a CVE-2022-3176, o kernel do Linux tem uma vulnerabilidade no subsistema io_uring. O não processamento de POLLFREE pode levar a explorações Use-After-Free (UAF) que podem ser usadas para escalonamento de privilégios. |
Alto |
GKE em bare metal
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2022-3176) foi descoberta no kernel do Linux que pode levar ao escalonamento de privilégios locais. Com essa vulnerabilidade, um usuário sem privilégios pode realizar uma invasão de contêiner completa com acesso root no nó. O que fazer?Nenhuma ação é necessária. O GKE em bare metal não é afetado por essa CVE, porque não agrupa um sistema operacional na distribuição. |
Nenhum |
GCP-2022-018
Data de publicação: 01/08/2022
Data de atualização: 14/09/2022, 21/12/203
Referência: CVE-2022-2327
Atualização de 21/12/2023 : esclarecemos que os clusters do GKE Autopilot na configuração padrão não são afetados.
Atualização de 14/09/2022 : foram adicionadas versões de patch para o GKE no VMware, o GKE na AWS e o GKE no Azure.
GKE
Atualização: 21/12/2023
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2022-2327) foi descoberta no kernel do Linux que pode levar ao escalonamento de privilégios locais. Com essa vulnerabilidade, um usuário sem privilégios pode realizar uma invasão de contêiner completa com acesso root no nó. Detalhes técnicosAtualização de 21/12/2023: o boletim original afirmava que os clusters do Autopilot
foram afetados, mas isso estava incorreto. Os clusters do Autopilot do GKE
na configuração padrão não são afetados, mas podem ficar vulneráveis se você
definir explicitamente o perfil Unconfined do seccomp ou
permitir Os clusters do GKE, incluindo os clusters do Autopilot, com o Container-Optimized OS (COS) que usam a versão do kernel do Linux 5.10 são afetados. Os clusters do GKE que usam imagens do Ubuntu ou o GKE Sandbox não são afetados. O que fazer?Faça upgrade dos clusters do GKE para uma versão que inclui a correção.
As imagens de nó do Linux para COS foram atualizadas com as versões do GKE que usam as versões do COS.
Um recurso recente dos canais de lançamentos permite que você aplique um patch sem precisar cancelar a inscrição de um canal. Isso permite fazer upgrade dos nós para a versão com patch antes que ela se torne o padrão no canal de lançamento selecionado. Quais vulnerabilidades são corrigidas por esse patch?Com a CVE-2022-2327, o kernel do Linux na versão 5.10 tem uma vulnerabilidade no subsistema io_uring em que várias solicitações estão sem tipos de item (flags). Usar essas solicitações sem os tipos de item adequados especificados pode causar o escalonamento de privilégios com acesso root. |
Alto |
GKE no VMware
Atualizado em: 14/09/2022
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2022-2327) foi descoberta no kernel do Linux que pode levar ao escalonamento de privilégios locais. Com essa vulnerabilidade, um usuário sem privilégios pode realizar uma invasão de contêiner completa com acesso root no nó. Os clusters com uma imagem do Container Optimized OS (COS) que usam o GKE no VMware versões 1.10, 1.11 e 1.12 são afetados. O que fazer?Atualização de 14/09/2022: as seguintes versões do GKE no VMware contêm um código que corrige essa vulnerabilidade.
As versões do GKE no VMware que contêm patches serão lançadas em breve. Este boletim de segurança será atualizado quando as versões do GKE no VMware estiverem disponíveis para download. Quais vulnerabilidades são corrigidas por esse patch?Com a CVE-2022-2327, o kernel do Linux na versão 5.10 tem uma vulnerabilidade no subsistema io_uring em que várias solicitações estão sem tipos de item (flags). Usar essas solicitações sem os tipos de item adequados especificados pode causar o escalonamento de privilégios com acesso root. |
Alto |
GKE na AWS
Atualizado em: 14/09/2022
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2022-2327) foi descoberta no kernel do Linux que pode levar ao escalonamento de privilégios locais. Com essa vulnerabilidade, um usuário sem privilégios pode realizar uma invasão de contêiner completa com acesso root no nó. O que fazer?Atualização de 14/09/2022: as seguintes versões das gerações atuais e anteriores do GKE na AWS foram atualizadas com código para corrigir essa vulnerabilidade. Recomendamos que você faça upgrade dos nós para uma das seguintes versões do GKE na AWS: Current generation
Geração anterior
As versões do GKE na AWS que contêm patches serão lançadas em breve. Este boletim de segurança será atualizado quando as versões do GKE na AWS estiverem disponíveis para download. Quais vulnerabilidades são corrigidas por esse patch?Com a CVE-2022-2327, o kernel do Linux na versão 5.10 tem uma vulnerabilidade no subsistema io_uring em que várias solicitações estão sem tipos de item (flags). Usar essas solicitações sem os tipos de item adequados especificados pode causar o escalonamento de privilégios com acesso root. |
Alto |
GKE no Azure
Atualizado em: 14/09/2022
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2022-2327) foi descoberta no kernel do Linux que pode levar ao escalonamento de privilégios locais. Com essa vulnerabilidade, um usuário sem privilégios pode realizar uma invasão de contêiner completa com acesso root no nó. O que fazer?Atualização de 14/09/2022: as seguintes versões do GKE on Azure foram atualizadas com código para corrigir essa vulnerabilidade. Recomendamos que você faça upgrade dos nós para uma das seguintes versões do GKE on Azure:
As versões do GKE no Azure que contêm patches serão lançadas em breve. Este boletim de segurança será atualizado quando as versões do GKE no Azure estiverem disponíveis para download. Quais vulnerabilidades são corrigidas por esse patch?Com a CVE-2022-2327, o kernel do Linux na versão 5.10 tem uma vulnerabilidade no subsistema io_uring em que várias solicitações estão sem tipos de item (flags). Usar essas solicitações sem os tipos de item adequados especificados pode causar o escalonamento de privilégios com acesso root. |
Alto |
Google Cloud Distributed Cloud Virtual para Bare Metal
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2022-2327) foi descoberta no kernel do Linux que pode levar ao escalonamento de privilégios locais. Com essa vulnerabilidade, um usuário sem privilégios pode realizar uma invasão de contêiner completa com acesso root no nó. O que fazer?Nenhuma ação é necessária. O Google Distributed Cloud Virtual para Bare Metal não é afetado por essa CVE porque não agrupa um sistema operacional na distribuição. |
Nenhum |
GCP-2022-017
Publicação: 29/06/2022
Atualizado em: 22/11/2022
Referência: CVE-2022-1786
Atualização de 22/11/2022: informações atualizadas sobre cargas de trabalho usando o GKE Sandbox.
Atualização de 21/07/2022: informações atualizadas que o GKE nas imagens COS do VMware
são afetadas.
GKE
Atualização em: 22/11/2022
Descrição | Gravidade |
---|---|
Atualização de 22/11/2022: as cargas de trabalho que usam o GKE Sandbox não são afetadas por essas vulnerabilidades. Uma nova vulnerabilidade (CVE-2022-1786) foi descoberta na versão 5.10 e 5.11 do kernel do Linux. Essa vulnerabilidade permite que um usuário sem privilégios com acesso local ao cluster consiga um detalhamento completo do contêiner com acesso root no nó. Apenas os clusters que executam o Container-Optimized OS são afetados. As versões do GKE Ubuntu usam a versão 5.4 ou 5.15 do kernel e não são afetadas. O que fazer?O código das versões do nó Linux para o Container-Optimized OS das seguintes versões do GKE foi atualizado com o objetivo de corrigir essa vulnerabilidade. Por motivos de segurança, mesmo que o upgrade automático de nós esteja ativado, é recomendável fazer upgrade manual dos seus pools de nós para uma das seguintes versões do GKE a seguir:
Um recurso recente de canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição em um canal. Isso permite fazer upgrade dos nós para a versão com patch antes que ela se torne o padrão no canal de lançamento selecionado. Quais vulnerabilidades são corrigidas por esse patch?Na CVE-2022-1786, foi encontrada uma falha após o uso sem custo financeiro no subsistema io_bing do kernel do Linux. Se um usuário configurar um anel com IORING_SETUP_IOPOLL com mais de uma tarefa que conclui envios no anel, um usuário local poderá falhar ou escalonar os privilégios no sistema. |
Alto |
GKE no VMware
Atualizado em: 14/07/2022
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2022-1786) foi descoberta na versão 5.10 e 5.11 do kernel do Linux. Essa vulnerabilidade permite que um usuário sem privilégios com acesso local ao cluster consiga um detalhamento completo do contêiner com acesso root no nó. O que fazer?Atualização de 21/07/2022: as seguintes versões do GKE no VMware contêm códigos que corrigem essa vulnerabilidade. COS
UbuntuNenhuma ação é necessária. O GKE no VMware não usa as versões afetadas do kernel do Linux. |
Nenhum |
GKE na AWS
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2022-1786) foi descoberta na versão 5.10 e 5.11 do kernel do Linux. Essa vulnerabilidade permite que um usuário sem privilégios com acesso local ao cluster consiga um detalhamento completo do contêiner com acesso root no nó. O que fazer?Nenhuma ação é necessária. O GKE na AWS não usa as versões afetadas do kernel do Linux. |
Nenhum |
GKE no Azure
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2022-1786) foi descoberta na versão 5.10 e 5.11 do kernel do Linux. Essa vulnerabilidade permite que um usuário sem privilégios com acesso local ao cluster consiga um detalhamento completo do contêiner com acesso root no nó. O que fazer?Nenhuma ação é necessária. O GKE on Azure não usa as versões afetadas do kernel do Linux. |
Nenhum |
Google Cloud Distributed Cloud Virtual para Bare Metal
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2022-1786) foi descoberta na versão 5.10 e 5.11 do kernel do Linux. Essa vulnerabilidade permite que um usuário sem privilégios com acesso local ao cluster consiga um detalhamento completo do contêiner com acesso root no nó. O que fazer?Nenhuma ação é necessária. O Google Distributed Cloud Virtual para Bare Metal não é afetado por essa CVE porque não agrupa um sistema operacional na distribuição dele. |
Nenhum |
GCP-2022-016
Publicação: 23/06/2022
Atualizado em: 22/11/2022
Referência: CVE-2022-29581, CVE-2022-29582 e CVE-2022-1116
Atualização de 22/11/2022: informações adicionadas sobre as cargas de trabalho em execução nos clusters do Autopilot.
Atualização de 29/07/2022: versões atualizadas para o GKE no VMware,
GKE na AWS e GKE no Azure.
GKE
Atualização em: 22/11/2022
Descrição | Gravidade |
---|---|
Atualização de 22/11/2022: os clusters do Autopilot não são afetados pela CVE-2022-29581, mas são vulneráveis à CVE-2022-29582 e CVE-2022-1116. Atualização de 29/07/2022: os pods que usam o GKE Sandbox não são suscetíveis a essas vulnerabilidades. Foram detectadas três novas vulnerabilidades de corrupção de memória (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) no kernel do Linux. Essas vulnerabilidades permitem que um usuário sem privilégios com acesso local ao cluster consiga um detalhamento completo do contêiner com acesso root no nó. Todos os clusters do Linux (Container-Optimized OS e Ubuntu) são afetados. O que fazer?As versões das imagens de nó do Linux para o Container-Optimized OS e o Ubuntu das seguintes versões do GKE foi atualizado com o código para corrigir essa vulnerabilidade. Por motivos de segurança, mesmo que você tenha ativado o upgrade automático de nós, recomendamos que faça upgrade manualmente dos pools de nós para uma das seguintes versões do GKE:
Um recurso recente dos canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição. Isso permite fazer upgrade dos nós para a versão com patch antes que ela se torne o padrão no canal de lançamento selecionado. Quais vulnerabilidades são corrigidas por esse patch?Com o CVE-2022-29582, o kernel do Linux em versões anteriores à 5.17.3 tem um uso após o uso gratuito devido a uma disputa nos tempos limite de io_uring. A CVE-2022-29581 e a CVE-2022-1116 são vulnerabilidades em que um invasor local pode causar corrupção de memória no io_ving ou net/sched no kernel do Linux para escalonar privilégios para a raiz. |
Alto |
GKE no VMware
Atualização: 29/07/2022
Descrição | Gravidade |
---|---|
Atualização de 29/07/2022: as seguintes versões do GKE no VMware contêm um código que corrige essas vulnerabilidades.
Foram detectadas três novas vulnerabilidades de corrupção de memória (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) no kernel do Linux. Essas vulnerabilidades permitem que um usuário sem privilégios com acesso local ao cluster consiga um detalhamento completo do contêiner com acesso root no nó. Essas vulnerabilidades afetam o GKE no VMware v1.9 e versões mais recentes para imagens do Container-Optimized OS e do Ubuntu. O que fazer?As versões do GKE no VMware que contêm patches serão lançadas em breve. Este boletim de segurança será atualizado quando as versões do GKE no VMware estiverem disponíveis para download. Quais vulnerabilidades são corrigidas por esse patch?Com o CVE-2022-29582, o kernel do Linux em versões anteriores à 5.17.3 tem um uso após o uso gratuito devido a uma disputa nos tempos limite de io_uring. A CVE-2022-29581 e a CVE-2022-1116 são vulnerabilidades em que um invasor local pode causar corrupção de memória no io_ving ou net/sched no kernel do Linux para escalonar privilégios para a raiz. |
Alto |
GKE na AWS
Atualização: 29/07/2022
Descrição | Gravidade |
---|---|
Atualização de 29/07/2022: Atualização: as seguintes versões das gerações atuais e anteriores do GKE na AWS foram atualizadas com código para corrigir essas vulnerabilidades. Recomendamos que você faça upgrade dos nós para uma das seguintes versões do GKE na AWS: Geração atual:
Foram detectadas três novas vulnerabilidades de corrupção de memória (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) no kernel do Linux. Essas vulnerabilidades permitem que um usuário sem privilégios com acesso local ao cluster consiga um detalhamento completo do contêiner com acesso root no nó. Essas vulnerabilidades afetam todas as versões do GKE na AWS. O que fazer?As versões do GKE na AWS que contêm patches serão lançadas em breve. Este boletim de segurança será atualizado quando as versões do GKE na AWS estiverem disponíveis para download. Quais vulnerabilidades são corrigidas por esse patch?Com o CVE-2022-29582, o kernel do Linux em versões anteriores à 5.17.3 tem um uso após o uso gratuito devido a uma disputa nos tempos limite de io_uring. A CVE-2022-29581 e a CVE-2022-1116 são vulnerabilidades em que um invasor local pode causar corrupção de memória no io_ving ou net/sched no kernel do Linux para escalonar privilégios para a raiz. |
Alto |
GKE no Azure
Descrição | Gravidade |
---|---|
Atualização de 29/07/2022: Atualização: as seguintes versões do GKE no Azure foram atualizadas com código para corrigir essas vulnerabilidades. Recomendamos que você faça upgrade dos nós para uma das seguintes versões do GKE on Azure:
Foram detectadas três novas vulnerabilidades de corrupção de memória (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) no kernel do Linux. Essas vulnerabilidades permitem que um usuário sem privilégios com acesso local ao cluster consiga um detalhamento completo do contêiner com acesso root no nó. Essas vulnerabilidades afetam todas as versões do GKE no Azure. O que fazer?As versões do GKE no Azure que contêm patches serão lançadas em breve. Este boletim de segurança será atualizado quando as versões do GKE on Azure estiverem disponíveis para download. Quais vulnerabilidades são corrigidas por esse patch?Com o CVE-2022-29582, o kernel do Linux em versões anteriores à 5.17.3 tem um uso após o uso gratuito devido a uma disputa nos tempos limite de io_uring. A CVE-2022-29581 e a CVE-2022-1116 são vulnerabilidades em que um invasor local pode causar corrupção de memória no io_ving ou net/sched no kernel do Linux para escalonar privilégios para a raiz. |
Alto |
Google Cloud Distributed Cloud Virtual para Bare Metal
Descrição | Gravidade |
---|---|
Foram detectadas três novas vulnerabilidades de corrupção de memória (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) no kernel do Linux. Essas vulnerabilidades permitem que um usuário sem privilégios com acesso local ao cluster consiga um detalhamento completo do contêiner com acesso root no nó. O que fazer?Nenhuma ação é necessária. O Google Distributed Cloud Virtual para Bare Metal não é afetado por essa vulnerabilidade porque não agrupa um sistema operacional na distribuição. |
Nenhum |
GCP-2022-014
Publicado: 26/04/2022
Atualização: 22/11/2022
Atualização de 22/11/2022: informações sobre cargas de trabalho em execução nos clusters do Autopilot adicionadas.
Atualização de 12/05/2022: versões de patch atualizadas do GKE na AWS e
do GKE no Azure.
Referência: CVE-2022-1055, CVE-2022-27666
GKE
Atualização em: 22/11/2022
Descrição | Gravidade |
---|---|
Atualização de 22/11/2022: os clusters e as cargas de trabalho do Autopilot do GKE em execução no GKE Sandbox não são afetados por essas vulnerabilidades. Duas vulnerabilidades de segurança, CVE-2022-1055 e CVE-2022-27666, foram descobertas no kernel do Linux. Cada um deles pode fazer com que um invasor local realize uma análise de contêineres, um escalonamento de privilégios no host ou ambos. Essas vulnerabilidades afetam todos os sistemas operacionais dos nós do GKE (Container-Optimized OS e Ubuntu). Detalhes técnicosNa CVE-2022-1055, um invasor pode explorar o uso pós-gratuito em tc_new_tfilter(), que permite que um invasor local no contêiner encaminhe privilégios para uma raiz no nó. Na CVE-2022-27666, o buffer overflow em esp/esp6_output_head permite que um invasor local no contêiner encaminhe os privilégios para a raiz do nó. O que fazer?As versões de imagens de nó do Linux para as seguintes versões do GKE foram atualizadas com código para corrigir essas vulnerabilidades. Faça upgrade dos clusters para uma das seguintes versões do GKE:
Quais vulnerabilidades são corrigidas por esse patch? |
Alto |
GKE no VMware
Descrição | Gravidade |
---|---|
Duas vulnerabilidades de segurança, CVE-2022-1055 e CVE-2022-27666, foram descobertas no kernel do Linux. Cada um deles pode fazer com que um invasor local realize uma análise de contêineres, um escalonamento de privilégios no host ou ambos. Essas vulnerabilidades afetam todos os sistemas operacionais dos nós do GKE (Container-Optimized OS e Ubuntu). Detalhes técnicosNa CVE-2022-1055, um invasor pode explorar o uso pós-gratuito em tc_new_tfilter(), que permite que um invasor local no contêiner encaminhe privilégios para uma raiz no nó. Na CVE-2022-27666, o buffer overflow em esp/esp6_output_head permite que um invasor local no contêiner encaminhe os privilégios para a raiz do nó. O que fazer?Faça upgrade do cluster para uma versão com patch. As versões do GKE on VMware a seguir ou versões mais recentes contêm a correção dessa vulnerabilidade:
Quais vulnerabilidades são corrigidas por esse patch? |
Alto |
GKE na AWS
Atualizado em: 12/05/2022
Descrição | Gravidade |
---|---|
Duas vulnerabilidades de segurança, CVE-2022-1055 e CVE-2022-27666, foram descobertas no kernel do Linux. Cada um deles pode fazer com que um invasor local realize uma análise de contêineres, um escalonamento de privilégios no host ou ambos. Essas vulnerabilidades afetam todos os sistemas operacionais dos nós do GKE (Container-Optimized OS e Ubuntu). Detalhes técnicosNa CVE-2022-1055, um invasor pode explorar o uso pós-gratuito em tc_new_tfilter(), que permite que um invasor local no contêiner encaminhe privilégios para uma raiz no nó. Na CVE-2022-27666, o buffer overflow em esp/esp6_output_head permite que um invasor local no contêiner encaminhe os privilégios para a raiz do nó. O que fazer?Atualização de 12/05/2022: as seguintes versões atuais e anteriores da geração de GKE na AWS foram atualizadas com código para corrigir essas vulnerabilidades. Recomendamos que você faça upgrade dos nós para uma das seguintes versões do GKE na AWS: Geração atual
Faça upgrade do cluster para uma versão com patch. Os patches estarão disponíveis em uma versão futura. Este boletim será atualizado quando eles estiverem disponíveis. Quais vulnerabilidades são corrigidas por esse patch? |
Alto |
GKE no Azure
Atualizado em: 12/05/2022
Descrição | Gravidade |
---|---|
Duas vulnerabilidades de segurança, CVE-2022-1055 e CVE-2022-27666, foram descobertas no kernel do Linux. Cada um deles pode fazer com que um invasor local realize uma análise de contêineres, um escalonamento de privilégios no host ou ambos. Essas vulnerabilidades afetam todos os sistemas operacionais dos nós do GKE (Container-Optimized OS e Ubuntu). Detalhes técnicosNa CVE-2022-1055, um invasor pode explorar o uso pós-gratuito em tc_new_tfilter(), que permite que um invasor local no contêiner encaminhe privilégios para uma raiz no nó. Na CVE-2022-27666, o buffer overflow em esp/esp6_output_head permite que um invasor local no contêiner encaminhe os privilégios para a raiz do nó. O que fazer?Atualização de 12/05/2022: as seguintes versões GKE Anthos no Azure foram atualizadas com código para corrigir essas vulnerabilidades. Recomendamos que você faça upgrade dos nós para uma das seguintes versões do GKE on Azure:
Faça upgrade do cluster para uma versão com patch. Os patches estarão disponíveis em uma versão futura. Este boletim será atualizado quando eles estiverem disponíveis. Quais vulnerabilidades são corrigidas por esse patch? |
Alto |
Google Cloud Distributed Cloud Virtual para Bare Metal
Descrição | Gravidade |
---|---|
Duas vulnerabilidades de segurança, CVE-2022-1055 e CVE-2022-27666, foram descobertas no kernel do Linux. Cada um deles pode fazer com que um invasor local realize uma análise de contêineres, um escalonamento de privilégios no host ou ambos. Essas vulnerabilidades afetam todos os sistemas operacionais dos nós do GKE (Container-Optimized OS e Ubuntu). Detalhes técnicosNa CVE-2022-1055, um invasor pode explorar o uso pós-gratuito em tc_new_tfilter(), que permite que um invasor local no contêiner encaminhe privilégios para uma raiz no nó. Na CVE-2022-27666, o buffer overflow em esp/esp6_output_head permite que um invasor local no contêiner encaminhe os privilégios para a raiz do nó. O que fazer?Nenhuma ação é necessária. O Google Distributed Cloud Virtual para Bare Metal não é afetado por essa CVE, já que não inclui o Linux como parte do pacote. Verifique se as imagens de nó usadas estão atualizadas para as versões que contêm a correção para CVE-2022-1055 e CVE-2022-27666. Quais vulnerabilidades são corrigidas por esse patch? |
Alto |
GCP-2022-013
Publicação : 11/04/2022
Atualizado em : 20/04/2022
Referência : CVE-2022-23648
Atualização de 22-04-2022: versões de patch atualizadas do Google Distributed Cloud Virtual para Bare Metal e do GKE no VMware.
GKE
Descrição | Gravidade |
---|---|
Uma vulnerabilidade de segurança, CVE-2022-23648, foi descoberta no processamento de Path Traversal de contêineres na especificação do volume de imagem OCI. Os contêineres lançados pela implementação da CRI em contêiner com uma configuração de imagem especialmente criada podem obter acesso completo de leitura para arquivos e diretórios arbitrários no host. Essa vulnerabilidade pode ignorar qualquer aplicação baseada em políticas na configuração do contêiner (incluindo uma política de segurança de pods do Kubernetes). Essa vulnerabilidade afeta todos os sistemas operacionais dos nós do GKE (Container-Optimized OS e Ubuntu) que usam o container por padrão. Todos os nós do GKE, Autopilot e GKE Sandbox foram afetados. O que fazer?As versões de imagens de nó do Linux para as seguintes versões do GKE foram atualizadas com código para corrigir essa vulnerabilidade. Por motivos de segurança, mesmo que você tenha ativado o upgrade automático de nós, recomendamos que faça upgrade manual dos seus nós para uma das seguintes versões do GKE:
Um recurso recente dos canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição. Isso permite proteger os nós até que a nova versão se torne o padrão para o canal de lançamento específico. |
Média |
GKE no VMware
Atualização: 22-04-2022
Descrição | Gravidade |
---|---|
Uma vulnerabilidade de segurança, CVE-2022-23648, foi descoberta no processamento de Path Traversal de contêineres na especificação do volume de imagem OCI. Os contêineres lançados pela implementação da CRI em contêiner com uma configuração de imagem especialmente criada podem obter acesso completo de leitura para arquivos e diretórios arbitrários no host. Essa vulnerabilidade pode ignorar qualquer aplicação baseada em políticas na configuração do contêiner (incluindo uma política de segurança de pods do Kubernetes). Essa vulnerabilidade afeta todos os GKE no VMware com o Stackdriver ativado, que usa o containerd. O GKE nas versões 1.8, 1.9 e 1.10 do VMware foram afetadas O que fazer?Atualização de 22/04/2022: as seguintes versões do GKE no VMware contêm códigos que corrigem essa vulnerabilidade.
O código das seguintes versões do GKE no VMware foi atualizado para corrigir essa vulnerabilidade. Recomendamos que você faça upgrade dos nós para uma das seguintes versões do GKE no VMware:
Essa CVE pode ser reduzida com a configuração de IgnoreImageDefinedVolumes como "true". |
Média |
GKE na AWS
Descrição | Gravidade |
---|---|
Uma vulnerabilidade de segurança, CVE-2022-23648, foi descoberta no processamento de Path Traversal de contêineres na especificação do volume de imagem OCI. Os contêineres lançados pela implementação da CRI em contêiner com uma configuração de imagem especialmente criada podem obter acesso completo de leitura para arquivos e diretórios arbitrários no host. Essa vulnerabilidade pode ignorar qualquer aplicação baseada em políticas na configuração do contêiner (incluindo uma política de segurança de pods do Kubernetes). Todos os nós do GKE nas versões da AWS são afetados. O que fazer?O código das seguintes versões do GKE na AWS foi atualizado para corrigir essa vulnerabilidade. Recomendamos que você faça upgrade dos nós para uma das seguintes versões do GKE na AWS. GKE na AWS (geração atual)
GKE na AWS (geração anterior)
Essa CVE pode ser reduzida com a configuração de IgnoreImageDefinedVolumes como "true". |
Média |
GKE no Azure
Descrição | Gravidade |
---|---|
Uma vulnerabilidade de segurança, CVE-2022-23648, foi descoberta no processamento de Path Traversal de contêineres na especificação do volume de imagem OCI. Os contêineres lançados pela implementação da CRI em contêiner com uma configuração de imagem especialmente criada podem obter acesso completo de leitura para arquivos e diretórios arbitrários no host. Essa vulnerabilidade pode ignorar qualquer aplicação baseada em políticas na configuração do contêiner (incluindo uma política de segurança de pods do Kubernetes). Todas as versões do GKE no Azure são afetadas. O que fazer?O código das seguintes versões do GKE on Azure foi atualizado para corrigir essa vulnerabilidade. Recomendamos que você faça o upgrade dos nós da seguinte maneira:
Essa CVE pode ser reduzida com a configuração de IgnoreImageDefinedVolumes como "true". |
Média |
Google Cloud Distributed Cloud Virtual para Bare Metal
Atualização: 22-04-2022
Descrição | Gravidade |
---|---|
Uma vulnerabilidade de segurança, CVE-2022-23648, foi descoberta no processamento de Path Traversal de contêineres na especificação do volume de imagem OCI. Os contêineres lançados pela implementação da CRI em contêiner com uma configuração de imagem especialmente criada podem obter acesso completo de leitura para arquivos e diretórios arbitrários no host. Essa vulnerabilidade pode ignorar qualquer aplicação baseada em políticas na configuração do contêiner (incluindo uma política de segurança de pods do Kubernetes). Essa vulnerabilidade afeta todos os clusters do Google Distributed Cloud Virtual para Bare Metal que usam o containerd. As versões 1.8, 1.9 e 1.10 do Google Distributed Cloud Virtual para Bare Metal foram afetadas O que fazer?Atualização de 22/04/2022: as seguintes versões do Google Distributed Cloud Virtual para Bare Metal contêm um código que corrige essa vulnerabilidade.
O código das seguintes versões do Google Distributed Cloud Virtual para Bare Metal foi atualizado para corrigir essa vulnerabilidade. Recomendamos que você faça upgrade dos nós para uma das seguintes versões do Google Distributed Cloud Virtual para Bare Metal:
Essa CVE pode ser reduzida com a configuração de IgnoreImageDefinedVolumes como "true". |
Média |
GCP-2022-012
Publicação: 2022-04-07
Atualizado em: 2022-11-22
Referência: CVE-2022-0847
Atualização de 2022-11-22: informações atualizadas sobre cargas de trabalho que usam o sandbox do GKE.
GKE
Atualização em: 22/11/2022
Descrição | Gravidade |
---|---|
Atualização de 22/11/2022: as cargas de trabalho que usam o GKE Sandbox não são afetadas por essas vulnerabilidades. Uma vulnerabilidade de segurança, CVE-2022-0847, foi descoberta na versão 5.8 e posterior do kernel do Linux. É possível escalonar privilégios de contêiner na raiz. Essa vulnerabilidade afeta todas as versões do pool de nós do GKE v1.22 e posteriores que usam imagens do Container-Optimized OS (Container-Optimized OS 93 e versões mais recentes). Os pools de nós do GKE que usam o SO Ubuntu não são afetados. O que fazer?As versões de imagens de nó do Linux para as seguintes versões do GKE foram atualizadas com código para corrigir essa vulnerabilidade. Por motivos de segurança, mesmo que você tenha ativado o upgrade automático de nós, recomendamos que faça upgrade manualmente dos pools de nós para uma das seguintes versões do GKE:
Um recurso recente dos canais de lançamento permite que você aplique uma versão de patch de outros canais de lançamento sem ter que cancelar a inscrição em um canal. Isso permite proteger os nós até que a nova versão se torne o padrão para o canal específico da versão. Quais vulnerabilidades são corrigidas por esse patch?A CVE-2022-0847 está relacionada à sinalização PIPE_BUF_FLAG_CAN_MERGE, introduzida na versão 5.8 do kernel do Linux. Nessa vulnerabilidade, o membro "sinalizações" da nova estrutura de buffer de canal não tinha a inicialização adequada no kernel do Linux. Um invasor local sem privilégios pode usar essa falha para gravar páginas no cache de páginas apoiadas por arquivos somente leitura e escalonar os privilégios. Novas versões do Container-Optimized OS que corrigem esse problema foram integradas às versões atualizadas do pool de nós do GKE. |
Alto |
GKE no VMware
Descrição | Gravidade |
---|---|
Uma vulnerabilidade de segurança, CVE-2022-0847, foi descoberta no kernel Linux 5.8 e posterior. Ela pode escalonar privilégios para a raiz. Essa vulnerabilidade afeta o GKE no VMware v1.10 para imagens do Container-Optimized OS. Atualmente, o GKE no VMware com Ubuntu está na versão 5.4 do kernel e não está vulnerável a esse ataque. O que fazer?As versões das imagens de nó do Linux para as seguintes versões do GKE no VMware foram atualizadas com código para corrigir essa vulnerabilidade. Recomendamos que você faça upgrade dos clusters de administrador e de usuário para a seguinte versão do GKE no VMware:
Quais vulnerabilidades são corrigidas por esse patch?A CVE-2022-0847 está relacionada à sinalização PIPE_BUF_FLAG_CAN_MERGE, introduzida na versão 5.8 do kernel do Linux. Nessa vulnerabilidade, o membro "sinalizações" da nova estrutura de buffer de canal não tinha a inicialização adequada no kernel do Linux. Um invasor local sem privilégios pode usar essa falha para gravar páginas no cache de páginas apoiadas por arquivos somente leitura e escalonar os privilégios. Novas versões do Container-Optimized OS que corrigem esse problema foram integradas às versões atualizadas doGKE no VMware. |
Alto |
GKE na AWS
Descrição | Gravidade |
---|---|
Uma vulnerabilidade de segurança, CVE-2022-0847, foi descoberta no kernel Linux 5.8 e posterior. Ela pode escalonar privilégios para a raiz. Essa vulnerabilidade afeta clusters gerenciados do GKE na AWS v1.21 e clusters em execução no GKE na AWS (geração anterior) v1.19, v1.20, v1.21, que usam o Ubuntu. O que fazer?As versões de imagens de nó do Linux para as seguintes versões do GKE na AWS foram atualizadas com código para corrigir essa vulnerabilidade. Para o GKE gerenciado na AWS, recomendamos que você faça upgrade dos clusters de usuário e do pool de nós para uma das seguintes versões:
Para o GKE k-kite na AWS, recomendamos que você faça upgrade dos objetos AWSManagementService, AWSCluster e AWSNodePool para a seguinte versão:
Quais vulnerabilidades são corrigidas por esse patch?A CVE-2022-0847 está relacionada à sinalização PIPE_BUF_FLAG_CAN_MERGE, introduzida na versão 5.8 do kernel do Linux. Nessa vulnerabilidade, o membro "sinalizações" da nova estrutura de buffer de canal não tinha a inicialização adequada no kernel do Linux. Um invasor local sem privilégios pode usar essa falha para gravar páginas no cache de páginas apoiadas por arquivos somente leitura e escalonar os privilégios. |
Alto |
GKE no Azure
Descrição | Gravidade |
---|---|
Uma vulnerabilidade de segurança, CVE-2022-0847, foi descoberta no kernel Linux 5.8 e posterior. Ela pode escalonar privilégios para a raiz. Essa vulnerabilidade afeta os clusters gerenciados do GKE no Azure v1.21 que usam o Ubuntu. O que fazer?As versões das imagens de nó do Linux para as seguintes versões do GKE no Azure foram atualizadas com código para corrigir essa vulnerabilidade. Recomendamos que você faça upgrade dos clusters de usuário e do pool de nós para a seguinte versão:
Quais vulnerabilidades são corrigidas por esse patch?A CVE-2022-0847 está relacionada à sinalização PIPE_BUF_FLAG_CAN_MERGE, introduzida na versão 5.8 do kernel do Linux. Nessa vulnerabilidade, o membro "sinalizações" da nova estrutura de buffer de canal não tinha a inicialização adequada no kernel do Linux. Um invasor local sem privilégios pode usar essa falha para gravar páginas no cache de páginas apoiadas por arquivos somente leitura e escalonar os privilégios. |
Alto |
Google Cloud Distributed Cloud Virtual para Bare Metal
Descrição | Gravidade |
---|---|
Uma vulnerabilidade de segurança, CVE-2022-0847, foi descoberta no kernel Linux 5.8 e posterior. Ela pode escalonar privilégios para a raiz. O que fazer?Nenhuma ação é necessária. O Google Distributed Cloud Virtual para Bare Metal não é afetado por essa CVE, já que não inclui o Linux como parte do pacote. É preciso garantir que as imagens de nó usadas sejam atualizadas para versões que contêm a correção para CVE-2022-0847. |
Alto |
GCP-2022-011
Publicação: 22/03/2022
Atualizado em: 11/08/2022
Atualização de 11/08/2022 : adicionamos mais detalhes sobre os efeitos da configuração incorreta da SMT.
GKE
Descrição | Gravidade |
---|---|
Atualização de 11/08/2022: mais informações foram adicionadas sobre a configuração de várias linhas de execução simultâneas (SMT, na sigla em inglês). O objetivo da SMT era ser desativado, mas ativado nas versões listadas. Se você ativou a SMT manualmente para um pool de nós no modo sandbox, a SMT permanecerá ativada manualmente, apesar desse problema. Há uma configuração incorreta com várias linhas de execução simultâneas (SMT, na sigla em inglês), também conhecida como Hyper-threading, nas imagens do GKE Sandbox. A configuração incorreta deixa os nós potencialmente expostos a ataques de canal lateral, como amostragem de dados de microarquitetura (MDS, na sigla em inglês). Para mais contexto, consulte a documentação do GKE Sandbox. Não recomendamos o uso das seguintes versões afetadas:
Se você tiver ativado manualmente a SMT para um pool de nós, esse problema não afetará seus nós no modo sandbox. O que fazer?Atualize os nós para uma das seguintes versões:
Qual vulnerabilidade é corrigida por esse patch?Os nós do GKE Sandbox têm a SMT desativada por padrão, reduzindo ataques de canal lateral. |
Média |
GCP-2022-009
Publicação: 01/03/2022
Atualizado em: 15/03/2022
GKE
Descrição | Gravidade |
---|---|
Atualização de 15/03/2022: adição dos guias de proteção para o GKE na AWS e no Azure. Adição de uma seção sobre persistência usando webhooks. Alguns caminhos inesperados para acessar a VM do nó em clusters do Autopilot GKE podem ter sido usados para escalonar privilégios no cluster. Esses problemas foram corrigidos e nenhuma outra ação é necessária. As correções resolvem problemas reportados pelo nosso Programa de recompensa para descobertas de vulnerabilidades. Os usuários dos clusters do GKE Standard e do GKE podem aplicar uma política de aumento de proteção semelhante, conforme descrito abaixo. Detalhes técnicosAcesso ao host usando isenções de política de terceirosPara permitir que o Google Cloud ofereça gerenciamento completo de nós e um SLA no nível do pod, o Autopilot do GKE restringe alguns primitivos do Kubernetes altamente privilegiados para impedir que as cargas de trabalho tenham acesso de baixo nível à VM do nó. Para isso: o GKE Standard apresenta acesso total à computação subjacente, o Autopilot tem acesso limitado e o Cloud Run não tem acesso. O Autopilot flexibiliza algumas dessas restrições em uma lista predefinida de ferramentas de terceiros para permitir que os clientes executem essas ferramentas no Autopilot sem modificações. Com os privilégios para criar pods com ativações de caminho de host, o pesquisador conseguiu executar um contêiner privilegiado em um pod parecido com uma dessas ferramentas de terceiros autorizadas para ter acesso ao host. A capacidade de programar pods dessa maneira é esperada no GKE Standard, mas não no Autopilot do GKE, já que isso ignora as restrições de acesso ao host usadas para ativar o SLA descrito anteriormente. Esse problema foi corrigido ao reforçar a especificação de pod da lista de permissões de terceiros. Escalonamento de privilégios a partir da raiz no nóAlém do acesso ao host, os pods Suspendemos o uso e removemos o Como uma medida de aumento da proteção do sistema para evitar esse tipo de ataque no futuro, aplicaremos uma restrição do Autopilot a uma versão futura que impedirá atualizações na conta de serviço de vários objetos no namespace
Adição de 15/03/2022: persistência com o uso de webhooks mutáveisOs webhooks mutáveis foram usados no relatório para estabelecer uma posição privilegiada no pós-compromisso do cluster. Essas são partes padrão da API Kubernetes criadas pelos administradores do cluster e ficaram visíveis para os administradores quando o Autopilot adicionou suporte para webhooks definidos pelo cliente. Contas de serviço privilegiadas no namespace padrãoOs implementadores de políticas do Autopilot permitiam duas contas de serviço no namespace padrão: O que fazer?As políticas de todos os clusters do GKE Autopilot foram atualizadas para remover o acesso não intencional ao host, e nenhuma outra ação será necessária. Outras proteções de políticas serão aplicadas ao Autopilot nas próximas semanas como uma proteção secundária. Nenhuma ação é necessária. Os clusters do GKE Standard e do GKE não são afetados, pois os usuários já têm acesso ao host. Como medida de aumento de proteção do sistema, os clusters do GKE Standard e os usuários do GKE podem aplicar proteção semelhante com uma política do Gatekeeper que impede a automodificação privilegiada da carga de trabalho. Para receber instruções, consulte os seguintes guias de proteção:
|
Baixa |
GCP-2022-008
Publicada em: 23/02/2022
Atualização: 28/04/2022
Referência:
CVE-2022-23606,
CVE-2022-21655,
CVE-2021-43826,
CVE-2021-43825,
CVE-2021-43824,
CVE-2022-21654,
CVE-2022-21657,
CVE-2022-21656
GKE
Descrição | Gravidade |
---|---|
projeto Envoy descobriu recentemente um conjunto de vulnerabilidades, CVE-2022-23606,
CVE-2022-21655,
CVE-2021-43826,
CVE-2021-43825,
CVE-2021-43824,
CVE-2022-21654,
CVE-2022-21657, and
CVE-2022-21656
que podem afetar os clusters do GKE que usam Anthos Service Mesh,
Istio-on-GKE ou implementações Istio personalizadas. Todos os problemas listados abaixo foram corrigidos na versão 1.21.1 do Envoy. Informações técnicas Veja mais detalhes sobre essas vulnerabilidades neste link. O que fazer?Os clusters do GKE que executam o Anthos Service Mesh precisam fazer upgrade para uma versão compatível com a correção das vulnerabilidades acima.
Os clusters do GKE que executam o Istio-on-GKE precisam fazer upgrade para uma versão compatível com a correção das vulnerabilidades acima.
Quais vulnerabilidades são corrigidas por esse patch?CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-21654, CVE-2022-21657, e CVE-2022-21656 |
Alto |
GKE no VMware
Atualização: 28-04-2022
Descrição | Gravidade |
---|---|
Recentemente, o Envoy lançou várias correções de vulnerabilidades de segurança. O GKE no VMware é
afetado porque o Envoy é usado com o metrics-server. As
CVEs do Envoy que estamos corrigindo estão listadas abaixo. Este boletim
vai ser atualizado com versões específicas quando elas estiverem disponíveis:
O Istio lançou recentemente uma correção de vulnerabilidade de segurança. O Anthos no VMware foi afetado porque o Istio é usado para entrada. As CVEs do Istio que estamos corrigindo estão listadas abaixo. Este boletim vai ser atualizado com versões específicas quando elas estiverem disponíveis. CVE-2022-23635 (pontuação do CVSS de 7.5, alta): o Istiod falha ao receber solicitações com um cabeçalho "authorization" especialmente criado.Para ver as descrições completas e os impactos das CVEs acima, consulte os boletins de segurança. Adição de 28-04-2022: o que devo fazer?As seguintes versões do GKE no VMware corrigem essas vulnerabilidades:
Quais vulnerabilidades são corrigidas por esse patch?CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-21654, CVE-2022-21657, e CVE-2022-21656 |
Alto |
Google Cloud Distributed Cloud Virtual para Bare Metal
Descrição | Gravidade |
---|---|
Recentemente, o Envoy lançou várias correções de vulnerabilidades de segurança. O Anthos
em bare metal é afetado porque o Envoy é usado para Metrics-server.
As CVEs do Envoy que estamos corrigindo nas versões 1.10.3, 1.9.6 e 1.8.9 estão
listadas abaixo:
Para ver as descrições completas e os impactos das CVEs acima, consulte os boletins de segurança. Quais vulnerabilidades são corrigidas por esse patch?CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-21654, CVE-2022-21657, e CVE-2022-21656 |
Alto |
GCP-2022-006
Publicação : 14/02/2022
Atualizado em: 16/05/2022
16/05/2022 Atualização: o GKE versão 1.19.16-gke.7800 ou posterior foi adicionado à lista de versões que têm código para corrigir essa vulnerabilidade.
Atualização de 12/05/2022: versões de patch atualizadas do GKE,
do Google Distributed Cloud Virtual para Bare Metal, do GKE no VMware e do GKE na AWS.
Correção de um problema em que o boletim de segurança para clusters do GKE na AWS não era
exibido quando foi adicionado em 23/02/2022.
GKE
Descrição | Gravidade |
---|---|
Uma vulnerabilidade de segurança, CVE-2022-0492,
foi descoberta na função O que fazer?Atualização de 16/05/2022: além das versões do GKE mencionadas na atualização de 12/05/2022, a versão 1.19.16-gke.7800 ou posterior do GKE também contém o código que corrige essa vulnerabilidade. Atualização de 12/05/2022: as seguintes versões do GKE contêm código que corrige essa vulnerabilidade:
Atualização de 15/02/2022: a instrução gVisor foi corrigida. A vulnerabilidade é encontrada no
Os patches estarão disponíveis em uma versão futura. Este boletim será atualizado quando estiver disponível. Qual vulnerabilidade é corrigida por esse patch?CVE-2022-0492 |
Baixa |
Clusters do GKE em
Descrição | Gravidade |
---|---|
Uma vulnerabilidade de segurança, CVE-2022-0492,
foi descoberta na função O que fazer?Atualização de 12/05/2022: as seguintes versões do GKE no VMware contêm código que corrige essa vulnerabilidade. COS
A vulnerabilidade é encontrada na função cgroup_release_agent_write do kernel do Linux na função kernel/cgroup/cgroup-v1.c e pode ser usada como uma saída de contêiner. O GKE no VMware não é afetado devido à proteção do perfil padrão AppArmor no Ubuntu e no COS. No entanto, alguns clientes ainda poderão estar vulneráveis se tiverem reduzido as restrições de segurança em pods por meio da modificação do pod ou do contêiner do securityContext, por exemplo, desativar/alterar o perfil do AppArmor, o que não é recomendado. Os patches estarão disponíveis em uma versão futura. Este boletim será atualizado quando eles estiverem disponíveis. Qual vulnerabilidade é corrigida por esse patch?CVE-2022-0492 |
Baixa |
GKE na AWS
Descrição | Gravidade |
---|---|
Uma vulnerabilidade de segurança, CVE-2022-0492,
foi descoberta na função O que fazer?Atualização de 12/05/2022: as seguintes versões de clusters do GKE da geração atual e anterior na AWS contêm um código que corrige essa vulnerabilidade: Geração atual
Atualização de 23/02/2022: adição de uma observação para o GKE na AWS. O GKE na AWS anterior e nas gerações atuais não é afetado devido à proteção do perfil padrão do AppArmor no Ubuntu. No entanto, alguns clientes ainda poderão estar vulneráveis se tiverem reduzido as restrições de segurança nos pods por meio da modificação do campo do pod ou do contêiner do securityContext, por exemplo, desativando/alterando o perfil do AppArmor, o que não é recomendado. Os patches estarão disponíveis em uma versão futura. Este boletim será atualizado quando eles estiverem disponíveis. Qual vulnerabilidade é corrigida por esse patch?CVE-2022-0492 |
Baixa |
GKE Enterprise em
Descrição | Gravidade |
---|---|
Uma vulnerabilidade de segurança, CVE-2022-0492,
foi descoberta na função O que fazer?Atualização de 12/05/2022: as seguintes versões do GKE no Azure contêm um código que corrige essa vulnerabilidade:
O GKE no Azure não é afetado devido à proteção do perfil padrão do AppArmor no Ubuntu. No entanto, alguns clientes ainda poderão estar vulneráveis se tiverem reduzido as restrições de segurança nos pods por meio da modificação do campo do pod ou do contêiner do securityContext, por exemplo, desativando/alterando o perfil do AppArmor, o que não é recomendado. Os patches estarão disponíveis em uma versão futura. Este boletim será atualizado quando eles estiverem disponíveis. Qual vulnerabilidade é corrigida por esse patch?CVE-2022-0492 |
Baixa |
GCP-2022-005
Data de publicação: 11/02/2022Atualizado em: 15/02/2022
Referência: CVE-2021-43527
GKE
Descrição | Gravidade |
---|---|
Atualização de 15/02/2022: algumas versões do GKE mencionadas no boletim original foram combinadas com outras correções e tiveram os números de versão incrementados antes do lançamento. Os patches estão disponíveis nas seguintes versões do GKE:
Uma vulnerabilidade de segurança, CVE-2021-43527, foi descoberta em qualquer binário que vincule às versões vulneráveis do libnss3 encontradas nas versões NSS (Serviços de segurança de rede) anteriores à 3.73 ou 3.68.1. Aplicativos que usam NSS para validação de certificados ou outro recurso TLS, X.509, OCSP ou CRL podem ser afetados, dependendo de como o NSS é usado/configurado. As imagens do GKE COS e do Ubuntu têm uma versão vulnerável instalada e precisam receber patches. Possivelmente, a CVE-2021-43527 pode ter um grande impacto nos aplicativos que usam NSS para processar assinaturas codificadas em CMS, S/MIME, PKCS#7 ou PKCS#12. Além disso, aplicativos que usam NSS para validação de certificados ou outro recurso TLS, X.509, OCSP ou CRL podem ser afetados. O impacto depende de como o NSS é usado/configurado. O GKE não usa o libnss3 para nenhuma API acessível pela Internet. O impacto é limitado ao código no host em execução fora dos contêineres, o que é pequeno devido ao design mínimo do Chrome OS. O código do GKE em execução dentro de contêineres usando a imagem base de golang distroless não é afetado. O que fazer?As versões de imagens de nó do Linux para as seguintes versões do GKE foram atualizadas com código para corrigir essas vulnerabilidades. Faça upgrade do plano de controle e dos nós para uma das seguintes versões do GKE:
Qual vulnerabilidade é corrigida por esse patch? |
Média |
Clusters do GKE em
Descrição | Gravidade |
---|---|
Uma vulnerabilidade de segurança, CVE-2021-43527, foi descoberta em qualquer binário que vincule às versões vulneráveis do libnss3 encontradas nas versões NSS (Serviços de segurança de rede) anteriores à 3.73 ou 3.68.1. Aplicativos que usam NSS para validação de certificado ou outro recurso TLS, X.509, OCSP ou CRL podem ser afetados, dependendo de como eles configuram o NSS. As imagens do GKE no VMware COS e do Ubuntu têm uma versão vulnerável instalada e precisam receber patches. Possivelmente, a CVE-2021-43527 pode ter um grande impacto nos aplicativos que usam NSS para processar assinaturas codificadas em CMS, S/MIME, PKCS \#7, or PKCS \#12. Além disso, aplicativos que usam NSS para validação de certificados ou outro recurso TLS, X.509, OCSP ou CRL podem ser afetados. Os impactos dependem de como eles configuram/usam o NSS. O Anthos no VMware não usa o libnss3 para nenhuma API acessível publicamente. Portanto, o impacto é limitado, e a gravidade do CVE para o GKE no VMware é classificada como Média. O que fazer?As versões de imagens de nó do Linux para as seguintes versões do Anthos foram atualizadas com código para corrigir essas vulnerabilidades. Faça upgrade do plano de controle e dos nós para uma das seguintes versões do Anthos:
Você está usando uma versão do GKE no VMware anterior à 1.18? Você está usando uma versão do Anthos fora do SLA e precisa fazer upgrade para uma das versões compatíveis. Qual vulnerabilidade é corrigida por esse patch? |
Média |
GKE Enterprise em
Descrição | Gravidade |
---|---|
Uma vulnerabilidade de segurança, CVE-2021-43527, foi descoberta em qualquer binário que vincule às versões vulneráveis do libnss3 encontradas nas versões NSS (Serviços de segurança de rede) anteriores à 3.73 ou 3.68.1. Aplicativos que usam NSS para validação de certificados ou outro recurso TLS, X.509, OCSP ou CRL podem ser afetados, dependendo de como o NSS é usado/configurado. Os clusters do Anthos em imagens do Azure Ubuntu têm uma versão vulnerável instalada, e precisam receber patches. Possivelmente, a CVE-2021-43527 pode ter um grande impacto nos aplicativos que usam NSS para processar assinaturas codificadas em CMS, S/MIME, PKCS#7 ou PKCS#12. Além disso, aplicativos que usam NSS para validação de certificados ou outro recurso TLS, X.509, OCSP ou CRL podem ser afetados. Os impactos dependem de como eles configuram/usam o NSS. Os clusters do Anthos no Azure não usam libnss3 para nenhuma API publicamente acessível. Portanto, o impacto é limitado, e a gravidade da CVE para o Anthos no Azure é classificada como "Média". O que fazer?As versões das imagens de nó do Linux para as seguintes versões do GKE no Azure foram atualizadas com código para corrigir essas vulnerabilidades. Faça upgrade dos clusters para uma das seguintes versões do Anthos no Azure:
Qual vulnerabilidade é corrigida por esse patch? |
Média |
GCP-2022-004
Data de publicação: 04/02/2022Referência: CVE-2021-4034
GKE
Descrição | Gravidade |
---|---|
Uma vulnerabilidade de segurança, CVE-2021-4034, foi descoberta no pkexec, parte do pacote do kit de políticas do Linux (polkit) que permite que um usuário autenticado execute um ataque de escalonamento de privilégios. O PolicyKit geralmente é usado apenas em sistemas Linux para computadores, permitindo que usuários não raiz realizem ações como reiniciar o sistema, instalar pacotes, reiniciar serviços etc., conforme regido por uma política. O que fazer?O GKE não é afetado porque o módulo vulnerável, policykit-1, não está instalado nas imagens do COS ou do Ubuntu usadas no GKE. Nenhuma ação é necessária. |
Nenhum |
Clusters do GKE em
Descrição | Gravidade |
---|---|
Uma vulnerabilidade de segurança, CVE-2021-4034, foi descoberta no pkexec, parte do pacote do kit de políticas do Linux (polkit) que permite que um usuário autenticado execute um ataque de escalonamento de privilégios. O PolicyKit geralmente é usado apenas em sistemas Linux para computadores, permitindo que usuários não raiz realizem ações como reiniciar o sistema, instalar pacotes, reiniciar serviços etc., conforme regido por uma política. A configuração padrão do GKE Enterprise já oferece privilégios "sudo" completos aos usuários. Por isso, essa exploração não muda a postura de segurança atual do GKE Enterprise Detalhes técnicosPara que esse bug possa ser explorado, um invasor precisa de um shell não raiz no sistema de arquivos do nó e ter a versão vulnerável do pkexec instalada. Embora o GKE no VMware inclua uma versão do policykit-1 nas imagens de lançamento, a configuração padrão do GKE Enterprise permite sudo sem senha para qualquer pessoa que já tenha acesso ao shell. Portanto, essa vulnerabilidade não concede a um usuário mais privilégios do que a que ele já tem. O que fazer?Você não precisa fazer nada. O GKE no VMware não é afetado. |
Nenhum |
Clusters do GKE em
Descrição | Gravidade |
---|---|
O GKE na AWS não é afetado. O módulo vulnerável, policykit-1, não está instalado nas imagens do Ubuntu usadas pelas versões atuais e anteriores do GKE na AWS. | Nenhum |
GKE Enterprise em
Descrição | Gravidade |
---|---|
Uma vulnerabilidade de segurança, CVE-2021-4034, foi descoberta no pkexec, parte do pacote do kit de políticas do Linux (polkit) que permite que um usuário autenticado execute um ataque de escalonamento de privilégios. O PolicyKit geralmente é usado apenas em sistemas Linux para computadores, permitindo que usuários não raiz realizem ações como reiniciar o sistema, instalar pacotes, reiniciar serviços etc., conforme regido por uma política. A configuração padrão do GKE Enterprise já oferece privilégios "sudo" completos aos usuários. Por isso, essa exploração não muda a postura de segurança atual do GKE Enterprise Detalhes técnicosPara que esse bug possa ser explorado, um invasor precisa de um shell não raiz no sistema de arquivos do nó e ter a versão vulnerável do pkexec instalada. Embora o GKE no Azure inclua uma versão do policykit-1 nas imagens de lançamento, a configuração padrão do GKE Enterprise permite sudo sem senha para qualquer pessoa que já tenha acesso ao shell. Portanto, essa vulnerabilidade não concede a um usuário mais privilégios do que a que ele já tem. O que fazer?Você não precisa fazer nada. O GKE no Azure não foi afetado. |
Nenhum |
Clusters do GKE em
Descrição | Gravidade |
---|---|
O Google Distributed Cloud Virtual para Bare Metal pode ser afetado dependendo dos pacotes instalados no sistema operacional gerenciado pelo cliente. Verifique as imagens do SO e corrija-as, se necessário. | Nenhum |
GCP-2022-002
Publicação : 01/02/2022Atualizado em : 07/03/2022
Referência: CVE-2021-4154, CVE-2021-22600, CVE-2022-0185
Atualização de 04/02/2022: seções adicionadas para GKE na AWS e GKE no Azure. Atualizações de lançamento adicionadas para o GKE e o GKE no VMware.
GKE
Atualizado em: 07/03/2022
Descrição | Gravidade |
---|---|
Três vulnerabilidades de segurança, CVE-2021-4154, CVE-2021-22600 e CVE-2022-0185. foram descobertas no kernel do Linux. Cada uma delas pode levar a uma falha de contêiner, escalonamento de privilégios no host ou ambos. Essas vulnerabilidades afetam todos os sistemas operacionais do nó (COS e Ubuntu) no GKE, GKE no VMware, GKE na AWS (geração atual e anterior) e GKE no Azure. Os pods que usam o GKE Sandbox não são vulneráveis a essas vulnerabilidades. Para mais detalhes, consulte as Notas de lançamento do COS. Detalhes técnicosNa CVE-2021-4154 (em inglês), um invasor pode explorar o parâmetro de chamada do sistema A CVE-2021-22600 é uma exploração livre dupla em package_set_ring que pode levar a um escape de contêiner para o nó do host. Com a CVE-2022-0185 (link em inglês), um bug de heap overflow no legacy_parse_param() pode gerar uma gravação fora dos limites, o que causará uma falha do contêiner. O caminho de exploração dessa vulnerabilidade que depende do syscall "unshare" é bloqueado em clusters do GKE Autopilot por padrão usando o filtro seccomp. Os usuários que ativaram manualmente o perfil seccomp de ambiente de execução padrão do contêiner nos clusters do GKE Standard também estão protegidos. O que fazer?Atualização de 07/03/2022: as versões das imagens de nó do Linux para as seguintes versões do GKE foram atualizadas com código para corrigir todas essas vulnerabilidades para as imagens do Ubuntu e do COS. Faça upgrade do plano de controle e dos nós para uma destas versões do GKE:
Atualização de 25/02/2022: se você usar imagens de nó do Ubuntu, o 1.22.6-gke.1000 não se destina à CVE-2021-22600. Este boletim será atualizado com as versões de patch do Ubuntu assim que estiverem disponíveis. Atualização de 23/02/2022: as versões das imagens de nó do Linux para as seguintes versões do GKE foram atualizadas com código para corrigir essas vulnerabilidades. Faça upgrade dos clusters para uma das seguintes versões do GKE.
Atualização de 04/02/2022: a data de início do lançamento das versões de patch do GKE foi 2 de fevereiro. As versões de imagens de nó do Linux para as seguintes versões do GKE foram atualizadas com código para corrigir essas vulnerabilidades. Faça upgrade dos clusters para uma das seguintes versões do GKE.
As versões 1.22 e 1.23 também estão em andamento. Este boletim será atualizado com versões específicas quando elas estiverem disponíveis. Qual vulnerabilidade é corrigida por esse patch? |
Alto |
Clusters do GKE em
Atualização: 23/02/2022
Descrição | Gravidade |
---|---|
Três vulnerabilidades de segurança, CVE-2021-4154, CVE-2021-22600 e CVE-2022-0185. foram descobertas no kernel do Linux. Cada uma delas pode levar a uma falha de contêiner, escalonamento de privilégios no host ou ambos. Essas vulnerabilidades afetam todos os sistemas operacionais do nó (COS e Ubuntu) no GKE, GKE no VMware, GKE na AWS (geração atual e anterior) e GKE no Azure. Para mais detalhes, consulte as Notas de lançamento do COS. Detalhes técnicosNa CVE-2021-4154 (em inglês), um invasor pode explorar o parâmetro de chamada do sistema A CVE-2021-22600 é uma exploração livre dupla em package_set_ring que pode levar a um escape de contêiner para o nó do host. Com a CVE-2022-0185 (link em inglês), um bug de heap overflow no legacy_parse_param() pode gerar uma gravação fora dos limites, o que causará uma falha do contêiner. Os usuários que ativaram manualmente o perfil seccomp de ambiente de execução padrão do contêiner nos clusters do GKE Standard também estão protegidos. O que fazer?Atualização de 23/02/2022: a versão 1.10.2 (corrige a CVE-2021-22600, CVE-2021-4154 e CVE-2022-0185) em 1º de março. Atualização de 23/02/2022: versões com patch corrigidas da CVE-2021-2260. A versão 1.10.1 não resolve a CVE-2021-22600, mas aborda as outras vulnerabilidades. As versões 1.9.4 e 1.10.2, ambos não lançadas, são relacionadas à CVE-2021-22600. As versões das imagens de nó do Linux para as seguintes versões do GKE no VMware foram atualizadas com código para corrigir essas vulnerabilidades. Faça upgrade dos clusters para uma das seguintes versões do GKE no VMware:
Atualização de 04/02/2022: informações adicionadas sobre as imagens do Ubuntu que não abordam a CVE-2021-22600. As versões de imagens de nó do Linux para as seguintes versões do GKE no VMware foram atualizadas com código para corrigir essas vulnerabilidades. Faça upgrade dos clusters para uma das seguintes versões do GKE no VMware:
Qual vulnerabilidade é corrigida por esse patch? |
Alto |
Clusters do GKE em
Descrição | Gravidade |
---|---|
Três vulnerabilidades de segurança, CVE-2021-4154, CVE-2021-22600 e CVE-2022-0185. foram descobertas no kernel do Linux. Cada uma delas pode levar a uma falha de contêiner, escalonamento de privilégios no host ou ambos. Essas vulnerabilidades afetam todos os sistemas operacionais do nó (COS e Ubuntu) no GKE, GKE no VMware, GKE na AWS (geração atual e anterior) e GKE no Azure. Para mais detalhes, consulte as Notas de lançamento do COS. Detalhes técnicosNa CVE-2021-4154 (em inglês), um invasor pode explorar o parâmetro de chamada do sistema A CVE-2021-22600 é uma exploração livre dupla em package_set_ring que pode levar a um escape de contêiner para o nó do host. Com a CVE-2022-0185 (link em inglês), um bug de heap overflow no legacy_parse_param() pode gerar uma gravação fora dos limites, o que causará uma falha do contêiner. Os usuários que ativaram manualmente o perfil seccomp de ambiente de execução padrão do contêiner nos clusters do GKE Standard também estão protegidos. O que fazer?GKE na AWSAs versões de imagens de nó do Linux para as seguintes versões do GKE na AWS foram atualizadas com código para corrigir essas vulnerabilidades. Faça upgrade dos clusters para a seguinte versão do GKE na AWS:
GKE na AWS (geração anterior)As versões das imagens de nó do Linux para as seguintes versões do GKE na AWS (geração anterior) foram atualizadas com código para corrigir essas vulnerabilidades. Faça upgrade dos clusters para uma das seguintes versões do GKE na AWS (geração anterior):
Qual vulnerabilidade é corrigida por esse patch? |
Alto |
GKE Enterprise em
Descrição | Gravidade |
---|---|
Três vulnerabilidades de segurança, CVE-2021-4154, CVE-2021-22600 e CVE-2022-0185. foram descobertas no kernel do Linux. Cada uma delas pode levar a uma falha de contêiner, escalonamento de privilégios no host ou ambos. Essas vulnerabilidades afetam todos os sistemas operacionais do nó (COS e Ubuntu) no GKE, GKE no VMware, GKE na AWS (geração atual e anterior) e GKE no Azure. Para mais detalhes, consulte as Notas de lançamento do COS. Detalhes técnicosNa CVE-2021-4154 (em inglês), um invasor pode explorar o parâmetro de chamada do sistema A CVE-2021-22600 é uma exploração livre dupla em package_set_ring que pode levar a um escape de contêiner para o nó do host. Com a CVE-2022-0185 (link em inglês), um bug de heap overflow no legacy_parse_param() pode gerar uma gravação fora dos limites, o que causará uma falha do contêiner. Os usuários que ativaram manualmente o perfil seccomp de ambiente de execução padrão do contêiner nos clusters do GKE Standard também estão protegidos. O que fazer?As versões das imagens de nó do Linux para as seguintes versões do GKE no Azure foram atualizadas com código para corrigir essas vulnerabilidades. Faça upgrade dos clusters para a seguinte versão do GKE no Azure:
Qual vulnerabilidade é corrigida por esse patch? |
Alto |
GCP-2021-024
Data de publicação: 21/10/2021Referência :CVE-2021-25742
GKE
Descrição | Gravidade |
---|---|
Um problema de segurança foi encontrado no controlador ingress-nginx do Kubernetes, CVE-2021-25742 (em inglês). Os snippets personalizados do ingress-nginx permitem a recuperação de tokens e secrets da conta de serviço no ingress-nginx em todos os namespaces. O que fazer?Esse problema de segurança não afeta a infraestrutura de cluster do GKE nem qualquer infraestrutura de cluster de ambientes do GKE Enterprise. Se você usar ingress-nginx nas suas implantações de carga de trabalho, lembre-se desse problema de segurança. Consulte o problema ingress-nginx 7837 para ver mais detalhes. |
Nenhum |
Clusters do GKE em
Descrição | Gravidade |
---|---|
Um problema de segurança foi encontrado no controlador ingress-nginx do Kubernetes, CVE-2021-25742 (em inglês). Os snippets personalizados do ingress-nginx permitem a recuperação de tokens e secrets da conta de serviço no ingress-nginx em todos os namespaces. O que fazer?Esse problema de segurança não afeta a infraestrutura de cluster do GKE nem qualquer infraestrutura de cluster de ambientes do GKE Enterprise. Se você usar ingress-nginx nas suas implantações de carga de trabalho, lembre-se desse problema de segurança. Consulte o problema ingress-nginx 7837 para ver mais detalhes. |
Nenhum |
Clusters do GKE em
Descrição | Gravidade |
---|---|
Um problema de segurança foi encontrado no controlador ingress-nginx do Kubernetes, CVE-2021-25742 (em inglês). Os snippets personalizados do ingress-nginx permitem a recuperação de tokens e secrets da conta de serviço no ingress-nginx em todos os namespaces. O que fazer?Esse problema de segurança não afeta a infraestrutura de cluster do GKE nem qualquer infraestrutura de cluster de ambientes do GKE Enterprise. Se você usar ingress-nginx nas suas implantações de carga de trabalho, lembre-se desse problema de segurança. Consulte o problema ingress-nginx 7837 para ver mais detalhes. |
Nenhum |
Clusters do GKE em
Descrição | Gravidade |
---|---|
Um problema de segurança foi encontrado no controlador ingress-nginx do Kubernetes, CVE-2021-25742 (em inglês). Os snippets personalizados do ingress-nginx permitem a recuperação de tokens e secrets da conta de serviço no ingress-nginx em todos os namespaces. O que fazer?Esse problema de segurança não afeta a infraestrutura de cluster do GKE nem qualquer infraestrutura de cluster de ambientes do GKE Enterprise. Se você usar ingress-nginx nas suas implantações de carga de trabalho, lembre-se desse problema de segurança. Consulte o problema ingress-nginx 7837 para ver mais detalhes. |
Nenhum |
GCP-2021-019
Data de publicação: 29/09/2021GKE
Descrição | Gravidade |
---|---|
Há um problema conhecido em que a atualização de um recurso Meu ambiente foi afetado por essa vulnerabilidade?Se o kubectl get backendconfigs -A -o json | \ jq -r '.items[] | select(.spec.securityPolicy == {}) | .metadata | "\(.namespace)/\(.name)"'
Esse problema afeta as seguintes versões do GKE:
Se você não configurar o Google Cloud Armor nos recursos de Entrada pelo
O que fazer?Faça upgrade do plano de controle do GKE
para uma das versões atualizadas a seguir que corrige esse problema e permite que
os recursos
Para evitar esse problema, evite a implantação de recursos Para evitar esse problema, faça atualizações somente para o Como a O manifesto de amostra a seguir descreve um recurso apiVersion: cloud.google.com/v1 kind: BackendConfig metadata: name: my-backend-config spec: securityPolicy: name: "ca-how-to-security-policy" Se você tiver sistemas ou ferramentas de CI/CD que atualizam regularmente os recursos do |
Baixa |
GCP-2021-022
Data da publicação: 23/09/2021Clusters do GKE em
Descrição | Gravidade |
---|---|
Uma vulnerabilidade foi descoberta no módulo LDAP do GKE Enterprise Identity Service (AIS) do GKE nas versões 1.8 e 1.8.1 da VMware, em que uma chave de semente usada na geração de chaves é previsível. Com essa vulnerabilidade, um usuário autenticado pode adicionar declarações arbitrárias e escalonar privilégios indefinidamente. Detalhes técnicosUma adição recente ao código ACS cria chaves simétricas com o módulo de matemática/randa do golang, que não é adequado para códigos sensíveis à segurança. O módulo é usado de modo a gerar uma chave previsível. Durante a verificação de identidade, é gerada uma chave do serviço de token seguro (STS, na sigla em inglês) que, depois, é criptografada com uma chave simétrica simples de derivar. O que fazer?Essa vulnerabilidade afeta apenas os clientes que usam o AIS no GKE nas versões 1.8 e 1.8.1 do VMware. Para usuários do GKE no VMware 1.8, faça upgrade dos clusters para a seguinte versão:
|
Alto |
GCP-2021-021
Data de publicação: 22/09/2021Referência: CVE-2020-8561
GKE
Descrição | Gravidade |
---|---|
Uma vulnerabilidade de segurança, CVE-2020-8561,
foi descoberta no Kubernetes. Nela, é possível fazer determinados webhooks para
redirecionar solicitações Detalhes técnicosCom essa vulnerabilidade, os agentes que controlam as respostas de solicitações Esse problema pode ser atenuado alterando determinados parâmetros do servidor de API. O que fazer?Nenhuma ação é necessária no momento. As versões disponíveis atualmente do GKE e do GKE Enterprise implementaram as seguintes mitigações que protegem contra esse tipo de ataque:
Qual vulnerabilidade é corrigida por esse patch?<pCVE-2020-8561 </p |
Média |
Clusters do GKE em
Descrição | Gravidade |
---|---|
Uma vulnerabilidade de segurança, CVE-2020-8561,
foi descoberta no Kubernetes. Nela, é possível fazer determinados webhooks para
redirecionar solicitações Detalhes técnicosCom essa vulnerabilidade, os agentes que controlam as respostas de solicitações Esse problema pode ser atenuado alterando determinados parâmetros do servidor de API. O que fazer?Nenhuma ação é necessária no momento. As versões disponíveis atualmente do GKE e do GKE Enterprise implementaram as seguintes mitigações que protegem contra esse tipo de ataque:
Qual vulnerabilidade é corrigida por esse patch?<pCVE-2020-8561 </p |
Média |
Clusters do GKE em
Descrição | Gravidade |
---|---|
Uma vulnerabilidade de segurança, CVE-2020-8561,
foi descoberta no Kubernetes. Nela, é possível fazer determinados webhooks para
redirecionar solicitações Detalhes técnicosCom essa vulnerabilidade, os agentes que controlam as respostas de solicitações Esse problema pode ser atenuado alterando determinados parâmetros do servidor de API. O que fazer?Nenhuma ação é necessária no momento. As versões disponíveis atualmente do GKE e do GKE Enterprise implementaram as seguintes mitigações que protegem contra esse tipo de ataque:
Qual vulnerabilidade é corrigida por esse patch?<pCVE-2020-8561 </p |
Média |
Clusters do GKE em
Descrição | Gravidade |
---|---|
Uma vulnerabilidade de segurança, CVE-2020-8561,
foi descoberta no Kubernetes. Nela, é possível fazer determinados webhooks para
redirecionar solicitações Detalhes técnicosCom essa vulnerabilidade, os agentes que controlam as respostas de solicitações Esse problema pode ser atenuado alterando determinados parâmetros do servidor de API. O que fazer?Nenhuma ação é necessária no momento. As versões disponíveis atualmente do GKE e do GKE Enterprise implementaram as seguintes mitigações que protegem contra esse tipo de ataque:
Qual vulnerabilidade é corrigida por esse patch?<pCVE-2020-8561 </p |
Média |
GCP-2021-018
Data de publicação: 15/09/2021Atualizado em: 24/09/2021
Referência: CVE-2021-25741
Atualização de 24/09/2021: o boletim do GKE em Bare Metal foi atualizado com mais versões com patch.
Atualização de 20/09/2021: boletins adicionados para o GKE em Bare Metal
Atualização de 16/09/2021: boletins adicionados para o GKE no VMware
GKE
Descrição | Gravidade |
---|---|
Foi descoberto recentemente um problema de segurança no Kubernetes, CVE-2021-25741, em que um usuário pode criar um contêiner com montagens de volume de subcaminho para acessar arquivos e diretórios fora do volume, incluindo no sistema de arquivos do host. Detalhes técnicos:No problema CVE-2021-25741, o invasor pode criar um link simbólico de um emptyDir montado que redireciona para o sistema de arquivos raiz do nó ( / ). O kubelet seguirá o link simbólico e montará a raiz do host no contêiner.O que fazer?Recomendamos que você faça upgrade dos pools de nós para uma das versões a seguir ou mais recente para aproveitar os patches mais recentes:
As seguintes versões também contêm a correção:
|
Alto |
Clusters do GKE em
Descrição | Gravidade |
---|---|
Foi descoberto recentemente um problema de segurança no Kubernetes, CVE-2021-25741, em que um usuário pode criar um contêiner com montagens de volume de subcaminho para acessar arquivos e diretórios fora do volume, incluindo no sistema de arquivos do host. Detalhes técnicos:No problema CVE-2021-25741, o invasor pode criar um link simbólico de um emptyDir montado que redireciona para o sistema de arquivos raiz do nó ( / ). O kubelet seguirá o link simbólico e montará a raiz do host no contêiner.O que fazer?Atualizado em 24/09/2021: as versões com patch 1.8.3 e 1.7.4 já estão disponíveis. Atualizado em 17/09/2021: foi corrigida a lista de versões disponíveis que contêm o patch. O código das seguintes versões do GKE no VMware foi atualizado para corrigir essa vulnerabilidade. Faça upgrade dos seus clusters de administrador e de usuário para uma das seguintes versões:
|
Alto |
Clusters do GKE em
Descrição | Gravidade |
---|---|
Foi descoberto recentemente um problema de segurança no Kubernetes, CVE-2021-25741, em que um usuário pode criar um contêiner com montagens de volume de subcaminho para acessar arquivos e diretórios fora do volume, incluindo no sistema de arquivos do host. Detalhes técnicos:No problema CVE-2021-25741, o invasor pode criar um link simbólico de um emptyDir montado que redireciona para o sistema de arquivos raiz do nó ( / ). O kubelet seguirá o link simbólico e montará a raiz do host no contêiner.O que fazer?Atualização de 16/09/2021: adição da lista de versões gke compatíveis para objetos O código das seguintes versões do GKE na AWS foi atualizado para corrigir essa vulnerabilidade. Nesse caso, recomendamos o seguinte:
|
Alto |
Clusters do GKE em
Descrição | Gravidade |
---|---|
Foi descoberto recentemente um problema de segurança no Kubernetes, CVE-2021-25741, em que um usuário pode criar um contêiner com montagens de volume de subcaminho para acessar arquivos e diretórios fora do volume, incluindo no sistema de arquivos do host. Detalhes técnicos:No problema CVE-2021-25741, o invasor pode criar um link simbólico de um emptyDir montado que redireciona para o sistema de arquivos raiz do nó ( / ). O kubelet seguirá o link simbólico e montará a raiz do host no contêiner.O que fazer?O código das versões a seguir do GKE em bare metal foi atualizado para corrigir essa vulnerabilidade. Faça upgrade dos seus clusters de administrador e de usuário para uma das seguintes versões:
|
Alto |
GCP-2021-017
Data de publicação: 01/09/2021Atualizado em: 23/09/2021
Referência: CVE-2021-33909
CVE-2021-33910
GKE
Descrição | Gravidade |
---|---|
Atualização de 23/19/2021:Contêineres em execução dentro do GKE Sandbox não são afetados por essa vulnerabilidade em ataques originados dentro do contêiner. Atualização de 15/19/2021:As seguintes versões do GKE corrigem as vulnerabilidades:
Duas vulnerabilidades de segurança, CVE-2021-33909 e CVE-2021-33910, foram descobertas no kernel do Linux que podem levar a uma falha no SO ou um escalonamento para a raiz por um usuário sem privilégios. Essa vulnerabilidade afeta todos os sistemas operacionais dos nós do GKE (COS e Ubuntu). Detalhes técnicos:Na CVE-2021-33909 (em inglês), a
camada do sistema de arquivos do kernel do Linux não restringe corretamente as alocações de buffer seq, levando
a um estouro de números inteiros, uma gravação fora dos limites e escalonamento para raiz O que fazer?As versões de imagens de nó do Linux para as seguintes versões do GKE foram atualizadas com código para corrigir essa vulnerabilidade. Faça upgrade dos clusters para uma das seguintes versões:
|
Alto |
Clusters do GKE em
Descrição | Gravidade |
---|---|
Duas vulnerabilidades de segurança, CVE-2021-33909 e CVE-2021-33910, foram descobertas no kernel do Linux que podem levar a uma falha no SO ou um escalonamento para a raiz por um usuário sem privilégios. Essa vulnerabilidade afeta todos os sistemas operacionais dos nós do GKE (COS e Ubuntu). Detalhes técnicos:Na CVE-2021-33909 (em inglês), a
camada do sistema de arquivos do kernel do Linux não restringe corretamente as alocações de buffer seq, levando
a um estouro de números inteiros, uma gravação fora dos limites e escalonamento para raiz O que fazer?As versões das imagens de nó do Linux para o GKE na AWS foram atualizadas com código
para corrigir essa vulnerabilidade. Faça upgrade dos clusters para uma das seguintes versões:
|
Alto |
Clusters do GKE em
Descrição | Gravidade |
---|---|
Duas vulnerabilidades de segurança, CVE-2021-33909 e CVE-2021-33910, foram descobertas no kernel do Linux que podem levar a uma falha no SO ou um escalonamento para a raiz por um usuário sem privilégios. Essa vulnerabilidade afeta todos os sistemas operacionais dos nós do GKE (COS e Ubuntu). Detalhes técnicos:Na CVE-2021-33909 (em inglês), a
camada do sistema de arquivos do kernel do Linux não restringe corretamente as alocações de buffer seq, levando
a um estouro de números inteiros, uma gravação fora dos limites e escalonamento para raiz O que fazer?As versões das imagens de nó do Linux e do COS para o GKE no VMware foram atualizadas com código
para corrigir essa vulnerabilidade. Faça upgrade dos clusters para uma das seguintes versões:
Consulte Histórico de versões: Kubernetes e versões do kernel do nó. |
Alto |
GCP-2021-015
Publicado em: 13/07/2021Atualizado em: 15/07/2021
Referência: CVE-2021-22555
GKE
Descrição | Gravidade |
---|---|
Foi descoberta uma nova vulnerabilidade de segurança, a CVE-2021-22555 (em inglês), em que um ator mal-intencionado com privilégios Detalhes técnicos
Nesse ataque, uma gravação fora dos limites em O que fazer?As seguintes versões do Linux no GKE foram atualizadas com código para corrigir essa vulnerabilidade. Faça upgrade dos clusters para uma das seguintes versões:
Qual vulnerabilidade é corrigida por esse patch? |
Alto |
Clusters do GKE em
Descrição | Gravidade |
---|---|
Foi descoberta uma nova vulnerabilidade de segurança, a CVE-2021-22555 (em inglês), em que um ator mal-intencionado com privilégios Detalhes técnicos
Nesse ataque, uma gravação fora dos limites em O que fazer?As seguintes versões do Linux no GKE no VMware foram atualizadas com código para corrigir essa vulnerabilidade. Faça upgrade dos clusters para uma das seguintes versões:
Qual vulnerabilidade é corrigida por esse patch? |
Alto |
GCP-2021-014
Data de publicação: 05/07/2021Referência: CVE-2021-34527
GKE
Descrição | Gravidade |
---|---|
A Microsoft publicou um boletim de segurança sobre uma vulnerabilidade de execução remota de código (RCE, na sigla em inglês), CVE-2021-34527, que afeta o spooler de impressão nos servidores do Windows. O CERT Coordination Center (CERT/CC) publicou uma nota de atualização sobre uma vulnerabilidade relacionada, chamada de "Printnightmare", que também afeta os spoolers de impressão do Windows. Vulnerabilidade do Spooler de impressão crítica do Windows O que fazer?Você não precisa fazer nada. Os nós do GKE no Windows não contêm o serviço Spooler afetado como parte da imagem base. Por isso, as implantações do GKE no Windows não estão vulneráveis a esse ataque. Quais vulnerabilidades são corrigidas por esse boletim?
|
Alto |
GCP-2021-012
Publicado em: 01/07/2021Atualizado em: 09/07/2021
Referência: CVE-2021-34824
GKE
Descrição | Gravidade |
---|---|
O que fazer?Recentemente, o projeto Istio divulgou uma nova vulnerabilidade de segurança (CVE-2021-34824) que afeta o Istio. O Istio tem uma vulnerabilidade que pode ser explorada remotamente, em que é possível acessar as credenciais especificadas nos campos "gateway" e "DestinationRule "credentialName" de diferentes namespaces. Detalhes técnicos:O gateway seguro do Istio ou as cargas de trabalho que usam a DestinationRule podem carregar chaves privadas e certificados TLS com base em secrets do Kubernetes pela configuração credentialName. A partir do Istio 1.8, os secrets são lidos no istiod e transmitidos para gateways e cargas de trabalho pelo XDS. Normalmente, uma implantação de gateway ou carga de trabalho só consegue acessar certificados TLS e chaves privadas armazenadas no secret dentro do namespace. No entanto, um bug no istiod permite que um cliente autorizado acesse a API Istio XDS e recupere qualquer certificado TLS e chaves privadas armazenadas em cache em istiod. O que fazer?Por padrão, os clusters do GKE não executam o Istio e, quando ativados, usam a versão 1.6 do Istio, que não é vulnerável a esse ataque. Se você instalou ou fez upgrade do Istio no cluster para o Istio 1.8 ou posterior, faça upgrade do Istio para a versão compatível mais recente. |
Alto |
Clusters do GKE em
Descrição | Gravidade |
---|---|
O que fazer?Recentemente, o projeto Istio divulgou uma nova vulnerabilidade de segurança (CVE-2021-34824) que afeta o Istio. O Istio tem uma vulnerabilidade que pode ser explorada remotamente, em que é possível acessar as credenciais especificadas nos campos "gateway" e "DestinationRule "credentialName" de diferentes namespaces. Detalhes técnicos:O gateway seguro do Istio ou as cargas de trabalho que usam a DestinationRule podem carregar chaves privadas e certificados TLS com base em secrets do Kubernetes pela configuração credentialName. A partir do Istio 1.8, os secrets são lidos no istiod e transmitidos para gateways e cargas de trabalho pelo XDS. Normalmente, uma implantação de gateway ou carga de trabalho só consegue acessar certificados TLS e chaves privadas armazenadas no secret dentro do namespace. No entanto, um bug no istiod permite que um cliente autorizado acesse a API Istio XDS e recupere qualquer certificado TLS e chaves privadas armazenadas em cache em istiod. O que fazer?Os clusters do Anthos no VMware v1.6 e v1.7 não são vulneráveis a esse ataque. Os clusters do Anthos no VMware v1.8 são vulneráveis. Se você estiver usando clusters do Anthos no VMware v1.8, faça upgrade para a seguinte versão com patch ou posterior:
|
Alto |
Clusters do GKE em
Descrição | Gravidade |
---|---|
O que fazer?Recentemente, o projeto Istio divulgou uma nova vulnerabilidade de segurança (CVE-2021-34824) que afeta o Istio. O Istio tem uma vulnerabilidade que pode ser explorada remotamente, em que é possível acessar as credenciais especificadas nos campos "gateway" e "DestinationRule "credentialName" de diferentes namespaces. Detalhes técnicos:O gateway seguro do Istio ou as cargas de trabalho que usam a DestinationRule podem carregar chaves privadas e certificados TLS com base em secrets do Kubernetes pela configuração credentialName. A partir do Istio 1.8, os secrets são lidos no istiod e transmitidos para gateways e cargas de trabalho pelo XDS. Normalmente, uma implantação de gateway ou carga de trabalho só consegue acessar certificados TLS e chaves privadas armazenadas no secret dentro do namespace. No entanto, um bug no istiod permite que um cliente autorizado acesse a API Istio XDS e recupere qualquer certificado TLS e chaves privadas armazenadas em cache em istiod. Os clusters criados ou atualizados com clusters do Anthos no bare metal v1.8.0 são afetados por essa CVE. O que fazer?O Anthos v1.6 e 1.7 não são vulneráveis a esse ataque. Se você tiver clusters v1.8.0, faça o download e instale a versão 1.8.1 do bmctl e faça upgrade dos clusters para a seguinte versão com patch:
|
Alto |
GCP-2021-011
Data de publicação: 04/06/2021Atualizado em: 19/10/2021
Referência: CVE-2021-30465
Atualização de 19/10/2021: adição de boletins para o GKE no VMware, o GKE na AWS e o GKE em Bare Metal.
GKE
Descrição | Gravidade |
---|---|
A comunidade de segurança divulgou recentemente uma nova vulnerabilidade de segurança, a
CVE-2021-30465,
encontrada no Para o GKE, como a exploração dessa vulnerabilidade requer a capacidade de criar pods, classificamos a gravidade dessa vulnerabilidade como "MÉDIA". Detalhes técnicos
O pacote Para esse ataque específico, um usuário pode explorar uma disputa ao iniciar vários pods em um único nó simultaneamente, todos com a mesma quantidade de volume com um link simbólico. Se o ataque for bem-sucedido, um dos pods ativará o sistema de arquivos do nó com permissões raiz. O que fazer?Há um patch recém-lançado para Faça upgrade do cluster do GKE para uma das versões atualizadas a seguir:
|
Média |
Clusters do GKE em
Descrição | Gravidade |
---|---|
A comunidade de segurança divulgou recentemente uma nova vulnerabilidade de segurança, a
CVE-2021-30465,
encontrada no Para o GKE no VMware, como a exploração dessa vulnerabilidade requer a capacidade de criar pods, classificamos a gravidade dessa vulnerabilidade como "MÉDIA". Detalhes técnicos
O pacote Para esse ataque específico, um usuário pode explorar uma disputa ao iniciar vários pods em um único nó simultaneamente, todos com a mesma quantidade de volume com um link simbólico. Se o ataque for bem-sucedido, um dos pods ativará o sistema de arquivos do nó com permissões raiz. O que fazer?Há um patch recém-lançado a
|
Média |
Clusters do GKE em
Descrição | Gravidade |
---|---|
A comunidade de segurança divulgou recentemente uma nova vulnerabilidade de segurança, a
CVE-2021-30465,
encontrada no Como essa é uma vulnerabilidade no nível do SO, o GKE na AWS não é vulnerável. Detalhes técnicos
O pacote Para esse ataque específico, um usuário pode explorar uma disputa ao iniciar vários pods em um único nó simultaneamente, todos com a mesma quantidade de volume com um link simbólico. Se o ataque for bem-sucedido, um dos pods ativará o sistema de arquivos do nó com permissões raiz. O que fazer?Verifique se a versão do SO em que você está executando o GKE na AWS é atualizada para a versão mais recente do SO que tem um pacoterunc atualizado.
|
Nenhum |
Clusters do GKE em
Descrição | Gravidade |
---|---|
A comunidade de segurança divulgou recentemente uma nova vulnerabilidade de segurança, a
CVE-2021-30465,
encontrada no Como essa é uma vulnerabilidade no nível do SO, o GKE em bare metal não é vulnerável. Detalhes técnicos
O pacote Para esse ataque específico, um usuário pode explorar uma disputa ao iniciar vários pods em um único nó simultaneamente, todos com a mesma quantidade de volume com um link simbólico. Se o ataque for bem-sucedido, um dos pods ativará o sistema de arquivos do nó com permissões raiz. O que fazer?
Verifique se a versão do SO em que você está executando o Google Distributed Cloud Virtual para Bare Metal é
atualizada para a versão mais recente do SO que tem um pacote |
Nenhum |
GCP-2021-006
Data de publicação: 11/05/2021Referência: CVE-2021-31920
GKE
Descrição | Gravidade |
---|---|
Recentemente, o projeto Istio divulgou uma nova vulnerabilidade de segurança (CVE-2021-31920) que afeta o Istio. O Istio tem uma vulnerabilidade que pode ser explorada remotamente, em que uma solicitação HTTP com várias barras ou caracteres de barra de escape pode ignorar a política de autorização do Istio quando regras de autorização com base em caminho forem usadas. O que fazer?É altamente recomendável atualizar e reconfigurar os clusters do GKE. É importante concluir as duas etapas abaixo para resolver a vulnerabilidade:
|
Alto |
GCP-2021-004
Data de publicação: 06/05 2021Referência: CVE-2021-28683, CVE-2021-28682, CVE-2021-29258
GKE
Descrição | Gravidade |
---|---|
Os projetos do Envoy e do Istio recentemente anunciaram várias novas vulnerabilidades de segurança (CVE-2021-28683, CVE-2021-28682). e CVE-2021-29258, que permitem que um invasor cause uma falha no Envoy. Os clusters do GKE não executam o Istio por padrão e não são vulneráveis. Se o Istio tiver sido instalado em um cluster e configurado para expor serviços à Internet, esses serviços poderão ficar vulneráveis a ataques de negação de serviço. O que fazer?Para corrigir essas vulnerabilidades, faça upgrade do seu plano de controle do GKE para uma das seguintes versões com patch:
|
Média |
Clusters do GKE em
Descrição | Gravidade |
---|---|
Os projetos do Envoy e do Istio recentemente anunciaram várias novas vulnerabilidades de segurança (CVE-2021-28683, CVE-2021-28682). e CVE-2021-29258, que permitem que um invasor cause uma falha no Envoy. O GKE no VMware usa o Envoy por padrão para o Ingress. Portanto, os serviços do Ingress podem estar vulneráveis à negação de serviço. O que fazer?Para corrigir essas vulnerabilidades, faça upgrade do GKE no VMware para uma das seguintes versões com patch quando elas forem lançadas:
|
Média |
Clusters do GKE em
Atualizado em: 06/05/2021
Descrição | Gravidade |
---|---|
Os projetos do Envoy e do Istio recentemente anunciaram várias novas vulnerabilidades de segurança (CVE-2021-28683, CVE-2021-28682). e CVE-2021-29258, que permitem que um invasor cause uma falha no Envoy. O Google Distributed Cloud Virtual para Bare Metal usa o Envoy por padrão para o Ingress. Portanto, os serviços Ingress podem ser vulneráveis à negação de serviço. O que fazer?Para corrigir essas vulnerabilidades, faça upgrade do cluster do Google Distributed Cloud Virtual para Bare Metal para uma das seguintes versões com patch quando elas forem lançadas:
|
Média |
GCP-2021-003
Data de publicação: 19/04/2021Referência: CVE-2021-25735
GKE
Descrição | Gravidade |
---|---|
O projeto do Kubernetes anunciou recentemente uma nova vulnerabilidade de segurança, CVE-2021-25735, que permite que as atualizações de nó ignorem uma validação do webhook de admissão. Em um cenário em que um invasor tem privilégios suficientes e em que uma validação do
webhook de admissão foi implementada que usa propriedades de objetos O que fazer?Para corrigir essa vulnerabilidade, faça o upgrade do cluster do GKE para uma das seguintes versões com patch:
|
Média |
Clusters do GKE em
Descrição | Gravidade |
---|---|
O projeto do Kubernetes anunciou recentemente uma nova vulnerabilidade de segurança, CVE-2021-25735, que permite que as atualizações de nó ignorem uma validação do webhook de admissão. Em um cenário em que um invasor tem privilégios suficientes e em que uma validação do
webhook de admissão foi implementada que usa propriedades de objetos O que fazer?Uma versão de patch futura incluirá uma mitigação dessa vulnerabilidade. |
Média |
Clusters do GKE em
Descrição | Gravidade |
---|---|
O projeto do Kubernetes anunciou recentemente uma nova vulnerabilidade de segurança, CVE-2021-25735, que permite que as atualizações de nó ignorem uma validação do webhook de admissão. Em um cenário em que um invasor tem privilégios suficientes e em que uma validação do
webhook de admissão foi implementada que usa propriedades de objetos O que fazer?Uma versão de patch futura incluirá uma mitigação dessa vulnerabilidade. |
Média |
Clusters do GKE em
Descrição | Gravidade |
---|---|
O projeto do Kubernetes anunciou recentemente uma nova vulnerabilidade de segurança, CVE-2021-25735, que permite que as atualizações de nó ignorem uma validação do webhook de admissão. Em um cenário em que um invasor tem privilégios suficientes e em que uma validação do
webhook de admissão foi implementada que usa propriedades de objetos O que fazer?Uma versão de patch futura incluirá uma mitigação dessa vulnerabilidade. |
Média |
GCP-2021-001
Data de publicação: 28/01/2021Referência: CVE-2021-3156
GKE
Descrição | Gravidade |
---|---|
Uma vulnerabilidade foi descoberta recentemente no utilitário Os clusters do Google Kubernetes Engine (GKE) não são afetados por esta vulnerabilidade:
O que fazer?Como os clusters do GKE não são afetados por essa vulnerabilidade, nenhuma outra ação é necessária. O GKE terá o patch dessa vulnerabilidade aplicado em uma próxima versão na cadência regular. |
Nenhum |
Clusters do GKE em
Descrição | Gravidade |
---|---|
Uma vulnerabilidade foi descoberta recentemente no utilitário O GKE no VMware não é afetado por essa vulnerabilidade:
O que fazer?Como os clusters do GKE no VMware não é afetado por essa vulnerabilidade, nenhuma outra ação é necessária. O GKE no VMware vai ter o patch dessa vulnerabilidade aplicado em uma próxima versão na cadência normal. |
Nenhum |
Clusters do GKE em
Descrição | Gravidade |
---|---|
Uma vulnerabilidade foi descoberta recentemente no utilitário O GKE na AWS não é afetado por essa vulnerabilidade:
O que fazer?Como o GKE em clusters da AWS não é afetado por essa vulnerabilidade, nenhuma outra ação é necessária. O GKE na AWS terá o patch dessa vulnerabilidade aplicado em uma próxima versão na cadência regular. |
Nenhum |
Clusters do GKE em
Descrição | Gravidade |
---|---|
Uma vulnerabilidade foi descoberta recentemente no utilitário Os clusters do Google Distributed Cloud Virtual para Bare Metal não são afetados por essa vulnerabilidade:
O que fazer?Como os clusters do Google Distributed Cloud Virtual para Bare Metal não são afetados por essa vulnerabilidade, nenhuma outra ação é necessária. O Google Distributed Cloud Virtual para Bare Metal terá o patch dessa vulnerabilidade aplicado em uma próxima versão na cadência normal. |
Nenhum |
GCP-2020-015
Data de publicação: 07/12/2020Atualizado em: 22/12/2021
Referência: CVE-2020-8554
Atualização de 22/12/2021: usa gcloud beta
em vez
do comando gcloud
.
Atualização de 15/12/2021: mitigação adicional do GKE.
GKE
Descrição | Gravidade |
---|---|
Atualizado em 22/12/2021: o comando para o GKE na seção
a seguir deve usar gcloud beta em vez do comando gcloud .
gcloud beta container clusters update –no-enable-service-externalips Atualizada em 15/12/2021 no GKE, a seguinte mitigação já está disponível:
Para mais informações, consulte Como aumentar a segurança do cluster. O projeto Kubernetes descobriu recentemente uma nova vulnerabilidade de segurança, CVE-2020-8554, que permite que um invasor que conseguiu permissões para criar um serviço do Kubernetes do tipo LoadBalancer ou ClusterIP intercepte o tráfego de rede proveniente de outros pods no cluster. Essa vulnerabilidade em si não concede permissões a um invasor para criar um serviço do Kubernetes. Todos os clusters do Google Kubernetes Engine (GKE) são afetados por essa vulnerabilidade. O que fazer?O Kubernetes pode precisar fazer alterações de design incompatíveis com versões anteriores em uma versão futura para lidar com a vulnerabilidade. Se muitos usuários compartilharem acesso ao cluster com permissões para criar serviços, como em um cluster multilocatário, considere aplicar uma mitigação nesse meio tempo. Por enquanto, a melhor abordagem para a mitigação é restringir o uso de ExternalIPs em um cluster. ExternalIPs não são um recurso frequentemente usado. Restrinja o uso de ExternalIPs em um cluster com um dos seguintes métodos:
Como mencionado no
Anúncio do Kubernetes,
nenhuma mitigação é fornecida para os serviços do tipo LoadBalancer porque, por padrão, apenas usuários
altamente privilegiados e componentes do sistema recebem a
permissão
|
Média |
Clusters do GKE em
Descrição | Gravidade |
---|---|
Atualizado em 22/12/2021: o comando para o GKE na seção
a seguir deve usar gcloud beta em vez do comando gcloud .
gcloud beta container clusters update –no-enable-service-externalips Atualizada em 15/12/2021 no GKE, a seguinte mitigação já está disponível:
Para mais informações, consulte Como aumentar a segurança do cluster. O projeto Kubernetes descobriu recentemente uma nova vulnerabilidade de segurança, CVE-2020-8554, que permite que um invasor que conseguiu permissões para criar um serviço do Kubernetes do tipo LoadBalancer ou ClusterIP intercepte o tráfego de rede proveniente de outros pods no cluster. Essa vulnerabilidade em si não concede permissões a um invasor para criar um serviço do Kubernetes. Todos os GKE na VMware são afetados por essa vulnerabilidade. O que fazer?O Kubernetes pode precisar fazer alterações de design incompatíveis com versões anteriores em uma versão futura para lidar com a vulnerabilidade. Se muitos usuários compartilharem acesso ao cluster com permissões para criar serviços, como em um cluster multilocatário, considere aplicar uma mitigação nesse meio tempo. Por enquanto, a melhor abordagem para a mitigação é restringir o uso de ExternalIPs em um cluster. ExternalIPs não são um recurso frequentemente usado. Restrinja o uso de ExternalIPs em um cluster com um dos seguintes métodos:
Como mencionado no
Anúncio do Kubernetes,
nenhuma mitigação é fornecida para os serviços do tipo LoadBalancer porque, por padrão, apenas usuários
altamente privilegiados e componentes do sistema recebem a
permissão
|
Média |
Clusters do GKE em
Descrição | Gravidade |
---|---|
Atualizado em 22/12/2021: o comando para o GKE na seção
a seguir deve usar gcloud beta em vez do comando gcloud .
gcloud beta container clusters update –no-enable-service-externalips Atualizada em 15/12/2021 no GKE, a seguinte mitigação já está disponível:
Para mais informações, consulte Como aumentar a segurança do cluster. O projeto Kubernetes descobriu recentemente uma nova vulnerabilidade de segurança, CVE-2020-8554, que permite que um invasor que conseguiu permissões para criar um serviço do Kubernetes do tipo LoadBalancer ou ClusterIP intercepte o tráfego de rede proveniente de outros pods no cluster. Essa vulnerabilidade em si não concede permissões a um invasor para criar um serviço do Kubernetes. Todos os GKE na AWS são afetados por essa vulnerabilidade. O que fazer?O Kubernetes pode precisar fazer alterações de design incompatíveis com versões anteriores em uma versão futura para lidar com a vulnerabilidade. Se muitos usuários compartilharem acesso ao cluster com permissões para criar serviços, como em um cluster multilocatário, considere aplicar uma mitigação nesse meio tempo. Por enquanto, a melhor abordagem para a mitigação é restringir o uso de ExternalIPs em um cluster. ExternalIPs não são um recurso frequentemente usado. Restrinja o uso de ExternalIPs em um cluster com um dos seguintes métodos:
Como mencionado no
Anúncio do Kubernetes,
nenhuma mitigação é fornecida para os serviços do tipo LoadBalancer porque, por padrão, apenas usuários
altamente privilegiados e componentes do sistema recebem a
permissão
|
Média |
GCP-2020-014
Publicado em: 20/10/2020Referência: CVE-2020-8563, CVE-2020-8564, CVE-2020-8565, CVE-2020-8566
GKE
Atualizado em: 20/10/2020
Descrição | Gravidade |
---|---|
Recentemente, o projeto do Kubernetes descobriu vários problemas que permitem a exposição de dados secretos quando as opções de registro detalhado estão ativadas. Os problemas são:
O GKE não é afetado. O que fazer?Nenhuma outra ação é necessária devido aos níveis de registro detalhado padrão do GKE. |
Nenhum |
Clusters do GKE em
Atualizado em: 10/10/2020
Descrição | Gravidade |
---|---|
Recentemente, o projeto do Kubernetes descobriu vários problemas que permitem a exposição de dados secretos quando as opções de registro detalhado estão ativadas. Os problemas são:
O GKE no VMware não é afetado. O que fazer?Nenhuma outra ação é necessária devido aos níveis de registro detalhado padrão do GKE. |
Nenhum |
Clusters do GKE em
Atualizado em: 20/10/2020
Descrição | Gravidade |
---|---|
Recentemente, o projeto do Kubernetes descobriu vários problemas que permitem a exposição de dados secretos quando as opções de registro detalhado estão ativadas. Os problemas são:
O GKE na AWS não é afetado. O que fazer?Nenhuma outra ação é necessária devido aos níveis de registro detalhado padrão do GKE. |
Nenhum |
GCP-2020-012
Publicado em: 14/09/2020Referência: CVE-2020-14386
GKE
Descrição | Gravidade |
---|---|
Uma vulnerabilidade foi descoberta recentemente no kernel do Linux, descrita em CVE-2020-14386, que permite que os escapes de contêineres recebam privilégios raiz no nó do host. Essa vulnerabilidade afeta todos os nós do GKE. Os pods em execução no GKE Sandbox não são afetados por essa vulnerabilidade. O que fazer?Para corrigir essa vulnerabilidade, faça upgrade do plano de controle e, depois, faça upgrade dos nós para uma das versões com patch listadas abaixo:
O uso dessa vulnerabilidade requer Reduza a capacidade de
Qual vulnerabilidade é corrigida por esse patch?O patch reduz os riscos da seguinte vulnerabilidade: A vulnerabilidade CVE-2020-14386,
que permite que os contêineres com |
Alto |
Clusters do GKE em
Atualizado em: 17/09/2020
Descrição | Gravidade |
---|---|
Uma vulnerabilidade foi descoberta recentemente no kernel do Linux, descrita em CVE-2020-14386, que permite que os escapes de contêineres recebam privilégios raiz no nó do host. Todos os nós do GKE no VMware foram afetados. O que fazer?Para corrigir essa vulnerabilidade, faça upgrade do cluster para uma versão com patch. As próximas versões do {gke_on_prem_name}} conterão a correção da vulnerabilidade, e este boletim será atualizado quando elas estiverem disponíveis:
O uso dessa vulnerabilidade requer Reduza a capacidade de
Qual vulnerabilidade é corrigida por esse patch?O patch reduz os riscos da seguinte vulnerabilidade: A vulnerabilidade CVE-2020-14386,
que permite que os contêineres com |
Alto |
Clusters do GKE em
Atualizado em: 13/10/2020
Descrição | Gravidade |
---|---|
Uma vulnerabilidade foi descoberta recentemente no kernel do Linux, descrita em CVE-2020-14386, que permite que os escapes de contêineres recebam privilégios raiz no nó do host. Todos os nós do GKE nos nós da AWS são afetados. O que fazer?Para corrigir essa vulnerabilidade, faça upgrade do serviço de gerenciamento e dos clusters do usuário para uma versão com patch. As próximas versões do GKE na AWS ou mais recentes incluirão a correção dessa vulnerabilidade, e este boletim será atualizado quando elas estiverem disponíveis:
Reduza a capacidade de
Qual vulnerabilidade é corrigida por esse patch?O patch reduz os riscos da seguinte vulnerabilidade: A vulnerabilidade CVE-2020-14386,
que permite que os contêineres com |
Alto |
GCP-2020-011
Publicado em: 2020-07-24Referência: CVE-2020-8558
GKE
Descrição | Gravidade |
---|---|
Uma vulnerabilidade de rede, CVE-2020-8558 (em inglês), foi descoberta recentemente no Kubernetes. Às vezes, os serviços se comunicam com outros aplicativos em execução no mesmo pod usando a interface de loopback local (127.0.0.1). Essa vulnerabilidade permite que um invasor com acesso à rede do cluster envie tráfego para a interface de loopback de pods e nós adjacentes. Os serviços que dependem da interface de loopback e não são acessados fora do pod podem ser explorados. A exploração dessa vulnerabilidade nos clusters do GKE requer que um invasor tenha privilégios de administrador de rede no Google Cloud que hospede a VPC do cluster. Por si só, essa vulnerabilidade não concede privilégios de administrador de rede a invasores. Por esse motivo, essa vulnerabilidade recebeu uma gravidade baixa no GKE. O que fazer?Para corrigir essa vulnerabilidade, faça upgrade dos pools de nós do cluster para as seguintes versões do GKE (e posteriores):
Qual vulnerabilidade é corrigida por esse patch?Esse patch corrige a seguinte vulnerabilidade: CVE-2020-8558 (em inglês). |
Baixa |
Clusters do GKE em
Descrição | Gravidade |
---|---|
Uma vulnerabilidade de rede, CVE-2020-8558 (em inglês), foi descoberta recentemente no Kubernetes. Às vezes, os serviços se comunicam com outros aplicativos em execução no mesmo pod usando a interface de loopback local (127.0.0.1). Essa vulnerabilidade permite que um invasor com acesso à rede do cluster envie tráfego para a interface de loopback de pods e nós adjacentes. Os serviços que dependem da interface de loopback e não são acessados fora do pod podem ser explorados. O que fazer?Para corrigir essa vulnerabilidade, faça upgrade do cluster para uma versão com patch. As próximas versões do GKE no VMware ou mais recentes contêm a correção para essa vulnerabilidade:
Qual vulnerabilidade é corrigida por esse patch?Esse patch corrige a seguinte vulnerabilidade: CVE-2020-8558. |
Média |
Clusters do GKE em
Descrição | Gravidade |
---|---|
Uma vulnerabilidade de rede, CVE-2020-8558 (em inglês), foi descoberta recentemente no Kubernetes. Às vezes, os serviços se comunicam com outros aplicativos em execução no mesmo pod usando a interface de loopback local (127.0.0.1). Essa vulnerabilidade permite que um invasor com acesso à rede do cluster envie tráfego para a interface de loopback de pods e nós adjacentes. Os serviços que dependem da interface de loopback e não são acessados fora do pod podem ser explorados. A exploração dessa vulnerabilidade nos clusters de usuário requer que um invasor desative
verificações de destino de origem
nas instâncias do EC2 no cluster. Isso exige que o invasor tenha permissões do IAM da AWS
para O que fazer?Para corrigir essa vulnerabilidade, faça upgrade do cluster para uma versão com patch. As próximas versões do GKE na AWS ou mais recentes precisam incluir a correção para essa vulnerabilidade:
Qual vulnerabilidade é corrigida por esse patch?Esse patch corrige a seguinte vulnerabilidade: CVE-2020-8558 (em inglês). |
Baixa |
GCP-2020-009
Publicado em: 15/07/2020Referência: CVE-2020-8559
GKE
Descrição | Gravidade |
---|---|
Uma vulnerabilidade de escalonamento de privilégios, CVE-2020-8559 (em inglês), foi descoberta recentemente no Kubernetes. Essa vulnerabilidade permite que um invasor que já tenha comprometido um nó execute um comando em qualquer pod do cluster. Dessa forma, o invasor pode usar o nó já afetado para comprometer outros nós e, possivelmente, ler informações ou causar ações destrutivas. Para que um invasor explore essa vulnerabilidade, é preciso que um nó do cluster já tenha sido comprometido. Essa vulnerabilidade, por si só, não comprometerá os nós do cluster. O que fazer?Faça upgrade do cluster para uma versão com patch. Os clusters serão atualizados automaticamente nas próximas semanas, e as versões com patch estarão disponíveis até 19 de julho de 2020 para uma programação acelerada por upgrade manual. As seguintes versões do plano de controle do GKE ou mais recentes contêm a correção dessa vulnerabilidade:
Qual vulnerabilidade é corrigida por esse patch?Esses patches mitigam a vulnerabilidade CVE-2020-8559. Isso é classificado como uma vulnerabilidade média do GKE, porque exige que o invasor tenha informações em primeira mão sobre o cluster, os nós e as cargas de trabalho para aproveitar esse ataque de forma eficaz, além de um nó comprometido. Essa vulnerabilidade sozinha não fornece um nó comprometido a um invasor. |
Média |
Clusters do GKE em
Descrição | Gravidade |
---|---|
Uma vulnerabilidade de escalonamento de privilégios, CVE-2020-8559 (em inglês), foi descoberta recentemente no Kubernetes. Essa vulnerabilidade permite que um invasor que já tenha comprometido um nó execute um comando em qualquer pod do cluster. Dessa forma, o invasor pode usar o nó já afetado para comprometer outros nós e, possivelmente, ler informações ou causar ações destrutivas. Para que um invasor explore essa vulnerabilidade, é preciso que um nó do cluster já tenha sido comprometido. Essa vulnerabilidade, por si só, não comprometerá os nós do cluster. O que fazer?Faça upgrade do cluster para uma versão com patch. As próximas versões do GKE no VMware ou mais recentes contêm a correção para essa vulnerabilidade:
Qual vulnerabilidade é corrigida por esse patch?Esses patches mitigam a vulnerabilidade CVE-2020-8559. Isso é classificado como uma vulnerabilidade média do GKE, porque exige que o invasor tenha informações em primeira mão sobre o cluster, os nós e as cargas de trabalho para aproveitar esse ataque de forma eficaz, além de um nó comprometido. Essa vulnerabilidade sozinha não fornece um nó comprometido a um invasor. |
Média |
Clusters do GKE em
Descrição | Gravidade |
---|---|
Uma vulnerabilidade de escalonamento de privilégios, CVE-2020-8559 (em inglês), foi descoberta recentemente no Kubernetes. Essa vulnerabilidade permite que um invasor que já tenha comprometido um nó execute um comando em qualquer pod do cluster. Dessa forma, o invasor pode usar o nó já afetado para comprometer outros nós e, possivelmente, ler informações ou causar ações destrutivas. Para que um invasor explore essa vulnerabilidade, é preciso que um nó do cluster já tenha sido comprometido. Essa vulnerabilidade, por si só, não comprometerá os nós do cluster. O que fazer?O GKE na AWS GA (1.4.1, disponível no final de julho de 2020) ou mais recente inclui o patch para essa vulnerabilidade. Se você estiver usando uma versão anterior, faça o download de uma nova versão da ferramenta de linha de comando anthos-gke e recrie seus clusters de gerenciamento e usuário. Qual vulnerabilidade é corrigida por esse patch?Esses patches mitigam a vulnerabilidade CVE-2020-8559. Isso é classificado como uma vulnerabilidade média do GKE, porque exige que o invasor tenha informações em primeira mão sobre o cluster, os nós e as cargas de trabalho para aproveitar esse ataque de forma eficaz, além de um nó comprometido. Essa vulnerabilidade sozinha não fornece um nó comprometido a um invasor. |
Média |
GCP-2020-007
Publicado em: 01/06/2020Referência: CVE-2020-8555
GKE
Descrição | Gravidade |
---|---|
A vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF, na sigla em inglês) CVE-2020-8555 foi descoberta recentemente no Kubernetes. Ela permite que determinados usuários autorizados vazem até 500 bytes de informações confidenciais da rede do host do plano de controle. O plano de controle do Google Kubernetes Engine (GKE) usa os controladores do Kubernetes e, portanto, foi afetado por essa vulnerabilidade. Recomendamos que você faça o upgrade do plano de controle para a última versão do patch, como detalhamos a seguir. Não é necessário fazer upgrade do nó. O que fazer?Para quase todos os clientes, nenhuma ação é necessária. A grande maioria dos clusters já executa uma versão com o patch. As seguintes versões do GKE ou superiores contêm a solução para essa vulnerabilidade:
Os clusters que usam canais de lançamento já estão nas versões do plano de controle com a mitigação. Qual vulnerabilidade é corrigida pelo patch?Esses patches mitigam a vulnerabilidade CVE-2020-8555. Ela é classificada como uma vulnerabilidade de gravidade média para o GKE, porque era difícil explorá-la já que havia várias medidas de aumento de proteção do plano de controle. Um invasor com permissões para criar um pod com determinados
tipos de volume integrado (GlusterFS, Quobyte, StorageFS e ScaleIO) ou
permissões para criar um StorageClass pode fazer com que
Combinado com um meio de vazar os resultados de |
Média |
Clusters do GKE em
Descrição | Gravidade |
---|---|
A vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF, na sigla em inglês) CVE-2020-8555 foi descoberta recentemente no Kubernetes. Ela permite que determinados usuários autorizados vazem até 500 bytes de informações confidenciais da rede do host do plano de controle. O plano de controle do Google Kubernetes Engine (GKE) usa os controladores do Kubernetes e, portanto, foi afetado por essa vulnerabilidade. Recomendamos que você faça o upgrade do plano de controle para a versão mais recente do patch, conforme detalhado abaixo. Não é necessário fazer upgrade do nó. O que fazer?As versões do GKE ba VMware a seguir ou versões mais recentes contêm a correção dessa vulnerabilidade:
Se você estiver usando uma versão anterior, faça upgrade do cluster atual para uma versão que contenha a correção. Qual vulnerabilidade é corrigida por esse patch?Esses patches mitigam a vulnerabilidade CVE-2020-8555. Ela é classificada como uma vulnerabilidade de gravidade média para o GKE, porque era difícil explorá-la já que havia várias medidas de aumento de proteção do plano de controle. Um invasor com permissões para criar um pod com determinados
tipos de volume integrado (GlusterFS, Quobyte, StorageFS e ScaleIO) ou
permissões para criar um StorageClass pode fazer com que
Combinado com um meio de vazar os resultados de |
Média |
Clusters do GKE em
Descrição | Gravidade |
---|---|
A vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF, na sigla em inglês) CVE-2020-8555 foi descoberta recentemente no Kubernetes. Ela permite que determinados usuários autorizados vazem até 500 bytes de informações confidenciais da rede do host do plano de controle. O plano de controle do Google Kubernetes Engine (GKE) usa os controladores do Kubernetes e, portanto, foi afetado por essa vulnerabilidade. Recomendamos que você faça o upgrade do plano de controle para a versão mais recente do patch, conforme detalhado abaixo. Não é necessário fazer upgrade do nó. O que fazer?O GKE v0.2.0 na AWS ou mais recente já inclui o patch para essa vulnerabilidade. Se você estiver usando uma versão anterior, faça o download de uma nova versão da ferramenta de linha de comando anthos-gke e recrie seus clusters de gerenciamento e usuário. Qual vulnerabilidade é corrigida por esse patch?Esses patches mitigam a vulnerabilidade CVE-2020-8555. Ela é classificada como uma vulnerabilidade de gravidade média para o GKE, porque era difícil explorá-la já que havia várias medidas de aumento de proteção do plano de controle. Um invasor com permissões para criar um pod com determinados
tipos de volume integrado (GlusterFS, Quobyte, StorageFS e ScaleIO) ou
permissões para criar um StorageClass pode fazer com que
Combinado com um meio de vazar os resultados de |
Média |
GCP-2020-006
Publicado em: 01/062020Referência: problema 91507 do Kubernetes
GKE
Descrição | Gravidade |
---|---|
O Kubernetes divulgou uma vulnerabilidade que permite que um contêiner com privilégios redirecione o tráfego do nó para outro contêiner. O tráfego TLS/SSH mútuo, como entre o kubelet e o servidor da API, e o tráfego de aplicativos que usam mTLS não podem ser lidos ou modificados por esse ataque. Todos os nós do Google Kubernetes Engine (GKE) foram afetados por essa vulnerabilidade. Recomendamos que você faça o upgrade para a versão mais recente do patch, conforme detalhado a seguir. O que fazer?Para mitigar essa vulnerabilidade, faça o upgrade do seu plano de controle e dos seus nós para uma das versões com patch listadas a seguir. Os clusters nos canais de lançamento já estão executando uma versão com patch no plano de controle e nos nós:
Em geral, pouquíssimos contêineres exigem Reduza a capacidade de
Qual vulnerabilidade é corrigida por esse patch?O patch mitiga a seguinte vulnerabilidade: A vulnerabilidade descrita na capacidade |
Média |
Clusters do GKE em
Descrição | Gravidade |
---|---|
O Kubernetes divulgou uma vulnerabilidade que permite que um contêiner com privilégios redirecione o tráfego do nó para outro contêiner. O tráfego TLS/SSH mútuo, como entre o kubelet e o servidor da API, e o tráfego de aplicativos que usam mTLS não podem ser lidos ou modificados por esse ataque. Todos os nós do Google Kubernetes Engine (GKE) foram afetados por essa vulnerabilidade, e recomendamos que você faça o upgrade para a versão mais recente do patch, como detalhamos a seguir. O que fazer?Para atenuar essa vulnerabilidade do GKE no VMware, faça upgrade dos clusters para a versão a seguir ou mais recente:
Em geral, pouquíssimos contêineres exigem Reduza a capacidade de
Qual vulnerabilidade é corrigida por esse patch?O patch mitiga a seguinte vulnerabilidade: A vulnerabilidade descrita na capacidade |
Média |
Clusters do GKE em
Descrição | Gravidade |
---|---|
O Kubernetes divulgou uma vulnerabilidade que permite que um contêiner com privilégios redirecione o tráfego do nó para outro contêiner. O tráfego TLS/SSH mútuo, como entre o kubelet e o servidor da API, e o tráfego de aplicativos que usam mTLS não podem ser lidos ou modificados por esse ataque. Todos os nós do Google Kubernetes Engine (GKE) foram afetados por essa vulnerabilidade, e recomendamos que você faça o upgrade para a versão mais recente do patch, como detalhamos a seguir. O que fazer?Faça o download da ferramenta de linha de comando anthos-gke com a seguinte versão ou mais recente e crie novamente os clusters de gerenciamento e usuário:
Em geral, pouquíssimos contêineres exigem Reduza a capacidade de
Qual vulnerabilidade é corrigida por esse patch?O patch mitiga a seguinte vulnerabilidade: A vulnerabilidade descrita na capacidade |
Média |
GCP-2020-005
Publicado em: 07/052020Atualizado em: 07/05/2020
Referência: CVE-2020-8835
GKE
Descrição | Gravidade |
---|---|
Uma vulnerabilidade foi recentemente descoberta no kernel do Linux, descrita em CVE-2020-8835 (em inglês), permitindo que o escape de contêiner receba privilégios de raiz no nó do host. Os nós do Ubuntu do Google Kubernetes Engine executando a versão 1.16 ou 1.17 do GKE foram afetados por essa vulnerabilidade. Recomendamos que você faça upgrade para a versão de patch mais recente assim que possível, conforme detalhado abaixo. Os nós executando o SO otimizado para contêineres não foram afetados. Os nós executando o GKE no VMware não foram afetados. O que fazer?Para a maioria dos clientes, nenhuma outra ação é necessária. Apenas os nós executando o Ubuntu na versão 1.16 ou 1.17 do GKE foram afetados. Para fazer upgrade dos seus nós, primeiro você precisa fazer o upgrade do mestre para a versão mais recente. Esse patch será disponibilizado nestas versões do Kubernetes: 1.16.8-gke.12, 1.17.4-gke.10 e lançamentos posteriores. Acompanhe a disponibilidade dos patches nas notas de lançamento. Qual vulnerabilidade é corrigida por esse patch?O patch reduz os riscos da seguinte vulnerabilidade: A CVE-2020-8835 (em inglês) descreve uma vulnerabilidade na versão 5.5.0 e posteriores do kernel do Linux, que permite que um contêiner mal-intencionado (com interação mínima do usuário na forma de um exec) leia e grave na memória do kernel e consiga a execução do código no nível da raiz do nó do host. Isso é classificado como uma vulnerabilidade de alto nível de gravidade. |
Alto |
GCP-2020-004
Publicado em: 07/05/2020Atualizado em: 07-05-2020
ReferênciaCVE-2019-11254
Clusters do GKE em
Descrição | Gravidade |
---|---|
Uma vulnerabilidade foi descoberta no Kubernetes recentemente, descrita em CVE-2019-11254 (em inglês). Ela permite que qualquer usuário autorizado a fazer solicitações POST execute um ataque remoto de negação de serviço em um servidor da API Kubernetes. O Comitê de Segurança de Produto (PSC, na sigla em inglês) do Kubernetes divulgou mais informações sobre essa vulnerabilidade. Para saber mais, acesse-as aqui (em inglês). É possível mitigar essa vulnerabilidade limitando os clientes que têm acesso à rede dos servidores da API Kubernetes. O que fazer?Recomendamos fazer upgrade de seus clusters para corrigir versões que contenham a correção dessa vulnerabilidade assim que estiverem disponíveis. Veja abaixo as versões de patch que solucionam o problema:
Quais vulnerabilidades são corrigidas por esse patch?A de negação de serviço (DoS) a seguir: |
Média |
GCP-2020-003
Publicado em: 31/03/2020Atualizado em: 31/03/2020
Referência: CVE-2019-11254
GKE
Descrição | Gravidade |
---|---|
Uma vulnerabilidade foi descoberta no Kubernetes recentemente, descrita em CVE-2019-11254 (em inglês). Ela permite que qualquer usuário autorizado a fazer solicitações POST execute um ataque remoto de negação de serviço em um servidor da API Kubernetes. O Comitê de Segurança de Produto (PSC, na sigla em inglês) do Kubernetes divulgou mais informações sobre essa vulnerabilidade. Para saber mais, acesse-as aqui (em inglês). Os clusters do GKE que usam redes mestras autorizadas e clusters privados sem endpoint público reduzem essa vulnerabilidade. O que fazer?Recomendamos que você faça o upgrade do seu cluster para uma versão de patch com a correção da vulnerabilidade. Veja abaixo as versões de patch que solucionam o problema:
Quais vulnerabilidades são corrigidas por esse patch?A de negação de serviço (DoS) a seguir: |
Média |
GCP-2020-002
Publicado em: 23/03/2020Atualizado em: 23/03/2020
ReferênciaCVE-2020-8551, CVE-2020-8552
GKE
Descrição | Gravidade |
---|---|
O Kubernetes divulgou duas vulnerabilidades de negação de serviço (em inglês), uma com impacto no servidor de API e outra no Kubelets. Para mais detalhes, veja os seguintes problemas do Kubernetes: 89377 e 89378 (ambos em inglês). O que fazer?Todos os usuários do GKE estão protegidos contra a CVE-2020-8551, a menos que usuários que não sejam de confiança possam enviar solicitações dentro da rede interna dos clusters. Além disso, o uso das redes mestras autorizadas reduz a CVE-2020-8552. Quando essas vulnerabilidades serão corrigidas?Os patches para a CVE-2020-8551 exigem um upgrade de nó. Abaixo, as versões de patch que mitigam o problema:
Os patches para a CVE-2020-8552 exigem o upgrade de um mestre. Abaixo, as versões de patch que mitigam o problema:
|
Média |
GCP-january_21_2020
Publicado em: 21/01/2020Atualizado em: 24/01/2020
ReferênciaCVE-2019-11254
GKE
Descrição | Gravidade |
---|---|
Atualização de 24/01/2020: o processo de disponibilização de versões com patch está sendo realizado e será concluído em 25 de janeiro de 2020. A Microsoft divulgou uma vulnerabilidade na Windows CryptoAPI e em sua validação de assinaturas de curva elíptica. Para mais informações, consulte o anúncio da Microsoft. O que fazer? Para a maioria dos clientes, nenhuma outra ação é necessária. Somente os nós com Windows Server em execução são afetados. Nesse caso, para reduzir a vulnerabilidade, é necessário atualizar os nós e as cargas de trabalho em contêineres executadas neles para as versões com patch. Para atualizar os contêineres: É necessário recriá-los. Para isso, use as imagens de contêiner de base mais recentes da Microsoft selecionando uma tag de servercore ou nanoserver (páginas em inglês) que tenha o valor "1/14/2020" ou posterior em "LastUpdated Time". Para atualizar os nós: O processo de disponibilização de versões com patch está sendo realizado e será concluído em 24 de janeiro de 2020. Faça o upgrade dos nós para uma versão de patch do GKE ou use o Windows Update para implantar manualmente o patch mais recente do Windows a qualquer momento. Abaixo, as versões de patch que incluem a mitigação:
Quais vulnerabilidades são corrigidas por esse patch? O patch reduz as vulnerabilidades a seguir: CVE-2020-0601 (em inglês): também conhecida como Vulnerabilidade de spoofing da Windows CryptoAPI. Usada para fazer executáveis maliciosos parecerem confiáveis ou permitir que o invasor realize ataques "man-in-the-middle" e descriptografe informações confidenciais nas conexões TLS com o software afetado. |
Pontuação base do NVD: 8,1 (alta) |
Boletins de segurança arquivados
Para boletins de segurança anteriores a 2020, consulte o Arquivo de boletins de segurança.